Garante privacy vs TikTok: provvedimento debole, poco motivato | Agenda Digitale

privacy network

Garante privacy vs TikTok: provvedimento debole, poco motivato

Il provvedimento del Garante contro TikTok a seguito della morte di una bimba a Palermo suscita delle domande: perché non si è proceduto allo stesso modo per i social Usa, che si rivolgono anche a minori e violano la sentenza Schrems II? Il punto

27 Gen 2021
Diletta Huyskes

ricercatrice in etica tecnologica e responsabile Advocacy di Privacy Network

Jastin Squizzato

executive member c/o Privacy Network

Sono molti i dubbi che sorgono sulle ragioni che hanno indotto, il 22 gennaio scorso, l’Autorità Garante per la protezione dei dati personali (con il provvedimento n. 20 del 2021) a disporre nei confronti dell’applicazione TikTok il blocco immediato dell’uso dei dati degli utenti per i quali non fosse stata accertata con sicurezza l’età anagrafica.

Molte, anche, nella vicenda le (ir)responsabilità dei media che, come già successo molte volte in precedenza, hanno contribuito a trasformare in reale qualcosa che non lo è, delegando alla tecnologia responsabilità che sono prevalentemente umane.

Il caso

Ricordiamo che la decisione del garante privacy nasce dalla vicenda, salita alla ribalta della cronaca, relativa al decesso di una bambina palermitana di dieci anni, occorso a seguito di pratiche emulative messe in atto dalla stessa in relazione alla sua partecipazione ad una challenge diffusa all’interno del social network.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza

La nota n. 47853 del 15 dicembre 2020

L’Autorità Garante già nel dicembre dello scorso anno aveva aperto un formale procedimento nei confronti di TikTok, contestando la violazione di alcune disposizione del Regolamento Europeo n. 679/2016. In particolare, il Garante denunciava le seguenti criticità:

  • Inadeguata tutela dei minori all’atto dell’iscrizione al social network. Il comma 1 dell’art. 2-quinquies del nostro Codice Privacy, aggiornato dal D.Lgs. 101/2018 dispone, infatti, che: “in attuazione dell’articolo 8, paragrafo 1, del Regolamento – n. 679/2016 – il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”. TikTok vieta – almeno formalmente – l’iscrizione ai minori di tredici anni, ma tale divieto risulta facilmente aggirabile, mediante l’introduzione di una data di nascita falsa, che non viene in alcun modo verificata. Il social network, dunque, pare non impedire adeguatamente l’ingresso incontrollato dei più piccoli all’interno della piattaforma. Il medesimo, peraltro, non prevede nemmeno soluzioni tecniche volte al rispetto del menzionato art. 2-quinquies, non essendovi alcun tool che consenta al genitore o al tutore del minore di essere eventualmente interpellati ed esprimere il proprio consenso all’iscrizione dello stesso al social network.
  • Scarsa chiarezza dell’informativa privacy rilasciata. Il secondo comma dell’art. 2-quinquies del nostro codice privacy prevede espressamente che: “in relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il Titolare del Trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi”. In altri termini, è necessario che l’informativa sul trattamento dei dati personali sia redatta con un linguaggio adatto al minore, che si presume non sia in grado di comprendere tecnicismi o termini particolarmente aulici e distanti dal linguaggio comunemente utilizzato. A tal proposito, il Garante denuncia come l’informativa di TikTok sia “standardizzata e non prenda in specifica considerazione la situazione dei minori”.
  • Tempi di conservazione ed eventuale trasferimento dei dati all’estero poco chiari. I tempi di conservazione dei dati risultano poi indefiniti rispetto agli scopi per i quali vengono raccolti né appaiono indicate le modalità di anonimizzazione che il social network afferma di applicare. La stessa mancanza di trasparenza concerne il trasferimento dei dati nei Paesi extra Ue, non essendo specificati quelli verso i quali TikTok intende trasferire i dati, né indicata la situazione di adeguatezza o meno di quei Paesi al GDPR.
  • Profilo pubblico di default. Infine, il social network, nel corso della creazione del profilo, pre-imposta lo stesso come “pubblico”, dando di default massima visibilità ai contenuti dei minori.

Le ragioni del provvedimento n. 20 del 22 gennaio 2021

Nel recente provvedimento il Garante richiama espressamente le note di dicembre, che dunque vanno – almeno parzialmente – a fondare la decisione relativa alla “limitazione provvisoria del trattamento” – effettuato da TikTok – e al divieto di “l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età”.

Non solo. Il citato provvedimento trova la propria ragion d’essere a fronte dell’art. 24 della Carta dei diritti fondamentali dell’Unione europea, del Considerando 38 del GDPR, nonché dell’art. 25 del Regolamento Europeo n. 679/2016.

L’art. 24, par. 2 della Carta dei diritti fondamentali dell’Unione europea, infatti, sancisce espressamente la prevalenza dell’interesse dei minori, e dunque della loro protezione, in tutti gli atti che li riguardino, siano essi compiuti da autorità pubbliche o da istituzioni private.

Il considerando 38 del GDPR dispone, invece, che i minori necessitano di una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia, nonché́ dei loro diritti.

Infine, l’art. 25, paragrafo 1, del Regolamento, impone al Titolare del Trattamento di implementare adeguate misure tecniche e organizzative, volte ad attuare in modo efficace i principi di protezione dei dati personali, proteggendo adeguatamente i diritti degli interessati. Circostanza che evidentemente non è presente all’interno di un social che di default crea il profilo degli utenti nella modalità di massima pubblicità dei suoi contenuti.

Il Garante, a fronte delle deduzioni precedentemente esposte nelle note del 15 dicembre 2020, ha ritenuto pertanto che le succitate disposizioni risultano – almeno allo stato attuale – violate dai trattamenti effettuati da TikTok nei confronti degli utenti minori di età.

Al momento, ci allineiamo a quanti, tra gli esperti, riconoscono che il provvedimento sia debole nelle motivazioni addotte.

Le ragioni politiche e sociali del provvedimento

Ciò detto, pare evidente come la ragione di fondo che ha indotto l’Autorità Garante a disporre il blocco immediato del trattamento effettuato da TikTok sia la volontà di evitare l’insorgere di casi simili a quelli descritti dal recente caso di cronaca. Viene tuttavia naturale chiedersi perché la stessa prontezza adottata – giustamente – dal Garante contro TikTok, non sia stata parimenti messa in campo per vagliare e sanzionare i servizi in cloud e i social network americani, che non solo si rivolgono alla stessa categoria di utenti minori, ma risultano anche in aperta violazione con la sentenza Schrems II, ormai a tutti nota.

L’ennesimo esempio di irresponsabilità mediatica

Con il caso della bambina di Palermo, nei giorni scorsi, abbiamo anche assistito all’ennesimo esempio di irresponsabilità mediatica. Le ricostruzioni del tragico episodio sono state già comunicate dalle principali testate come dati accertati, quando in realtà i punti fermi sono pochi. Siamo lontani, infatti, dall’aver chiarito nelle giuste sedi le circostanze della morte della minore, eppure l’episodio è diventato virale come “la morte sui social”, della quale TikTok sarebbe appunto responsabile.

Grave soprattutto anche la violazione della deontologia che vieta di pubblicare le modalità del suicidio, in particolare di minori, per evitare casi di emulazione (ne ha parlato anche Anna Masera sulla Stampa).

Non solo: parlando di tutela dei dati personali, è evidente come in realtà la sfera personale della bambina e della sua famiglia sia stata ripetutamente violata. Il nome e perfino l’indirizzo di casa sono stati comunicati a mezzo stampa. Aspetto che non sembra preoccupare più di tanto, anzi: le scelte comunicative vengono ascoltate e legittimate.

Alla stessa narrazione giornalistica, infatti, sembra essersi affidato anche il Garante, che ha motivato il blocco dell’utilizzo dei dati dei minori su TikTok considerando “recenti articoli di stampa” tra le fonti.

Abbiamo, come in molti altri casi, trasformato in reale qualcosa che non lo è: una challenge raccontata come estremamente diffusa, di tendenza, di cui in realtà non si trovano nemmeno chiare prove o riferimenti. Qual è, allora, il ruolo delle testate – che dovrebbero seguire regole deontologiche previste anche in caso di suicidi e minori – nell’amplificare queste notizie, e soprattutto quello delle autorità nell’accertarle?

Conclusioni

Siamo reduci da settimane di discussione sul ruolo sempre più attivo che le piattaforme hanno quando amplificano messaggi che ci spingono all’azione anche offline. Una notizia del genere probabilmente non ci stupirebbe, se solo fosse verificata. Il rischio – dopo il sacrosanto dibattito sulla responsabilità dei social media nel caso dell’istigazione alla violenza – è quello di appiattirsi all’idea di vivere in un mondo governato dalla tecnologia, a un livello tale per cui non riusciamo nemmeno più a riconoscere i fenomeni sociali e a distinguerli da quelli meramente tecnologici. Se è sempre più importante riconoscere il ruolo di alcune tecnologie nell’esasperare problemi sociali già esistenti, è anche vero che non può trattarsi di un capro espiatorio per delegare a piattaforme social e servizi online le responsabilità che sono prima di tutto umane.

Guardando esclusivamente ai rischi tecnologici – come sembra essere successo in questo caso – contribuiamo a causare danni insanabili, che avrebbero bisogno di un’attenzione fisica ed emotiva di cui lamentiamo continuamente la scomparsa. Prendere provvedimenti, poi, sulla base di notizie di cronaca antecedenti a qualsiasi sentenza giudiziaria, non risponde a giustizia, ma a demagogia, che di certo non può e non deve trovare spazio nella protezione dei minori, dei loro diritti e dei loro dati personali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4