La Autoridad de Protección de Datos Sueca ha publicado la resolución del procedimiento sancionador tras llevar a cabo evaluación del incumplimiento por Spotify AB de las disposiciones del artículo 15 (1) y (2) del RGPD respecto al derecho de acceso a datos personales, con una sanción de 58 millones de coronas suecas, equivalente a más de 5 millones de euros.
Según la autoridad, durante el período comprendido entre 16 de noviembre de 2021 y 16 de mayo de 2022, la empresa no facilitó a los solicitantes información suficiente sobre las finalidades del tratamiento de sus datos, categorías de datos personales e interesados, períodos de retención y origen de la información, además de transferencias internacionales y medidas aplicadas.
Adicionalmente, interpreta que las respuestas respecto a datos técnicos, hechas en inglés y siguiendo una plantilla enviada por defecto a todos los solicitantes, no son suficientes para garantizar la comunicación clara y fácilmente comprensible por los interesados.
Como argumento, la autoridad sueca indica que el derecho de acceso tiene por finalidad hacer posible que el interesado evalúe la legalidad del tratamiento. Por lo tanto, cuando dé la respuesta a este derecho, el agente de tratamiento debe llevar a cabo una investigación específica sobre la relación establecida con el titular y los servicios por él contratados.
No sería suficiente, por tanto, dar información genérica como “si has consentido para la actividad”, “si has elegido realizar pagos por invoice”, “si utilizas un servicio de tercero”. Deben ser presentadas respuestas adecuadas a la realidad del titular de manera específica, como forma de cumplir con los requisitos de transparencia y hacer posible la autodeterminación informativa de los usuarios.