\n<\/p>\n
Fitbit, propiedad de Google, se enfrenta a un tr\u00edo de quejas de privacidad en la Uni\u00f3n Europea que alegan que la empresa est\u00e1 exportando ilegalmente datos de usuarios en violaci\u00f3n de las normas de protecci\u00f3n de datos del bloque.<\/p>\n
Las quejas apuntan a la afirmaci\u00f3n de Fitbit de que los usuarios han dado su consentimiento para transferencias internacionales de su informaci\u00f3n (a Estados Unidos y otros lugares) argumentando que la compa\u00f1\u00eda est\u00e1 obligando a los usuarios a dar un consentimiento que no cumple con el est\u00e1ndar legal requerido.<\/p>\n
El Reglamento General de Protecci\u00f3n de Datos (GDPR) de la UE establece un conjunto de reglas sobre c\u00f3mo se puede utilizar la informaci\u00f3n de los usuarios locales, incluido el requisito de que los procesadores de datos tengan una base legal v\u00e1lida para procesar los datos de las personas y establecer controles sobre las exportaciones de datos. Las violaciones del r\u00e9gimen pueden acarrear sanciones financieras de hasta el 4% del volumen de negocios anual global del infractor.<\/p>\n
La base legal que afirma Fitbit para exportar datos de usuarios de la UE (el consentimiento) debe cumplir ciertos est\u00e1ndares para ser v\u00e1lida. En definitiva, debe ser informado, espec\u00edfico y gratuito. Pero las quejas argumentan que Fitbit est\u00e1 forzando ilegalmente el consentimiento, ya que los usuarios que desean utilizar productos y servicios por los que han pagado no tienen opci\u00f3n de dar su consentimiento a las exportaciones de datos para que los productos funcionen.<\/p>\n
Las quejas tambi\u00e9n alegan que Fitbit no est\u00e1 Proporcionar informaci\u00f3n adecuada a los usuarios sobre las transferencias de sus datos, lo que significa que tampoco pueden dar su consentimiento informado, como exige el RGPD. <\/span>Tambi\u00e9n destacan que los usuarios de Fitbit no pueden retirar el consentimiento como deber\u00edan hacerlo seg\u00fan el RGPD, salvo eliminar sus cuentas de Fitbit y perder todos sus entrenamientos registrados. Lo que significa que los usuarios de Fitbit se enfrentan a una penalizaci\u00f3n en su experiencia con el producto por revocar el consentimiento. <\/span><\/p>\n Noyb, una organizaci\u00f3n europea sin fines de lucro que defiende los derechos de privacidad, ha presentado quejas ante las autoridades de protecci\u00f3n de datos en Austria, Pa\u00edses Bajos e Italia en nombre de tres usuarios (no identificados) de Fitbit.<\/p>\n En un comunicado, Maartje de Graaf, abogado de protecci\u00f3n de datos de noyb, dijo<\/span>: \u201cPrimero, compras un reloj Fitbit por al menos 100 \u20ac. Luego te registras para obtener una suscripci\u00f3n paga, solo para descubrir que te ves obligado a aceptar \u00ablibremente\u00bb compartir tus datos con destinatarios de todo el mundo. Cinco a\u00f1os despu\u00e9s del RGPD, Fitbit todav\u00eda est\u00e1 intentando imponer un enfoque de ‘t\u00f3malo o d\u00e9jalo’\u201d.<\/p>\n noyb ha estado detr\u00e1s de decenas de quejas exitosas sobre GDPR en los \u00faltimos a\u00f1os, incluida una serie de ataques contra Meta (Facebook) que recientemente llevaron a la compa\u00f1\u00eda a anunciar que finalmente cambiar\u00e1 a pedir el consentimiento de los usuarios locales para el seguimiento y la elaboraci\u00f3n de perfiles que impulsa su comportamiento central. orientaci\u00f3n de anuncios. As\u00ed que siempre vale la pena observar los litigios estrat\u00e9gicos de Noyb.<\/p>\n \u201cAl crear una cuenta en Fitbit, los usuarios europeos est\u00e1n obligados a ‘aceptar la transferencia de sus datos a Estados Unidos y otros pa\u00edses con diferentes leyes de protecci\u00f3n de datos’. Esto significa que sus datos podr\u00edan terminar en cualquier pa\u00eds del mundo que no tenga las mismas protecciones de privacidad que la UE\u201d, escribe noyb en un comunicado de prensa anunciando las quejas de Fitbit. \u201cEn otras palabras: Fitbit obliga a sus usuarios a dar su consentimiento para compartir datos confidenciales sin brindarles informaci\u00f3n clara sobre las posibles implicaciones o los pa\u00edses espec\u00edficos a los que van sus datos. Esto da como resultado un consentimiento que no es libre, informado ni espec\u00edfico, lo que significa que el consentimiento claramente no cumple con los requisitos del RGPD\u00bb.<\/p>\n \u201cSeg\u00fan la pol\u00edtica de privacidad de Fitbit, los datos compartidos no s\u00f3lo incluyen cosas como la direcci\u00f3n de correo electr\u00f3nico del usuario, su fecha de nacimiento y su sexo. La empresa tambi\u00e9n puede compartir datos como registros de alimentaci\u00f3n, peso, sue\u00f1o, agua o seguimiento de la salud femenina; una alarma; y mensajes en foros de discusi\u00f3n o a sus amigos en los Servicios. Los datos recopilados pueden incluso compartirse para su procesamiento con empresas de terceros de las que no sabemos d\u00f3nde se encuentran\u201d, contin\u00faa. \u201cAdem\u00e1s, es imposible para los usuarios saber qu\u00e9 datos espec\u00edficos est\u00e1n afectados. Los tres denunciantes ejercieron su derecho de acceso a la informaci\u00f3n ante el Delegado de Protecci\u00f3n de Datos de la empresa, pero nunca recibieron respuesta\u201d.<\/p>\n Las quejas tambi\u00e9n cuestionan la validez de que Fitbit dependa del consentimiento para lo que son transferencias rutinarias de datos confidenciales fuera del bloque.<\/p>\n \u201cEl RGPD establece claramente que el consentimiento s\u00f3lo puede utilizarse como excepci\u00f3n a la prohibici\u00f3n de transferencias de datos fuera de la UE, lo que significa que el consentimiento s\u00f3lo puede ser una base jur\u00eddica v\u00e1lida para transferencias de datos ocasionales y no repetitivas. Fitbit, sin embargo, utiliza el consentimiento para compartir todos los datos de salud de forma rutinaria\u201d, sugiere noyb, argumentando que las transferencias de Fitbit son \u201cclaramente sistem\u00e1ticas\u201d y tambi\u00e9n cuestiona si pueden \u201cpasar la prueba de estricta necesidad\u201d, dada la cantidad de datos personales (incluidos algunos datos confidenciales). ) se exporta habitualmente.<\/p>\n Si bien el \u00f3rgano ejecutivo de la UE, la Comisi\u00f3n Europea, adopt\u00f3 el mes pasado un nuevo acuerdo de adecuaci\u00f3n de transferencia de datos con sus hom\u00f3logos estadounidenses (un acuerdo de alto nivel que tiene como objetivo reducir los riesgos legales en torno a los flujos de datos transatl\u00e1nticos), noyb se\u00f1ala que Fitbit no afirma depender de este el llamado Marco de Privacidad de Datos UE-EE.UU. para las exportaciones de datos de los usuarios de la UE.<\/p>\n \u201cFitbit no establece en su pol\u00edtica de privacidad ni en ning\u00fan otro lugar que transfiera datos bajo el nuevo marco, sino que afirma que utiliza el consentimiento y las SCC. [standard contractual clauses] como ‘mecanismos de transferencia’\u201d, dijo de Graaf a TechCrunch. \u201cFitbit tampoco est\u00e1 certificado seg\u00fan el marco de privacidad de datos.<\/p>\n \u201cAparte de eso, es s\u00f3lo cuesti\u00f3n de tiempo hasta que noyb<\/span> impugnar\u00e1 la validez del nuevo marco ante el TJUE [Court of Justice of the EU]. Los problemas fundamentales con las leyes de vigilancia estadounidenses todav\u00eda existen\u201d.<\/p>\n noyb confirm\u00f3 que espera que las tres quejas se canalicen nuevamente al principal organismo de control de protecci\u00f3n de datos de Google en la UE, la Comisi\u00f3n de Protecci\u00f3n de Datos de Irlanda (DPC), en l\u00ednea con el mecanismo de ventanilla \u00fanica del RGPD para agilizar las quejas transfronterizas.<\/p>\n A principios de 2019, Google cambi\u00f3 la jurisdicci\u00f3n legal donde procesa los datos de los usuarios europeos, de los EE. UU. a su entidad con sede en Dubl\u00edn, Google Ireland Limited, lo que llev\u00f3 a que su sede europea obtuviera lo que se conoce como estado de establecimiento principal seg\u00fan el RGPD, lo que significa liderazgo. La supervisi\u00f3n del cumplimiento por parte de Google del r\u00e9gimen de protecci\u00f3n de datos emblem\u00e1tico de la UE recae en el DPC irland\u00e9s. (Antes de eso, Google se vio afectado por una aplicaci\u00f3n temprana del RGPD en Francia relacionada con elementos de c\u00f3mo operaba el sistema operativo de su tel\u00e9fono inteligente Android).<\/p>\n El regulador irland\u00e9s sigue siendo criticado por el ritmo lento, los caminos tortuosos o simplemente la falta total de aplicaci\u00f3n de la ley por parte de los gigantes tecnol\u00f3gicos. Esto incluye el caso de una serie de quejas importantes de GDPR dirigidas a Google, como una centrada en el seguimiento de ubicaci\u00f3n de Google (que el DPC abri\u00f3 en febrero de 2020); y otro sobre la tecnolog\u00eda publicitaria de Google (que el regulador irland\u00e9s puso en marcha en mayo de 2019). Ninguna de esas investigaciones sobre aspectos del negocio de Google ha producido todav\u00eda una decisi\u00f3n en Irlanda. Y en el caso de esta \u00faltima investigaci\u00f3n, la DPC fue demandada por los denunciantes el a\u00f1o pasado, acusando al regulador de no investigar el fondo de la denuncia.<\/p>\n En el caso de los recientes ataques importantes de noyb a Meta\/Facebook, la DPC tambi\u00e9n ha sido acusada de impedir la aplicaci\u00f3n de la ley al ponerse del lado de los argumentos de Meta sobre la base legal, una conclusi\u00f3n que fue revocada por otras DPA de la UE y el Consejo Europeo de Protecci\u00f3n de Datos (EDPB) a trav\u00e9s de un proceso de objeci\u00f3n y revisi\u00f3n integrado en el RGPD.<\/p>\n Por lo tanto, dado el historial del DPC en la supervisi\u00f3n de las grandes tecnolog\u00edas, parece improbable que este tr\u00edo de quejas de Fitbit tenga un resultado r\u00e1pido, incluso cuando la aplicaci\u00f3n del RGPD en general ha ido cobrando cierto impulso, gracias a un creciente cuerpo de sentencias clarificadoras del TJUE en los cinco+ a\u00f1os desde que entr\u00f3 en vigor.<\/p>\n Si las quejas de Noyb contra Fitbit desencadenan una investigaci\u00f3n por parte del DPC (y las infracciones del RGPD se confirman en el futuro), Google podr\u00eda enfrentar multas por miles de millones de d\u00f3lares, dado que su empresa matriz, Alphabet, vio sus ingresos anuales alcanzar los 283 mil millones de d\u00f3lares el a\u00f1o pasado. (Noyb sugiere que podr\u00eda verse obligado a pagar multas de hasta 11,28 mil millones de euros si se confirman las infracciones).<\/p>\n Aunque, una vez m\u00e1s, la DPC no solo ha evitado imponer las sanciones m\u00e1ximas posibles a las principales infracciones del RGPD por parte de las grandes empresas tecnol\u00f3gicas, sus proyectos de decisiones con frecuencia han incluido sanciones m\u00e1s bajas que las que otras DPA de la UE (y el CEPD) consideran apropiadas, lo que ha llevado a intervenciones en el marco de la disputa del reglamento. mecanismos de soluci\u00f3n que a menudo han elevado los niveles de las sanciones finalmente aplicadas en Irlanda, aun cuando estas devoluciones normalmente han a\u00f1adido muchos meses m\u00e1s a los plazos de aplicaci\u00f3n. As\u00ed que espere que cualquier aplicaci\u00f3n de estas quejas sea un marat\u00f3n, no una carrera corta.<\/p>\n<\/p><\/div>\n