Fitbit, app di proprietà di Google per il monitoraggio della salute e del fitness, è stata oggetto di tre reclami da parte di NOYB (acronimo che sta per None of Your Business), l’ONG guidata dall’attivista e avvocato per i diritti della Privacy Maximilian Schrems, dinnanzi alle autorità garanti per la protezione dei dati personali di Austria, Olanda e Italia.
I reclami contengono diversi punti e spunti, che in effetti, leggendo la privacy policy dell’app, non si faticano a comprendere. Sono talmente tanti i punti di non conformità dell’informativa privacy di Fitbit, che per risparmiare tempo si farebbe prima a enumerare le poche cose che invece funzionano.
Scherms dimostra ancora una volta non solo di farsi portavoce delle istanze privacy della collettività e di aver preso a cuore il suo ruolo di “sceriffo del web”, ma di voler condurre una particolare crociata contro il trasferimento di dati all’estero. Nei reclami presentati, infatti (e per la verità si fatica a non essere d’accordo con lui), uno degli snodi cruciali è proprio questo del trasferimento dei dati, non solo verso gli USA, ma in generale verso Paesi esteri.
Ma andiamo con ordine.
Per approfondire si consiglia: I ricorsi al Garante della privacy
Indice
1. Fitbit: che cos’è e come funziona
Si tratta di una app appartenente all’universo Google, come ce ne sono tante altre sui vari store, che si può scaricare dal Google Play sia autonomamente, sia in abbinata con uno smartwatch. Una volta scaricata, si crea un account, compilandolo con i propri dati anagrafici e inserendo anche varie informazioni sul proprio stato di salute e in generale dati che una volta si sarebbero definiti sensibili, oggi li chiamiamo appartenenti a categorie particolari ex art. 9 GDPR, ma la sostanza non cambia: oltre a nome, indirizzo e-mail, password, ci viene richiesta la data di nascita, il sesso, altezza, peso, numero di cellulare, posizione, frequenza cardiaca, monitoraggio del ciclo e molto altro. Tutto questo al fine di monitorare il nostro stile di vita, aiutarci a mantenere migliori livelli di fitness e wellness, migliorare l’alimentazione, assisterci nell’allenamento, in una parola un vero e proprio personal trainer online a nostra disposizione per ottenere uno stile di vita più sano e longevo.
L’app presenta due versioni, base (gratuita) e premium (a pagamento), con funzionalità aggiuntive. Sembrerebbe tutto molto bello e di fatto lo è, considerando che avere un buono stile di vita è non solo essenziale per noi, ma anche economicamente più sostenibile per la società, ma l’associazione per la privacy di Schrems si è accorta (e bastava leggere la privacy policy per accorgersene, ma questa piccola formalità tende a essere dimenticata dalla maggior parte di noi) che il prezzo da pagare per le meraviglie di Fitbit è molto alto.
E no, non ci si riferisce al prezzo della versione premium, ma al solito prezzo che sul web paghiamo senza rendercene conto e di cui forse col tempo scopriremo il vero valore: i nostri dati. Fitbit ne fa una vera e propria incetta, e apparentemente non sempre in maniera del tutto regolare.
Potrebbero interessarti anche:
2. Il reclamo al Garante italiano
Il reclamo di NOYB si fonda su diversi punti, tutti piuttosto rilevanti dal punto di vista del trattamento dei dati.
Innanzi tutto, partiamo dalla gestione dei consensi. La politica di Fitbit, contestata da Schrems, è quella cosiddetta “Agree or Leave”, detto in altri termini o ti va bene quello che noi decidiamo di fare dei tuoi dati personali, oppure non puoi scaricare né utilizzare la nostra app.
I consensi vengono raccolti “in bianco”, senza i requisiti di granularità e specificità richiesti dalla norma, per non parlare della libertà, giacché un consenso estorto di certo non si può dire libero. Anche per quanto attiene la revocabilità, essa è resa sostanzialmente impossibile, poiché può avvenire solo con la cancellazione dell’account, con conseguente perdita di tutti i dati registrati ed impossibilità di utilizzare l’app e lo smartwatch. Si potrebbe obiettare che l’app è totalmente gratuita e che quindi è legittimo che l’utente paghi il servizio con il consenso al trattamento dei dati, ma al di là dell’erroneità di questo ragionamento e del fatto che ciò aprirebbe un universo di riflessioni sul tema della commercializzazione dei dati personali (non esclusa in via assoluta dalla normativa, ma possibile solo in presenza di precise condizioni), non è nemmeno vero questo. Anche la versione premium di Fitbit, a pagamento, richiede i medesimi consensi al trattamento dei dati.
Peraltro, anche i dati particolari raccolti dall’app vengono richiesti e finiscono nel “calderone” generale dei consensi in bianco, mentre la normativa è molto specifica nel rilevare che qualunque trattamento di dati appartenenti alle categorie particolari (art. 9 GDPR) deve essere fondato su un consenso informato, libero, inequivoco e revocabile. E anche sull’informativa in sé ci sarebbe molto da ridire, si tratta di un documento lungo e non di facile comprensione, ma che non contiene i requisiti essenziali di cui all’art. 13 del Regolamento.
Per quanto riguarda il tema del trasferimento di dati all’estero, il reclamo evidenzia che, durante la creazione dell’account, il consenso onnicomprensivo richiesto comprende anche il trasferimento dei dati personali verso gli Stati Uniti e altri Paesi al di fuori dell’Unione Europea, senza tuttavia fornire un elenco dettagliato di questi Paesi ed anzi avvertendo (bontà sua) esplicitamente che tali nazioni potrebbero avere leggi sulla protezione dei dati personali che offrono livelli di sicurezza inferiori rispetto alle normative vigenti nel Paese dell’utente. Quindi, l’app suggerisce che prestando il consenso (che è obbligatorio quindi c’è poco da scegliere…), l’utente assume su di sé il rischio associato a questa potenziale minore protezione dei dati. Approccio questo in totale contraddizione con i principi del GDPR, che richiedono che il responsabile del trattamento dei dati garantisca un adeguato livello di protezione dei dati personali quando vengono effettuati trasferimenti transfrontalieri.
3. E la base giuridica?
La normativa ci insegna che il consenso può essere utilizzato come base giuridica per il trasferimento di dati personali verso un Paese terzo solo in assenza di una decisione di adeguatezza da parte della Commissione Europea o in mancanza di “garanzie adeguate,” come ad esempio le Standard Contractual Clauses, le clausole contrattuali standard approvate dalla Commissione.
Dunque, consenso e decisioni di adeguatezza sono alternativi tra loro e non possono essere invocati cumulativamente per il trasferimento dei dati, mentre Fitbit confonde le carte (o meglio, le confonde ulteriormente), riferendosi alternativamente sia alle clausole contrattuali standard, sia al consenso degli utenti: il risultato è che i dati vengono trasferiti, non si sa dove e non si sa su quali basi.
A coronamento finale di questo “pasticciaccio brutto” l’informativa in cui tutte queste informazioni sono contenute è confusa, carente e non adeguata a integrare i requisiti richiesti dall’art. 13 del Reg. UE 679/2016.
In conclusione, il reclamo suggerisce che la politica di Fitbit sembra contravvenire al principio di correttezza nella gestione dei dati personali.
L’incertezza sulla reale base giuridica utilizzata per il trasferimento dei dati personali suggerisce che gli utenti non dispongano di un controllo effettivo sul destino dei propri dati quando vengono trasferiti in Paesi terzi. Inoltre, non è chiaro come Fitbit reagirebbe nel caso in cui un utente revocasse il proprio consenso, poiché, avendo indicato due basi giuridiche diverse, in assenza di consenso (perché revocato) la società potrebbe continuare il trattamento usando l’altra base giuridica, quella delle clausole contrattuali, violando il GDPR e svuotando di contenuto il consenso prestato dall’interessato.
Si tratta, da un punto di vista di normativa sulla protezione dei dati, di contestazioni estremamente serie che riguardano principi fondamentali. Non si dubita che non solo Fitbit, ma molte, moltissime altre app nell’universo virtuale, raccolgano dati a iosa senza rispettare le regole stabilite a nostra tutela dal GDPR: la parola passa ora al Garante, anche se la sensazione è sempre un po’ quella di lottare contro l’Idra di Lerna, alla quale ogni volta che viene tagliata una testa, ne cresce un’altra ancora più inquietante e potenzialmente pericolosa.
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento