Privacy, Data & Cybersecurity

Se confirma la sanción a la app de citas «Grindr»: el reto del consentimiento bajo el RGPD

22 octubre 2025

El pasado 29 de septiembre de 2023, la Privacy Appeals Board (Norway) (instant e Norwegian Board of Appeal for Privacy) confirmó la sanción impuesta por la Norwegian Data Protection Authority contra la aplicación móvil Grindr, por vulneración del RGPD. En concreto, se ratificó una multa de NOK 65 millones (aproximadamente € 5,7‑6 millones) por compartir datos de usuarios con terceros para publicidad basada en comportamiento sin base legal válida.  

Hechos y fundamentos

La app Grindr, dirigida a personas lesbianas, gais, bisexuales, trans y queer (LGBTQ+), recogía y compartía datos tales como ubicación GPS, IP, Advertising ID, edad, género y el hecho mismo de ser usuario de la app, con múltiples terceros para fines de marketing.  

La autoridad noruega concluyó que:

  • Para el tratamiento y la cesión de esos datos era necesaria una base legal válida (art. 6 o art. 9 del RGPD);
  • Se presumía que el dato “usuario de Grindr” revela la orientación sexual u otro dato perteneciente a categoría especial, lo que exige un nivel de protección reforzado.  
  • La “consentimiento” presentado por Grindr no cumplía los requisitos del art. 4 (11), 7 y 8 del RGPD: no era libre, informado, específico ni suficientemente separado de otras condiciones; los usuarios no tenían libertad real de elección.  
  • Por tanto, la transmisión de esos datos a terceros sin base legal válida constituía una infracción grave del RGPD.

Relevancia jurídica

Este caso reviste especial interés como precedente en varios frentes:

  1. Consentimiento en apps. Reafirma que en los entornos de apps móviles y servicios digitales que manejan datos especialmente sensibles (o potencialmente sensibles), la exigencia de consentimiento válido –libre, específico e informado– es estricta.
  2. Categorías especiales de datos. Que alguien sea usuario de Grinder puede inferir orientación sexual, lo que la autoridad noruega equiparó a una “categoría especial de datos” del art. 9, lo que eleva el nivel de protección exigible.
  3. Publicidad basada en comportamiento. El modelo de negocio que monetiza datos de ubicación, identificación de usuario y su vinculación a terceros para segmentación de marketing está bajo un escrutinio muy riguroso en la esfera del RGPD.
  4. Sanciones disuasorias. La cuantía de la multa (récord hasta ese momento en Noruega) pone de relieve que las autoridades de protección de datos están dispuestas a imponer sanciones relevantes para asegurar cumplimiento real.

Implicaciones para academia y práctica profesional

  • En la enseñanza del derecho de la protección de datos, este caso ejemplifica la convergencia entre modelos de negocio digitales, derechos fundamentales (protección de datos, igualdad, no discriminación) y el régimen sancionador del RGPD.
  • Para el compliance en entidades digitales (apps, plataformas, redes sociales), se impone revisar y documentar:
    • Bases jurídicas de tratamiento: explicar claramente si se basa en consentimiento o en otra base adecuada.
    • Procedimientos de obtención de consentimiento: que sean separados, entendibles, verificables y permitan retirada tan fácilmente como la otorgación.
    • Evaluación de riesgos en tratamientos de datos sensibles o que puedan revelar categoría especial.
    • Auditoría de terceros: controlar que los datos compartidos a terceros cumplen la base legal, finalidad, transparencia y trazabilidad exigidas.
  • Para el derecho comparado europeo, resulta interesante observar cómo una autoridad nacional del EEE interpreta “categoría especial de datos” en función de la inferencia de la orientación sexual y su compatibilidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE). Esta decisión abre tema para debate doctrinal.

Conclusión

El fallo en el caso Grindr representa una clara llamada de atención al sector digital: la protección de datos no es un mero trámite técnico, sino un elemento esencial del diseño de servicios. Para los profesionales del derecho, constituye una oportunidad para reflexionar y enseñar sobre la intersección entre tecnología, derechos fundamentales y responsabilidad regulatoria. Como docentes de Derecho, debemos utilizar casos como este para ilustrar cómo la norma se opera en la práctica, cómo los permisos de comercialización de datos pueden vulnerar derechos y cómo se estructuran los mecanismos de sanción.

Related Posts

Una nueva hora para la protección de datos en la UE: agilización de las reclamaciones transfronterizas

19 noviembre 2025
Miguel_Ortego

¿Cuánto tiempo puedo conservar los datos personales?

4 octubre 2020

Sanción pionera en Europa: la AEPD multa a un menor por la creación de un “deepfake” sexual con inteligencia artificial

6 noviembre 2025