Fitbit, app di proprietà di Google per il monitoraggio della salute e del fitness, è stato oggetto di tre reclami da parte di NOYB (acronimo che sta per None of Your Business), l’ONG guidata dall’attivista e avvocato per i diritti della Privacy Maximilian Schrems, dinnanzi alle Autorità garanti per la protezione dei dati personali di Austria, Olanda e Italia.
Il reclamo di NOYB si fonda su diversi punti, tutti piuttosto rilevanti dal punto di vista del trattamento dei dati.
La politica di Fitbit, contestata da Schrems, è quella cosiddetta “Agree or Leave”, i consensi vengono raccolti “in bianco” senza i requisiti di granularità e specificità richiesti dalla norma. Anche per quanto attiene alla revocabilità del consenso, essa è resa sostanzialmente impossibile, poiché può avvenire solo con la cancellazione dell’account, con conseguente perdita di tutti i dati registrati ed impossibilità di utilizzare l’app e lo smartwatch.
Si potrebbe obiettare che l’app, essendo totalmente gratuita, sia legittimata a questo tipo di trattamento, ma al di là dell’erroneità di questo ragionamento, ciò porterebbe a riflessioni sul tema della commercializzazione dei dati personali.
La normativa è infatti molto specifica nel rilevare che qualunque trattamento di dati appartenenti alle categorie particolari (art.9 Gdpr) deve essere fondato su un consenso informato, libero e revocabile.
Per quanto riguarda il tema del trasferimento di dati all’estero, il reclamo evidenzia che, durante la creazione dell’account, il consenso onnicomprensivo richiesto comprende anche il trasferimento dei dati personali verso gli Stati Uniti e altri Paesi al di fuori dell’Unione europea, senza tuttavia fornire un elenco dettagliato di questi Paesi ed anzi avvertendo che tali nazioni potrebbero avere leggi sulla protezione dei dati personali che offrono livelli di sicurezza inferiori rispetto alle normative vigenti nel Paese dell’utente.
La normativa ci insegna che il consenso può essere utilizzato come base giuridica per il trasferimento di dati personali verso un Paese terzo solo in assenza di una decisione di adeguatezza da parte della Commissione europea o in mancanza di “garanzie adeguate”.
L’incertezza sulla base giuridica utilizzata per il trasferimento dei dati personali suggerisce che gli utenti non dispongano di un controllo effettivo sul destino dei propri dati.
Inoltre, non è chiaro come Fitbit reagirebbe nel caso in cui un utente revocasse il proprio consenso, poiché, avendo indicato due basi giuridiche diverse, in assenza di consenso la società potrebbe continuare il trattamento usando l’altra base giuridica, quella delle clausole contrattuali, violando il Gdpr.
Si tratta, da un punto di vista normativo, di contestazioni estremamente serie che riguardano moltissime altre app nell’universo virtuale. In merito si attende una decisione del Garante.
C.L.
