l'analisi

Garante Privacy a TikTok, “stop pubblicità personalizzata”: ecco perché

TikTok aveva modificato la privacy policy per profilazione automatica di chi ha almeno 18 anni, in base al ‘legittimo interesse’, senza consenso. Il Garante ora dice che non si può fare. E ricorda che non è risolta nemmeno la questione del rilevamento dei minorenni

11 Lug 2022

TikTok non può più mandarci pubblicità personalizzata, ergo non può trattare i nostri dati personali come ha fatto finora a questo scopo; per tornare a farlo deve prima ottenere il nostro esplicito consenso.

Tik Tok e la pubblicità personalizzata senza consenso

Lo chiede il Garante Privacy al social network oggi, con un provvedimento d’urgenza. TikTok infatti aveva modificato la propria privacy policy per poter mandare dal 13 luglio ai maggiori di 18 anni pubblicità personalizza solo sulla base del “legittimo interesse”, quindi senza consenso esplicito. Non solo: il Garante, in una nota odierna, si dice anche preoccupato dal fatto che non c’è al momento nessuna garanzia che TikTok riesca a identificare i minorenni.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

TikTok, dal Garante privacy nuove misure per tener lontani gli under 13

“Un comportamento spregiudicato da parte del social, che rivela così anche la differenza culturale dei proprietari cinesi rispetto a noi europei. Complimenti al Garante”, commenta Massimo Borgobello, avvocato esperto di privacy.

La questione insomma è che TikTok voleva fare qualcosa in totale contrasto con la base della normativa privacy europea. “Hanno modificato la privacy policy per profilazione automatica di chi ha almeno 18 anni, in base al ‘legittimo interesse’, senza consenso”, dice Borgobello. 

La modifica della privacy policy viola la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy , e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione), scrive il Garante.

L’istruttoria

Questo a TikTok è un “avvertimento” formale alla società, scrive il Garante. L’Autorità si è pertanto riservata l’adozione di eventuali provvedimenti anche di urgenza qualora TikTok non recedesse dal proprio proposito.

Il provvedimento d’urgenza è consentito dalla direttiva, al di fuori della procedura di cooperazione tra garanti privacy prevista dal Gdpr, secondo la quale doveva essere l’autorità irlandese ad agire.  “In ogni caso il Garante ha contestualmente informato il Comitato europeo delle autorità di protezione dei dati personali e l’Autorità irlandese, perché valutino le ulteriori iniziative da intraprendere”, scrive l’autorità. 

Impegni finiti nel nulla

Si noti che TikTok a maggio si era impegnato a risolvere la questione minorenni. L’attuale provvedimento del Garante lascia intuire che a quegli impegni non sono seguite azioni sufficienti.

La lotta al legittimo interesse per marketing

“Il Garante così conferma la lotta all’uso indebito della base del legittimo interesse per fini di marketing – perdipiù profilato e rivolto potenzialmente anche a minori (dato che la società titolare non pare aver adottato adeguate misure di verifica dell’età)”, dice l’avvocato Andrea Michinelli. “Cioè quanto meno possa reggere in un astratto test interno (c.d. “LIA” – Legitimate Interest Assessment) sull’uso del legittimo interesse, come richiesto dal GDPR. Ovviamente la base del legittimo interesse fa gola ai titolari perché non richiede consenso ma solo l’informativa, con eventuale opt-out utente successivo (attuato da pochissimi, rispetto al diniego di consensi in opt-in) – è cosa lecita ma deve comunque trovare un fondamento giuridico valido”.

Ma “la normativa ePrivacy (recepita nel nostro Codice nazionale) ne vieta l’impiego da tempo, visto che se l’iter di utilizzo delle informazioni (e non già dei soli dati personali, ricordiamolo) comporta l’accesso o l’archiviazione sul dispositivo utente allora si dovrà usare sempre e solo la base consensuale – salvo i casi limitati di trasmissione di comunicazioni o servizi richiesti dagli utenti, tra i quali il Garante non ravvisa certo il marketing; quindi non sarebbe nemmeno ipotizzabile farne oggetto di una LIA, a prescindere”.

L’importanza della via d’urgenza

Il caso di Tik Tok è poi “emblematico per la pronta risposta nazionale del Garante, in via diretta d’urgenza in forza delle norme ePrivacy, a seguito dell’annunciata modifica nel trattamento dei dati, allarmato dal fatto che ci sono in gioco dei minori (nel cui miglior interesse si dovrebbe sempre agire, prevalente in quasi ogni ipotesi di bilanciamento con altri interessi)”, dice Michinelli. “I minori sono una parte considerevole di utenti del social (sebbene non possano nemmeno iscriversi, in teoria, se minori di 13 anni), notoriamente già poco attenti ai temi privacy e ancor più facili prede se “bypassati” dall’uso del legittimo interesse, così tracciati e potenzialmente esposti a contenuti non adatti proprio su Tik Tok; il Garante ha comunque informato l’EDPB e dunque il caso potrebbe dilagare nei vari Stati, in primis in Irlanda dove avrebbe stabilimento principale UE la società titolare ByteDance (che è di diritto cinese)”.

Tempi duri per le società extra UE

Infine, il caso di TikTok segnala con forza particolare il clima di contrasto tra normative e visioni della privacy.

Garante privacy irlandese e Meta

In modo – ci si augura – meno insanabile si sta consumando però uno scenario simile nei rapporti Usa-Europa.

Giovedi è trapelata una bozza di decisione delle autorità di regolamentazione irlandesi che minacciano di bloccare il trasferimento dei dati degli utenti dell’Unione Europea negli Stati Uniti da parte di Facebook e Instagram.

Ossia: il blocco di queste app in Europa.

La decisione, riportata per la prima volta da Politico, aumenta la pressione sui negoziatori americani ed europei per completare un accordo, annunciato a marzo, che consenta alle aziende di continuare a spostare le informazioni digitali attraverso l’Atlantico. Meta, che possiede Facebook e Instagram, ha dichiarato che potrebbe essere costretta a chiudere i servizi in Europa se non fosse in grado di trasportare facilmente i dati.

L’accordo politico è sempre più necessario. Ma una vicenda come quella di TikTok può rivelare che in certi casi ci possono essere sensibilità troppo distanti. E il regolatore ne dovrà tenere conto, arrivando anche – come in questo caso – a provvedimenti d’urgenza quando le distanze sono eccessive.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
@RIPRODUZIONE RISERVATA

Articolo 1 di 5