\n<\/p>\n
El gigante de la transmisi\u00f3n de m\u00fasica Spotify se enfrenta a una multa de alrededor de 5 millones de euros (5,4 millones de d\u00f3lares) en Suecia a\u00f1os despu\u00e9s de haber sido acusado de violar los derechos de acceso a los datos de los usuarios en la Uni\u00f3n Europea al no proporcionar informaci\u00f3n completa sobre los datos personales que procesa en respuesta a solicitudes individuales. peticiones.<\/p>\n
Si bien es poco probable que el tama\u00f1o de la multa acapare muchos titulares, el hecho de que finalmente haya sucedido es notable como una prueba m\u00e1s de la monta\u00f1a que los usuarios europeos tienen que escalar para que se respeten sus derechos de protecci\u00f3n de datos.<\/p>\n
El hallazgo de una infracci\u00f3n del art\u00edculo 15 del Reglamento General de Protecci\u00f3n de Datos (GDPR) se produce m\u00e1s de cuatro a\u00f1os despu\u00e9s de que se presentara una denuncia contra Spotify por parte de la organizaci\u00f3n de derechos de privacidad sin fines de lucro, noyb. La queja, que se present\u00f3 a principios de 2019, alegaba que Spotify no proporcion\u00f3 los detalles adecuados en respuesta a la solicitud de acceso de sujeto (SAR) del demandante.<\/p>\n
La denuncia argument\u00f3 que la plataforma de transmisi\u00f3n de m\u00fasica no proporcion\u00f3 todos los datos personales solicitados; no proporcion\u00f3 informaci\u00f3n sobre los fines del procesamiento; ni sobre los destinatarios; y tampoco proporcion\u00f3 informaci\u00f3n sobre transferencias internacionales, entre otras denuncias.<\/p>\n
Si bien se present\u00f3 originalmente en Austria, el mecanismo de ventanilla \u00fanica del RGPD, que se supone que agiliza el manejo de casos donde el procesamiento de datos cruza las fronteras nacionales, signific\u00f3 que la queja se redirigi\u00f3 a Suecia, donde Spotify tiene su establecimiento principal en la UE. (Otra queja sobre el mismo tema que se present\u00f3 en los Pa\u00edses Bajos tambi\u00e9n se uni\u00f3 al caso en Suecia).<\/p>\n
Luego, la denuncia languideci\u00f3 sin decisi\u00f3n durante varios a\u00f1os ya que, seg\u00fan noyb, la autoridad sueca emprendi\u00f3 una investigaci\u00f3n paralela de oficio en la que los denunciantes no eran parte, a pesar de que el RGPD establece que los controladores de datos deben responder a las solicitudes de acceso dentro de un mes.<\/p>\n
noyb termin\u00f3 llevando a la autoridad sueca de protecci\u00f3n de datos (IMY) a los tribunales por la falta de una decisi\u00f3n. Y el a\u00f1o pasado desafi\u00f3 con \u00e9xito la posici\u00f3n de IMY de que el demandante no es parte en los procedimientos, y el tribunal administrativo de Estocolmo sostuvo que los demandantes tienen derecho a solicitar una decisi\u00f3n despu\u00e9s de seis meses.<\/p>\n
Si bien ese litigio a\u00fan est\u00e1 en curso (frente a un tribunal superior), la decisi\u00f3n del tribunal administrativo en noviembre pasado que orden\u00f3 a IMY que procesara e investigara la queja parece haber movido a la DPA a emitir una decisi\u00f3n mientras tanto.<\/p>\n
noyb dijo hoy que IMY orden\u00f3 a Spotify que finalmente proporcionara el conjunto completo de datos. Aunque se reserva el juicio sobre si la autoridad ha hecho todo lo que le pidi\u00f3 hasta que pueda escudri\u00f1ar la decisi\u00f3n.<\/p>\n
En un comunicado, Stefano Rossetti, abogado de privacidad de Noyb, agreg\u00f3<\/span>:<\/p>\n Nos complace ver que la autoridad sueca finalmente tom\u00f3 medidas. Es un derecho b\u00e1sico de todo usuario obtener informaci\u00f3n completa sobre los datos que trata sobre \u00e9l. Sin embargo, el caso tom\u00f3 m\u00e1s de 4 a\u00f1os y tuvimos que litigar con el IMY para obtener una decisi\u00f3n. La autoridad sueca definitivamente tiene que acelerar sus procedimientos.<\/p>\n<\/blockquote>\n Nos comunicamos con la autoridad sueca con preguntas y envi\u00f3 la siguiente declaraci\u00f3n, confirmando que identific\u00f3 una serie de violaciones por parte de Spotify relacionadas con tres quejas que investig\u00f3. Tambi\u00e9n describi\u00f3 el caso como \u00abcomplejo y completo\u00bb, diciendo que no solo analiz\u00f3 casos individuales de c\u00f3mo manej\u00f3 las solicitudes de acceso a datos, sino que tambi\u00e9n evalu\u00f3 los procedimientos generales.<\/p>\n Este es el comunicado completo:<\/p>\n La Autoridad Sueca para la Protecci\u00f3n de la Privacidad (IMY) ha investigado los procedimientos generales de Spotify para gestionar las solicitudes de acceso y ha encontrado algunas deficiencias relacionadas con la informaci\u00f3n que debe proporcionarse a la persona que realiza la solicitud de conformidad con el art\u00edculo 15.1 ah y 15.2 del RGPD y en relaci\u00f3n a la descripci\u00f3n de los datos en los archivos de registro t\u00e9cnicos proporcionados por Spotify. IMY ha emitido una multa administrativa de SEK 58 millones contra Spotify por no proporcionar informaci\u00f3n suficientemente clara a las personas a este respecto. La decisi\u00f3n incluye violaciones de los art\u00edculos 12.1, 15.1 ad, g y 15.2 del RGPD.<\/p>\n La investigaci\u00f3n de IMY tambi\u00e9n abarc\u00f3 una investigaci\u00f3n de lo que ocurri\u00f3 en tres quejas diferentes y aqu\u00ed IMY encontr\u00f3 que Spotify hab\u00eda fallado en su manejo de las solicitudes de acceso relacionadas con dos de las quejas examinadas. La decisi\u00f3n en esta parte incluye la violaci\u00f3n de los art\u00edculos 12.1, 12.3, 15.1, 15.3 y 15.1 ah y 15.2 del RGPD. En relaci\u00f3n con estas infracciones, IMY emite una amonestaci\u00f3n.<\/p>\n El caso ha sido un caso complejo y completo en el que, como se explic\u00f3 anteriormente, hemos evaluado tanto los procedimientos generales de Spotify para manejar las solicitudes de acceso individuales, as\u00ed como tambi\u00e9n c\u00f3mo ha actuado Spotify en una serie de situaciones individuales en las que hemos recibido quejas ante la autoridad. Como Spotify tiene operaciones y usuarios en varios pa\u00edses, el trabajo tambi\u00e9n ha incluido la cooperaci\u00f3n con otras autoridades de protecci\u00f3n de datos en la UE. Esta cooperaci\u00f3n, y los requisitos para un manejo similar en toda la UE, tambi\u00e9n significaron que, durante el curso de la supervisi\u00f3n, tuvimos que cambiar el enfoque de la supervisi\u00f3n, lo que desafortunadamente retras\u00f3 el procesamiento. La cooperaci\u00f3n de la UE, que vino con GDPR, es algo relativamente nuevo para nosotros y hay trabajo en curso dentro de la UE para optimizar la cooperaci\u00f3n, algo que vemos que es necesario.<\/p>\n<\/blockquote>\n Spotify tambi\u00e9n fue contactado para hacer comentarios. Un portavoz de la compa\u00f1\u00eda nos envi\u00f3 esta declaraci\u00f3n, confirmando que tiene la intenci\u00f3n de apelar:<\/p>\n Spotify ofrece a todos los usuarios informaci\u00f3n completa sobre c\u00f3mo se procesan los datos personales. Durante su investigaci\u00f3n, la DPA sueca encontr\u00f3 solo \u00e1reas menores de nuestro proceso que creen que necesitan mejoras. Sin embargo, no estamos de acuerdo con la decisi\u00f3n y planeamos presentar una apelaci\u00f3n.<\/p>\n<\/blockquote>\n M\u00e1s de cinco a\u00f1os despu\u00e9s de la entrada en vigor del RGPD, all\u00e1 por mayo de 2018, la aplicaci\u00f3n sigue siendo un mosaico de resultados muy variables debido a las diferencias de enfoque y proceso (y, a veces, tambi\u00e9n de recursos) entre las autoridades nacionales encargadas de defender los derechos de privacidad de los europeos.<\/p>\n La denuncia contra Spotify fue en realidad una de una serie de denuncias estrat\u00e9gicas de noyb contra las plataformas de m\u00fasica y video que buscaban probar la aplicaci\u00f3n de la ley.<\/p>\n noyb argument\u00f3 que las violaciones estructurales de los derechos de acceso a los datos del RGPD de los usuarios eran la norma disfuncional en las ocho plataformas que prob\u00f3, a saber: Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud y YouTube, muchas de las cuales descubri\u00f3 que hab\u00edan configurado sistemas automatizados. para responder a los SAR de los usuarios que no proporcionaron toda la informaci\u00f3n que los europeos tienen derecho legal a obtener.<\/p>\n M\u00e1s de cuatro a\u00f1os despu\u00e9s, no est\u00e1 claro si la instant\u00e1nea anterior de noyb sobre el incumplimiento sist\u00e9mico de los derechos de acceso a los datos de los usuarios ha cambiado sustancialmente o no.<\/p>\n En el caso de Spotify, la aplicaci\u00f3n de la ley en realidad, aunque con una lentitud dolorosa, parece haber movido la aguja.<\/p>\n El fundador y presidente de noyb, Max Schrems, confirm\u00f3 que la decisi\u00f3n de IMY contiene una orden a Spotify para cumplir con las solicitudes de acceso. Tambi\u00e9n sugiri\u00f3 que la plataforma ha mejorado su sistema durante la investigaci\u00f3n. \u201cEsperamos una respuesta completa ahora\u201d, dijo, y agreg\u00f3: \u201cAs\u00ed que necesitamos ver qu\u00e9 enviar\u00e1n y si es suficiente\u201d.<\/p>\n Cuando se le pregunt\u00f3 si Spotify est\u00e1 modificando su protocolo de respuesta a la solicitud de acceso a los datos del usuario a la luz de la sanci\u00f3n de IMY, una portavoz de Spotify nos dijo que la compa\u00f1\u00eda \u00abno tiene nada que confirmar en este momento\u00bb, pero agreg\u00f3: \u00abSiempre estamos considerando y haciendo mejoras en el proceso\u00bb. para mejorar la transparencia\u201d.<\/p>\n Schrems tambi\u00e9n nos dijo que noyb ha visto movimiento en tres de las otras quejas; incluido el cierre de un caso despu\u00e9s de que la plataforma en cuesti\u00f3n (Flimmit) arreglara sus procesos durante el procedimiento; un proyecto de decisi\u00f3n emitido por la DPA holandesa sobre Netflix; y DAZN, seg\u00fan informes, cerca de concluir en Austria (ante un tribunal).<\/p>\n M\u00e1s all\u00e1 de eso, la imagen se oscurece.<\/p>\n Seg\u00fan Schrems, la mitad de las ocho quejas noyb dirigidas con quejas sobre el acceso a los datos han resultado en silencio de radio por parte de las DPA relevantes hasta el momento. (El DPA irland\u00e9s ser\u00eda el l\u00edder de las quejas sobre Apple y YouTube, propiedad de Google; Luxemburgo lidera la supervisi\u00f3n de Amazon; mientras que SoundCloud tiene su sede en Berl\u00edn, por lo que probablemente estar\u00eda bajo la supervisi\u00f3n del comisionado de protecci\u00f3n de datos de la ciudad).<\/p>\n\n
\n
\n