Le autorità norvegesi hanno notificato a Grindr LLC la sua intenzione di imporre una multa di circa 10 milioni di euro a causa delle molteplici violazioni del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea. Dopo un’indagine, l’autorità norvegese per la protezione dei dati ha concluso che questa applicazione condivideva i dati dei suoi utenti con terze parti senza previo consenso o qualsiasi base giuridica definita.
Grindr è un’app di appuntamenti appositamente progettata per la comunità gay, bisessuale e transgender che collega i suoi utenti in base alla loro posizione approssimativa e interessi simili. Qualche mese fa il Consiglio per la protezione dei consumatori in Norvegia ha presentato una denuncia contro l’app per il presunto uso improprio di informazioni personali a fini pubblicitari; le informazioni compromesse includevano dati sulla posizione, informazioni personali e stato dell’account Grindr.
Le autorità sostengono che Grindr richiede il consenso esplicito dei suoi utenti per condividere queste informazioni con terze parti, poiché le sue politiche non menzionano mai tale pratica, per non parlare del fatto che condividendo dettagli sulle preferenze sessuali dei suoi utenti, Grindr sta esponendo informazioni particolarmente sensibili. Va notato che la ricerca è correlata solo alle informazioni degli utenti della versione gratuita di Grinder.
Bjørn Erik Thon, Direttore generale dell’Agenzia per la protezione dei dati in Norvegia, ritiene che questo sia un problema molto serio: “Gli utenti non possono esercitare un controllo reale sulle informazioni che Grindr condivide con altre piattaforme; queste aziende ottengono il consenso in modo poco trasparente, quindi la legge deve prendere le cose in termini”.
La legge europea afferma che il consenso esplicito deve essere un elemento essenziale nel trattamento dei dati personali sensibili, quindi è necessario che le aziende si limitino a informare gli utenti sulle informazioni che raccoglieranno e sui loro possibili usi (principalmente associati al marketing). Le autorità affermano che, in molti casi, gli utenti sono semplicemente costretti ad accettare le politiche di queste piattaforme, ignorando completamente il consenso esplicito, che è una violazione del GDPR.
Grindr ha ricevuto una bozza di tale progetto, quindi l’azienda ha circa 15 giorni per inviare eventuali commenti o non conformità al riguardo. Una volta scaduto questo periodo, l’autorità europea per la protezione dei dati emetterà la sua decisione finale.
Le autorità norvegesi hanno anche presentato reclami contro cinque società terze che hanno ricevuto dati da Grindr, tra cui MoPub (di proprietà di Twitter) e OpenX Software.