pubblicità illecita

TikTok, grave minaccia sulla nostra privacy: bene lo stop del Garante

A partire dal 13 luglio 2022, TikTok intendeva avviare un’attività di “pubblicità personalizzata” per gli utenti maggiorenni che avrebbe portato al mutamento della base giuridica. Il Garante ha deciso di bloccare la modifica unilaterale, che rischia di creare un precedente pericolosissimo. Vediamo perché

12 Lug 2022
Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017

tiktok2

Per il Garante per il trattamento dei dati personali la nuova privacy policy di TikTok viola Codice privacy (articolo 122) e la Direttiva UE 2002/58. Vediamo cosa dice il provvedimento d’urgenza del 7 luglio 2022.

La nuova privacy policy di TikTok e l’istruttoria condotta dal Garante

Il social media cinese è stato già attenzionato in precedenza dal Garante per il trattamento dei dati personali (con blocco d’urgenza dei trattamenti relativi ai dati di minori di anni 13 in Italia da parte della piattaforma).

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

TikTok, non più “un social da ragazzi”: tutti i motivi del successo smisurato

Il provvedimento di venerdì 7 luglio 2022, invece, trae origine dall’annuncio del giugno 2002 di modifica della privacy policy di TikTok: il social media, intendeva, a partire dal 13 luglio 2022, avviare un’attività di “pubblicità personalizzata” per gli utenti maggiorenni, finalizzata a mostrare “annunci personalizzati” in base all’esperienza dell’utente sulla piattaforma.

La problematica più seria – quella che ha spinto il Garante ad aprire l’istruttoria – è relativa al mutamento della base giuridica che legittimerebbe il trattamento, ossia il “legittimo interesse”, previsto all’articolo 6, paragrafo 1, lettera f) del Regolamento UE 16/679 (GDPR).

L’Ufficio del Garante ha, quindi, fatto richiesta di informazioni a TikTok in data 22 giugno 2022, per conoscere:

  • la base giuridica di legittimazione del trattamento e le ragioni della scelta;
  • le valutazioni svolte in base al triplice test richiesto dalla Corte di Giustizia dell’Unione europea nella sentenza C13/16 per valutare il “legittimo interesse”;
  • i risultati della valutazione di impatto di cui all’articolo 35 del Regolamento UE 16/679 chiedendo anche il deposito della stessa;
  • le misure adottate per verificare in concreto la maggiore età degli utenti, tenendo conto del fatto che le difficoltà relative all’identificazione dei minori di età di 13 e 14 anni non sono ancora state risolte dalla piattaforma.

La risposta di TikTok

TikTok ha risposto il 30 giugno 2022, fornendo un’articolata risposta ai quesiti del Garante.

In primo luogo, la società ha precisato che intende operare su due distinte categorie di utenti, ossia “dati ricavabili da attività su TikTok: informazioni raccolte direttamente dalle azioni dell’utente sulla piattaforma” e “dati ricavabili da attività al di fuori di TikTok: informazioni ricevute da partner esterni operanti nel settore della pubblicità, della misurazione e dei dati, ottenute dall’attività dell’utente effettuata al di fuori della piattaforma”.

Questo tipo di trattamento viene già effettuato dal social media previo consenso degli utenti maggiorenni: la novità consiste, infatti, nel mutamento della base giuridica – il “legittimo interesse”, appunto – che determinerebbe l’automatismo del trattamento, senza alcuna richiesta di consenso, previa informativa.

Al secondo quesito TikTok ha risposto affermando che il triplice test avrebbe dato esito positivo “per le seguenti ragioni: (i) il trattamento è chiaramente spiegato agli utenti; (ii) è improbabile che il trattamento abbia un impatto negativo sugli utenti o causi loro un danno; (iii) gli utenti di età inferiore ai 18 anni sono esclusi dal trattamento; (iv) TikTok facilita l’esercizio dei diritti degli interessati attraverso diverse funzioni e impostazioni della piattaforma”.

La valutazione d’impatto

Quanto alla valutazione d’impatto, la stessa sarebbe stata effettuata (ma non depositata, come richiesto dal Garante) e avrebbe esito positivo, considerando “(i) se il trattamento di dati circa le attività di TikTok persegua i legittimi interessi di TikTok, dei suoi partner commerciali e dei suoi utenti; (ii) se tali legittimi interessi non prevalgano sugli interessi o sui diritti e le libertà fondamentali degli interessati”.

Quanto alla maggiore età degli utenti interessati dal trattamento, Tik Tok ha affermato “di aver adottato processi e procedure tecniche e umane per verificare l’età degli utenti”.

In termini di stretta istruttoria – sulle considerazioni giuridiche si dirà poi – il Garante ha affermato che la Dpia non è stata prodotta, che il test di bilanciamento è stato descritto in modo troppo “generico ed insufficiente” a consentire un’adeguata valutazione da parte del Garante e che i meccanismi di individuazione degli utenti di età uguale o superiore a 18 anni “non sono state rappresentate neppure in linea generale”.

Le premesse per un provvedimento negativo, in altri termini, c’erano tutte.

Le problematiche giuridiche: la direttiva ePrivacy ed il legittimo interesse nel Regolamento

Tralasciando le problematiche – peraltro emerse – relative all’informativa privacy ed al diritto di opposizione riservato all’utente – pur rilevate dal Garante – la questione più seria è relativa all’impiego della categoria del legittimo interesse come base giuridica del trattamento.

La problematica è triplice e non poteva essere superata in alcun modo: in primo luogo, dirimente, c’è la questione relativa ai minori di età.

Non essendovi garanzie serie che il trattamento avrebbe riguardato solo soggetti maggiorenni, il legittimo interesse cade automaticamente.

In secondo luogo, il mutamento della base giuridica, con un arretramento della tutela dei diritti dell’interessato – dal consenso al legittimo interesse – determina un impiego retroattivo e, quindi, sfornito di specifica informativa, con riferimento alle informazioni archiviate in precedenza.

Di fatto, il legittimo interesse invocato in questi termini vorrebbe “sanare” i trattamenti effettuati senza consenso o con consenso non valido da parte degli utenti.

Da ultimo – ma il Garante lo pone in primo luogo – “il quadro normativo sopra illustrato consente di escludere che il legittimo interesse possa rappresentare una idonea base giuridica almeno per il trattamento, ai fini dell’invio di pubblicità personalizzata, di tutti quei dati personali che nell’informativa di TikTok vengono definite “informazioni raccolte automaticamente” e, pertanto, di ritenere illecito, almeno parzialmente, a prescindere da ogni ulteriore e successivo approfondimento, il trattamento dei dati personali degli utenti che TikTok intende intraprendere a far data dal prossimo 13 luglio” (provvedimento in commento, pagina 6).

In conclusione, il Garante ha escluso a monte ciò che poteva essere comunque illecito a valle, affermando che l’attività di profilazione, archiviazione e di trattamento dei dati degli utenti per fini pubblicitari che TikTok voleva operare si colloca in aperto contrasto con l’articolo 5, paragrafo della Direttiva ePrivacy e con l’articolo 122 del decreto legislativo 196/2003 (Codice privacy) che ne dà attuazione.

Conclusioni

Il provvedimento del Garante è ben motivato e dimostra l’attenzione per il mondo dei social media.

La scelta di bloccare la modifica unilaterale TikTok della base giuridica è stata eccellente: l’alternativa era creare un precedente pericolosissimo per i diritti degli utenti online.

Il legittimo interesse, infatti, è la base giuridica con più debole tutela dell’interessato, perché presuppone un bilanciamento – unilaterale – di interessi che determina una compressione dei diritti degli utenti in favore di un’attività svolta dal titolare del trattamento.

Il passaggio per via di informativa dal consenso dell’interessato al legittimo interesse avrebbe causato un effetto domino anche per altre piattaforme, che avrebbero potuto “beneficiare” del precedente per comprimere le tutele degli utenti e fare facile profitto con i dati degli utenti, utilizzando quelli già archiviati in modo indiscriminato e retroattivo.

In altri termini: la piattaforma potrebbe aver archiviato dati dell’utente senza consenso e, con la semplice modifica della privacy policy, potrebbe utilizzarli lecitamente ed indiscriminatamente.

La manovra del social cinese è stata, quindi, estremamente spregiudicata, specie se si considera che era già sotto la lente d’ingrandimento del Garante.

Va detto che ci si devono aspettare anche altri “grandi colpi”: il Garante italiano ha “sparato”, in rapida successione, su Google e TikTok, ma non si può dire che i trattamenti effettuati da Meta o Microsoft siano del tutto privi delle problematiche fin qui emerse per questi due colossi.

Quanto a TikTok, dopo due provvedimenti di “blocco” d’urgenza da parte del Garante, è lecito ritenere che san pronte anche le sanzioni, quelle vere: quelle, cioè, che arrivano fino al 4% del fatturato su base mondiale (ricordiamo la sanzione da 20 milioni di euro a ClearView AI ad inizio 2022).

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4