Las autoridades de protección de la privacidad de Suecia sancionaron a Spotify con 58 millones de coronas suecas (5 millones de euros o 5,4 millones de dólares) por violar las restricciones de acceso a datos de la UE.
Según los informes, Spotify es atractivo.
La acción se deriva de una queja de enero de 2019 presentada por una persona no identificada y representada por noyb, o "no es asunto tuyo", una organización sin fines de lucro dedicada a los derechos de privacidad.
En ese caso austriaco inicial, Spotify fue acusado de violar el RGPD. La sección 15 del RGPD exige que los proveedores de servicios digitales informen a los usuarios qué datos se guardan, quién tiene acceso a ellos y por qué.
Noyb afirmó que "el derecho de acceso no solo otorga el derecho a obtener una copia de los propios datos de un usuario, sino también información sobre su fuente, destinatarios de datos personales o detalles sobre transferencias internacionales de datos".
Spotify ocultó esta información. La compañía también solo proporcionó "algunos" datos sin decirle al interesado cómo obtener el resto.
La legislación de la UE requería que la sede sueca de Spotify remitiera la queja a IMY, la DPA sueca. La queja permaneció allí durante años. Noyb dice que viola el mandato de GDPR de que los DPA reaccionan a las quejas dentro de un mes.
Noyb alega que IMY investigó a Spotify sin el denunciante inicial. Cuando noyb acudió a los tribunales de Suecia para obligar a IMY a tomar una decisión, la autoridad sostuvo que la denuncia original no participaba en la investigación y no tenía legitimación para impugnar a IMY.
En noviembre de 2018, un tribunal administrativo sueco concluyó que la denuncia tenía derecho a solicitar una resolución del IMY. El martes 13 de junio, IMY tomó la decisión.
La Autoridad Sueca para la Protección de la Privacidad (IMY) le dijo a TechCrunch: "La Autoridad Sueca para la Protección de la Privacidad (IMY) investigó los procedimientos generales de Spotify para manejar las solicitudes de acceso y encontró algunas deficiencias relacionadas con la información que se debe proporcionar a la persona que realiza la solicitud. ... y en relación con la descripción de los datos en los archivos de registro técnicos proporcionados por Spotify".
El comunicado decía: "IMY ha emitido una multa administrativa contra Spotify de SEK 58 millones por no proporcionar a las personas suficiente información clara al respecto".
El organismo declaró: "IMY descubrió que Spotify había fallado en el manejo de las solicitudes de acceso relacionadas con dos de las quejas examinadas". "IMY investigó tres quejas".
Los usuarios tienen derecho a la plena divulgación de sus datos.
ROSSETTI, NOYB
IMY también señaló que el alcance multinacional del examen requería expertos en seguridad de la información de fuera de Suecia, lo que lo ralentizó.
IMY dice que "la cooperación de la UE, que vino con GDPR, es algo relativamente nuevo para nosotros" y "hay trabajo en curso dentro de la UE para optimizar la cooperación, algo que vemos que es necesario". IMY recomendado.
Estamos contentos de que Suecia haya actuado. Stefano Rossetti, un abogado de privacidad noyb, dijo: "Es un derecho básico de cada usuario obtener información completa sobre los datos que se procesan sobre ellos".
Litigamos al IMY durante más de cuatro años para obtener una decisión. Las autoridades suecas deben acelerar.
Noyb cree que otros reguladores de la UE se están moviendo mucho más lento. En 2019, el grupo presentó ocho denuncias contra corporaciones digitales, incluidas Apple Music, Netflix, SoundCloud, YouTube y Spotify en Austria.
El grupo le dijo a Global Village Space que cuatro de las ocho autoridades de protección de datos, incluida Spotify, no han reaccionado a las quejas.
Spotify le dijo a TechCrunch que "ofrece a todos los usuarios información completa sobre cómo se procesan los datos personales".
Dijo que las autoridades suecas "encontraron solo áreas menores de nuestros procesos que creen que necesitan mejoras" y que la corporación apelará la decisión de IMY.
En 2022, el Programa de privacidad de sentido común le dio a Spotify una etiqueta de advertencia por sus violaciones de privacidad.
El acceso no autorizado, la venta de datos y las regulaciones de privacidad de datos de los estudiantes fueron las principales prioridades.
Spotify ha enfrentado problemas de privacidad antes. Daniel Ek se disculpó en 2015 cuando la DSP intentó cambiar sus estándares de privacidad y solicitó a los usuarios permiso para ver sus imágenes, contactos y otros datos personales. Negocio de la música mundial