Spotify fue multado con $5.4 millones por el regulador de privacidad sueco

image

La autoridad sueca de protección de la privacidad ha impuesto una multa de 58 millones de coronas suecas (5 millones de euros / 5.4 millones de dólares) a Spotify por lo que afirma es el incumplimiento de las regulaciones de la UE que exigen que los servicios digitales otorguen a los usuarios acceso a los datos que tienen sobre ellos. Se informa que Spotify planea apelar la decisión.

El caso se deriva de una denuncia presentada en enero de 2019 por un individuo no identificado y representado por noyb («none of your business»), una organización sin ánimo de lucro que lucha por los derechos de privacidad.

Esa denuncia, presentada inicialmente en Austria, alegaba que Spotify había violado las normas del Reglamento General de Protección de Datos (GDPR) de la UE. La Sección 15 del GDPR requiere que las empresas de servicios digitales proporcionen información detallada a los usuarios sobre qué datos se almacenan, con quién se comparten y por qué razones.

«El derecho de acceso no solo otorga el derecho de obtener una copia de los propios datos de los usuarios, sino también información sobre su origen, destinatarios de los datos personales o detalles sobre las transferencias internacionales de datos», dijo noyb en un comunicado.

«En el caso de Spotify, esta información no se proporcionó completamente. Además, la compañía solo dio acceso a ‘parte’ de los datos, sin informar al titular de los datos sobre cómo obtener el resto».

Debido a que Spotify es una empresa con sede en Suecia, las normas de la UE requerían que la denuncia se transfiriera a la autoridad sueca de protección de datos (DPA), conocida como IMY, donde la denuncia quedó sin decisión durante varios años. Eso es algo que noyb afirma que es una violación de las normas del GDPR que requieren que una DPA tome una decisión sobre una denuncia en un plazo de un mes.

Según noyb, IMY inició una investigación paralela sobre Spotify, a la que el denunciante original no fue parte. Cuando noyb acudió a los tribunales en Suecia para obligar a IMY a tomar una decisión, la autoridad argumentó que el denunciante original no era parte de la investigación y no tenía derecho a impugnar a IMY en los tribunales sobre el asunto, según afirmó noyb.

En noviembre del año pasado, un tribunal administrativo sueco se puso del lado del denunciante y declaró que tenía derecho a solicitar que IMY emitiera una decisión sobre el asunto. El martes 13 de junio, IMY emitió esa decisión.

«La Autoridad Sueca de Protección de la Privacidad (IMY) ha investigado los procedimientos generales de Spotify para manejar las solicitudes de acceso y ha encontrado algunas deficiencias relacionadas con la información que debería proporcionarse a la persona que realiza la solicitud… y en relación con la descripción de los datos en los archivos de registro técnico proporcionados por Spotify», dijo IMY en un comunicado enviado a TechCrunch.

«IMY ha impuesto una multa administrativa de 58 millones de coronas suecas a Spotify por no proporcionar información suficientemente clara a las personas en este sentido», continuó el comunicado.

«Nos complace ver que la autoridad sueca finalmente tomó medidas. Es un derecho básico de cada usuario obtener información completa sobre los datos que se procesan sobre ellos», dijo Stefano Rossetti, abogado de privacidad de noyb, en un comunicado.

«Sin embargo, el caso tardó más de cuatro años y tuvimos que litigar con IMY para obtener una decisión. La autoridad sueca definitivamente debe acelerar sus procedimientos».

En un comunicado emitido a TechCrunch, un portavoz de Spotify afirmó que el servicio de transmisión de música «ofrece a todos los usuarios información completa sobre cómo se procesan los datos personales».

Señaló que las autoridades suecas «solo encontraron áreas menores en nuestros procesos que creen que necesitan mejoras», y agregó que la compañía no está de acuerdo con la decisión de IMY y planea presentar una apelación.

Una revisión de las prácticas de privacidad de Spotify realizada en 2022 por el Programa de Privacidad de Sentido Común le otorgó a Spotify una puntuación de 57 sobre 100, una puntuación que lleva la etiqueta de «advertencia».

Esta no es la primera controversia de Spotify relacionada con la privacidad de los usuarios. En 2015, el cofundador y CEO Daniel Ek emitió una disculpa después de que el servicio intentara cambiar sus condiciones de privacidad y solicitara el permiso de los usuarios para acceder a sus fotos, contactos y otra información personal.