Il Garante Privacy sanziona TikTok: un provvedimento rivoluzionario

TikTok

Recentemente il Garante per la protezione dei dati personali è intervenuto nei confronti del noto social network TikTok con un provvedimento d’urgenza che, qualora trovasse seguito da parte dell’Autorità, potrebbe costituire una vera e propria rivoluzione.

Nelle ultime settimane, TikTok annunciava che a partire dal 13 luglio u.s. gli utenti maggiorenni sarebbero stati raggiunti da una serie di pubblicità mirate, realizzate tramite la profilazione del comportamento tenuto da quegli stessi utenti nell’utilizzo della piattaforma; contestualmente, veniva operata una modifica dell’informativa privacy che indicava quale base giuridica non più il consenso dell’interessato, bensì un generico e non meglio specificato interesse legittimo del social network e dei suoi partner.

La S.A. Italiana si era subito interessata della vicenda, interpellando la società e chiedendo informazioni circa le ragioni e le modalità con cui tale modifica era stata implementata.

In particolare, il Garante Privacy ha chiesto al social network di poter conoscere:

  • La base giuridica scelta per l’attività di profilazione e le ragioni alla base di tale scelta;
  • Nel caso in cui questa base giuridica fosse realmente da individuare nel legittimo interesse, quali fossero le valutazioni svolte dalla società, con particolare riferimento al c.d. “triplice test” di cui alla sentenza C-13/16 della Corte di Giustizia dell’Unione Europea;
  • Se fosse stata effettuata una valutazione d’impatto preliminare ex art. 35 GDPR e, in caso di risposta affermativa, di ottenere copia del citato documento;
  • Quali fossero le misure tecniche adottate per accertare la maggiore età degli utenti da profilare, tenendo conto della difficoltà ancora attuali nell’identificazione degli utenti minori di anni 13 e 14.

TikTok rispondeva alla richiesta del Garante specificando di trattare due principali flussi di dati, le correnti principali dai quali TikTok attinge ai dati degli utenti: quelli ricavati dall’attività degli utenti sul social e quelli relativi ad attività “fuori” dalla piattaforma, ossia ricevute da partner esterni che operano nel settore della pubblicità; entrambi questi trattamenti sono stati svolti tanto in passato quanto attualmente sulla base del consenso degli interessati di cui all’art. 6 par. 1 lett. a) del GDPR.

Per i soli utenti maggiorenni, il trattamento dei dati di cui al primo flusso di dati, finalizzato allo svolgimento di attività di marketing mirata, sarebbe stato svolto a partire dal 13 luglio u.s. sulla base del legittimo interesse del social network e dei suoi partner; sul punto, TikTok dichiarava di aver svolto tutte le necessarie verifiche ed aver ritenuto rispettati i criteri previsti dalla legge.

Per quanto riguarda invece i trattamenti di dati appartenenti al secondo flusso, relativi cioè ad attività fuori dal social network, essi restavano dipendenti dal consenso dell’interessato.

La società dichiarava altresì di aver correttamente informato i propri utenti della modifica, avendo pubblicato le necessarie informazioni con largo anticipo, anche tramite un pop-up rivolto ai singoli utenti; oltre a ciò, dichiarava infine di aver messo in atto misure tecniche ed organizzative idonee a garantire un preciso e puntuale riconoscimento degli utenti minorenni in modo da attuare le necessarie tutele ed escluderli da attività di profilazione.

La S.A. italiana, sulla base delle informazioni fornite, dichiarava la modifica della base giuridica incompatibile con la direttiva Europea 2002/58 (c.d. “ePrivacy”) e con l’art. 122 del Codice di Protezione dei dati personali (norma di applicazione della citata direttiva), che indicano il consenso dell’interessato come unica base giuridica “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente”.

Il Garante ha inoltre ritenuto insufficienti le garanzie fornite da TikTok in merito alla possibilità di accertare il rispetto dell’età minima di accesso alla piattaforma, concludendo che non si potesse escludere l’esistenza di un rischio che le attività di marketing mirato fondate su profilazione potessero raggiungere soggetti giovanissimi.

In conclusione, in base ai poteri attribuiti dal GDPR, l’Autorità italiana ha inviato un “avvertimento formale” al noto social network avvertendo che un trattamento come quello descritto, fondato su un legittimo interesse peraltro non meglio specificato, si porrebbe in contrasto con la normativa vigente, almeno in riferimento al trattamento di dati archiviati sui dispositivi degli utenti, con conseguenze anche di carattere sanzionatorio.

Ciò che rende diverso e innovativo il provvedimento del Garante italiano è, in primis, il superamento del principio, consacrato dal GDPR, del c.d. “one-stop shop” (definito “sportello unico” in italiano), secondo il quale, in caso di trattamento di dati effettuato da un titolare avente sede in un solo stato dell’Unione che sia idoneo ad incidere in modo sostanziale su interessati residenti in più di uno stato membro, l’Autorità Garante del paese di residenza del titolare assume il ruolo di Leading Authority, diventando così capofila per le attività di indagine e sanzionatorie.

Nel caso di specie, avendo TikTok sede in Irlanda, il Garante avrebbe dovuto contattare la S.A. Irlandese ed attendere che la stessa prendesse i propri provvedimenti nei confronti della società titolare del trattamento, limitandosi a svolgere un ruolo “secondario” di mera cooperazione.

Nell’esperienza recente, tuttavia, il principio del one-stop shop si è rivelato lento e farraginoso, soprattutto a fronte di situazioni di emergenza dove i dati di un numero considerevole di utenti, talvolta anche minorenni come nel caso di specie, vengono messi a rischio da trattamenti illeciti e privi delle necessarie garanzie; l’iniziativa dell’Autorità dimostra grande consapevolezza dei limiti della protocollo sopra citato nonché viva attenzione e preoccupazione per la tutela di situazioni a rischio come quella in questione.

Significativa è la scelta del Garante di informare tanto l’Autorità irlandese quanto l’E.D.P.B. della decisione presa: in questo modo l’implicita censura ai limiti del one-stop shop viene per così dire “ufficializzata” ponendo così le basi per una discussione più ampia tra le S.A. degli stati membri e coordinata dal Comitato Europeo che porti ad un superamento o, quanto meno, ad un adeguamento del citato principio alla situazione attuale.

In definitiva, il provvedimento del Garante potrebbe diventare il primo atto di una rivoluzione delle disposizioni normative e di prassi che regolano le attribuzioni delle Autorità nazionali, abbandonando il principio dello sportello unico in favore di un nuovo assetto che consenta un intervento più rapido e deciso a tutela di situazioni di grande rischio che, in una società globalizzata e digitale dove i trattamenti trascendono frequentemente i confini nazionali, si rivelano ormai all’ordine del giorno.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su