[ad_1]
Fitbit, propiedad de Google, se enfrenta a tres quejas de privacidad en la Unión Europea, alegando que la empresa está exportando ilegalmente datos de usuarios en violación de las normas de protección de datos de la Unión.
Las quejas apuntan a la afirmación de Fitbit de que los usuarios han dado su consentimiento a la transferencia internacional de sus datos (a Estados Unidos y otros lugares) y argumentan que la compañía está haciendo cumplir el consentimiento del usuario que no cumple con los estándares legales requeridos.
El Reglamento General de Protección de Datos de la UE (GDPR) establece un conjunto de reglas sobre cómo se puede utilizar la información de los usuarios locales. Estas incluyen exigir que los procesadores de datos tengan una base legal válida para procesar datos personales y establecer controles para las exportaciones de datos. Las violaciones de las normas pueden ser castigadas con multas de hasta el 4% del volumen de negocios anual mundial del infractor.
La base legal de Fitbit para exportar datos de usuarios de la UE (el consentimiento) debe cumplir ciertos estándares para ser válida. En definitiva, debe ser informado, concreto y gratuito. Sin embargo, las quejas argumentan que Fitbit está aplicando ilegalmente el consentimiento porque los usuarios que quieren utilizar productos y servicios por los que han pagado no tienen más remedio que dar su consentimiento a las exportaciones de datos para que los productos funcionen.
Las denuncias también alegan que Fitbit falló Proporcionar a los usuarios información adecuada sobre la transferencia de sus datos, lo que significa que tampoco pueden dar su consentimiento informado, como exige el RGPD. También enfatizan que los usuarios de Fitbit no pueden retirar su consentimiento, como deberían hacerlo según el RGPD, a menos que eliminen sus cuentas de Fitbit y pierdan todos sus entrenamientos grabados. Esto significa que los usuarios de Fitbit se enfrentan a una penalización en su experiencia con el producto si retiran su consentimiento.
La organización europea sin fines de lucro de derechos de protección de datos noyb presentó las quejas en nombre de tres usuarios (anónimos) de Fitbit ante las autoridades de protección de datos de Austria, Países Bajos e Italia.
En un comunicado, Maartje de Graaf, abogado de protección de datos de noyb dijo: “Primero compras un reloj Fitbit por al menos 100€. Luego te registras para obtener una suscripción paga y luego te encuentras obligado a aceptar «voluntariamente» compartir tus datos con destinatarios de todo el mundo. Cinco años después de la introducción del RGPD, Fitbit todavía está intentando imponer el enfoque «tómalo o déjalo».
noyb ha estado detrás de numerosas quejas exitosas sobre GDPR en los últimos años, incluida una serie de ataques contra Meta (Facebook) que recientemente llevaron a la compañía a anunciar que finalmente exigirá el consentimiento del usuario local para el seguimiento y la elaboración de perfiles que impulsan su comportamiento principal. orientación de anuncios. Por lo tanto, siempre vale la pena observar el litigio estratégico de Noyb.
«Al crear una cuenta con Fitbit, los usuarios europeos deben ‘dar su consentimiento para la transferencia de sus datos a los Estados Unidos y otros países con diferentes leyes de protección de datos'». Eso significa que sus datos podrían terminar en cualquier país del mundo que no tiene el mismo nivel de protección de datos que la UE”, escribe noyb en un comunicado de prensa anunciando las quejas de Fitbit. «En otras palabras, Fitbit obliga a sus usuarios a dar su consentimiento para compartir datos confidenciales sin darles información clara sobre las posibles implicaciones o los países específicos a los que se dirigen sus datos». Esto se traduce en un consentimiento que no es libre, informado ni específico. – lo que significa que el consentimiento claramente no cumple con los requisitos del RGPD”.
«Según la política de privacidad de Fitbit, los datos compartidos no incluyen sólo cosas como la dirección de correo electrónico, la fecha de nacimiento y el sexo de un usuario. La empresa también podrá compartir datos como registros de nutrición, peso, sueño, agua o seguimiento de la salud femenina; una alarma; y mensajes en foros de discusión o a sus amigos en los Servicios. Los datos recopilados pueden incluso transmitirse a terceras empresas para su procesamiento, cuya ubicación desconocemos. «Además, los usuarios no pueden saber en absoluto qué datos concretos están afectados. Los tres denunciantes ejercieron su derecho de acceso al responsable de protección de datos de la empresa, pero nunca recibieron respuesta”.
Las quejas también cuestionan la validez de las afirmaciones de que Fitbit depende del consentimiento para transferencias rutinarias de datos confidenciales fuera de bloque.
“El RGPD establece claramente que el consentimiento sólo puede utilizarse como excepción a la prohibición de transferencias de datos fuera de la UE, lo que significa que el consentimiento sólo puede ser una base jurídica válida para transferencias de datos ocasionales y no repetitivas. Sin embargo, Fitbit utiliza el consentimiento para compartir de forma rutinaria todos los datos de salud”, sugiere noyb, argumentando que las transferencias de Fitbit son “claramente sistemáticas”. También está la cuestión de si, dado el volumen de datos personales (incluidos algunos datos sensibles), pueden “pasar la prueba de estricta necesidad”. ) se exporta regularmente.
Si bien el órgano ejecutivo de la UE, la Comisión Europea, adoptó el mes pasado un nuevo acuerdo de adecuación de datos con sus homólogos estadounidenses (un acuerdo de alto nivel destinado a reducir los riesgos legales asociados con los flujos de datos transatlánticos), noyb señala que Fitbit no afirma depender de el llamado Marco de Privacidad de Datos UE-EE.UU. para las exportaciones de datos de usuarios de la UE.
“Fitbit no establece en su política de privacidad ni en ningún otro lugar que transferirá datos según el nuevo marco, pero que utiliza el consentimiento y las cláusulas contractuales estándar. [standard contractual clauses] como ‘mecanismos de transmisión'», dijo de Graaf a TechCrunch. “Fitbit tampoco está certificado según la Ley de Protección de Datos.
«Además de eso, es sólo cuestión de tiempo antes de que noyb impugnará la validez del nuevo marco ante el TJUE [Court of Justice of the EU]. Los problemas fundamentales con las leyes de vigilancia estadounidenses persisten”.
noyb confirmó que espera que las tres quejas se remitan al principal regulador de protección de datos de Google en la UE, la Comisión de Protección de Datos (DPC) de Irlanda, en línea con el mecanismo de ventanilla única del GDPR para agilizar las quejas transfronterizas.
A principios de 2019, Google transfirió la jurisdicción legal sobre el procesamiento de datos de usuarios europeos de los EE. UU. a su empresa con sede en Dublín, Google Ireland Limited, lo que dio como resultado que su sede europea obtuviera el estatus de «oficina central» según el RGPD, lo que significa la supervisión principal de la El cumplimiento por parte de Google de las normas clave de protección de datos de la UE recae en el DPC irlandés. (Anteriormente, en Francia, Google se vio afectado por una aplicación anticipada del RGPD en relación con elementos del funcionamiento de su sistema operativo para teléfonos inteligentes Android).
El regulador irlandés sigue enfrentándose a críticas por su lentitud, sus caminos tortuosos o simplemente una total falta de cumplimiento por parte de los principales gigantes tecnológicos. Esto también es cierto en el caso de una serie de quejas importantes del RGPD dirigidas contra Google; por ejemplo, una queja centrada en el seguimiento de la ubicación de Google (que la DPC abrió en febrero de 2020); y otro en adtech de Google (que el regulador irlandés lanzó en mayo de 2019). Ninguna de estas investigaciones sobre aspectos del negocio de Google ha dado lugar a una decisión fuera de Irlanda. Y en el caso de esta última investigación, la DPC fue demandada por denunciantes el año pasado, quienes acusaron al regulador de no investigar el fondo de la denuncia.
En el caso de los recientes grandes ataques de noyb a Meta/Facebook, el DPC también ha sido acusado de obstruir la aplicación al hacerse eco de los argumentos de base legal de Meta, una conclusión revocada por otras autoridades de protección de datos de la UE y el Comité Europeo de Protección de Datos (EDPB). y procedimiento de revisión integrado en el RGPD.
Dado el historial de la DPC en la supervisión de grandes empresas de tecnología, parece poco probable que se obtenga un resultado rápido para estas tres quejas sobre Fitbit, incluso si la aplicación del RGPD en general ha ganado cierto impulso gracias a un creciente número de sentencias aclaratorias del TJUE en los más de cinco años transcurridos desde su entrada en vigor. .
Si las quejas de Noyb contra Fitbit provocan una investigación por parte del DPC (y luego se confirman las violaciones del RGPD), Google podría enfrentar miles de millones en multas, dado que la empresa matriz Alphabet informó ventas anuales de 283 mil millones de dólares el año pasado. (Noyb cree que la empresa podría enfrentarse a multas de hasta 12.400 millones de euros si se confirman las violaciones).
Si bien, una vez más, la DPC no solo se ha abstenido de imponer las sanciones más altas posibles por violaciones importantes del RGPD por parte de grandes grupos tecnológicos, sus proyectos de decisiones a menudo prevén sanciones más bajas que las que otras autoridades de protección de datos de la UE (y el CEPD) consideran apropiadas, lo que lleva a intervenciones. en la controversia sobre el Reglamento ha dado lugar a mecanismos de solución que a menudo han dado lugar a mayores sanciones finalmente impuestas en Irlanda, aunque estos reveses normalmente han ampliado los períodos de ejecución muchos meses más. Así que esperemos que la aplicación de estas quejas sea un maratón, no una carrera corta.
[ad_2]