Το Fitbit στοχεύει σε τρεις καταγγελίες μεταφοράς δεδομένων στην Ευρώπη
Το Fitbit που ανήκει στην Google αντιμετωπίζει μια τριάδα καταγγελιών περί απορρήτου στην Ευρωπαϊκή Ένωση που ισχυρίζονται ότι η εταιρεία εξάγει παράνομα δεδομένα χρηστών κατά παράβαση των κανόνων προστασίας δεδομένων του μπλοκ.
Οι καταγγελίες στοχεύουν στον ισχυρισμό της Fitbit ότι οι χρήστες έχουν συναινέσει σε διεθνείς μεταφορές των πληροφοριών τους — στις ΗΠΑ και αλλού — υποστηρίζοντας ότι η εταιρεία επιβάλλει τη συναίνεση από χρήστες που δεν πληρούν τα απαιτούμενα νομικά πρότυπα.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της ΕΕ ορίζει ένα σύνολο κανόνων για το πώς μπορούν να χρησιμοποιηθούν οι πληροφορίες των τοπικών χρηστών, συμπεριλαμβανομένης της απαίτησης από τους εκτελούντες την επεξεργασία δεδομένων να έχουν έγκυρη νομική βάση για την επεξεργασία δεδομένων ατόμων και τον έλεγχο των εξαγωγών δεδομένων. Οι παραβιάσεις του καθεστώτος μπορούν να επιφέρουν οικονομικές κυρώσεις έως και 4% του παγκόσμιου ετήσιου κύκλου εργασιών του παραβάτη.
Η νόμιμη βάση που ισχυρίζεται η Fitbit για την εξαγωγή δεδομένων χρηστών της ΕΕ — συναίνεση — πρέπει να πληροί ορισμένα πρότυπα για να είναι έγκυρη. Με λίγα λόγια, πρέπει να είναι ενημερωμένο, συγκεκριμένο και ελεύθερα. Ωστόσο, οι καταγγελίες υποστηρίζουν ότι η Fitbit επιβάλλει παράνομα τη συναίνεση, καθώς οι χρήστες που θέλουν να χρησιμοποιήσουν προϊόντα και
υπηρεσίες
για τις οποίες έχουν πληρώσει δεν έχουν επιλογή να συναινέσουν στις εξαγωγές δεδομένων για να λειτουργήσουν τα προϊόντα.
Οι καταγγελίες ισχυρίζονται επίσης ότι η Fitbit αποτυγχάνει
παρέχουν επαρκείς πληροφορίες στους χρήστες σχετικά με τη μεταφορά των δεδομένων τους — που σημαίνει ότι δεν μπορούν επίσης να παράσχουν ενημερωμένη συγκατάθεση, όπως απαιτεί ο GDPR.
Υπογραμμίζουν επίσης ότι οι χρήστες του Fitbit δεν μπορούν να αποσύρουν τη συγκατάθεσή τους, όπως θα έπρεπε να κάνουν σύμφωνα με τον GDPR — παρά μόνο να διαγράψουν τους λογαριασμούς τους στο Fitbit και να χάσουν όλες τις παρακολουθούμενες προπονήσεις τους. Πράγμα που σημαίνει ότι οι χρήστες του Fitbit αντιμετωπίζουν κυρώσεις για την ανάκληση της συγκατάθεσής τους για την εμπειρία του προϊόντος τους.
Ευρωπαϊκά δικαιώματα απορρήτου μη κερδοσκοπικού χαρακτήρα,
noyb
έχει υποβάλει τις καταγγελίες στις αρχές προστασίας δεδομένων στην Αυστρία, την Ολλανδία και την Ιταλία για λογαριασμό τριών (ανώνυμων) χρηστών του Fitbit.
Σχολιάζοντας σε δήλωση, η Maartje de Graaf, δικηγόρος προστασίας δεδομένων στο
noyb, είπε
: «Πρώτον, αγοράζετε ένα ρολόι Fitbit για τουλάχιστον 100 €. Στη συνέχεια, εγγράφεστε για μια συνδρομή επί πληρωμή, για να διαπιστώσετε ότι είστε αναγκασμένοι να συμφωνήσετε «ελεύθερα» στην κοινή χρήση των δεδομένων σας με παραλήπτες σε όλο τον κόσμο. Πέντε χρόνια μετά τον GDPR, η Fitbit εξακολουθεί να προσπαθεί να επιβάλει μια προσέγγιση «πάρε το ή άφησέ το».
Η noyb βρίσκεται πίσω από δεκάδες επιτυχημένες καταγγελίες για το GDPR τα τελευταία χρόνια — συμπεριλαμβανομένης μιας σειράς απεργιών κατά της Meta (
Facebook
) που οδήγησαν πρόσφατα στην ανακοίνωση της εταιρείας ότι θα στραφεί επιτέλους στο να ζητήσει τη συναίνεση των τοπικών χρηστών για την παρακολούθηση και το προφίλ που ενισχύει τη βασική συμπεριφορά της στόχευση διαφημίσεων. Έτσι, οι στρατηγικές διαφορές του noyb αξίζουν πάντα να παρακολουθούνται.
«Κατά τη δημιουργία λογαριασμού στο Fitbit, οι Ευρωπαίοι χρήστες είναι υποχρεωμένοι να «συμφωνήσουν στη μεταφορά των δεδομένων τους στις Ηνωμένες Πολιτείες και σε άλλες χώρες με διαφορετικούς νόμους περί προστασίας δεδομένων». Αυτό σημαίνει ότι τα δεδομένα τους θα μπορούσαν να καταλήξουν σε οποιαδήποτε χώρα σε όλο τον κόσμο που δεν έχει την ίδια προστασία απορρήτου με την ΕΕ», γράφει η noyb σε δελτίο τύπου που ανακοινώνει τις καταγγελίες της Fitbit. «Με άλλα λόγια: η Fitbit αναγκάζει τους χρήστες της να συναινέσουν στην κοινή χρήση ευαίσθητων δεδομένων χωρίς να τους παρέχει σαφείς πληροφορίες σχετικά με πιθανές επιπτώσεις ή τις συγκεκριμένες χώρες στις οποίες πηγαίνουν τα δεδομένα τους. Αυτό οδηγεί σε μια συναίνεση που
δεν είναι
ούτε δωρεάν, ενημερωμένη ή συγκεκριμένη — πράγμα που σημαίνει ότι η συγκατάθεση σαφώς δεν πληροί τις απαιτήσεις του GDPR.
«Σύμφωνα με την πολιτική απορρήτου της Fitbit, τα κοινά δεδομένα δεν περιλαμβάνουν μόνο πράγματα όπως τη διεύθυνση email ενός χρήστη, την ημερομηνία γέννησης και το
φύλο
. Η εταιρεία μπορεί επίσης να μοιράζεται δεδομένα όπως αρχεία καταγραφής για φαγητό,
βάρος
, ύπνο, νερό ή παρακολούθηση της υγείας των γυναικών. ένας συναγερμός? και μηνύματα στους πίνακες συζητήσεων ή στους φίλους σας στις Υπηρεσίες». Τα δεδομένα που συλλέγονται μπορούν ακόμη και να κοινοποιηθούν για επεξεργασία με τρίτες εταιρείες για τις οποίες δεν γνωρίζουμε πού βρίσκονται», συνεχίζει. «Επιπλέον, είναι αδύνατο για τους χρήστες να μάθουν ποια συγκεκριμένα δεδομένα επηρεάζονται. Και οι τρεις καταγγέλλοντες άσκησαν το δικαίωμά τους πρόσβασης σε πληροφορίες με τον Υπεύθυνο Προστασίας Δεδομένων της εταιρείας — αλλά δεν έλαβαν ποτέ απάντηση».
Οι καταγγελίες αμφισβητούν επίσης την εγκυρότητα του Fitbit που βασίζεται στη συγκατάθεση για τις συνήθεις μεταφορές ευαίσθητων δεδομένων εκτός του μπλοκ.
«Ο GDPR δηλώνει ξεκάθαρα ότι η συγκατάθεση μπορεί να χρησιμοποιηθεί μόνο ως εξαίρεση από την απαγόρευση διαβίβασης δεδομένων εκτός ΕΕ — πράγμα που σημαίνει ότι η συγκατάθεση μπορεί να είναι έγκυρη νομική βάση μόνο για περιστασιακές και μη επαναλαμβανόμενες μεταφορές δεδομένων. Το Fitbit, ωστόσο, χρησιμοποιεί τη συγκατάθεση για να μοιράζεται όλα τα δεδομένα υγείας τακτικά», προτείνει ο noyb, υποστηρίζοντας ότι οι μεταφορές του Fitbit είναι «σαφώς συστηματικές» και επίσης αμφισβητεί εάν μπορούν να «περάσουν το τεστ αυστηρής αναγκαιότητας», δεδομένου του πόσα προσωπικά δεδομένα (συμπεριλαμβανομένων ορισμένων ευαίσθητων δεδομένων ) εξάγεται τακτικά.
Ενώ το εκτελεστικό όργανο της ΕΕ, η Ευρωπαϊκή Επιτροπή, ενέκρινε μια νέα συμφωνία μεταφοράς δεδομένων επάρκειας με ομολόγους των ΗΠΑ τον περασμένο μήνα – μια συμφωνία υψηλού επιπέδου που στοχεύει στη συρρίκνωση των νομικών κινδύνων γύρω από τις διατλαντικές ροές δεδομένων – η noyb σημειώνει ότι η Fitbit δεν ισχυρίζεται ότι βασίζεται σε αυτό το αποκαλούμενο πλαίσιο προστασίας προσωπικών δεδομένων ΕΕ-ΗΠΑ για τις εξαγωγές δεδομένων των χρηστών της ΕΕ.
«Η Fitbit δεν δηλώνει στην πολιτική απορρήτου της ή αλλού ότι μεταφέρει δεδομένα βάσει του νέου πλαισίου, αλλά αντίθετα δηλώνει ότι χρησιμοποιεί συναίνεση και SCC [standard contractual clauses] ως «μηχανισμοί μεταφοράς»», είπε ο de Graaf στο TechCrunch. «Το Fitbit δεν είναι επίσης πιστοποιημένο βάσει του πλαισίου απορρήτου δεδομένων.
«Εκτός αυτού, είναι μόνο θέμα χρόνου μέχρι
noyb
θα αμφισβητήσει την εγκυρότητα του νέου πλαισίου ενώπιον του ΔΕΕ [Court of Justice of the EU]. Τα θεμελιώδη προβλήματα με τους νόμους περί επιτήρησης των ΗΠΑ εξακολουθούν να υπάρχουν».
Η noyb επιβεβαίωσε ότι αναμένει ότι οι τρεις καταγγελίες θα διοχετευθούν πίσω στον κύριο επόπτη προστασίας δεδομένων της Google στην ΕΕ, την Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (DPC), σύμφωνα με τον μηχανισμό one-stop-shop του GDPR για τον εξορθολογισμό των διασυνοριακών καταγγελιών.
Στις αρχές του 2019 η Google άλλαξε το
νομική δικαιοδοσία
όπου επεξεργάζεται δεδομένα ευρωπαίων χρηστών, από τις ΗΠΑ έως την οντότητά της με έδρα το Δουβλίνο, την Google Ireland Limited — γεγονός που οδήγησε στην απόκτηση του ευρωπαϊκού κεντρικού της γραφείου σύμφωνα με τον GDPR, που σημαίνει ηγετική επίβλεψη της συμμόρφωσης της Google με την ναυαρχίδα της ΕΕ Το καθεστώς προστασίας δεδομένων ανήκει στην ιρλανδική DPC. (Πριν από αυτό η Google είχε χτυπηθεί με μια πρώιμη επιβολή του GDPR στη Γαλλία σχετικά με στοιχεία του τρόπου λειτουργίας του λειτουργικού της Android smartphone.)
Η ιρλανδική ρυθμιστική αρχή συνεχίζει να επικρίνεται για τον ανοδικό ρυθμό, τις στροφές με στροφές ή απλώς την πλήρη έλλειψη επιβολής στους κορυφαίους τεχνολογικούς γίγαντες. Αυτό περιλαμβάνει την περίπτωση ορισμένων σημαντικών καταγγελιών GDPR που στοχεύουν την Google — όπως μια που επικεντρώνεται στην παρακολούθηση τοποθεσίας της Google (την οποία άνοιξε το DPC τον Φεβρουάριο του 2020). και ένα άλλο στο adtech της Google (το οποίο ξεκίνησε η ιρλανδική ρυθμιστική αρχή τον Μάιο του 2019). Καμία από αυτές τις έρευνες σε πτυχές της επιχείρησης της Google δεν έχει ακόμη αποδώσει απόφαση εκτός Ιρλανδίας. Και στην περίπτωση της τελευταίας έρευνας, η DPC πράγματι μήνυσε οι καταγγέλλοντες πέρυσι, οι οποίοι κατηγορούν τη ρυθμιστική αρχή ότι δεν διερεύνησε την ουσία της καταγγελίας.
Στην περίπτωση των πρόσφατων μεγάλων απεργιών του noyb στο Meta/Facebook, το DPC έχει επίσης κατηγορηθεί ότι παρεμπόδισε την επιβολή του νόμου υποστηρίζοντας τα επιχειρήματα του Meta — ένα εύρημα που ανατράπηκε από άλλες ΑΠΔ της ΕΕ και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) μέσω μια διαδικασία ένστασης και επανεξέτασης ενσωματώθηκε στον GDPR.
Έτσι, λαμβάνοντας υπόψη το ιστορικό της DPC στην επίβλεψη της μεγάλης τεχνολογίας, μια γρήγορη έκβαση σε αυτήν την τριάδα καταγγελιών Fitbit φαίνεται απίθανη — ακόμη και όταν η επιβολή του GDPR γενικότερα έχει συγκεντρώσει κάποια δυναμική, χάρη σε ένα αυξανόμενο σώμα διευκρινιστικών αποφάσεων του ΔΕΕ στα πέντε+ χρόνια από τότε που τέθηκε σε εφαρμογή.
Εάν οι καταγγελίες της noyb κατά της Fitbit πυροδοτήσουν έρευνα από το DPC – και επιβεβαιωθούν παραβιάσεις του GDPR – η Google μπορεί να αντιμετωπίσει πρόστιμα δισεκατομμυρίων δολαρίων, δεδομένου ότι η μητρική της εταιρεία, Alphabet, είδε τα ετήσια έσοδα της να έφτασαν τα 283 δισεκατομμύρια δολάρια πέρυσι. (Το noyb υποδηλώνει ότι θα μπορούσε να είναι έτοιμο για πρόστιμα έως και 11,28 δισεκατομμύρια ευρώ εάν επιβεβαιωθούν οι παραβάσεις.)
Παρόλο που, και πάλι, το DPC όχι μόνο απέφυγε να επιβάλει τις μέγιστες δυνατές κυρώσεις σε μεγάλες παραβιάσεις του GDPR στον τομέα της τεχνολογίας, τα προσχέδια αποφάσεών του έχουν συχνά χαμηλότερες ποινές από ό,τι οι άλλες ΑΠΔ της ΕΕ (και το EDPB) θεωρούν ως ενδεδειγμένο — οδηγώντας σε παρεμβάσεις στο πλαίσιο της διαφωνίας του κανονισμού μηχανισμοί διακανονισμού που συχνά αύξησαν τα επίπεδα των κυρώσεων που επιβλήθηκαν τελικά στην Ιρλανδία, παρόλο που αυτές οι ωθήσεις έχουν συνήθως προσθέσει πολλούς επιπλέον μήνες στα χρονοδιαγράμματα επιβολής. Αναμένετε λοιπόν ότι οποιαδήποτε επιβολή σε αυτές τις καταγγελίες θα είναι μαραθώνιος, όχι σπριντ.
