- reclamo noyb presso la DPA olandese (NL)
- English auto-translation of the complaint with the Dutch DPA
- reclamo noyb presso la DPA austriaca (DE)
- reclamo noyb presso la DPA italiana (IT)
Non c'è modo di aggirare il trasferimento dei dati personali. Quando creano un account con Fitbit, gli utenti europei sono obbligati ad "accettare il trasferimento dei loro dati negli Stati Uniti e in altri Paesi con leggi diverse sulla protezione dei dati". Ciò significa che i loro dati potrebbero finire in qualsiasi Paese del mondo, anche qualora questo non abbia le stesse tutele della privacy dell'UE. In altre parole: Fitbit costringe i suoi utenti ad acconsentire alla condivisione di dati sensibili senza fornire loro informazioni chiare sulle possibili implicazioni o sui Paesi specifici in cui i loro dati finiscono. Ciò si traduce in un consenso che non è né libero, né informato, né specifico, il che significa che il consenso chiaramente non soddisfa i requisiti del GDPR.
Dati altamente personali. Secondo l'informativa sulla privacy di Fitbit, i dati condivisi non comprendono solo l'indirizzo e-mail, la data di nascita e il sesso dell'utente. L'azienda può anche condividere "dati come i registri per il monitoraggio dell'alimentazione, del peso, del sonno, dell'acqua o della salute femminile, una sveglia e i messaggi sui forum di discussione o agli amici sui Servizi". I dati raccolti possono anche essere condivisi per l'elaborazione con società terze di cui non conosciamo l'ubicazione. Inoltre, è impossibile per gli utenti scoprire quali dati specifici sono interessati. Tutti e tre i denuncianti hanno esercitato il loro diritto di accesso alle informazioni presso il responsabile della protezione dei dati dell'azienda, ma non hanno mai ricevuto una risposta.
Maartje de Graaf, avvocato per la protezione dei dati presso noyb: "Prima si acquista un orologio Fitbit per almeno 100 euro. Poi si sottoscrive un abbonamento a pagamento, per poi scoprire che si è costretti ad accettare "liberamente" la condivisione dei propri dati con destinatari di tutto il mondo. A cinque anni dall'entrata in vigore del GDPR, Fitbit sta ancora cercando di imporre un approccio "prendere o lasciare""
Prendere o lasciare. Per assicurarsi che gli utenti possano cambiare idea, il GDPR dà a ogni persona il diritto di ritirare il proprio consenso. Almeno in teoria. L'informativa sulla privacy di Fitbit afferma che l'unico modo per revocare il consenso è cancellare l'account. Per i consumatori, questo significa perdere tutti gli allenamenti e i dati sanitari precedentemente tracciati. Questo vale anche se si acquista un abbonamento premium a 79,99 euro all'anno. Sebbene queste funzioni siano il motivo principale per cui si acquista un Fitbit, non esiste un modo realistico per riprendere il controllo sui propri dati senza rendere inutile il prodotto.
Bernardo Armentano, avvocato specializzato in protezione dei dati presso noyb: "Fitbit vuole che scriviate un assegno in bianco, permettendo loro di inviare i vostri dati ovunque nel mondo. Dato che l'azienda raccoglie i dati sanitari più sensibili, è sorprendente che non cerchi nemmeno di spiegare l'uso che ne fa, come richiesto dalla legge"
Trasferimenti massicci di dati non consentiti. Anche se ci fosse un modo per ritirare il consenso, Fitbit non sarebbe comunque conforme alla legge europea sulla privacy. Il GDPR afferma chiaramente che il consenso può essere utilizzato solo come eccezione al divieto di trasferimento dei dati al di fuori dell'UE, il che significa che il consenso può essere una base giuridica valida solo per trasferimenti di dati occasionali e non ripetitivi. Fitbit, tuttavia, utilizza di routine il consenso per condividere tutti i dati sanitari.
Romain Robert, uno dei denuncianti: "Fitbit può essere una bella applicazione per tenere traccia della propria forma fisica, ma quando si vuole saperne di più su come vengono gestiti i propri dati, si va incontro a una maratona"
Potenziale multa da un miliardo di dollari. noyb chiede alle autorità di protezione dei dati austriache, olandesi e italiane di ordinare a Fitbit di condividere tutte le informazioni obbligatorie sui trasferimenti con i suoi utenti e di consentire loro di utilizzare la sua app senza dover acconsentire ai trasferimenti di dati. Sulla base del fatturato di Alphabet (la società madre di Google) dello scorso anno, le autorità competenti potrebbero anche adottare una multa fino a 11,28 miliardi di euro.