Per il Garante per il trattamento dei dati personali la nuova privacy policy di TikTok viola Codice privacy (articolo 122) e la Direttiva UE 2002/58. Vediamo cosa dice il provvedimento d’urgenza del 7 luglio 2022.
La nuova privacy policy di TikTok e l’istruttoria condotta dal Garante
Il social media cinese è stato già attenzionato in precedenza dal Garante per il trattamento dei dati personali (con blocco d’urgenza dei trattamenti relativi ai dati di minori di anni 13 in Italia da parte della piattaforma).
TikTok, non più “un social da ragazzi”: tutti i motivi del successo smisurato
Il provvedimento di venerdì 7 luglio 2022, invece, trae origine dall’annuncio del giugno 2002 di modifica della privacy policy di TikTok: il social media, intendeva, a partire dal 13 luglio 2022, avviare un’attività di “pubblicità personalizzata” per gli utenti maggiorenni, finalizzata a mostrare “annunci personalizzati” in base all’esperienza dell’utente sulla piattaforma.
La problematica più seria – quella che ha spinto il Garante ad aprire l’istruttoria – è relativa al mutamento della base giuridica che legittimerebbe il trattamento, ossia il “legittimo interesse”, previsto all’articolo 6, paragrafo 1, lettera f) del Regolamento UE 16/679 (GDPR).
L’Ufficio del Garante ha, quindi, fatto richiesta di informazioni a TikTok in data 22 giugno 2022, per conoscere:
- la base giuridica di legittimazione del trattamento e le ragioni della scelta;
- le valutazioni svolte in base al triplice test richiesto dalla Corte di Giustizia dell’Unione europea nella sentenza C13/16 per valutare il “legittimo interesse”;
- i risultati della valutazione di impatto di cui all’articolo 35 del Regolamento UE 16/679 chiedendo anche il deposito della stessa;
- le misure adottate per verificare in concreto la maggiore età degli utenti, tenendo conto del fatto che le difficoltà relative all’identificazione dei minori di età di 13 e 14 anni non sono ancora state risolte dalla piattaforma.
La risposta di TikTok
TikTok ha risposto il 30 giugno 2022, fornendo un’articolata risposta ai quesiti del Garante.
In primo luogo, la società ha precisato che intende operare su due distinte categorie di utenti, ossia “dati ricavabili da attività su TikTok: informazioni raccolte direttamente dalle azioni dell’utente sulla piattaforma” e “dati ricavabili da attività al di fuori di TikTok: informazioni ricevute da partner esterni operanti nel settore della pubblicità, della misurazione e dei dati, ottenute dall’attività dell’utente effettuata al di fuori della piattaforma”.
Questo tipo di trattamento viene già effettuato dal social media previo consenso degli utenti maggiorenni: la novità consiste, infatti, nel mutamento della base giuridica – il “legittimo interesse”, appunto – che determinerebbe l’automatismo del trattamento, senza alcuna richiesta di consenso, previa informativa.
Al secondo quesito TikTok ha risposto affermando che il triplice test avrebbe dato esito positivo “per le seguenti ragioni: (i) il trattamento è chiaramente spiegato agli utenti; (ii) è improbabile che il trattamento abbia un impatto negativo sugli utenti o causi loro un danno; (iii) gli utenti di età inferiore ai 18 anni sono esclusi dal trattamento; (iv) TikTok facilita l’esercizio dei diritti degli interessati attraverso diverse funzioni e impostazioni della piattaforma”.
La valutazione d’impatto
Quanto alla valutazione d’impatto, la stessa sarebbe stata effettuata (ma non depositata, come richiesto dal Garante) e avrebbe esito positivo, considerando “(i) se il trattamento di dati circa le attività di TikTok persegua i legittimi interessi di TikTok, dei suoi partner commerciali e dei suoi utenti; (ii) se tali legittimi interessi non prevalgano sugli interessi o sui diritti e le libertà fondamentali degli interessati”.
Quanto alla maggiore età degli utenti interessati dal trattamento, Tik Tok ha affermato “di aver adottato processi e procedure tecniche e umane per verificare l’età degli utenti”.
In termini di stretta istruttoria – sulle considerazioni giuridiche si dirà poi – il Garante ha affermato che la Dpia non è stata prodotta, che il test di bilanciamento è stato descritto in modo troppo “generico ed insufficiente” a consentire un’adeguata valutazione da parte del Garante e che i meccanismi di individuazione degli utenti di età uguale o superiore a 18 anni “non sono state rappresentate neppure in linea generale”.
Le premesse per un provvedimento negativo, in altri termini, c’erano tutte.
Le problematiche giuridiche: la direttiva ePrivacy ed il legittimo interesse nel Regolamento
Tralasciando le problematiche – peraltro emerse – relative all’informativa privacy ed al diritto di opposizione riservato all’utente – pur rilevate dal Garante – la questione più seria è relativa all’impiego della categoria del legittimo interesse come base giuridica del trattamento.
La problematica è triplice e non poteva essere superata in alcun modo: in primo luogo, dirimente, c’è la questione relativa ai minori di età.
Non essendovi garanzie serie che il trattamento avrebbe riguardato solo soggetti maggiorenni, il legittimo interesse cade automaticamente.
In secondo luogo, il mutamento della base giuridica, con un arretramento della tutela dei diritti dell’interessato – dal consenso al legittimo interesse – determina un impiego retroattivo e, quindi, sfornito di specifica informativa, con riferimento alle informazioni archiviate in precedenza.
Di fatto, il legittimo interesse invocato in questi termini vorrebbe “sanare” i trattamenti effettuati senza consenso o con consenso non valido da parte degli utenti.
Da ultimo – ma il Garante lo pone in primo luogo – “il quadro normativo sopra illustrato consente di escludere che il legittimo interesse possa rappresentare una idonea base giuridica almeno per il trattamento, ai fini dell’invio di pubblicità personalizzata, di tutti quei dati personali che nell’informativa di TikTok vengono definite “informazioni raccolte automaticamente” e, pertanto, di ritenere illecito, almeno parzialmente, a prescindere da ogni ulteriore e successivo approfondimento, il trattamento dei dati personali degli utenti che TikTok intende intraprendere a far data dal prossimo 13 luglio” (provvedimento in commento, pagina 6).
In conclusione, il Garante ha escluso a monte ciò che poteva essere comunque illecito a valle, affermando che l’attività di profilazione, archiviazione e di trattamento dei dati degli utenti per fini pubblicitari che TikTok voleva operare si colloca in aperto contrasto con l’articolo 5, paragrafo della Direttiva ePrivacy e con l’articolo 122 del decreto legislativo 196/2003 (Codice privacy) che ne dà attuazione.
Conclusioni
Il provvedimento del Garante è ben motivato e dimostra l’attenzione per il mondo dei social media.
La scelta di bloccare la modifica unilaterale TikTok della base giuridica è stata eccellente: l’alternativa era creare un precedente pericolosissimo per i diritti degli utenti online.
Il legittimo interesse, infatti, è la base giuridica con più debole tutela dell’interessato, perché presuppone un bilanciamento – unilaterale – di interessi che determina una compressione dei diritti degli utenti in favore di un’attività svolta dal titolare del trattamento.
Il passaggio per via di informativa dal consenso dell’interessato al legittimo interesse avrebbe causato un effetto domino anche per altre piattaforme, che avrebbero potuto “beneficiare” del precedente per comprimere le tutele degli utenti e fare facile profitto con i dati degli utenti, utilizzando quelli già archiviati in modo indiscriminato e retroattivo.
In altri termini: la piattaforma potrebbe aver archiviato dati dell’utente senza consenso e, con la semplice modifica della privacy policy, potrebbe utilizzarli lecitamente ed indiscriminatamente.
La manovra del social cinese è stata, quindi, estremamente spregiudicata, specie se si considera che era già sotto la lente d’ingrandimento del Garante.
Va detto che ci si devono aspettare anche altri “grandi colpi”: il Garante italiano ha “sparato”, in rapida successione, su Google e TikTok, ma non si può dire che i trattamenti effettuati da Meta o Microsoft siano del tutto privi delle problematiche fin qui emerse per questi due colossi.
Quanto a TikTok, dopo due provvedimenti di “blocco” d’urgenza da parte del Garante, è lecito ritenere che san pronte anche le sanzioni, quelle vere: quelle, cioè, che arrivano fino al 4% del fatturato su base mondiale (ricordiamo la sanzione da 20 milioni di euro a ClearView AI ad inizio 2022).
