La autoridad noruega de protección de datos (Datatilsynet) ha presentado una propuesta de sanción a Grindr por importe de 100 millones de coronas noruegas (el equivalente a unos 9,6 millones de euros) por incumplimiento del RGPD.
De acuerdo con la notificación de la autoridad, Grindr, una popular aplicación de citas, ha compartido datos de los usuarios con terceras partes con fines publicitarios sin que existiera una base legitimadora para ello.
Entre los datos compartidos con terceros se encuentran la localización GPS, los datos del perfil del usuario y el hecho en sí mismo de que el usuario utiliza Grindr (lo cual compromete, además, información relativa a la orientación sexual del usuario, categoría especial de datos merecedora de particular protección).
La autoridad noruega entiende y exige, como norma general, que el consentimiento es requerido cuando se van a llevar a cabo prácticas de perfilado y seguimiento de los usuarios con fines publicitarios, así como cuando una aplicación comercial desea compartir datos que afectan a la orientación sexual de sus usuarios. En este sentido, el organismo sanciona el hecho de que los usuarios de Grindr se vieran obligados a aceptar la política de privacidad de Grindr en su totalidad, sin que se recabara su consentimiento específico a los efectos de que Grindr pudiera compartir sus datos con terceras partes y sin que, además, se informara al usuario de forma adecuada de que sus datos iban a ser cedidos. Ello implica que el consentimiento de los usuarios no fue válidamente obtenido.
A la hora de calcular el importe de la sanción propuesta, el Datatilsynet ha tomado en consideración que la facturación de la compañía ascendió a, al menos, 100 millones de dólares estadounidenses en el año 2019, por lo que considera efectiva, proporcionada y disuasoria una sanción de alrededor 10 millones de euros.
No obstante, Grindr dispone de plazo hasta el 15 de febrero de 2021 para presentar a la autoridad sus comentarios antes de que ésta emita su decisión final.