Multa histórica a Grindr: casi 10 millones de euros por compartir datos de sus usuarios, etiquetados según su orientación sexual, a 5 plataformas publicitarias

La agencia de protección de datos de Noruega ha anunciado este lunes una sanción histórica a Grindr: 9,6 millones de euros. La popular aplicación de citas para el colectivo LGTBQ debe asumir así hasta el 10% de sus ingresos después de que el organismo de control noruego haya descubierto que comparte datos sensibles de sus usuarios con varios anunciantes.

Según la agencia noruega, Grindr compartía datos de sus usuarios como el perfil para anunciantes de los mismos, su ubicación precisa o qué tipo de dispositivo emplean. La plataforma ofrecía a los anunciantes estos datos asociados a perfiles etiquetados como homosexuales o LGTBQ sin haber obtenido primero el consentimiento explícito de los usuarios.

Las agencias europeas de protección de datos ya están investigando cómo WhatsApp comparte información de sus usuarios con Facebook

De la histórica sanción, sobre la que se tendrá que pronunciar ahora la compañía antes de mediados de febrero, se hacen eco ya medios internacionales como The New York Times. Entre los anunciantes que disfrutaron de los datos provistos de Grindr se encuentran al menos cinco firmas, como MoPub, la sociedad de Twitter dedicada a la publicidad en línea. MoPub podría haber compartido datos de usuarios de Grindr con más de 100 socios, según la agencia noruega.

Esta brecha ilegal de datos no solo vulnera el Reglamento General de Protección de Datos (RGPD) europeo: también poneen peligro a los usuarios de Grindr que sean ciudadanos de países como Qatar o Pakistán, donde la homosexualidad está perseguida incluso penalmente. Así lo ha advertido Tobias Judin, responsable del departamento de Internacional de la agencia noruega de protección de datos.

"Si algún usuario de Grindr descubre que sus movimientos pueden ser rastreados, pueden ser heridos", ha lamentado Judin. "Estamos intentando hacer comprender a estas apps y servicios que usar los datos de sus usuarios de esta manera, sin informarlos ni obtener su consentimiento es inaceptable".

El GDPR decepciona 2 años después de su implantación y la UE se prepara para reforzar sus controles a las grandes tecnológicas tras la crisis del coronavirus

La resolución del organismo de control noruego supone una multa histórica no solo en cantidad —100 millones de coronas noruegas o más de 9,6 millones de euros, el 10% de los ingresos de la compañía—, sino que da respuesta a una investigación que arrancó hace exactamente un año cuando grupos de activistas detectaron que Grindr obtenía información demasiado precisa sobre la ubicación de sus usuarios.

Ya en enero, The New York Times publicó que la versión Android de Grindr obtenía información muy precisa para geolocalizar a sus usuarios, lo que obligó a la compañía a actualizar el procedimiento por el que solicitaba el consentimiento en abril. Un portavoz de la compañía ha defendido que todos los datos de ciudadanos europeos los han obtenido con un "consentimiento legal válido" y que el tratamiento de los datos pone la privacidad "en un primer plano".

Ahora, la agencia noruega está investigando cómo han podido vulnerar el RGPD las compañías publicitarias que han tenido acceso a datos de usuarios de Grindr. La firma, por su parte, mantiene que continúan mejorando sus prácticas en el ámbito de la privacidad para adaptarse a las nuevas regulaciones legales. Ahora esperan mantener un "diálogo constructivo" con la agencia, a la que pueden apelar esta resolución hasta el próximo 15 de febrero.

Los responsables de privacidad de Google, Twitter y Amazon explican cómo ha cambiado su negocio tras la ley de protección de datos y ya plantean una norma análoga para EEUU

La multa de 10 millones de euros es una de las mayores impuestas por la agencia de protección de datos noruega desde que está el RGPD en vigor. Las sanciones que imponen estos organismos de control europeos desde que el Reglamento está en vigor —desde mayo de 2018— no paran de crecer: en 2020 los organismos europeos impusieron 159 millones de euros en multas, según datos recopilados por DLA Piper. Supuso el 40% de todo lo que se había sancionado hasta ahora.

Sin contar esta resolución, en enero de 2021 las agencias europeas ya han propuesto más de 16,5 millones de euros en sanciones. Sin haber terminado el mes, enero de este año ya es uno de los períodos en los que más sanciones se han impuesto por cantidad: el récord está en octubre del año pasado, cuando los organismos de toda la Unión Europea propusieron más de 78 millones de euros en multas.

En España, la análoga noruega, la Agencia Española de Protección de Datos (AEPD) ha propuesto en menos de un mes dos multas a CaixaBank y BBVA de 6 y 5 millones de euros, un total de 11 millones. Solo estas dos sanciones implican que la AEPD ha propuesto en enero el 70% de todo lo que había sancionado desde mayo del 2018, cuando el RGPD entró en vigor, lo que revela un cambio de tendencia e incluso de estrategia.