Como decía Tim Cook, CEO de Apple, en una declaración de 2018, «Nuestra información personal, desde lo cotidiano hasta lo más íntimo, se ha convertido en un arma que se utiliza contra nosotros mismos con precisión militar. (…) Cada día, se mueven miles de millones de dólares y se toman innumerables decisiones sobre la base de nuestros gustos, amigos y familiares, relaciones y conversaciones, deseos y miedos, esperanzas y sueños (…) Estos datos, inofensivos por separado, son cuidadosamente combinados, sintetizados, analizados, comercializados y vendidos. Llevado al extremo, este proceso crea un perfil digital permanente de cada uno de nosotros y permite a las empresas conocernos mejor de lo que nos conocemos a nosotros mismos.» (1)
Ya hace años que se habla de la economía de datos y de los nuevos modelos de negocio denominados «privacy-first«, es decir, aquellos que anteponen la privacidad y que no requieren de la extracción de datos, ya que no monetizan los datos personales. Ya sabemos que no es fácil para muchas empresas pero no tener muy presente la privacidad tiene consecuencias.
La DDPA (Dutch Data Protection Authority), Agencia neerlandesa de Protección de Datos, ha propuesto una sanción de 4’75M€ a Netflix debido a la vulneración de ciertos principios del RGPD.
A raíz de una investigación iniciada en 2019 por el Centro Europeo para Derechos Digitales (NOYB, por sus siglas en inglés de None Of Your Business), la DDPA ha concluido que Netflix no ofrecía a los clientes información suficiente sobre el tratamiento de sus datos personales entre 2018 y 2020 y la información ofrecida no era transparente.
El Centro Europeo para Derechos Digitales, que es una organización sin ánimo de lucro fundada en Viena en 2017, fue el que identificó las vulneraciones del RGPD de Netflix—en especial, el art. 15—y advirtió a la Autoridad de Protección de Datos austríaca, la cual trasladó el expediente a la neerlandesa, dado que Netflix tiene su sede europea en Países Bajos.
Según la Agencia neerlandesa, la compañía de streaming no era lo suficientemente clara en los siguientes puntos:
- Base de legitimación para recoger y tratar los datos personales ( 6 RGPD).
- Comunicación de datos a terceros.
- Período de conservación de datos.
- Medidas de seguridad en transferencias internacionales de datos.
Por otro lado, cuando los usuarios se ponían en contacto con Netflix para ejercer sus derechos en el ámbito de la protección de datos, la compañía no ofrecía respuestas claras al respecto.
Si bien la decisión de la DDPA ha sido celebrada por NOYB, Stefano Rosetti, abogado del Centro ha criticado el largo periodo de tiempo—cinco años—que ha transcurrido para adoptar una postura teniendo en cuenta que «era un caso muy claro».
Netflix actualizó su política de privacidad en 2020 y ha ampliado la información ofrecida a los usuarios, sin embargo, se ha opuesto a la multa.
NOYB ha iniciado reclamaciones similares contra Amazon, Apple Music, Spotify y Youtube. En el caso de Spotify, la IMY (Autoridad de Protección de Datos sueca) impuso una multa de 5M€ por vulnerar el art. 15 RGPD.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la Resolución, haga clic aquí.
(1) Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.
