Violazione del GDPR in Svezia: sanzione da 5 milioni di euro a Spotify

Spotify si è vista infliggere da parte della Swedish Authority for Privacy Protection (IMY) una sanzione di circa 5 milioni di euro - a seguito della segnalazione di noyb, organizzazione guidata dall'attivista Max Schrems - per non aver rispettato il diritto di accesso ai dati da parte degli utenti, così come prevede il GDPR.

La denuncia risale al 18 gennaio 2019 ed era rivolta contro alcuni servizi di streaming, tra i quali Spotify. All’azienda svedese era stato imputato di non consentire l’esercizio del diritto di accesso ai dati, previsto dall’art. 15 del Regolamento UE sulla protezione dei dati. 

Spotify non aveva soddisfatto in pieno questo requisito: non aveva fornito informazioni sulla fonte dei dati sui destinatari a cui erano stati comunicati e sui trasferimenti internazionali. Per questa ragione l’autorità svedese aveva sottolineato la necessità che la software house chiarisse meglio come e con quale fine gestisce i dati. Una risposta dettagliata sarebbe dovuta essere non solo in inglese, ma anche nella lingua del richiedente.

Criticità non gravi

Da parte di Spotify erano in realtà state adottate diverse misure per semplificare il diritto di accesso ai dati e quindi non erano state ritenute "gravi" le criticità riscontrate. Per questo la sanzione è stata minima rispetto al fatturato dell'azienda svedese, che ha però comunicato di voler presentare appello contro la decisione.

Denuce di questo genere sono state presentate da noyb contro Amazon, Apple Music, DAZN, Flimmit, Netflix, SoundCloud e YouTube. Per quattro di esse (Amazon, Apple Music, YouTube e SoundCloud) non c’è stata ancora nessuna pronuncia dea parte degli altri garanti europei.