I cinema e le sale sono chiusi ma lo spettacolo deve continuare, come si dice. E lo spettacolo va avanti. C'è la televisione, naturalmente, ma anche servizi di streaming come Netflix o Amazon
I servizi di streaming sono divertenti e veloci... e generano un sacco di dati su quali film o canzoni si consumano quando e dove. Tuttavia, spesso spiegano agli utenti in modo approssimativo cosa succede ai loro dati, indipendentemente dal fatto che siano finanziati dalla pubblicità o da abbonamenti a pagamento
La Camera del lavoro austriaca (Kammer für Arbeiter und Angestellte, shortform Arbeiterkammer o AK) e noyb hanno esaminato le pratiche di informazione di otto servizi di streaming contro le disposizioni del regolamento generale sulla protezione dei dati (GDPR): Amazon Prime (musica e video), Apple Music (musica), DAZN (video), Flimmit (video), Netflix (video), SoundCloud (musica), Spotify (musica) e YouTube (video).
Il GDPR richiede ai fornitori di fornire informazioni sull'uso dei dati personali e sui diritti di protezione dei dati degli utenti "in forma precisa, trasparente, comprensibile, facilmente accessibile e in un linguaggio semplice".
Il test mostra: Ciò che accade ai dati dei clienti rimane spesso al buio. AK e noyb hanno valutato undici requisiti del GDPR. I requisiti e ciò che ci aspettavamo sono elencati di seguito. Tutti gli elementi informativi sono generalmente di uguale importanza.
Nome e dati di contatto del controllore
Il nome e i dati di contatto del responsabile del trattamento (cioè la società che tratta i dati personali), idealmente comprendono anche diversi metodi di comunicazione, come il numero di telefono, l'e-mail, l'indirizzo postale, ecc. Alla luce del principio di equità del GDPR, ma anche in contrasto con l'articolo 5, paragrafo 1, lettera c), della direttiva sul commercio elettronico (2000/31/CE), ci si aspettava di ricevere i dati di contatto elettronici, in quanto i servizi oggetto dell'indagine sono di natura digitale. Solo l'indicazione di un indirizzo postale sarebbe insufficiente, in quanto ingiusta nel contesto di un servizio di streaming. Riteniamo inoltre che un semplice modulo di contatto online sia insufficiente. Per prima cosa, un modulo è un metodo di contatto e non un dettaglio di contatto. Per un altro, impedisce artificialmente all'utente di contattare il controllore con un metodo a sua scelta.
Contatti del responsabile della protezione dei dati
I dati di contatto del responsabile della protezione dei dati (RPD), se del caso (non tutti i responsabili del trattamento sono tenuti a nominare un RPD). L'indicazione dei dati di contatto del responsabile della protezione dei dati dovrebbe consentire agli interessati e alle autorità di controllo di raggiungere facilmente il responsabile della protezione dei dati, ad esempio tramite un indirizzo postale, un numero di telefono dedicato e/o un indirizzo e-mail dedicato. Alla luce del principio di equità del GDPR, ci aspettavamo i dati di contatto elettronici, poiché i servizi oggetto dell'indagine sono di natura digitale. Solo l'indicazione di un indirizzo postale sarebbe insufficiente, come ingiusto nel contesto di un servizio di streaming. Riteniamo inoltre che un semplice modulo di contatto online sia insufficiente. Per prima cosa, un modulo è un metodo di contatto e non un dettaglio di contatto. Per un altro, impedisce artificialmente all'utente di contattare il controllore con un metodo a sua scelta.
Finalità e base legale del trattamento, collegando ogni finalità con la rispettiva base legale e le categorie di dati personali trattati e indicando quale sia l'interesse legittimo su cui si basa il trattamento
Le finalità per le quali vengono trattati i dati personali, nonché la relativa base giuridica ai sensi dell'articolo 6 GDPR e, in caso di trattamento di categorie speciali di dati, un'ulteriore base giuridica ai sensi dell'articolo 9 GDPR. Quando il responsabile del trattamento si basa su interessi legittimi come base giuridica per il trattamento, deve anche informare l'interessato degli interessi ed essere in grado di dimostrare che il trattamento è necessario e proporzionato. Abbiamo anche valutato se il responsabile del trattamento ha collegato ciascuna finalità a una base giuridica e a specifiche categorie di dati personali. Questo requisito deriva dagli obblighi di trasparenza del GDPR ed è l'unico modo in cui l'utente può effettivamente controllare le attività di trattamento del responsabile del trattamento
Destinatari dei dati personali
I destinatari potrebbero essere altri controllori ma anche fornitori di servizi. Ci aspettavamo i nomi dei destinatari e le categorie di dati personali condivisi con ciascuno di essi. Come minimo, se per qualche motivo non fosse possibile nominare tutti i destinatari, ci aspettavamo che il responsabile del trattamento indicasse le categorie di destinatari e indicasse le attività da essi svolte, la loro industria, settore e sotto-settore e la loro ubicazione.
Trasferimenti al di fuori dell'UE/SEE
In caso di trasferimenti di dati verso Paesi non appartenenti all'UE/SEE, è necessario indicare i Paesi in questione e specificare le garanzie su cui ci si può basare (ad esempio, decisione di adeguatezza ai sensi dell'articolo 45 del GDPR, clausole contrattuali standard, deroghe, ecc. Inoltre, il responsabile del trattamento dovrebbe prevedere i mezzi per accedere o ottenere i documenti pertinenti.
Periodo di conservazione
I periodi di conservazione devono essere specifici per la categoria di dati personali in questione o, quanto meno, devono consentire all'utente di valutare la durata della conservazione dei dati così come si applica ad essi. Se un responsabile del trattamento ha dichiarato che i dati vengono conservati per adempiere a un obbligo legale, ci aspettiamo che specifichi l'obbligo legale.
Informazioni sui diritti GDPR
Informazioni sui diritti di accesso, rettifica, cancellazione, limitazione dell'elaborazione, opposizione all'elaborazione e portabilità, nonché sul diritto di revocare il consenso in qualsiasi momento e sul diritto di presentare un reclamo all'autorità di controllo. In senso stretto, non è sufficiente limitarsi a informare sull'esistenza di tali diritti, il responsabile del trattamento deve spiegare cosa significano i diritti e come esercitarli. Inoltre, il diritto di presentare un reclamo dovrebbe spiegare che un reclamo può essere presentato all'autorità di controllo di uno Stato membro della sua residenza abituale, del suo luogo di lavoro o di una presunta violazione del GDPR
Esistenza di un processo decisionale automatizzato, compresa la profilazione
Una spiegazione chiara e chiara di come funziona il processo di profilazione o il processo decisionale automatizzato. Inoltre, il responsabile del trattamento deve informare sull'importanza e sulle conseguenze previste di tale trattamento per l'interessato.
Apple e YouTube sono stati tutti "solo parzialmente" o "non soddisfacenti". Flimmit e SoundCloud hanno ottenuto il punteggio migliore, seguiti da Spotify. Delle 85 valutazioni individuali, 23 sono state "soddisfacenti", 40 sono state "solo parzialmente soddisfacenti" e 22 "non soddisfacenti".
In generale, le informazioni erano spesso poco chiare o semplicemente non fornite. Ad esempio, i periodi di conservazione sono stati dichiarati "per tutto il tempo necessario" e che "i dati possono essere trasmessi a terzi". Tali frasi vuote non forniscono alcuna informazione concreta su ciò che accade effettivamente ai dati personali trattati
Per quanto riguarda il trasferimento dei dati personali ai destinatari, una categoria su cui molti utenti sono incuriositi, solo Flimmit ha indicato quali dati personali vengono trasferiti a quale categoria di destinatari e per quale scopo - anche in questo caso, però, i destinatari specifici erano per lo più assenti
Un'altra critica è che spesso ci sono poche informazioni su come le offerte sono personalizzate attraverso raccomandazioni individuali. Solo SoundCloud ha indicato quali categorie di dati vengono utilizzate per questo tipo di personalizzazione. Una nota positiva, tuttavia, è stata che tutti i servizi, ad eccezione di Apple, hanno fornito informazioni chiare sul fatto che i consumatori possono ritirare qualsiasi consenso concesso.
In sintesi: i servizi non riescono per lo più a soddisfare uno dei requisiti più elementari del GDPR, ovvero che gli utenti siano informati su ciò che accade ai loro dati.
Circa il 92% degli austriaci utilizza servizi di streaming in rete - in media per poco meno di mezz'ora al giorno, i giovani già da circa un'ora e mezza al giorno (statista.com 2018). Queste cifre sono probabilmente molto simili in altri Stati membri. Netflix e Amazon Prime hanno ciascuno oltre 150 milioni di clienti in tutto il mondo. Ogni interazione con il servizio può essere registrata e analizzata per ottenere informazioni sull'utente. Ad esempio, una preferenza improvvisa per la musica malinconica potrebbe indicare una separazione?
Leggi il rapporto completo in tedesco qui
Per ulteriori informazioni della Camera del Lavoro austriaca (AK), clicca qui
L'associazione senza scopo di lucro noyb è impegnata nell'applicazione legale delle leggi europee sulla protezione dei dati. Oltre 3.200 membri sostenitori rendono possibile il lavoro di noyb. Ad oggi, la ONG ha già avviato più di 25 procedimenti per numerose violazioni deliberate delle leggi sulla protezione dei dati - contro aziende che includono Google, Apple, Facebook e Amazon.
Per ulteriori informazioni e richieste ai media
Per e-mail media@noyb.eu
Per telefono: +43 660 2678622