A Fitbit, propriedade da Google, enfrenta um trio de queixas de privacidade na União Europeia alegando que a empresa está a exportar ilegalmente dados dos utilizadores, violando as regras europeias de proteção de dados. A empresa tem outra leitura e o braço de ferro poderá levar a multa de milhões de euros.
A União Europeia (UE) diz que a Fitbit, empresa propriedade da Google, está a usar e a enviar dados dos utilizadores que não estão de acordo com as regras europeias. As queixas visam a alegação da Fitbit de que os utilizadores consentiram nas transferências internacionais das suas informações — para os EUA e outros países — argumentando que a empresa está a forçar o consentimento dos utilizadores, o que não cumpre as normas legais exigidas.
O Regulamento Geral sobre a Proteção de Dados (RGPD) da UE estabelece um conjunto de regras sobre a forma como as informações dos utilizadores locais podem ser utilizadas. Nele está incluída a exigência de que os processadores de dados tenham uma base jurídica válida para o tratamento dos dados das pessoas e o estabelecimento de controlos sobre as exportações de dados.
As violações do regime podem implicar sanções financeiras que podem atingir 4% do volume de negócios anual global do infrator.
Utilizadores podem estar forçados: ou aceitam, ou… aceitam!
A base legal invocada pela Fitbit para exportar os dados dos utilizadores da União Europeia — o consentimento — tem de cumprir determinadas normas para ser válida. Em suma, o utilizador tem de ser informado, e o consentimento tem de ser específico e dado livremente.
Contudo, as queixas alegam que a Fitbit força ilegalmente o consentimento, uma vez que os utilizadores que pretendem utilizar produtos e serviços pelos quais pagaram não têm qualquer opção de consentir a exportação de dados para os produtos funcionarem.
A organização europeia sem fins lucrativos de defesa dos direitos de privacidade, noyb, apresentou queixas às autoridades de proteção de dados da Áustria, Países Baixos e Itália em nome de três utilizadores (não identificados) da Fitbit.
Maartje de Graaf, advogada da noyb para a proteção de dados, comentou num comunicado:
Primeiro, compra-se um relógio Fitbit por, pelo menos, 100 euros. Depois, subscreve-se uma assinatura paga, apenas para descobrir que se é forçado a concordar “livremente” com a partilha dos seus dados com destinatários em todo o mundo. Cinco anos após a entrada em vigor do RGPD, a Fitbit continua a tentar impor uma abordagem do tipo “pegar ou largar”.
A noyb tem estado por detrás de dezenas de queixas bem sucedidas contra o RGPD nos últimos anos – incluindo uma série de ataques contra a Meta (Facebook). As suas ações levaram recentemente a empresa a anunciar que vai finalmente passar a pedir o consentimento dos utilizadores locais para o rastreio e a definição de perfis que alimentam a sua principal segmentação de anúncios comportamentais. Por isso, vale sempre a pena acompanhar os litígios estratégicos da noyb.
Ao criar uma conta na Fitbit, os utilizadores europeus são obrigados a “concordar com a transferência dos seus dados para os Estados Unidos e outros países com leis de proteção de dados diferentes”. Isto significa que os seus dados podem acabar em qualquer país que não tenha as mesmas proteções de privacidade que a UE.
Por outras palavras: A Fitbit força os seus utilizadores a consentir na partilha de dados sensíveis sem lhes fornecer informações claras sobre possíveis implicações ou sobre os países específicos para onde vão os seus dados. Isto resulta num consentimento que não é livre, informado ou específico — o que significa que o consentimento não cumpre claramente os requisitos do RGPD.
De acordo com a política de privacidade da Fitbit, os dados partilhados não incluem apenas informações como o endereço de correio eletrónico, a data de nascimento e o sexo do utilizador. A empresa também pode partilhar dados como registos de alimentação, peso, sono, água ou acompanhamento da saúde feminina; um alarme; e mensagens em fóruns de discussão ou para os seus amigos nos Serviços.
Os dados recolhidos podem até ser partilhados para processamento com empresas terceiras, das quais não sabemos onde estão localizadas. Além disso, é impossível para os utilizadores saberem quais os dados específicos que são afetados. Os três queixosos exerceram o seu direito de acesso à informação junto do responsável pela proteção de dados da empresa, mas nunca obtiveram resposta.
Escreve o noyb num comunicado de imprensa que anuncia as queixas da Fitbit.
As queixas também questionam a validade do facto de a Fitbit se basear no consentimento para o que são transferências de rotina de dados sensíveis para fora do espaço europeu aderente.
O RGPD afirma claramente que o consentimento só pode ser usado como uma exceção à proibição de transferências de dados para fora da UE — o que significa que o consentimento só pode ser uma base legal válida para transferências de dados ocasionais e não repetitivas. A Fitbit, no entanto, está a utilizar o consentimento para partilhar todos os dados de saúde de forma rotineira.
Refere a noyb , argumentando que as transferências da Fitbit são “claramente sistemáticas” e questionando também se podem “passar o teste da necessidade estrita”, dada a quantidade de dados pessoais (incluindo alguns dados sensíveis) que estão a ser exportados de forma rotineira.
Embora o órgão executivo da UE, a Comissão Europeia, tenha adotado no mês passado um novo acordo de adequação da transferência de dados com os homólogos norte-americanos – um acordo de alto nível que visa reduzir os riscos legais em torno dos fluxos de dados transatlânticos – a noyb observa que a Fitbit não afirma confiar no chamado Quadro de Privacidade de Dados UE-EUA para as exportações de dados dos utilizadores da UE.
A Fitbit não declara na sua política de privacidade ou noutro local que transfere dados ao abrigo do novo quadro, mas afirma que utiliza o consentimento e as SCC [cláusulas contratuais-tipo] como “mecanismos de transferência”.
A Fitbit também não está certificada ao abrigo do quadro de privacidade de dados.
Para além disso, é apenas uma questão de tempo até a noyb contestar a validade do novo quadro perante o TJUE [Tribunal de Justiça da UE]. Os problemas fundamentais das leis de vigilância dos EUA continuam a existir
Disse de Graaf ao TechCrunch.
A noyb confirmou que espera que as três reclamações sejam encaminhadas para o principal órgão de proteção de dados do Google na União Europeia, a Comissão de Proteção de Dados da Irlanda (DPC), de acordo com o mecanismo de balcão único do RGPD para agilizar as reclamações transfronteiriças.