El gigante de la transmisión de música Spotify se enfrenta a una multa de alrededor de 5 millones de euros (5,4 millones de dólares) en Suecia años después de haber sido acusado de violar los derechos de acceso a los datos de los usuarios en la Unión Europea al no proporcionar información completa sobre los datos personales que procesa en respuesta a solicitudes individuales. peticiones.
Si bien es poco probable que el tamaño de la multa acapare muchos titulares, el hecho de que finalmente haya sucedido es notable como una prueba más de la montaña que los usuarios europeos tienen que escalar para que se respeten sus derechos de protección de datos.
El hallazgo de una infracción del artículo 15 del Reglamento General de Protección de Datos (GDPR) se produce más de cuatro años después de que se presentara una denuncia contra Spotify por parte de la organización de derechos de privacidad sin fines de lucro, noyb. La queja, que se presentó a principios de 2019, alegaba que Spotify no proporcionó los detalles adecuados en respuesta a la solicitud de acceso de sujeto (SAR) del demandante.
La denuncia argumentó que la plataforma de transmisión de música no proporcionó todos los datos personales solicitados; no proporcionó información sobre los fines del procesamiento; ni sobre los destinatarios; y tampoco proporcionó información sobre transferencias internacionales, entre otras denuncias.
Si bien se presentó originalmente en Austria, el mecanismo de ventanilla única del RGPD, que se supone que agiliza el manejo de casos donde el procesamiento de datos cruza las fronteras nacionales, significó que la queja se redirigió a Suecia, donde Spotify tiene su establecimiento principal en la UE. (Otra queja sobre el mismo tema que se presentó en los Países Bajos también se unió al caso en Suecia).
Luego, la denuncia languideció sin decisión durante varios años ya que, según noyb, la autoridad sueca emprendió una investigación paralela de oficio en la que los denunciantes no eran parte, a pesar de que el RGPD establece que los controladores de datos deben responder a las solicitudes de acceso dentro de un mes.
noyb terminó llevando a la autoridad sueca de protección de datos (IMY) a los tribunales por la falta de una decisión. Y el año pasado desafió con éxito la posición de IMY de que el demandante no es parte en los procedimientos, y el tribunal administrativo de Estocolmo sostuvo que los demandantes tienen derecho a solicitar una decisión después de seis meses.
Si bien ese litigio aún está en curso (frente a un tribunal superior), la decisión del tribunal administrativo en noviembre pasado que ordenó a IMY que procesara e investigara la queja parece haber movido a la DPA a emitir una decisión mientras tanto.
noyb dijo hoy que IMY ordenó a Spotify que finalmente proporcionara el conjunto completo de datos. Aunque se reserva el juicio sobre si la autoridad ha hecho todo lo que le pidió hasta que pueda escudriñar la decisión.
En un comunicado, Stefano Rossetti, abogado de privacidad de Noyb, agregó:
Nos complace ver que la autoridad sueca finalmente tomó medidas. Es un derecho básico de todo usuario obtener información completa sobre los datos que trata sobre él. Sin embargo, el caso tomó más de 4 años y tuvimos que litigar con el IMY para obtener una decisión. La autoridad sueca definitivamente tiene que acelerar sus procedimientos.
Nos comunicamos con la autoridad sueca con preguntas y envió la siguiente declaración, confirmando que identificó una serie de violaciones por parte de Spotify relacionadas con tres quejas que investigó. También describió el caso como «complejo y completo», diciendo que no solo analizó casos individuales de cómo manejó las solicitudes de acceso a datos, sino que también evaluó los procedimientos generales.
Este es el comunicado completo:
La Autoridad Sueca para la Protección de la Privacidad (IMY) ha investigado los procedimientos generales de Spotify para gestionar las solicitudes de acceso y ha encontrado algunas deficiencias relacionadas con la información que debe proporcionarse a la persona que realiza la solicitud de conformidad con el artículo 15.1 ah y 15.2 del RGPD y en relación a la descripción de los datos en los archivos de registro técnicos proporcionados por Spotify. IMY ha emitido una multa administrativa de SEK 58 millones contra Spotify por no proporcionar información suficientemente clara a las personas a este respecto. La decisión incluye violaciones de los artículos 12.1, 15.1 ad, g y 15.2 del RGPD.
La investigación de IMY también abarcó una investigación de lo que ocurrió en tres quejas diferentes y aquí IMY encontró que Spotify había fallado en su manejo de las solicitudes de acceso relacionadas con dos de las quejas examinadas. La decisión en esta parte incluye la violación de los artículos 12.1, 12.3, 15.1, 15.3 y 15.1 ah y 15.2 del RGPD. En relación con estas infracciones, IMY emite una amonestación.
El caso ha sido un caso complejo y completo en el que, como se explicó anteriormente, hemos evaluado tanto los procedimientos generales de Spotify para manejar las solicitudes de acceso individuales, así como también cómo ha actuado Spotify en una serie de situaciones individuales en las que hemos recibido quejas ante la autoridad. Como Spotify tiene operaciones y usuarios en varios países, el trabajo también ha incluido la cooperación con otras autoridades de protección de datos en la UE. Esta cooperación, y los requisitos para un manejo similar en toda la UE, también significaron que, durante el curso de la supervisión, tuvimos que cambiar el enfoque de la supervisión, lo que desafortunadamente retrasó el procesamiento. La cooperación de la UE, que vino con GDPR, es algo relativamente nuevo para nosotros y hay trabajo en curso dentro de la UE para optimizar la cooperación, algo que vemos que es necesario.
Spotify también fue contactado para hacer comentarios. Un portavoz de la compañía nos envió esta declaración, confirmando que tiene la intención de apelar:
Spotify ofrece a todos los usuarios información completa sobre cómo se procesan los datos personales. Durante su investigación, la DPA sueca encontró solo áreas menores de nuestro proceso que creen que necesitan mejoras. Sin embargo, no estamos de acuerdo con la decisión y planeamos presentar una apelación.
Más de cinco años después de la entrada en vigor del RGPD, allá por mayo de 2018, la aplicación sigue siendo un mosaico de resultados muy variables debido a las diferencias de enfoque y proceso (y, a veces, también de recursos) entre las autoridades nacionales encargadas de defender los derechos de privacidad de los europeos.
La denuncia contra Spotify fue en realidad una de una serie de denuncias estratégicas de noyb contra las plataformas de música y video que buscaban probar la aplicación de la ley.
noyb argumentó que las violaciones estructurales de los derechos de acceso a los datos del RGPD de los usuarios eran la norma disfuncional en las ocho plataformas que probó, a saber: Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud y YouTube, muchas de las cuales descubrió que habían configurado sistemas automatizados. para responder a los SAR de los usuarios que no proporcionaron toda la información que los europeos tienen derecho legal a obtener.
Más de cuatro años después, no está claro si la instantánea anterior de noyb sobre el incumplimiento sistémico de los derechos de acceso a los datos de los usuarios ha cambiado sustancialmente o no.
En el caso de Spotify, la aplicación de la ley en realidad, aunque con una lentitud dolorosa, parece haber movido la aguja.
El fundador y presidente de noyb, Max Schrems, confirmó que la decisión de IMY contiene una orden a Spotify para cumplir con las solicitudes de acceso. También sugirió que la plataforma ha mejorado su sistema durante la investigación. “Esperamos una respuesta completa ahora”, dijo, y agregó: “Así que necesitamos ver qué enviarán y si es suficiente”.
Cuando se le preguntó si Spotify está modificando su protocolo de respuesta a la solicitud de acceso a los datos del usuario a la luz de la sanción de IMY, una portavoz de Spotify nos dijo que la compañía «no tiene nada que confirmar en este momento», pero agregó: «Siempre estamos considerando y haciendo mejoras en el proceso». para mejorar la transparencia”.
Schrems también nos dijo que noyb ha visto movimiento en tres de las otras quejas; incluido el cierre de un caso después de que la plataforma en cuestión (Flimmit) arreglara sus procesos durante el procedimiento; un proyecto de decisión emitido por la DPA holandesa sobre Netflix; y DAZN, según informes, cerca de concluir en Austria (ante un tribunal).
Más allá de eso, la imagen se oscurece.
Según Schrems, la mitad de las ocho quejas noyb dirigidas con quejas sobre el acceso a los datos han resultado en silencio de radio por parte de las DPA relevantes hasta el momento. (El DPA irlandés sería el líder de las quejas sobre Apple y YouTube, propiedad de Google; Luxemburgo lidera la supervisión de Amazon; mientras que SoundCloud tiene su sede en Berlín, por lo que probablemente estaría bajo la supervisión del comisionado de protección de datos de la ciudad).
“El resto sigue siendo silencio, después de 4,5 años”, agregó Schrems.