Spotify multata di 5,4 milioni di dollari per violazione delle norme GDPR

Spotify, la popolare piattaforma di streaming musicale, martedì ha ricevuto una multa amministrativa di 58 milioni di SEK (circa 5,4 milioni di dollari) in Svezia per aver violato i diritti di accesso ai dati dei suoi utenti nell’Unione Europea.

Secondo il Regolamento generale sulla protezione dei dati (GDPR) entrato in vigore nel 2018, gli utenti hanno il diritto di accesso, il che significa che hanno il diritto di scoprire quali dati personali un’azienda gestisce riguardo alla persona in questione e di ricevere informazioni su come vengono utilizzati questi dati.

Tuttavia, durante il suo audit, l’Autorità svedese per la protezione della privacy (IMY) ha trovato Spotify colpevole di violare l’Articolo 15 del GDPR europeo. Ha scoperto che Spotify rilascia i dati personali che l’azienda elabora quando gli individui lo richiedono; tuttavia, non ha fornito informazioni chiare e complete su come i dati raccolti su di loro venivano utilizzati dall’azienda.

L’IMY ha sottolineato che Spotify dovrebbe essere più trasparente “su come e per quali scopi vengono gestiti i dati personali degli individui.” La mancanza di chiarezza ha reso difficile per gli utenti comprendere come i loro dati personali venivano elaborati e valutare se la gestione dei loro dati personali fosse legittima.

“L’Autorità svedese per la protezione della privacy (IMY) ha indagato sulle procedure generali di Spotify per gestire le richieste di accesso e ha riscontrato alcune carenze relative alle informazioni che dovrebbero essere fornite all’individuo che presenta la richiesta ai sensi dell’articolo 15.1 a-h e 15.2 del GDPR e in relazione alla descrizione dei dati nei file di log tecnici forniti da Spotify. L’IMY ha emesso una multa amministrativa di 58 milioni di SEK contro Spotify per non aver fornito informazioni sufficientemente chiare agli individui in questo senso. La decisione include violazioni degli articoli 12.1, 15.1 a-d, g e 15.2 del GDPR,” ha dichiarato il regolatore in un comunicato.

“L’indagine dell’IMY ha incluso anche un’indagine su quanto accaduto in tre diverse denunce e qui l’IMY ha riscontrato che Spotify aveva fallito nella gestione delle richieste di accesso relative a due delle denunce esaminate. La decisione in questa parte include violazioni degli articoli 12.1, 12.3, 15.1, 15.3 e 15.1 a-h e 15.2 del GDPR. In relazione a queste violazioni, l’IMY emette un richiamo.”

Il regolatore ha anche affermato che le carenze identificate sono state considerate di “basso livello di gravità,” con la multa imposta che tiene conto del fatturato e del numero di utenti di Spotify.

Poiché Spotify ha utenti in molti paesi, la decisione sopra è stata presa in collaborazione con altre autorità di protezione dei dati nell’UE.

La sentenza contro Spotify arriva più di quattro anni dopo che una denuncia è stata presentata contro la piattaforma di streaming musicale dall’organizzazione no profit per la privacy e i diritti digitali noyb all’inizio del 2019.

Nella denuncia presentata da noyb, l’organizzazione ha sostenuto che Spotify non ha fornito agli utenti tutti i dati personali richiesti, informazioni sulla loro origine, destinatari dei dati personali o dettagli sui trasferimenti internazionali di dati ai sensi dell’Articolo 15 del GDPR.

La denuncia originale è stata presentata in Austria, ma il caso è stato inviato all’IMY poiché Spotify ha sede in Svezia. Inoltre, una denuncia relativa allo stesso problema, presentata nei Paesi Bassi, è stata combinata con il caso svedese. Tuttavia, i casi sono rimasti in attesa presso l’IMY per quattro anni.

Di conseguenza, il 22 giugno 2022, noyb ha intentato una causa contro l’IMY davanti ai tribunali svedesi per la mancanza di una decisione. Infine, dopo più di quattro anni dalla presentazione originale del caso, l’IMY ha ordinato a Spotify di fornire l’intero set di dati al denunciante ai sensi dell’Articolo 58(2)(c) del GDPR.

“Siamo lieti di vedere che l’autorità svedese ha finalmente preso provvedimenti. È un diritto fondamentale di ogni utente ricevere informazioni complete sui dati che vengono elaborati su di loro. Tuttavia, il caso ha impiegato più di 4 anni e abbiamo dovuto fare causa all’IMY per ottenere una decisione. L’autorità svedese deve sicuramente accelerare le sue procedure,” ha dichiarato Stefano Rossetti, avvocato per la privacy di noyb, in un comunicato.

Spotify ha respinto le conclusioni dell’IMY e ha pianificato di presentare un appello in risposta alla multa del GDPR dell’UE.

“Spotify offre a tutti gli utenti informazioni complete su come vengono elaborati i dati personali. Durante la loro indagine, l’Autorità svedese per la protezione dei dati ha trovato solo aree minori del nostro processo che ritiene necessitino di miglioramenti. Tuttavia, non siamo d’accordo con la decisione e pianifichiamo di presentare un appello,” ha dichiarato l’azienda in un comunicato.

Quando è stato chiesto se Spotify stesse apportando modifiche al suo protocollo di risposta alle richieste di accesso ai dati degli utenti tenendo conto delle sanzioni dell’IMY, un portavoce di Spotify ha dichiarato che l’azienda non ha nulla da confermare al momento. Tuttavia, hanno menzionato che l’azienda sta continuamente rivedendo e migliorando il processo per aumentare la trasparenza.