La guerra del Garante Privacy contro i social, per i minori: che succede ora - Agenda Digitale

l'analisi

La guerra del Garante Privacy contro i social, per i minori: che succede ora

TikTok rischia in Italia una super sanzione. Il Garante Privacy chiede di interrompere il trattamento dei dati di chi non può accertare l’età. Ecco gli scenari che si aprono. Quale appiglio giuridico e quale possibile enforcement contro questo e altri social

23 Gen 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Alessandro Longo

Direttore agendadigitale.eu

Dopo il caso della bimba di Palermo il Garante Privacy interviene con estrema decisione sul social network TikTok chiedendo quello che di fatto sarebbe un blocco dell’applicazione fino al 15 febbraio.

Formalmente il Garante ha chiesto infatti di interrompere il trattamento dei dati di chi il social non può accertare l’età. E il social al momento non sembra avere gli strumenti per quest’accertamento. 

Una situazione in cui TikTok può rispondere nell’immediato solo in due modi: bloccando il trattamento di tutti (il che sarebbe paralisi dell’app quindi, almeno dal punto di vista commerciale) o non rispettando la richiesta del Garante, il che aprirebbe al rischio di una super sanzione fino al 4 per cento del fatturato.

Il quadro è però più complesso di quanto appare.

Il provvedimento del Garante Privacy contro TikTok

Bisogna prima di tutto comprendere che con il provvedimento del 22 gennaio 2021 il Garante Privacy ha fatto esercizio dei propri poteri straordinari contro il social network, applicando l’art. 66 del Regolamento UE 679/2016, che consente alle Autorità Garanti nazionali, in presenza di circostanze eccezionali e qualora ritengano che sia urgente intervenire per proteggere i diritti e le libertà degli interessati, di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Ritenendo nel caso sussistente una circostanza eccezionale il Garante ha bruciato le tappe dell’istruttoria già avviata ordinando a TikTok di cessare immediatamente il trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico. TikTok vieterebbe l’uso ai minori di 13 anni, nelle proprie policy, che però molti suoi utenti ignorano o aggirano.

Il sottotesto è chiaro: le misure messe oggi a disposizione dal social network non sono in grado di accertare con sicurezza l’età degli iscritti, quindi, siccome non si può essere sicuri che ciascuno degli account presenti sul social appartenga davvero ad un maggiorenne, nessun dato relativo agli iscritti, da oggi e finché non verranno implementate misure ad hoc, potrà essere utilizzato dal social network.

TikTok, troppi dubbi privacy: ecco perché il Garante vuole vederci chiaro

Il fondamento giuridico del provvedimento, nel Gdpr

La misura è adottata ai sensi dell’art. 58 par. 2 lettera f) del GDPR, che consente alle Autorità garanti di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” e si protrarrà fino al prossimo 15 febbraio, anche se è evidente che TikTok faticherà ad implementare simili innovazioni entro tale ristretto termine e pertanto, verosimilmente, la questione non si chiuderà in termini così rapidi.

La normativa GDPR inoltre parte dal presupposto che sia possibile chiaramente identificare il soggetto che si ha davanti per definire se si tratta di un minore, garantendogli quella specifica protezione di cui parla il Considerando 38 del Reg. UE 679/2016.

Il Garante afferma apertamente che il proprio “cambio di prospettiva” sulla questione, discende dal fatto che “recenti articoli di stampa hanno riportato la notizia del decesso di una bambina di 10 anni a seguito di pratiche emulative messe in atto in relazione alla sua partecipazione alla predetta piattaforma e che l’iscrizione alla stessa non risulta essere stata sin qui smentita dalla Società”.

Guido Scorza su Agendadigitale.eu chiarisce ulteriormente il fondamento giuridico del provvedimento, parlando di consenso e contratto nulli.

Se TikTok infatti non sa chi è il soggetto che ha davanti, non può sapere quando applicare queste misure di protezione ulteriori e soprattutto non può sapere quando è necessario il consenso ai sensi dell’art. 8 GDPR (consenso che per i servizi della società dell’informazione è previsto per tutti gli utenti infrasedicenni, mentre la normativa italiana abbassa questa soglia a quattordici anni) e che, se manca, rende ex se illecito il trattamento dei dati.

Mentre quindi un contratto stipulato da un minore nella generalità dei casi non è nullo ma semplicemente annullabile entro cinque anni, secondo alcuni la normativa GDPR e il D.Lgs. 101/18 potrebbero arrivare ad incidere sulla validità del contratto con i servizi della società dell’informazione, rendendo illegittimo non solo il trattamento dati che ne consegue, ma anche il rapporto giuridico fra le parti in sé.

TikTok e minori, Scorza (Garante Privacy): “La base giuridica del provvedimento e le conseguenze”

Perché questo provvedimento eccezionale

Il triste caso della bambina di Palermo è quindi l’innesco che ha portato ad agire il Garante, stravolgendo gli stessi piani dell’Autorità, che aveva da poco concesso ai legali del social network una proroga per poter rispondere all’avvio dell’istruttoria del 15 dicembre scorso (ne avevamo parlato qui).

Il termine entro cui TikTok ha diritto di rispondere alle critiche del Garante (in parte, nei fatti, vi ha provveduto lo scorso 13 gennaio, ne avevamo parlato qui) deve ancora scadere ed è fissato al 29 gennaio, ma è evidente che ora il piano della contesa si allargherà alla legittimità del provvedimento inibitorio.

Nel proprio provvedimento il Garante si trova quindi da un lato a rimproverare a TikTok di non aver prodotto memorie difensive, affermando di dover prendere misure eccezionali fino a che ciò non avverrà per verificare nel contraddittorio fra le parti se il social network tratti o meno legittimamente i dati degli utenti (specie se minorenni), ma dall’altro lato si trova a dover ammettere che i termini per presentare tali memorie non erano scaduti e che quindi a TikTok non si può certo imputare un ritardo nella risposta.

In un’altra situazione il Garante avrebbe verosimilmente atteso la difesa dell’interessato prima di emettere un provvedimento così dirompente, nel caso però è evidente che l’Autorità ha raccolto sufficiente materiale per documentare l’inadempimento del social network, e non teme quindi che la produzione delle memorie di TikTok possa avere portata tale da delegittimare il provvedimento appena assunto.

Nel frattempo l’Autorità di controllo Irlandese, tradizionalmente sensibile alla posizione delle piattaforme tech straniere (o almeno questo vale per le piattaforme statunitensi, resta da vedere se la DPC di Dublino si dimostrerà altrettanto sensibile alla posizione di un social cinese) ha comunicato che TikTok Ireland può essere considerato stabilimento principale del social network in Europa, con la conseguenza che l’Autorità irlandese farà da autorità capofila dell’indagine avviata dal Garante italiano (e coordinerà eventuali ulteriori iniziative attivate dai singoli garanti nazionali).

Perché è anche un provvedimento preoccupante

L’intervento del Garante italiano da un lato è senz’altro meritevole, ma dall’altro preoccupante.

In primo luogo dimostra tutta la “sensibilità” dell’Autorità alle notizie di stampa, senza che questa si soffermi su una preventiva verifica nel contraddittorio fra le parti, in secondo luogo dimostra la facilità di un intervento del Garante con a fronte un contraddittore “forte” e centralizzato, ma il problema di questo attacco a TikTok è che rischia di dirottare i minori su altri social meno “controllabili” e rischia così di far perdere al Garante un interlocutore in certa misura sensibile (pur se solo per propria convenienza) alle tematiche della protezione dei dati dei minori.

Verifica dell’identità sui social, come YouTube?

Nel frattempo, gli altri social network non possono dormire sonni tranquilli, sono pochi infatti quelli che hanno implementato delle serie misure per la verifica dell’età degli iscritti, di solito basta un’email e una autodichiarazione sull’età per superare i “controlli” di molti social network ed accedere a contenuti destinati ad un’utenza matura.

Fra i social “virtuosi” potremmo annoverare YouTube, che consente agli iscritti di vedere contenuti destinati ad un pubblico adulto solo a chi si identifica con un documento di identità o tramite un test di transazione bancaria su carta, ma d’altro canto è anche vero che la generalità dei contenuti di YouTube non “riservati” agli adulti, è visibile previa semplice iscrizione con email e senza alcun controllo e che tra questi contenuti, sebbene “appropriati per gli spettatori di età inferiore a 18 anni”, si nascondono numerosi video poco edificanti.

  • La verifica con documento di identità, che può richiedere fino a tre giorni di tempo, non è certo la preferita dagli utenti di YouTube, eppure forse è l’unica strada realmente praticabile per TikTok, che vorrà evidentemente mantenere la propria sostanziosa fetta di utenti compresa fra i 13 e i 18 anni (che difficilmente può essere identificata con una transazione bancaria).
  • L’alternativa può essere una identificazione “algoritmica”, con qualche approssimazione – come già avviene per la profilazione degli utenti, anche a scopo pubblicitario, come suggerito dallo stesso Guido Scorza, relatore del provvedimento. Ma per farlo in fase di registrazione bisognerebbe imporre all’utente di rispondere ad alcune domande preliminari utili a profilare l’età in senso statistico. Non è facile come dimostra il tentativo fallito della legge inglese del 2019 per impedire la visione del porno ai minorenni; via che per altro anche l’Italia sta provando con una legge.
  • Altri (Stefano Quintarelli) suggeriscono una verifica indiretta via Spid o carta di credito

TikTok, così accerta l’età ed esclude i bambini: gli strumenti utilizzabili

Che succede ora?

L’iniziativa del Garante italiano, che in effetti mette a nudo un nervo scoperto del funzionamento delle piattaforme social, che hanno sempre faticato a gestire la verifica dell’età degli utenti per evitare di appesantire l’esperienza sul loro applicativo e di creare barriere all’ingresso, potrebbe avere un effetto a cascata di portata europea e forse globale e ridisegnare il modo stesso a cui pensiamo l’accesso ad un social network.

Alla luce del fondamento giuridico di questo provvedimento nel Gdpr, la strada per il social network dedicato ai giovanissimi sembra quindi davvero in salita, resta poi da vedere se TikTok deciderà di adempiere spontaneamente al diktat del Garante o se farà resistenza anche da questo punto di vista per evitare una sanzione eccezionale.

  • Se smette di trattare i dati di tutti gli utenti, la sua operatività è molto limitata. TikTok potrebbe fare così per evitare super sanzione ed escalation il problema, finché non adempierà all’accertamento dell’età.
  • Perlomeno potrebbe, da subito, scegliere di opporsi legalmente al provvedimento, facendo ricorso al tribunale ordinario (con tempi però incompatibili con la scadenza del 15 febbraio) oppure presentare al Garante la soluzione che intende adottare.
  •  Il Garante privacy italiano potrebbe valutare di contro una sanzione, ma solo in sede europea e con il Garante irlandese. I tempi non sarebbero brevi.
  • Un vero e proprio blocco del servizio (blocco IP tramite provider, rimozione da store Apple, Google…) è al momento fuori dalle ipotesi, ma allo stesso Garante non è chiaro se è un’arma nelle disponibilità delle autorità privacy europee (analogamente agli oscuramenti di siti ordinati da giudici o da Agcom). 

In conclusione

Insomma, non è facile prevedere che succederà. Ma è certo che il Garante agirà similarmente anche contro altri social, perché il mancato accertamento dell’età è problema comune. Certo anche che l’intervento, per completarsi, non potrà che coinvolgere anche l’Europa.

Siamo davanti a un evento eccezionale. Va letto come il primo passo per un cambiamento. Forse, quindi, l’iniziativa del Garante italiano, nel bene e nel male, potrebbe segnare l’inizio della fine dei social come li conosciamo, verso un’era di maggiore tutela dei diritti di tutti; minori in primis.

Senza dimenticare però, infine, che la tutela non la può dare solo il legislatore o il Garante (anche in collaborazione con l’Europa); ma deve partire da una maggiore consapevolezza in famiglia e scuola.

TikTok, non vietiamo ma educhiamo: il vero problema è l’assenza degli adulti

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 2