Home Data Protection & CybersecurityIl Garante privacy svedese sanziona una nota App di streaming per non aver rispettato il diritto di accesso degli interessati

Il Garante privacy svedese sanziona una nota App di streaming per non aver rispettato il diritto di accesso degli interessati

12 Luglio 2023 by

Con un recente provvedimento, il Garante svedese per la protezione dei dati personali ha irrogato una sanzione di 58 milioni SEK (circa 5 milioni di euro) nei confronti di una nota app di streaming musicale e podcast per non aver rispettato il diritto di accesso riconosciuto agli interessati dal Regolamento UE 679/2016 (“GDPR”). In particolare, la società non aveva pienamente soddisfatto le richieste di accesso ai dati, in quanto non aveva fornito informazioni in modo chiaro e specifico sulla loro fonte, sui destinatari a cui erano stati comunicati e sui trasferimenti internazionali.

  1. La vicenda che ha portato alla sanzione privacy contro l’App di streaming

La vicenda trae origine dall’inoltro al Garante privacy svedese di una segnalazione da parte dell’associazione noyb di Max Schrems, presentata il 18 gennaio 2019 contro vari servizi di streaming, tra cui l’App. Noyb lamentava che la società non consentisse l’esercizio del diritto di accesso ai dati, come previsto dall’art. 15 del GDPR. A distanza di quattro anni, l’Autorità svedese ha confermato la violazione e inflitto una sanzione da circa 5 milioni di euro.

Ai sensi dell’articolo 15 del GDPR, gli interessati hanno diritto di accedere ai propri dati personali nonché a conoscere le finalità del trattamento, il periodo di conservazione, la loro destinazione verso terze parti e il diritto a richiedere la loro cancellazione.

A seguito delle indagini condotte, il Garante ha constatato che:

  • le informazioni fornite dalla società su come e per quali scopi vengono trattati i dati personali non erano sufficientemente specifiche e chiare: secondo il Garante privacy, deve essere facile per l’interessato che richiede l’accesso ai propri dati capire come il titolare del trattamento utilizzi tali dati. Ad esempio, i dati personali di natura tecnica o di difficile comprensione dovrebbero essere spiegati non solo in inglese, ma anche nella lingua madre dell’individuo;
  • la società ha suddiviso in più sezioni i dati personali a cui gli interessati possono accedere: l’App presentava diverse sezioni, ad esempio una sezione contenente le informazioni che la società ha ritenuto di maggior interesse per l’individuo, quei dettagli di contatto e pagamento, gli artisti seguiti dal cliente e la cronologia di ascolto per un determinato periodo di tempo. Tuttavia, nel caso in cui l’interessato desiderasse informazioni più dettagliate, ad esempio tutti i file di log tecnici relativi all’utilizzo dell’App, era necessario consultarli in un’altra sezione.

Secondo l’Autorità svedese per la protezione dei dati personali, non vi sono criticità nel suddividere la copia dei dati personali in diverse sezioni purché il diritto di accesso sia comunque garantito e soddisfatto. In alcune situazioni, al contrario, può rendere più facile per l’interessato comprendere le informazioni se vengono presentate in parti separate, almeno quando si tratta di un’ampia quantità di informazioni. Tuttavia, l’Autorità ha ricordato che è importante che l’individuo comprenda quali informazioni si trovano nelle diverse sezioni e come richiederle.

Come riconosciuto dal Garante privacy svedese, la società aveva in effetti adottato varie misure per semplificare il diritto di accesso ai dati e pertanto le criticità riscontrate non sono state considerate gravi, perciò la multa è minima rispetto al fatturato della nota azienda svedese, che ha tuttavia comunicato di voler presentare appello contro la decisione.

  1. Alcune considerazioni per le aziende

Questo provvedimento è interessante per i seguenti aspetti evidenziati dall’Autorità svedese:

  • è fondamentale il rispetto dei diritti degli interessati riconosciuti dal GDPR, ivi incluso il diritto di accesso;
  • deve essere facile per l’interessato che richiede l’accesso ai propri dati capire come il titolare del trattamento utilizzi tali dati – a tal fine è possibile suddividerli in diverse sezioni; e
  • i dati personali di natura tecnica o di difficile comprensione dovrebbero essere spiegati non solo in inglese, ma anche nella lingua madre dell’individuo.

Potrebbe interessarvi “Il Garante privacy sanziona sul monitoraggio di dipendenti sul posto di lavoro”.

(Visited 102 times, 1 visits today)

Autore:

Giorgia Carneri è un trainee del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper

Potrebbe interessarti

La CGUE si esprime sul TCF dello IAB Europe chiarendo le disposizioni del GDPR

La Corte di Giustizia dell’Unione Europea (“CGUE”) si è recentemente espressa in relazione...

Il contributo di DLA Piper alla consultazione del Garante sulla conservazione dei metadati delle e-mail dei dipendenti

Lo studio legale DLA Piper ha deciso di presentare un contributo alla consultazione dell’autorità...

Telemarketing: sanzione di 79 milioni di euro a nota società energetica

Il Garante Privacy ha inflitto a una nota società energetica una sanzione record di 79 milioni di euro per...

Close Search Window