Autorità svedese per la protezione della privacy (IMY) emette una sanzione amministrativa nei confronti di Spotify per carenze in materia di trasparenza

Origine del caso

Il regolamento generale sulla protezione dei dati, GDPR, è entrato in vigore nel 2018 e significa, tra le altre cose, che i diritti delle persone sono rafforzati. Uno di questi diritti è il diritto di accesso, il che significa il diritto per le persone di scoprire quali dati personali gestisce un’azienda sulla persona in questione e di ricevere informazioni su come questi dati vengono utilizzati.

A causa dei reclami che l’Autorità svedese per la protezione della privacy (IMY) ha ricevuto contro Spotify AB in merito al diritto di accesso, IMY ha verificato il modo in cui Spotify gestisce il diritto delle persone di accedere ai propri dati personali.

IMY rileva che Spotify fornisce alle persone i dati personali che l’azienda elabora quando le persone lo richiedono. Tuttavia, Spotify fornirà anche informazioni alla persona che richiede l’accesso su come Spotify utilizza questi dati e queste informazioni devono essere di facile comprensione. Inoltre, i dati personali difficili da comprendere, come quelli di natura tecnica, potrebbero dover essere spiegati non solo in inglese ma anche nella lingua madre dell’individuo. Da queste parti, IMY ha riscontrato alcune carenze nell’audit di Spotify.

Le carenze riscontrate sono ritenute complessivamente di bassa gravità. Alla luce di ciò e, tra l’altro, del numero di utenti registrati e del fatturato di Spotify, IMY emette un’ammenda amministrativa di quasi 5 milioni di EUR (58 milioni di SEK) nei confronti di Spotify per non aver fornito informazioni sufficientemente chiare alle persone.

IMY ha riscontrato carenze relative alle informazioni ex art. 15.1 ah e 15.2 del GDPR che dovrebbero essere fornite al soggetto richiedente e alla descrizione dei dati nei logfile tecnici forniti da Spotify. IMY ha emesso una sanzione amministrativa di 58 milioni di corone svedesi contro Spotify per non aver fornito informazioni sufficientemente chiare alle persone in merito. La decisione in questa parte include violazioni degli articoli 12.1, 15.1 ad, g e 15.2 del GDPR.

IMY ha inoltre riscontrato che Spotify non ha gestito correttamente le richieste di accesso relative a due dei tre reclami esaminati. La decisione in questa parte include la violazione degli articoli 12.1, 12.3, 15.3 e 15.1 ah e 15.2 del GDPR. In relazione a tali violazioni IMY emette un richiamo e un ordine di ottemperare alla richiesta di accesso di un denunciante.