Privacidade

O que o Fitbit sabe sobre você?

Emma McGowan, 23 Abril 2021

Na primeira parte da série “O que a internet sabe sobre mim?”, analisamos as informações que o app da Fitbit entrega e coleta dos seus usuários.

Penso muito sobre as condições do meu corpo. Analiso como ele se sente, o que promove seu bem-estar, onde dói, que tipo de alimentação ele recebe, seu peso, altura, os ricos de contrair Covid-19, como tratá-lo melhor... Você entende, não é?

E por pensar tanto assim sobre o meu próprio corpo, resolvi usar a pulseira inteligente Fitbit Inspire HR para entendê-lo melhor. Mas só depois de começar a produzir a série O que a internet sabe sobre mim? percebi que enquanto o Fitbit me oferece muitas informações a meu respeito, eu não sei o que a empresa que fornece o dispositivo e seu aplicativo sabe sobre mim.

O rastreamento do Fitbit

Vamos começar pelo básico: o propósito de um Fitbit é ajudar o usuário a rastrear aspectos da sua saúde. É possível personalizar o que se deseja rastrear. Eu rastreio:

  • Sono: quando e quanto
  • Frequência cardíaca: em repouso; rastreamento 24 horas
  • Passos: por dia e por hora
  • Peso: incluindo alteração de peso
  • Alimentação: calorias ingeridas; refeições
  • Exercício físico: o que, quando, quanto e o que mais faço
  • Amigos: minha única conexão é meu irmão mais velho, que sempre ganha de mim na contagem de passos, mas é possível se conectar aos contatos do Facebook e e-mail ou até buscar por um nome de usuário específico.
  • Dispositivo: o modelo que eu tenho; em que lado ele fica

Mas o Fitbit também sabe:

  • O horário que acordo e vou dormir: pelos alarmes silenciosos e rastreamento do sono
  • Informações do perfil: aniversário, sexo, altura, peso, localização (caso compartilhe essas informações, o que não é meu caso)
  • Horário local: não compartilhei minha localização, mas ele sabe que estou no horário do Pacífico (EUA)
  • Endereço IP: caso você visite o site do Fitbit

O que o Fitbit pode descobrir

E ainda há as coisas ainda menos óbvias que o Fitbit pode descobrir, caso realmente queira. Os pontos a seguir são suposições. Não há evidência de que o Fitbit tenha interesse em descobrir essas coisas sobre seus usuários. Mas quero ressaltar como esses dados podem ser utilizados de forma que nós, usuários, nem imaginamos. 

Quero saber se o Fitbit pode ou não descobrir se um usuário ingere diferentes tipos de substâncias tóxicas. Por exemplo, alguns meses atrás bebi um pouco demais em um brunch com algumas amigas. Aquele não foi um dia muito saudável.

Mas ao chegar em casa, meu Fitbit dizia que eu havia queimado 3 mil calorias naquele dia, mesmo com meu traseiro colado em uma cadeira por horas e andando bem menos do que a meta diária de 10 mil passos. O que aconteceu? 

Obviamente fui pesquisar. De acordo com comentários no site Fitbit Community, é normal o leve aumento da frequência cardíaca em repouso* enquanto se ingere bebida alcoólica. Na verdade, o efeito pode durar alguns dias. Isso pode “confundir” seu Fitbit, porque uma frequência cardíaca mais elevada deveria significar mais atividade física. Mas nesse caso, quer dizer apenas que você tomou umas a mais.

E então me surpreendi com algumas formas alternativas de uso do dispositivo. De acordo com um artigo de 2018, pelo menos uma pessoa usava o Fitbit para monitorar o efeito de drogas pesadas*. Também há histórias de pessoas que usaram o aparelho para controlar o uso de drogas durante o Burning Man, um festival de música e arte realizado anualmente no oeste dos EUA.

Pode parecer algo moderno mas, em teoria, é possível que o Fitbit - ou alguém que tenha acesso aos dados do dispositivo de um usuário - possa usar uma combinação de dados de localização (a pessoa está em um bar? Ou em um festival como o Burning Man?), horário do dia e frequência cardíaca para determinar se ela ingeriu alguma substância tóxica. Para isso funcionar, seria preciso fazer um estudo dos dados agregados para distinguir determinadas atividades (como o uso de drogas ilícitas) dos exercícios físicos. Parece muito improvável que isso seja feito, mas mesmo poucas informações sobre alguém pode levar a grandes descobertas sobre o seu estado de saúde.

Potenciais implicações com seguradoras

Uma situação hipotética é o que poderia acontecer se o Affordable Care Act, popularmente chamado de Obamacare nos EUA, fosse finalizado, permitindo que seguradoras negassem cobertura de saúde a alguém com doenças pré-existentes. Nesse caso, os dados do Fitbit podem ser usados para determinar se alguém tem um problema cardíaco, se está com sobrepeso, é obeso, ou ainda se tem problemas de fertilidade.

Será que isso já foi feito. Até onde se sabe, não. Mas sabemos que o Fitbit conta com programas para trabalhar com seguradoras e seus funcionários. Também sabemos que a empresa dona do Fitbit compartilha dados com autoridades quando é obrigada a fazer isso. É impossível ter ideia de todos os casos extremos em que esses dados poderiam ser supostamente usados, mas é importante que os usuários entendam que casos extremos existem. Dados nesse nível de intimidade revelam coisas sobre nós que talvez preferiríamos não revelar a ninguém.

Por fim, queria saber se o Fitbit sabia alguma coisa sobre minhas atividades em mídias sociais. No meu perfil, verifiquei “Aplicativos de terceiros”. Nessa seção, vi que o único app com o qual me conectei foi o MyFitnessPal. Mas se você usa o Facebook ou o Google como opção de login para o Fitbit, ele terá essa informação. 

O que o Fitbit faz com esses dados?

Depois de descobrir as informações coletadas pelo Fitbit a meu respeito, quis saber o que eles fazem com isso. Isso exigiu uma análise em profundidade da Política de Privacidade* da empresa. O documento diz que o Fitbit “pode compartilhar” informações não pessoais agregadas ou não identificáveis “ainda que não possam ser usadas para identificar um indivíduo. Por exemplo, em relatórios públicos sobre exercícios e atividades fornecidos a parceiros com quem temos contrato, ou como referência à nossa comunidade e aos usuários dos nossos serviços por assinatura”.

A empresa também menciona que pode compartilhar informações com usuários quando isso for solicitado, por exemplo, quando você dá acesso ao Fitbit a um aplicativo de outra empresa ou se você participa de um programa de bem-estar de funcionários. Nesses casos, o Fitbit compartilha informações com essas contas ou com a sua empresa até que você revogue esse acesso. 

A política de privacidade do Fitbit também ressalta que eles nunca vendem os dados pessoais de seus usuários. Mas em um ponto adiante do documento, eles dizem que esses dados são utilizados pelo time de marketing. Quando perguntei para um representante do Fitbit explicar a contradição desses pontos, ele disse: “a Fitbit nunca vende dados pessoais e não compartilha informações pessoais de seus clientes, com exceção das circunstâncias limitadas descritas na política de privacidade. Nosso modelo de negócio não é baseado em anúncios. Não enviamos publicidade de terceiros aos usuários. Como muitas outras empresas, anunciamos nossos próprios produtos e serviços, trabalhando com parceiros publicitários que nos ajudar nisso. Falamos sobre esse assunto em nossa política de privacidade e explicamos aos usuários quais são suas opções de privacidade.”.

Também perguntei quem são esses “terceiros” com quem o Fitbit pode compartilhar informações. Além daqueles já mencionados anteriormente, a empresa diz que eles podem compartilhar dados com “parceiros que nos ajudam a oferecer nossos produtos e serviços. Por exemplo, compartilhamos dados limitados em nível confidencial com provedores terceirizados de suporte ao cliente e serviços de cobrança”.

A política de privacidade também informa que a empresa irá compartilhar informações com autoridades “conforme exigências legais”. Veja o que o representante da empresa falou sobre isso: “como muitas outras organizações, o Fitbit responde a processo legal válido emitido em conformidade com a lei em vigor. O respeito à privacidade de nossos usuários é o norte da nossa abordagem. Nossa política é notificar nossos usuários sobre processos legais em busca de informações sobre eles, a menos que sejamos proibidos por lei de fazer isso, como explicado em nossa política de privacidade. Quando recebemos uma solicitação, nosso time analisa o documento para ter certeza de que ele está de acordo com as exigências legais e políticas do Fitbit. Além disso, o Fitbit somente fornecerá o conteúdo e os dados de localização geográfica solicitados mediante a um mandado de busca válido”. Algumas empresas publicam o que é conhecido como “warrant canary” (canário de segurança, em tradução livre), que alerta os usuários de um provedor de serviços sobre o recebimento de uma intimação oficial. O Fitbit não faz isso.

Na União Europeia (UE) as coisas são um pouco diferentes. A proteção de privacidade lá é mais rigorosa do que nos EUA, tendo a forma do Regulamento Geral de Proteção de Dados (GDPR*, na sigla em inglês). Os usuários do Fitbit na UE recebem uma solicitação de concessão explícita quando fazem algo que leva à obtenção, pela Fitbit, de “dados de saúde ou pertencentes a qualquer outra categoria especial de dados pessoais sujeitos ao GDPR”. Os exemplos dados por eles incluem: “a sincronização do dispositivo com uma conta nos dá acesso aos exercícios, dados de atividades de outros serviços ou o uso da funcionalidade de rastreamento da saúde feminina”. Eles também permitem que os usuários europeus retirem, a qualquer momento, a concessão de compartilhamento de dados ou de uso desses dados em atividades de marketing direto.

O que recebo em troca por meus dados? Quais são as vantagens?

O Fitbit é “gratuito” no sentido de que você paga uma vez pelo dispositivo, e pronto. Você não precisa pagar novamente para acessar o aplicativo. Mas dou algo por isso: meus dados. Será que vale a pena?

Para mim, o benefício de trocar meus dados por acesso ao Fitbit é claro. Esse é um dos dispositivos que eu mais uso, ficando atrás somente do meu laptop e meu smartphone. Olho para ele dezenas de vezes ao dia, quer seja para checar as horas, o número de passos dados, calorias queimadas, frequência cardíaca enquanto me exercito ou para controlar o tempo de uma atividade física. Ele é parte fundamental do meu projeto de saúde, mantendo-me nos trilhos com meus objetivos e dando ideia de como as coisas estão com meu corpo. 

O que posso fazer? Sou uma nerd. Gosto de dados e números, e o Fitbit é excelente nisso. 

Quais são as implicações mais amplas sobre o fato de o Fitbit ter acesso aos meus dados?

Os dados coletados pelo Fitbit são algumas das informações mais pessoais que uma empresa pode ter sobre alguém. Estamos falando sobre nossos corpos, esse receptáculo esquisito que se move por aí. O Fitbit é fantástico, porque nos diz coisas que acontecem dentro da gente, mas ele também merece respeito no que se refere à forma como gerenciam e usam os dados de seus usuários.

Como alguém de fora, vejo que eles levam isso muito a sério. A empresa não vende dados pessoais a anunciantes. Eles levam em consideração o direito de privacidade sobre informações de saúde, que nos EUA é garantido pela lei HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde). Assim, eles estão em conformidade, tanto quanto possível*, com essa regulamentação para facilitar o trabalho com provedores de seguros e serviços de saúde. Além disso, eles dão aos usuários o direito de visualizar, baixar e excluir seus dados* a qualquer momento, o que está alinhado com as melhores práticas de privacidade. 

Mas, assim como acontece com todos os dados, é possível que os dados do meu Fitbit sejam usados contra mim de alguma forma que eu nem imagino. Por exemplo, ele poderia ser usado na investigação de um tipo de crime já cometido algumas vezes. Mas até agora, os dados utilizados em investigações criminosas*, pelo menos aqueles que temos conhecimento, foram fornecidos pelos próprios usuários. Pedi mais informações ao Fitbit sobre o compartilhamento de dados com autoridades, mas infelizmente não recebi nenhuma resposta até a publicação deste artigo.

Outra grande dúvida é sobre o que vai acontecer agora que o Fitbit foi comprado pelo Google*. A negociação foi anunciada em 2019, mas ficou amarrada por questões de regulamentação, até que finalmente foi efetivada em janeiro de 2021. Alguns usuários estão preocupados com o acesso do Google a mais informações* sobre eles.

Tanto o Fitbit quanto o Google reforçaram que a proteção da privacidade dos usuários continuará. Nada deve mudar nesse sentido. De acordo com o Google*, “este acordo sempre esteve focado nos dispositivos, não aos dados, e fomos bem claros desde o início que iremos proteger a privacidade dos usuários do Fitbit”. E sobre o anúncio da aquisição, o Fitbit escreveu:

“A confiança dos nossos usuários continua sendo suprema. Manteremos fortes medidas de proteção de privacidade e segurança, dando aos usuários o controle dos seus dados e continuando transparentes sobre as formas e as razões que os coletamos. O Google continuará a proteger a privacidade dos usuários do Fitbit, tendo feito uma série de comprometimento com reguladores globais, confirmando assim que os dados referentes à saúde e ao bem-estar dos usuários não serão utilizados em anúncios e serão mantidos separadamente de outros dados do Google Ads. O Google também afirmou que continuará permitindo que usuários do Fitbit escolham se conectar com serviços fornecidos por outras empresas”.

Depois disso tudo, fico tranquila com essa troca de dados por serviços que faço com o Fitbit. Posso mudar de ideia no futuro? Claro. Talvez. Mas por enquanto eles parecem fazer um ótimo trabalho.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.