La agencia de protección de datos de Noruega anunció este lunes una multa histórica a Grindr: 11.6 millones de dólares. La popular aplicación de citas para el colectivo LGTBQ debe asumir así hasta el 10% de sus ingresos después de que el organismo de control noruego descubriera que comparte datos sensibles de sus usuarios con varios anunciantes.
Según la agencia noruega, Grindr compartía datos de sus usuarios como el perfil para anunciantes de los mismos, su ubicación precisa o qué tipo de dispositivo emplean.
La plataforma ofrecía a los anunciantes estos datos asociados a perfiles etiquetados como homosexuales o LGTBQ sin haber obtenido primero el consentimiento explícito de los usuarios.
De la histórica sanción, sobre la que se tendrá que pronunciar ahora la compañía antes de mediados de febrero, se hacen eco ya medios internacionales como The New York Times. Entre los anunciantes que disfrutaron de los datos provistos de Grindr se encuentran al menos cinco firmas, como MoPub, la sociedad de Twitter dedicada a la publicidad en línea. MoPub podría haber compartido datos de usuarios de Grindr con más de 100 socios, según la agencia noruega.
Esta brecha ilegal de datos no solo vulnera el Reglamento General de Protección de Datos (RGPD) europeo; también pone en peligro a los usuarios de Grindr que sean ciudadanos de países como Qatar o Pakistán, donde la homosexualidad está perseguida incluso penalmente. Así lo advirtió Tobias Judin, responsable del departamento de Internacional de la agencia noruega de protección de datos.
«Si algún usuario de Grindr descubre que sus movimientos pueden ser rastreados, pueden ser heridos», lamentó Judin. «Estamos intentando hacer comprender a estas apps y servicios que usar los datos de sus usuarios de esta manera, sin informarlos ni obtener su consentimiento es inaceptable».
La resolución del organismo de control noruego supone una multa histórica no solo en cantidad —100 millones de coronas noruegas o más de 11.6 millones de dólares, el 10% de los ingresos de la compañía—, sino que da respuesta a una investigación que arrancó hace exactamente un año cuando grupos de activistas detectaron que Grindr obtenía información demasiado precisa sobre la ubicación de sus usuarios.
Ya en enero, The New York Times publicó que la versión Android de Grindr obtenía información muy precisa para geolocalizar a sus usuarios; esto obligó a la compañía a actualizar el procedimiento por el que solicitaba el consentimiento en abril.
Un portavoz de la compañía ha defendido que todos los datos de ciudadanos europeos los han obtenido con un «consentimiento legal válido» y que el tratamiento de los datos pone la privacidad «en un primer plano».
Ahora, la agencia noruega está investigando cómo han podido vulnerar el RGPD las compañías publicitarias que han tenido acceso a datos de usuarios de Grindr. La firma, por su parte, mantiene que continúan mejorando sus prácticas en el ámbito de la privacidad para adaptarse a las nuevas regulaciones legales. Ahora esperan mantener un «diálogo constructivo» con la agencia, a la que pueden apelar esta resolución hasta el próximo 15 de febrero.
La multa de más de 11 millones de dólares es una de las mayores impuestas por la agencia de protección de datos noruega desde que está el RGPD en vigor.
Las sanciones que imponen estos organismos de control europeos desde que el Reglamento está en vigor —desde mayo de 2018— no paran de crecer; en 2020 los organismos europeos impusieron más de 180 millones de dólares en multas, según datos recopilados por DLA Piper. Supuso el 40% de todo lo que se había sancionado hasta ahora.
Sin contar esta resolución, en enero de 2021 las agencias europeas ya han propuesto más de 16,5 millones de euros en sanciones. Enero de este año ya es uno de los períodos en los que más sanciones se han impuesto por cantidad; el récord está en octubre del año pasado, cuando los organismos de toda la Unión Europea propusieron más de 94 millones de dólares en multas.
En España, la análoga noruega, la Agencia Española de Protección de Datos (AEPD) ha propuesto en menos de un mes dos multas a CaixaBank y BBVA de 7 y 6 millones de dólares, un total de 13 millones. Solo estas dos sanciones implican que la AEPD ha propuesto en enero el 70% de todo lo que había sancionado desde mayo del 2018, cuando el RGPD entró en vigor, lo que revela un cambio de tendencia e incluso de estrategia.
AHORA LEE: Si tienes instaladas estas 4 extensiones de Chrome, elimínalas inmediatamente: instalan spyware en tu PC para robarte información privada
TAMBIÉN LEE: Un videojuego de SpaceX podría ser una realidad después de que Elon Musk dijera que ‘probablemente no demandará’ a un desarrollador que usa el nombre y logos de la compañía para uno