Scandalo GDPR: Vinted sotto inchiesta per gravi violazioni sui dati degli utenti
Problemi di trasparenza e utilizzo improprio dei dati: Vinted nel mirino delle autorità europee per la protezione dei dati
Vinted è stata multata dal garante lituano per violazioni al GDPR, inclusi ostacoli alla cancellazione dati, uso di "shadow ban" non trasparente, e carenti misure di protezione dati. La multa è di 2,3 milioni di euro. L'azienda intende ricorrere contro la sanzione.
La popolare piattaforma di compravendita di abbigliamento usato Vinted è stata sanzionata per 2,3 milioni di euro dal Garante per la protezione dei dati personali della Lituania (VDAI) per violazioni al Gdpr. L'indagine è stata avviata in seguito alle denunce presentate dall'Autorità francese (CNIL) e da quella polacca (UODO) nel 2021 e 2022. Le autorità hanno evidenziato difficoltà degli utenti nell'esercizio del diritto alla cancellazione dei dati, che Vinted avrebbe omesso di rispettare senza fornire adeguate motivazioni. Inoltre, l'azienda non ha chiarito perché in alcuni casi il trattamento dei dati proseguiva anche dopo la richiesta di cancellazione.
Sistema di shadow ban e violazione dei principi di trasparenza
Un altro elemento alla base della sanzione è l'utilizzo illecito di un sistema di “shadow ban”, una pratica che limita la visibilità dei contenuti degli utenti senza il loro consenso. Tale strategia di moderazione occulta comportava che i post o gli elenchi di utenti ritenuti non conformi alle regole della community venissero nascosti al pubblico, compromettendo le interazioni con potenziali acquirenti. Gli utenti coinvolti non venivano informati di questo trattamento dei dati, in violazione dei principi di legalità, correttezza e trasparenza imposti dall'art. 5, par.1, lett. a) del GDPR. Ciò ha limitato la capacità degli utenti di esercitare i propri diritti.
Carenti misure tecniche e organizzative per la protezione dei dati
Il Garante lituano ha anche riscontrato che la piattaforma non adottava misure tecniche e organizzative sufficienti per garantire il rispetto del principio di accountability nel diritto di accesso ai dati. In particolare, Vinted si è rifiutata di rispondere a una richiesta di accesso perché l’utente non aveva identificato uno specifico motivo per la richiesta. Questo ha portato alla violazione dell’art. 5, par. 2, e dell’art. 12, commi 1 e 4 del Regolamento europeo sulla protezione dei dati, relativi alla mancata fornitura di informazioni e condizioni trasparenti per l’esercizio dei diritti degli interessati.
Consequenze e reazione di Vinted
Di fronte a queste violazioni, l'autorità ha comminato quella che rappresenta la più alta multa mai irrogata in Lituania dall'introduzione del Gdpr, basandosi sulle Linee Guida 04/2022 dell’European Data Protection Board per armonizzare le sanzioni amministrative all’interno dell’UE. Vinted ha annunciato l’intenzione di ricorrere contro la sanzione, affermando che i casi citati dall'autorità lituana non sono collegati alla sicurezza degli account né a un utilizzo improprio dei dati personali. In Italia, Vinted era già stata sanzionata nel 2022 dall’Antitrust con una multa di 1,5 milioni di euro per informazioni ingannevoli agli utenti.
Follow us on Instagram for more pills like this07/08/2024 15:17
Marco Verro