Scandalo GDPR: Vinted sotto inchiesta per gravi violazioni sui dati degli utenti

La popolare piattaforma di compravendita di abbigliamento usato Vinted è stata sanzionata per 2,3 milioni di euro dal Garante per la protezione dei dati personali della Lituania (VDAI) per violazioni al Gdpr. L'indagine è stata avviata in seguito alle denunce presentate dall'Autorità francese (CNIL) e da quella polacca (UODO) nel 2021 e 2022. Le autorità hanno evidenziato difficoltà degli utenti nell'esercizio del diritto alla cancellazione dei dati, che Vinted avrebbe omesso di rispettare senza fornire adeguate motivazioni. Inoltre, l'azienda non ha chiarito perché in alcuni casi il trattamento dei dati proseguiva anche dopo la richiesta di cancellazione.

Sistema di shadow ban e violazione dei principi di trasparenza

Un altro elemento alla base della sanzione è l'utilizzo illecito di un sistema di “shadow ban”, una pratica che limita la visibilità dei contenuti degli utenti senza il loro consenso. Tale strategia di moderazione occulta comportava che i post o gli elenchi di utenti ritenuti non conformi alle regole della community venissero nascosti al pubblico, compromettendo le interazioni con potenziali acquirenti. Gli utenti coinvolti non venivano informati di questo trattamento dei dati, in violazione dei principi di legalità, correttezza e trasparenza imposti dall'art. 5, par.1, lett. a) del GDPR. Ciò ha limitato la capacità degli utenti di esercitare i propri diritti.

Carenti misure tecniche e organizzative per la protezione dei dati

Il Garante lituano ha anche riscontrato che la piattaforma non adottava misure tecniche e organizzative sufficienti per garantire il rispetto del principio di accountability nel diritto di accesso ai dati. In particolare, Vinted si è rifiutata di rispondere a una richiesta di accesso perché l’utente non aveva identificato uno specifico motivo per la richiesta. Questo ha portato alla violazione dell’art. 5, par. 2, e dell’art. 12, commi 1 e 4 del Regolamento europeo sulla protezione dei dati, relativi alla mancata fornitura di informazioni e condizioni trasparenti per l’esercizio dei diritti degli interessati.

Consequenze e reazione di Vinted

Di fronte a queste violazioni, l'autorità ha comminato quella che rappresenta la più alta multa mai irrogata in Lituania dall'introduzione del Gdpr, basandosi sulle Linee Guida 04/2022 dell’European Data Protection Board per armonizzare le sanzioni amministrative all’interno dell’UE. Vinted ha annunciato l’intenzione di ricorrere contro la sanzione, affermando che i casi citati dall'autorità lituana non sono collegati alla sicurezza degli account né a un utilizzo improprio dei dati personali. In Italia, Vinted era già stata sanzionata nel 2022 dall’Antitrust con una multa di 1,5 milioni di euro per informazioni ingannevoli agli utenti.