Spotify Multada em $5,4 Milhões por Violação das Regras do GDPR

Spotify, a popular plataforma de streaming de música, foi multada na terça-feira em SEK 58 milhões (aproximadamente $5,4 milhões) na Suécia por violar os direitos de acesso aos dados de seus usuários na União Europeia.

De acordo com o Regulamento Geral sobre a Proteção de Dados (GDPR) que entrou em vigor em 2018, os usuários têm o direito de acesso, o que significa que têm o direito de descobrir quais dados pessoais uma empresa manipula sobre a pessoa em questão e de receber informações sobre como esses dados são usados.

No entanto, durante sua auditoria, a Autoridade Sueca de Proteção de Dados (IMY) considerou a Spotify culpada de violar o Artigo 15 do GDPR europeu. Ela descobriu que a Spotify libera os dados pessoais que a empresa processa quando indivíduos os solicitam; no entanto, não ofereceu informações claras e abrangentes sobre como os dados coletados sobre eles eram usados pela empresa.

A IMY enfatizou que a Spotify deveria ser mais transparente “sobre como e para quais propósitos os dados pessoais dos indivíduos são tratados.” A falta de clareza dificultou para os usuários entenderem como seus dados pessoais eram processados e avaliar se o tratamento de seus dados pessoais era legal.

“A Autoridade Sueca de Proteção de Dados (IMY) investigou os procedimentos gerais da Spotify para lidar com solicitações de acesso e encontrou algumas deficiências relacionadas às informações que deveriam ser fornecidas ao indivíduo que faz a solicitação, de acordo com o artigo 15.1 a-h e 15.2 do GDPR e em relação à descrição dos dados nos arquivos de log técnico fornecidos pela Spotify. A IMY impôs uma multa administrativa de SEK 58 milhões contra a Spotify por não fornecer informações suficientemente claras aos indivíduos a esse respeito. A decisão inclui violações dos artigos 12.1, 15.1 a-d, g e 15.2 do GDPR,” disse o regulador em um comunicado.

“A investigação da IMY também abrangeu uma investigação sobre o que ocorreu em três reclamações diferentes e aqui a IMY descobriu que a Spotify falhou em seu tratamento de solicitações de acesso relacionadas a duas das reclamações examinadas. A decisão nesta parte inclui violação dos artigos 12.1, 12.3, 15.1, 15.3 e 15.1 a-h e 15.2 do GDPR. Em relação a essas infrações, a IMY emite uma reprimenda.”

O regulador também afirmou que as deficiências identificadas foram consideradas de “baixo nível de gravidade”, com a multa imposta levando em conta a receita e o número de usuários da Spotify.

Como a Spotify tem usuários em muitos países, a decisão acima foi tomada em cooperação com outras autoridades de proteção de dados da UE.

A decisão contra a Spotify vem mais de quatro anos após uma reclamação ter sido apresentada contra a plataforma de streaming de música pela organização sem fins lucrativos de privacidade e direitos digitais noyb no início de 2019.

Na reclamação apresentada pela noyb, a organização alegou que a Spotify não forneceu aos usuários todos os dados pessoais solicitados, informações sobre sua origem, destinatários dos dados pessoais ou detalhes sobre transferências internacionais de dados sob o Artigo 15 do GDPR.

A reclamação original foi apresentada na Áustria, mas o caso foi enviado para a IMY, uma vez que a Spotify estava baseada na Suécia. Além disso, uma reclamação relacionada ao mesmo problema, apresentada na Holanda, foi combinada ao caso sueco. No entanto, os casos ficaram parados na IMY por quatro anos.

Como resultado, em 22 de junho de 2022, a noyb entrou com uma ação contra a IMY perante os tribunais suecos devido à falta de uma decisão. Finalmente, após mais de quatro anos desde que o caso foi originalmente apresentado, a IMY ordenou que a Spotify fornecesse o conjunto completo de dados ao reclamante sob o Artigo 58(2)(c) do GDPR.

“Estamos felizes em ver que a autoridade sueca finalmente tomou uma atitude. É um direito básico de cada usuário obter informações completas sobre os dados que são processados sobre eles. No entanto, o caso levou mais de 4 anos e tivemos que litigar contra a IMY para obter uma decisão. A autoridade sueca definitivamente precisa acelerar seus procedimentos,” disse Stefano Rossetti, um advogado de privacidade da noyb, em um comunicado.

A Spotify rejeitou as conclusões da IMY e planejou apresentar um recurso em resposta à multa do GDPR da UE.

“Spotify oferece a todos os usuários informações abrangentes sobre como os dados pessoais são processados. Durante sua investigação, a DPA sueca encontrou apenas áreas menores de nosso processo que acreditam precisar de melhorias. No entanto, não concordamos com a decisão e planejamos apresentar um recurso,” disse a empresa em um comunicado.

Quando questionado se a Spotify está fazendo mudanças em seu protocolo de resposta a solicitações de acesso a dados dos usuários, levando em consideração as sanções da IMY, um porta-voz da Spotify disse que a empresa não tem nada a confirmar no momento. No entanto, mencionaram que a empresa está continuamente revisando e melhorando o processo para aumentar a transparência.