Hoy, noyb ha presentado tres denuncias contra Fitbit en Austria, los Países Bajos e Italia. La popular empresa de salud y fitness, adquirida por Google en 2021, obliga a los nuevos usuarios de su aplicación a dar su consentimiento para la transferencia de datos fuera de la UE. En contra de los requisitos legales, ni siquiera se ofrece a los usuarios la posibilidad de retirar su consentimiento. En su lugar, tienen que eliminar completamente su cuenta para detener el tratamiento ilegal.
- noyb denuncia ante la DPA austriaca (DE)
- noyb reclamación ante la DPA neerlandesa (NL)
- Traducción automática al inglés de la denuncia ante la DPA neerlandesa
- noyb reclamación ante la APD italiana (IT)
No hay forma de evitar la transferencia de datos personales. Al crear una cuenta en Fitbit, los usuarios europeos están obligados a "aceptar la transferencia de sus datos a Estados Unidos y otros países con leyes de protección de datos diferentes". Esto significa que sus datos podrían acabar en cualquier país del mundo que no tenga la misma protección de la privacidad que la UE. Dicho de otro modo: Fitbit obliga a sus usuarios a dar su consentimiento para compartir datos sensibles sin proporcionarles información clara sobre las posibles implicaciones o los países concretos a los que van a parar sus datos. El resultado es un consentimiento que no es ni libre, ni informado, ni específico, lo que significa claramente que no cumple los requisitos del GDPR.
Datos muy personales. Según la política de privacidad de Fitbit, los datos compartidos no solo incluyen cosas como la dirección de correo electrónico, la fecha de nacimiento y el sexo del usuario. La empresa también puede compartir "datos como registros de comida, peso, sueño, agua o seguimiento de la salud femenina; una alarma; y mensajes en foros de discusión o a tus amigos en los Servicios". Los datos recogidos pueden incluso compartirse para su tratamiento con terceras empresas de las que desconocemos su ubicación. Además, es imposible que los usuarios sepan qué datos concretos están afectados. Los tres denunciantes ejercieron su derecho de acceso a la información ante el responsable de protección de datos de la empresa, pero nunca recibieron respuesta.
Maartje de Graaf, abogada de protección de datos de noyb: "Primero, compras un reloj Fitbit por al menos 100 euros. Después te suscribes a una suscripción de pago, solo para descubrir que te obligan a aceptar "libremente" que tus datos se compartan con destinatarios de todo el mundo. Cinco años después del GDPR, Fitbit sigue tratando de imponer un enfoque de "tómalo o déjalo"."
Lo tomas o lo dejas. Para asegurarse de que los usuarios pueden cambiar de opinión, el GDPR también otorga a cada persona el derecho a retirar su consentimiento. Al menos en teoría. La política de privacidad de Fitbit establece que la única forma de retirar el consentimiento es eliminar una cuenta. Para los consumidores, esto significa perder todos sus entrenamientos y datos de salud previamente rastreados. Esto se aplica incluso si se adquiere una suscripción premium por 79,99 euros al año. Aunque estas funciones son la principal razón para comprar un Fitbit, no hay una forma realista de recuperar el control sobre los datos sin que el producto resulte inútil.
Bernardo Armentano, abogado especializado en protección de datos de noyb: "Fitbit quiere que extiendas un cheque en blanco que les permita enviar tus datos a cualquier parte del mundo. Teniendo en cuenta que la empresa recopila los datos sanitarios más sensibles, es sorprendente que ni siquiera intente explicar el uso que hace de esos datos, como exige la ley."
Lastransferencias masivas de datos no están permitidas. Incluso si hubiera una forma de retirar el consentimiento, Fitbit seguiría sin cumplir con la legislación europea sobre privacidad. El GDPR establece claramente que el consentimiento solo puede usarse como excepción a la prohibición de transferencias de datos fuera de la UE - lo que significa que el consentimiento solo puede ser una base legal válida para transferencias de datos ocasionales y no repetitivas. Fitbit, sin embargo, utiliza el consentimiento para compartir todos los datos sanitarios de forma rutinaria.
Romain Robert, uno de los denunciantes: "Fitbit puede ser una buena aplicación para hacer un seguimiento de tu forma física, pero una vez que quieres saber más sobre cómo se manejan tus datos, estás abocado a una maratón"
Multa potencial de mil millones de dólares. noyb solicita a las APD austriaca, holandesa e italiana que ordenen a Fitbit compartir toda la información obligatoria sobre las transferencias con sus usuarios y permitirles utilizar su app sin tener que dar su consentimiento a las transferencias de datos. Basándose en la facturación de Alphabet (matriz de Google) del año pasado, las autoridades competentes también podrían imponer una multa de hasta 11.280 millones de euros.