La vicenda che ha visto l’autorità di controllo norvegese (Datatilsynet) sanzionare l’azienda americana fornitrice dell’app omonima di social networking per appuntamenti tra soggetti di analogo orientamento sessuale offre elementi di considerazione sia sotto il profilo della strategia per efficaci azioni di controllo della conformità sia per i contenuti giuridici del provvedimento. 

Strategia per efficaci azioni di controllo della conformità

Sotto il versante delle politiche di controllo della conformità va rilevata la positiva sinergia riscontrata nel caso norvegese tra: 

1. l’azienda tecnologica che ha effettuato le verifiche tecniche, fornendo le risultanze oggettive circa il tracciamento degli utenti e i flussi informativi tra Grindr e le altre terze parti a fini di behavioral marketing, altrimenti difficili da rilevare 
2. il Norwegian Consumer Council che ha approfondito i comportamenti del mercato adtech in un pregevole documento e ha presentato reclamo all’autorità 
3. il Datatilsynet che, sull’abbrivio delle precedenti iniziative, ha svolto una rigorosa istruttoria culminata nel provvedimento sanzionatorio contro Grindr. 

Sintesi giuridica

I punti di maggior rilievo del provvedimento emesso dall’autorità norvegese (Datatilyinet) contro la società Grindr sono: 

1. l’analisi dettagliata dei requisiti del consenso (art. 6) e di quello per la deroga dell’art. 9 GDPR 
2. la non onerosità del rifiuto come per la revoca del consenso
3. l’esclusione dei dati personali come bene commerciale 
4. l’interpretazione della nozione di dati sull’orientamento sessuale 
5. le conseguenze giuridiche dell’errata prassi di chiedere all’utente l’accettazione della privacy policy 
6. la conferma della competenza dell’autorità di controllo dello Stato membro UE (no one-stop-shop) sui trattamenti operati da imprese estere prive di uno stabilimento UE ma catturate dall’ambito territoriale dell’art. 3.2 GDPR.