Vinted – noto sito di vendita online con sede a Vilnius per l’acquisto, la vendita e lo scambio di articoli nuovi o di seconda mano – è stata multata per violazione del GDPR con una sanzione di 2,3 milioni di euro.
A seguito di numerose denunce accumulate contro l’azienda di re-commerce dal 2020, il provvedimento sanzionatorio è stato erogato dal Garante della protezione dei dati personali della Lituania -VDAI – nonché sede attuale della società stessa.
La vicenda
La decisione è stata presa successivamente ad un’indagine aperta rispetto ai reclami presentati dall’autorità francese – CNIL – e dall’autorità polacca- UODO.
Nella maggior parte dei casi, le denunce riguardavano le difficoltà degli utenti nel far valere il proprio diritto alla cancellazione dei dati, a cui Vinted non avrebbe dato seguito senza fornire motivazioni specifiche.
Inoltre, la piattaforma avrebbe applicato in modo illecito un sistema di “shadow ban”. In particolare, si tratta di una strategia nascosta per limitare la visibilità di determinati contenuti senza che gli utenti ne fossero consapevoli, impedendo loro di interagire con potenziali acquirenti se non rispettavano le regole della community.
In aggiunta, Vinted non avrebbe adottato misure adeguate a garantire il diritto di accesso dei propri utenti. Vinte, infatti, sembrerebbe non aver impiegato misure organizzative e tecniche sufficienti a garantire il principio di accountability inerente al diritto di accesso.
Principi GDPR
L’Autorità ha stabilito che gli utenti soggetti a questa pratica sono stati indotti a lasciare la piattaforma senza essere informati che i loro dati personali venivano trattati a tale scopo.
Pertanto, Vinted avrebbe violato i principi di legalità, correttezza e trasparenza previsti dall’art. 5, par.1., lett.a) del GPDR, compromettendo la capacità degli interessati di esercitare i propri diritti in modo consapevole.
A tal proposito, il GDPR stabilisce tre principi fondamentali: legalità, correttezza e trasparenza.
Essi devono essere rispettatati nel trattamento dei dati personali. Questi principi sono fondamentali per garantire che il trattamento dei dati personali sia effettuato in modo etico e conforme alle normative europee.
Essi mirano a proteggere i diritti e le libertà degli individui nell’era digitale, promuovendo la fiducia nel modo in cui le organizzazioni gestiscono le informazioni personali.
Sanzione e provvedimenti
La vicenda ha portato l’autorità a imporre la multa più elevata mai comminata in Lituania dall’introduzione del GDPR. Il calcolo della sanzione è stato effettuato seguendo le Linee Guida 04/2022 dell’European Data Protection Board, che mirano a standardizzare le metodologie per determinare le sanzioni amministrative pecuniare per le violazioni del Regolamento UE 2016/679 nell’UE.
Vinted, non condividendo la decisione del Garante, ha annunciato l’intenzione di presentare ricorso. L’azienda è fermamente convinta che i casi citati dall’autorità lituana per la protezione dei dati non riguardano la sicurezza degli account. Inoltre, essi non comportano la un uso improprio o una violazione dei dati personali degli utenti.