Fitbit tratterebbe in maniera illecita i dati personali dei propri utenti

Il reclamo è stato presentato presso l’Autorità privacy italiana, olandese ed austriaca: tra le diverse violazioni l’azienda costringerebbe gli utenti ad acconsentire al trasferimento di dati sensibili fuori dall’Unione Europea, pena l’impossibilità di utilizzare il servizio.

GDPR e Normativa Privacy Commentario, di Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale (d.lgs. n. 101/2018). Scarica gratuitamente l'estratto

1. Introduzione

Alcune settimane fa il gruppo noyb – European Center for Digital Rights, organizzazione no-profit attiva nella tutela del diritto alla privacy attraverso l’utilizzo del contezioso strategico, ha presentato reclamo (testo in calce) davanti al Garante privacy italiano, olandese ed austriaco contro Fitbit, popolare azienda nota per la produzione di smart tracker e software per il monitoraggio e l’analisi di dati relativi alla salute (acquistata da Google nel 2021).

Secondo noyb, l’azienda americana avrebbe violato il GDPR europeo costringendo gli utenti ad acconsentire al trasferimento dei dati raccolti dai tracker fuori dall’Unione Europea (tra cui troviamo dati relativi alla salute come frequenza cardiaca, analisi del sonno, ossigenazione del sangue oltre a dati sensibili inseribili dall’utente come età, sesso e presenza di situazioni cliniche pregresse) impedendo in caso di rifiuto l’utilizzo dell’app e dei relativi servizi e rendendo di conseguenza l’acquisto dei propri prodotti inutile.

2. Ricostruzione della vicenda

Nel reclamo (testo in calce) presentato presso l’Autorità italiana noyb ha ricostruito la fase di iscrizione all’app di un utente che aveva acquistato un fitness tracker dell’azienda per poterne utilizzare i relativi servizi.

Oltre all’accettazione dei termini di servizio e dell’informativa privacy l’utente si trovava a dover cliccare su una casella nella quale veniva richiesto di acconsentire “al trasferimento dei dati personali negli Stati Uniti e in altri paesi con leggi diverse sulla protezione dei dati”; in mancanza di tale consenso, il pulsante “avanti” non veniva reso disponibile e di conseguenza il processo di registrazione si interrompeva, rendendo tale consenso indispensabile per la finalizzazione della stessa.

Cliccando sul link “scopri di più” l’utente veniva reindirizzato all’informativa privacy completa presente sul sito internet di Fitbit, dalla quale si evinceva come l’azienda utilizzasse “molteplici basi legali” per trattare i dati degli utenti, senza tuttavia specificare quali (il riferimento è quindi generico): queste “model contractual clauses” potevano essere richieste direttamente a Fitbit (cosa che l’utente ha effettivamente fatto ma, anticipiamo, l’azienda non ha fornito alcuna risposta alla richiesta dell’utente).

Sempre nell’informativa veniva confermato che il trasferimento dei dati al di fuori dell’UE era condizione necessaria per la creazione dell’account, e che l’utente avrebbe dovuto accettare i relativi rischi derivanti dall’utilizzo di normative privacy con livelli di tutela inferiori rispetto al paese di provenienza; non veniva altresì fornito un elenco dei paesi nei quali sarebbero stati inviati i dati ad eccezione degli Stati Uniti.

Infine, veniva specificato come l’eventuale successiva revoca del consenso (previsto dall’art. 7 GDPR) sarebbe stata possibile solo attraverso l’eliminazione dell’account Fitbit.

Venendo ai dati raccolti, l’azienda richiedeva per la creazione dell’account che l’utente condividesse “nome, cognome, indirizzo email, password, data di nascita, sesso, altezza, peso e in alcuni casi numero di cellulare”; inoltre, gli utenti potevano condividere anche dati relativi a “cibo, peso, sonno, acqua assunta o monitoraggio della salute femminile, […] numero di passi effettuati, distanza percorsa, calorie bruciate, frequenza cardiaca, fasi del sonno, minuti attivi e posizione del dispositivo”.

Tali dati venivano utilizzati dall’azienda per finalità di “erogazione e mantenimento del servizio, miglioramento, personalizzazione e sviluppo del servizio, comunicazioni con l'utente, promozione della sicurezza e protezione”, e con le medesime finalità potevano essere quindi trasferite a paesi terzi.

Alla luce di ciò l’utente aveva pertanto deciso di contattare il Data Protection Officer dell’azienda per chiedere delucidazioni in merito all’informativa privacy (ex artt. 12 e 39 GDPR), senza ricevere tuttavia alcuna risposta.

3. Motivi del reclamo

Secondo noyb le violazioni del GDPR sarebbero molteplici.

In primis, Fitbit non avrebbe indicato, in violazione degli artt. 5, 12, 13, 44 e 49 GDPR, in quali paesi verrebbero trasferiti i dati degli utenti (eccezion fatta per gli Stati Uniti) e la base giuridica su cui si baserebbero questi trasferimenti (ad es. consenso o clausola contrattuale tipo).

A ciò va aggiunto che l’imposizione all’utente dell’accettazione del rischio derivante dal trasferimento dei dati in questi paesi risulta essere una pratica sconsigliata dall’European Data Protection Board (come indicato all’interno delle Linee guida dell’Aprile 2019, par. 7).

L’azienda non avrebbe risposto alla richiesta di informazioni inviata dall’utente in violazione degli artt. 12 e 15 GDPR, che impongono al titolare del trattamento di “fornire informazioni all'interessato senza ingiustificato ritardo e in ogni caso entro un mese dal ricevimento della richiesta”. La mancata risposta da parte del titolare avrebbe altresì impedito all’utente “di comprendere come sarebbero trattati i suoi dati personali” (principio di trasparenza, art. 5 GDPR), con la conseguenza di non poter esercitare i propri diritti come interessato.

Inoltre, Fitbit avrebbe utilizzato contemporaneamente diverse basi giuridiche per trasferire i dati degli utenti in altri paesi in violazione degli artt. 44 e 49 GDPR: quest’ultimo stabilisce che "in mancanza di una decisione di adeguatezza [...] o di garanzie adeguate ai sensi dell'articolo 46 (es. clausole contrattuali tipo), è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo sulla base di una delle deroghe ivi previste (es. consenso)”.

Secondo noyb questo comporterebbe che “quando il responsabile del trattamento utilizza clausole contrattuali tipo, non può utilizzare contemporaneamente il consenso come base giuridica per effettuare trasferimenti internazionali di dati”; questo alla luce anche delle linee guida dell’EDPB, che nelle proprie osservazioni del Febbraio 2018 sulle deroghe dell'articolo 49 raccomanda agli esportatori di “esplorare la possibilità di collocare il trasferimento nell’ambito dei meccanismi di cui agli articoli 45 e 46 del GDPR e soltanto qualora ciò non fosse possibile, di ricorrere alle deroghe di cui all’articolo 49”.

L’utilizzo contemporaneo del consenso e delle clausole contrattuali tipo come basi giuridiche per il trasferimento dei dati violerebbe altresì il principio di correttezza, in quanto agli utenti Fitbit non verrebbe concesso alcun controllo efficace sui propri dati dal momento che tale trasferimento verrebbe prima basato sul consenso, ma anche su clausole contrattuali ad essi sconosciute. Una criticità emerge subito vagliando l’ipotesi in cui l’utente decidesse di revocare il consenso: in quel caso, come si comporterebbe Fitbit?

I trasferimenti verrebbero interrotti per via di tale revoca, oppure verrebbero comunque perpetrati aggirando la revoca grazie all’utilizzo delle clausole contrattuali?

Inoltre, è sempre l’EPDB a ricordare che, anche se prestato, il consenso non sarebbe una base appropriata in caso di trasferimenti sistematici di dati tra diversi paesi, in quanto il termine “occasionali” del considerando 111 e il termine “non ripetitivi” dell'articolo 49 GDPR indicano come le deroghe concesse dallo stesso art. 49 (tra le quali rientra appunto il consenso esplicito) devono intese come eccezioni alla regola secondo la quale “i dati personali possono essere trasferiti verso paesi terzi soltanto se il paese di destinazione offre un livello adeguato di protezione dei dati oppure, in alternativa, se sono messe in atto adeguate garanzie”.

Il trasferimento di dati posto in essere da Fitbit non può chiaramente essere ritenuto occasionale, essendo invece la regola base con cui l’azienda gestirebbe i trasferimenti transnazionali dei dati degli utenti.

Infine, noyb ritiene che il consenso fornito dall’utente non sarebbe valido.

Affinché possa essere considerato valido ricordiamo infatti che il consenso:

• deve essere fornito liberamente, per uno scopo specifico, e deve essere informato;

• devono essere chiaramente indicati tutti i motivi del trattamento e le finalità per le quali viene richiesto;

• deve essere esplicito e fornito tramite un atto positivo;

• deve utilizzare un linguaggio semplice e chiaro;

• deve poter essere revocato dall’utente in qualsiasi momento con le modalità indicate dal titolare.

Inoltre, il consenso si considera informato quando:

• il soggetto che l’ha concesso è libero al momento della scelta sulla sua concessione

• può rifiutare o revocare il consenso senza ritrovarsi in una situazione di svantaggio (in questa casistica rientra ad esempio il caso in cui un’azienda/organizzazione richieda il consenso al trattamento di dati personali non necessari come condizione previa per l’adempimento di un contratto o di un servizio);

• vengono elencati il tipo di dati che vengono trattati;

• vengono illustrati i possibili rischi di un trasferimento di dati verso paesi terzi non soggetti a decisioni della Commissione Europea in merito all'adeguatezza e privi di garanzie appropriate.

Secondo l’ente no-profit infatti, anche nel caso in cui il consenso venisse utilizzato come regola generale per il trasferimento di dati verso paesi terzi, quello richiesto da Fitbit non sarebbe valido in quanto

• a) non informato,
• b) non specifico e
• c) non liberamente prestato,

secondo quanto previsto dagli artt. 4, 7 e 49 GDPR.

In merito al punto a), all’utente non sarebbero state fornite le informazioni richieste dalla normativa in merito al trattamento dei propri dati: in particolare, l’EPDB richiede che vengano forniti in primis i dati generali del titolare (ovvero propria identità, scopo del trasferimento, tipo di dati utilizzati, esistenza del diritto di revoca del consenso, identità o categorie di destinatari), e qualora i dati personali degli utenti vengano trasferiti verso un paese terzo ai sensi dell'articolo 49 GDPR, gli interessati devono essere informati anche dei rischi specifici derivanti da tali trasferimenti, oltre ad indicare:

• tutti i destinatari dei dati o le categorie di destinatari;

• tutti i Paesi verso i quali vengono trasferiti i dati personali;

• che il consenso costituisce la base legittima del trasferimento;

• che il paese terzo a cui saranno trasferiti i dati non prevede un livello equivalente di protezione dei dati sulla base di una decisione della Commissione europea.

Come visto, queste informazioni non sarebbero mai state fornite all’utente, né all’interno dell’informativa privacy né tantomeno dal DPO (visto che quest’ultimo non ha mai risposto alla richiesta dell’utente).

In merito al punto b), Fitbit non avrebbe fornito “alcuna informazione sulle circostanze del trasferimento […] né avrebbe mai fornito l'elenco dei paesi verso i quali i dati del Reclamante sarebbero stati trasferiti o le finalità di tali trasferimenti”.

L’EPDB osserva come “poiché il consenso deve essere specifico, talvolta non è possibile ottenerlo in via preventiva per un trasferimento futuro già all’atto della raccolta dei dati; se ad esempio le circostanze specifiche e il trasferimento stesso non sono noti al momento in cui è richiesto il consenso, non è possibile verificarne l’impatto sull’interessato”.

Infine, riguardo al punto c), è opportuno ricordare come il considerando 43 del GDPR affermi che “il consenso non si considera liberamente espresso se [...] l'esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”: in questa linea, il consenso può quindi essere un motivo legittimo per il trattamento solo se agli interessati viene offerta una scelta reale tra l’accettazione dei termini di un servizio e il loro rifiuto senza da questo ne derivi alcun pregiudizio.

Sempre le Linee guida dell’EPDB ci ricordano che “se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio”.

Nel caso di Fitbit la mancata concessione del consenso impediva in toto la fruizione del servizio, apparendo decisamente limitante per l’utente.

Inoltre secondo noyb, anche nel caso in cui venissero utilizzate le clausole contrattuali tipo come base giuridica queste non sarebbero idonee al trasferimento dei dati personali degli utenti negli Stati Uniti.

Va ricordato infatti che “le clausole tipo di protezione dei dati adottate dalla Commissione ai sensi dell’articolo 46 GDPR mirano unicamente a fornire ai titolari del trattamento o ai responsabili del trattamento stabiliti nell’Unione garanzie contrattuali che si applicano in modo uniforme in tutti i paesi terzi e, pertanto, indipendentemente dal livello di protezione garantito in ciascuno di essi; tali clausole tipo di protezione dei dati non possono, tenuto conto della loro natura, fornire garanzie che vadano al di là di un obbligo contrattuale di vegliare al che sia rispettato il livello di protezione richiesto dal diritto dell’Unione, esse possono richiedere, in funzione della situazione esistente nell’uno o nell’altro paese terzo, l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (sentenza CGUE C-311/18).

Oltre alle clausole contrattuali tipo è necessario quindi che il titolare adotti delle specifiche misure supplementari che integrino la tutela “base” fornite da queste clausole, affinché queste garantiscano complessivamente un livello di protezione pari o superiore a quello previsto all’interno dell’Unione Europea.

Ciò risulta a maggior ragione indispensabile in quanto il diritto interno degli Stati Uniti prevede la possibilità per le autorità pubbliche di accedere ai dati personali trasferiti dall'estero, e pertanto delle generiche clausole non sono sufficienti a garantire un livello equivalente a quello presente nell’Unione Europea.

Fitbit non menzionerebbe queste misure supplementari, con la conseguenza di violare gli artt. 44 e 46 GDPR.

4. Conclusioni e richieste

In conclusione, secondo noyb Fitbit trasferirebbe verso paesi terzi i dati degli utenti in assenza di una base giuridica valida, in quanto non verrebbero soddisfatti i requisiti richiesti dal Capitolo V.

Il gruppo noyb ha chiesto quindi al Garante per la protezione dei dati personali di ordinare a Fitbit di fornire “informazioni complete sui trasferimenti internazionali di dati personali, considerando che Fitbit non ha risposto alla sua richiesta di accesso”.

Secondo il reclamante, le informazioni fornite da Fitbit dovrebbero includere almeno:

1. tutti i destinatari o categorie di destinatari dei dati;

2. tutti i Paesi verso i quali i dati personali sono trasferiti;

3. qual è la base giuridica di tali trasferimenti;

4. se la base giuridica è CCT, fornire copia di tali clausole;

5. lo scopo di tali trasferimenti;

6. quali sono i rischi specifici connessi a tali trasferimenti;

7. l'esistenza o meno di garanzie supplementari.

Inoltre, al fine di rispettare gli artt. 5 e 12 GDPR, e considerando “che Google afferma di essere il fornitore esclusivo di Fitbit e l'unico titolare del trattamento dei dati degli utenti che tentano di registrarsi o si registrano a partire dal 06/06/2023”, noyb ha chiesto all'Autorità garante di chiarire chi sia l’effettivo titolare del trattamento dinanzi al quale gli utenti possono esercitare i propri diritti.

Altresì, il reclamante ha chiesto all’Autorità di valutare la sussistenza degli elementi per infliggere una sanzione pecuniaria all’azienda, che ai sensi dell’art. 83 GDPR può arrivare fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

IN COLLABORAZIONE CON

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!