Fitbit, propiedad de Google, se enfrenta a un trío de quejas de privacidad en la Unión Europea que alegan que la empresa está exportando ilegalmente datos de usuarios en violación de las normas de protección de datos del bloque.
Las quejas apuntan a la afirmación de Fitbit de que los usuarios han dado su consentimiento para transferencias internacionales de su información (a Estados Unidos y otros lugares) argumentando que la compañía está obligando a los usuarios a dar un consentimiento que no cumple con el estándar legal requerido.
El Reglamento General de Protección de Datos (GDPR) de la UE establece un conjunto de reglas sobre cómo se puede utilizar la información de los usuarios locales, incluido el requisito de que los procesadores de datos tengan una base legal válida para procesar los datos de las personas y establecer controles sobre las exportaciones de datos. Las violaciones del régimen pueden acarrear sanciones financieras de hasta el 4% del volumen de negocios anual global del infractor.
La base legal que afirma Fitbit para exportar datos de usuarios de la UE (el consentimiento) debe cumplir ciertos estándares para ser válida. En definitiva, debe ser informado, específico y gratuito. Pero las quejas argumentan que Fitbit está forzando ilegalmente el consentimiento, ya que los usuarios que desean utilizar productos y servicios por los que han pagado no tienen opción de dar su consentimiento a las exportaciones de datos para que los productos funcionen.
Las quejas también alegan que Fitbit no está Proporcionar información adecuada a los usuarios sobre las transferencias de sus datos, lo que significa que tampoco pueden dar su consentimiento informado, como exige el RGPD. También destacan que los usuarios de Fitbit no pueden retirar el consentimiento como deberían hacerlo según el RGPD, salvo eliminar sus cuentas de Fitbit y perder todos sus entrenamientos registrados. Lo que significa que los usuarios de Fitbit se enfrentan a una penalización en su experiencia con el producto por revocar el consentimiento.
Noyb, una organización europea sin fines de lucro que defiende los derechos de privacidad, ha presentado quejas ante las autoridades de protección de datos en Austria, Países Bajos e Italia en nombre de tres usuarios (no identificados) de Fitbit.
En un comunicado, Maartje de Graaf, abogado de protección de datos de noyb, dijo: “Primero, compras un reloj Fitbit por al menos 100 €. Luego te registras para obtener una suscripción paga, solo para descubrir que te ves obligado a aceptar «libremente» compartir tus datos con destinatarios de todo el mundo. Cinco años después del RGPD, Fitbit todavía está intentando imponer un enfoque de ‘tómalo o déjalo’”.
noyb ha estado detrás de decenas de quejas exitosas sobre GDPR en los últimos años, incluida una serie de ataques contra Meta (Facebook) que recientemente llevaron a la compañía a anunciar que finalmente cambiará a pedir el consentimiento de los usuarios locales para el seguimiento y la elaboración de perfiles que impulsa su comportamiento central. orientación de anuncios. Así que siempre vale la pena observar los litigios estratégicos de Noyb.
“Al crear una cuenta en Fitbit, los usuarios europeos están obligados a ‘aceptar la transferencia de sus datos a Estados Unidos y otros países con diferentes leyes de protección de datos’. Esto significa que sus datos podrían terminar en cualquier país del mundo que no tenga las mismas protecciones de privacidad que la UE”, escribe noyb en un comunicado de prensa anunciando las quejas de Fitbit. “En otras palabras: Fitbit obliga a sus usuarios a dar su consentimiento para compartir datos confidenciales sin brindarles información clara sobre las posibles implicaciones o los países específicos a los que van sus datos. Esto da como resultado un consentimiento que no es libre, informado ni específico, lo que significa que el consentimiento claramente no cumple con los requisitos del RGPD».
“Según la política de privacidad de Fitbit, los datos compartidos no sólo incluyen cosas como la dirección de correo electrónico del usuario, su fecha de nacimiento y su sexo. La empresa también puede compartir datos como registros de alimentación, peso, sueño, agua o seguimiento de la salud femenina; una alarma; y mensajes en foros de discusión o a sus amigos en los Servicios. Los datos recopilados pueden incluso compartirse para su procesamiento con empresas de terceros de las que no sabemos dónde se encuentran”, continúa. “Además, es imposible para los usuarios saber qué datos específicos están afectados. Los tres denunciantes ejercieron su derecho de acceso a la información ante el Delegado de Protección de Datos de la empresa, pero nunca recibieron respuesta”.
Las quejas también cuestionan la validez de que Fitbit dependa del consentimiento para lo que son transferencias rutinarias de datos confidenciales fuera del bloque.
“El RGPD establece claramente que el consentimiento sólo puede utilizarse como excepción a la prohibición de transferencias de datos fuera de la UE, lo que significa que el consentimiento sólo puede ser una base jurídica válida para transferencias de datos ocasionales y no repetitivas. Fitbit, sin embargo, utiliza el consentimiento para compartir todos los datos de salud de forma rutinaria”, sugiere noyb, argumentando que las transferencias de Fitbit son “claramente sistemáticas” y también cuestiona si pueden “pasar la prueba de estricta necesidad”, dada la cantidad de datos personales (incluidos algunos datos confidenciales). ) se exporta habitualmente.
Si bien el órgano ejecutivo de la UE, la Comisión Europea, adoptó el mes pasado un nuevo acuerdo de adecuación de transferencia de datos con sus homólogos estadounidenses (un acuerdo de alto nivel que tiene como objetivo reducir los riesgos legales en torno a los flujos de datos transatlánticos), noyb señala que Fitbit no afirma depender de este el llamado Marco de Privacidad de Datos UE-EE.UU. para las exportaciones de datos de los usuarios de la UE.
“Fitbit no establece en su política de privacidad ni en ningún otro lugar que transfiera datos bajo el nuevo marco, sino que afirma que utiliza el consentimiento y las SCC. [standard contractual clauses] como ‘mecanismos de transferencia’”, dijo de Graaf a TechCrunch. “Fitbit tampoco está certificado según el marco de privacidad de datos.
“Aparte de eso, es sólo cuestión de tiempo hasta que noyb impugnará la validez del nuevo marco ante el TJUE [Court of Justice of the EU]. Los problemas fundamentales con las leyes de vigilancia estadounidenses todavía existen”.
noyb confirmó que espera que las tres quejas se canalicen nuevamente al principal organismo de control de protección de datos de Google en la UE, la Comisión de Protección de Datos de Irlanda (DPC), en línea con el mecanismo de ventanilla única del RGPD para agilizar las quejas transfronterizas.
A principios de 2019, Google cambió la jurisdicción legal donde procesa los datos de los usuarios europeos, de los EE. UU. a su entidad con sede en Dublín, Google Ireland Limited, lo que llevó a que su sede europea obtuviera lo que se conoce como estado de establecimiento principal según el RGPD, lo que significa liderazgo. La supervisión del cumplimiento por parte de Google del régimen de protección de datos emblemático de la UE recae en el DPC irlandés. (Antes de eso, Google se vio afectado por una aplicación temprana del RGPD en Francia relacionada con elementos de cómo operaba el sistema operativo de su teléfono inteligente Android).
El regulador irlandés sigue siendo criticado por el ritmo lento, los caminos tortuosos o simplemente la falta total de aplicación de la ley por parte de los gigantes tecnológicos. Esto incluye el caso de una serie de quejas importantes de GDPR dirigidas a Google, como una centrada en el seguimiento de ubicación de Google (que el DPC abrió en febrero de 2020); y otro sobre la tecnología publicitaria de Google (que el regulador irlandés puso en marcha en mayo de 2019). Ninguna de esas investigaciones sobre aspectos del negocio de Google ha producido todavía una decisión en Irlanda. Y en el caso de esta última investigación, la DPC fue demandada por los denunciantes el año pasado, acusando al regulador de no investigar el fondo de la denuncia.
En el caso de los recientes ataques importantes de noyb a Meta/Facebook, la DPC también ha sido acusada de impedir la aplicación de la ley al ponerse del lado de los argumentos de Meta sobre la base legal, una conclusión que fue revocada por otras DPA de la UE y el Consejo Europeo de Protección de Datos (EDPB) a través de un proceso de objeción y revisión integrado en el RGPD.
Por lo tanto, dado el historial del DPC en la supervisión de las grandes tecnologías, parece improbable que este trío de quejas de Fitbit tenga un resultado rápido, incluso cuando la aplicación del RGPD en general ha ido cobrando cierto impulso, gracias a un creciente cuerpo de sentencias clarificadoras del TJUE en los cinco+ años desde que entró en vigor.
Si las quejas de Noyb contra Fitbit desencadenan una investigación por parte del DPC (y las infracciones del RGPD se confirman en el futuro), Google podría enfrentar multas por miles de millones de dólares, dado que su empresa matriz, Alphabet, vio sus ingresos anuales alcanzar los 283 mil millones de dólares el año pasado. (Noyb sugiere que podría verse obligado a pagar multas de hasta 11,28 mil millones de euros si se confirman las infracciones).
Aunque, una vez más, la DPC no solo ha evitado imponer las sanciones máximas posibles a las principales infracciones del RGPD por parte de las grandes empresas tecnológicas, sus proyectos de decisiones con frecuencia han incluido sanciones más bajas que las que otras DPA de la UE (y el CEPD) consideran apropiadas, lo que ha llevado a intervenciones en el marco de la disputa del reglamento. mecanismos de solución que a menudo han elevado los niveles de las sanciones finalmente aplicadas en Irlanda, aun cuando estas devoluciones normalmente han añadido muchos meses más a los plazos de aplicación. Así que espere que cualquier aplicación de estas quejas sea un maratón, no una carrera corta.