Vinted, sanzione da 2,3 milioni di euro per violazione del Gdpr
Vinted, la nota piattaforma online di abbigliamento di seconda mano con oltre 100 milioni di utenti in tutto il mondo avrebbe violato il Gdpr, e per questo è stata condannata a pagare una multa di € 2.385.276.
Il provvedimento sanzionatorio è stato adottato dal Garante per la protezione dei dati personali della Lituania (VDAI), dove ha sede la società di e-commerce, a conclusione di un’indagine aperta a seguito dei reclami che erano stati presentati dall’autorità francese (CNIL) e da quella polacca (UODO) nel 2021 e nel 2022. Le autorità avevano denunciato delle “difficoltà incontrate da parte degli interessati nell’esercizio del loro diritto alla cancellazione dei dati”, a cui Vinted avrebbe omesso di dare seguito senza fornire specifiche motivazioni, e senza chiarire perché in certi ambiti il trattamento dei dati degli utenti sarebbe proseguito anche dopo la loro richiesta di cancellazione.
Inoltre, la piattaforma avrebbe implementato illecitamente un sistema di “shadow ban”, ovvero una strategia per limitare la visibilità di contenuti specifici degli utenti a loro insaputa, che agisce essenzialmente come una forma di moderazione occulta, in cui i post o gli elenchi di un utente che non avrebbe rispettato le regole della community vengono nascosti alla vista del pubblico, impedendo le interazioni con i potenziali con acquirenti.
Secondo quanto accertato dall’autorità, gli utenti sottoposti a questa tecnica subdola sarebbero stati costretti ad abbandonare la piattaforma senza che fossero mai stati informati di un trattamento dei loro dati personali per tale finalità, e così facendo Vinted avrebbe quindi violato i princìpi di legalità, correttezza e trasparenza richiesti dall’art. 5, par.1, lett. a) del GDPR, creando un impatto negativo sulla capacità degli interessati di esercitare i propri diritti.
In aggiunta a tali infrazioni, il Garante della privacy lituano ha inoltre ritenuto che la piattaforma non avesse adottato misure organizzative e tecniche, sufficienti a garantire l’attuazione del principio di accountability, relative al diritto di accesso. Nello specifico, l’autorità ha riscontrato che Vinted si è rifiutata di dare riscontro a una richiesta di accesso di un interessato perché quest’ultimo non era riuscito a identificare un motivo specifico per la richiesta, e pertanto l’autorità ha ritenuto che fossero stati violati anche l’art.5, par. 2 del Regolamento europeo sulla protezione dei dati e l’art. 12, commi 1 e 4, in relazione alla mancata fornitura di informazioni, comunicazioni e condizioni trasparenti per l’esercizio dei diritti degli interessati.
Tutto questo ha portato l’autorità all’irrogazione di quella che in Lituania è di fatto la più elevata multa che sia mai stata comminata fin dall’introduzione del Gdpr, il cui calcolo complessivo è stato basato sulle Linee Guida 04/2022 emanate dall’European Data Protection Board con l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 all’interno dell’area UE.
Trovandosi in totale disaccordo con la decisione assunta dal Garante, dal canto suo Vinted ha già annunciato le proprie intenzioni di fare ricorso, affermando che “i casi a cui fa riferimento l’autorità lituana per la protezione dei dati non sono in alcun modo correlati alla sicurezza degli account né comportano alcun uso improprio o violazione dei dati personali degli utenti”, e sostenendo di aver investito molto nella conformità e nella protezione dei propri membri, collaborando con l’autorità durante tutto il procedimento.
In Italia Vinted era stata già sanzionata nel 2022 dall’Antitrust con una multa di 1,5 milioni di euro per aver dato informazioni “ingannevoli e scorrette” agli utenti.