TikTok, troppi dubbi privacy: ecco perché il Garante vuole vederci chiaro - Agenda Digitale

L'approfondimento

TikTok, troppi dubbi privacy: ecco perché il Garante vuole vederci chiaro

Scarse tutele nei confronti dei minori, per esempio in fase di iscrizione al social, ma anche mancata conformità al GDPR: l’inchiesta avviata dal Garante su TikTok è solo l’ultima di una lunga serie di approfondimenti e critiche a livello globale. Vediamo quali sono i fronti critici contestati

08 Gen 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

Tutela dei minori, conservazione dei dati e loro trasferimento, informative inadeguate: sono alcuni degli aspetti che hanno portato il Garante privacy italiano ad avviare un’inchiesta sul social network TikTok. Tuttavia, la piattaforma è al centro di una serie di procedimenti a livello globale, di natura amministrativa, giudiziale e politica. Dibattiti si sono infatti accesi anche nel Regno Unito, negli Stati Uniti, in India. Vediamo quali fronti critici destano preoccupazione nelle istituzioni mondiali, alla luce della normativa privacy e della necessità di proteggere i più giovani dalle insidie del web.

Perché il Garante privacy italiano ha avviato l’inchiesta

Con un comunicato del 22 dicembre 2020, il Garante Privacy ha annunciato di aver aperto un’istruttoria nei confronti di ByteDance, proprietaria del social network TikTok. Il Garante precisa che le principali violazioni su cui si concentrerà l’indagine sono la scarsa attenzione alla tutela dei minori, il fatto che il divieto di iscrizione ai più piccoli è facilmente aggirabile, la poca trasparenza e chiarezza nelle informazioni rese agli utenti, e la presenza di impostazioni predefinite non rispettose della privacy.

WHITEPAPER
Difendere le organizzazioni dal crimine informatico: una guida pratica.
Sicurezza
Cybersecurity

Il Garante privacy italiano ha particolarmente a cuore la privacy del social network, in quanto già nel gennaio 2020 l’allora Garante Antonello Soro aveva interessato della questione il Gruppo Europeo dei Garanti, chiedendo di creare un gruppo di lavoro composto da esperti per capire se e dove esistono dei pericoli o inadempienze nel trattamento dati effettuato da TikTok.

La task force europea

Il Comitato Europeo per la Protezione dei Dati (EDPB), nel corso della sua 31a sessione plenaria del 10 giugno 2020, ha dato atto di aver raccolto l’invito del Garante italiano, decidendo di istituire una task force per coordinare potenziali azioni e acquisire una panoramica più completa delle operazioni di trattamento e delle pratiche di TikTok in tutta l’Unione. I lavori della task force sono ancora in corso ma il Garante dà atto, nel proprio comunicato, di aver ciononostante “avvertito l’urgenza di aprire comunque un procedimento formale nei confronti del social network a tutela dei minori italiani”.

I trattamenti non conformi al GDPR

Il Garante evidenzia che questa iniziativa nazionale deriva dal fatto che l’istruttoria avviata dagli uffici dell’Autorità ancora nel marzo 2020 ha messo in luce una serie di trattamenti di dati effettuati dal social network che appaiono non conformi al quadro normativo in materia di protezione dei dati personali. Il Garante contesta a TikTok innanzitutto che le modalità di iscrizione al social network non tutelino adeguatamente i minori. Il divieto di iscrizione al di sotto dei 13 anni, stabilito dal social network, risulta infatti facilmente aggirabile una volta che si utilizzi una data di nascita falsa (cosa che però è vera per la maggior parte dei social network). Secondo il Garante TikTok non impedisce ai più piccoli di iscriversi ma soprattutto non ottiene il consenso dei genitori (previsto dal Codice Privacy, come modificato da ultimo dal D.Lgs. 101/2018) per tutti quegli iscritti che abbiano meno di 14 anni.

L’informativa agli utenti

Altra critica del Garante riguarda l’informativa rilasciata agli utenti, che non è (era) differenziata a seconda del fatto che si tratti di un minore (scritta in termini semplici e con degli alert che evidenzino i rischi). In realtà TikTok ha da poco posto rimedio a questa mancanza prevedendo due informative distinte a seconda che l’utente abbia più o meno di 18 anni, l’informativa dedicata ai minori, sebbene non presenti “alert” relativi ai rischi dell’app, è scritta in linguaggio semplice e contiene le informazioni di base relative al trattamento.

La conservazione dei dati

Le ulteriori censure del Garante riguardano i tempi di conservazione dei dati, a detta dell’Autorità indefiniti rispetto agli scopi per i quali vengono raccolti, il fatto che non sono indicate le modalità di anonimizzazione che il social network afferma di applicare e il fatto che non sono specificati i paesi terzi verso i quali la società intende trasferire i dati né la situazione di adeguatezza o meno di quei Paesi alla normativa privacy europea.

Quanto ai tempi di conservazione dei dati l’informativa è rimasta ad oggi troppo generica, con la previsione che, una volta eliminato l’account (procedura che passa da un periodo di “congelamento” di trenta giorni), verranno conservati solo “nella misura in cui sussista un legittimo fine commerciale alla conservazione di tali dati”, formula vaga e criptica che difficilmente si concilia con i requisiti di cui al GDPR.

Il trasferimento dei dati

Quanto ai paesi terzi l’informativa di TikTok a tutt’oggi non precisa verso quali paesi vengono trasmessi i dati (anche se i data center dell’applicazione conosciuti sono localizzati in USA e a Singapore), ma precisa che il trasferimento è subordinato alla contrattualizzazione di clausole standard secondo la decisione di adeguatezza adottata dalla Commissione Europea nel 2010. TikTok ha comunque recentemente annunciato di intendere aprire un data center in Irlanda anche per superare la problematica.

Resta il fatto che ad oggi il trasferimento dati negli Stati Uniti non appare in linea con il contesto successivo alla sentenza Schrems II, in quanto non adotta quelle “garanzie ulteriori” atte a superare le criticità del trasferimento di dati negli USA.

Anche il trasferimento di dati a Singapore (non “coperto” da una decisione di adeguatezza) passa da una valutazione in concreto della sufficienza delle clausole standard a garantire un adeguato livello di tutela dei dati di cittadini europei trasferiti nel paese, cui deve seguire l’implementazione di garanzie ulteriori se le clausole contrattuali standard non sono sufficienti. Non è chiaro se questo sia avvenuto nel caso di TikTok.

L’impostazione del profilo come “pubblico”

Ferme le inadempienze di TikTok (almeno finché non verrà implementato il data center irlandese), c’è da dire che il social network cinese è in buona compagnia in quanto gli altri colossi statunitensi non hanno saputo ancora affrontare (salvo un timido tentativo da parte di Microsoft). L’ultima censura del Garante riguarda il fatto che il social network preimposta il profilo dell’utente come “pubblico”, consentendo la massima visibilità ai contenuti in esso pubblicati.

Anche qui stiamo parlando di una impostazione di default comune a numerosi social network, che però a detta del Garante si pone in contrasto con la normativa sulla protezione dei dati che stabilisce “l’adozione di misure tecniche ed organizzative che garantiscano, di default, la possibilità di scegliere se rendere o meno accessibili dati personali ad un numero indefinito di persone”.

Nel social network di ByteDance, invece, la possibilità è accessibile dal menù dell’app dopo che il profilo pubblico è stato aperto. Queste problematiche (unite a motivi politici) sono emerse in numerosi altri Paesi creando non pochi problemi a ByteDance, in Europa come nel resto del mondo.

Il precedente: l’intervento del Garante inglese

Prima dell’intervento del Garante italiano, infatti, l’Autorità Garante britannica (ICO) aveva già avuto occasione di interessarsi al social network. Già nel 2019 il Garante inglese aveva sentito i rappresentanti del social network, concentrandosi proprio sulla questione dell’accesso dei minori all’app. TikTok, nel rispondere, aveva precisato che sull’app è prevista un’età minima di 13 anni per creare un account e che il rating dell’app sui vari app store la classifica come adatta ai ragazzi di età superiore ai 12 anni, consentendo così ai genitori di limitare la possibilità di download dell’app direttamente dalle impostazioni di sistema.

TikTok ha precisato anche di aver messo a disposizione numerose impostazioni per decidere la privacy del profilo e cosa sia possibile vedere all’interno dell’app, di aver predisposto un sistema di reporting per i video sconvenienti direttamente nell’app, di aver inserito strumenti di digital wellbeing tesi a monitorare l’utilizzo dell’applicazione (o limitarlo) e un “Safety Center” rivolto ai genitori.

La censura in Cina

Nonostante però TikTok sia di proprietà di un’azienda cinese, non va dimenticato che la versione dell’app destinata ai mercati al di fuori della Cina non ha nulla a che fare con DuoYin (抖音), il “TikTok cinese” che non condivide i contenuti con quello destinato al resto del mondo. Questa separazione dimostra come ByteDance non intenda sfidare il governo di Beijing rischiando di introdurre contenuti inappropriati nel Paese, anche se si è rivelata utile per difendere l’app dalle accuse statunitensi, fondate proprio sulla condivisione dei dati con la Cina.

Mentre il “TikTok occidentale” riceve e pubblica contenuti anche di critica contro la Repubblica Popolare (ad esempio il famoso video di make-up in cui si nascondeva una denuncia della repressione degli Uiguri da parte del governo di Pechino), DuoYin è controllato in maniera molto più rigida e ciò non ha mancato di generare critiche dirette ai gestori del social network.

Basta pensare ad esempio che nel 2018 ByteDance ha censurato su DuoYin gli hashtag relativi a Peppa Pig e i “meme” basati sul personaggio, perché associati alla cultura “sovversiva” degli shehuiren (社会人). Questo termine indica letteralmente delle “persone di società”, anche se il termine può essere associato a una sottocultura giovanile non apprezzata dal governo centrale.

Il caso di TikTok negli Stati Uniti

Anche in USA, prima che la “questione TikTok” assumesse tratti politici, tutto era cominciato con un intervento della Federal Trade Commission relativo al trattamento dei dati dei minori in cui si contestava la violazione delle disposizioni del Children’s Online Privacy Protection Act (COPPA).

Nel febbraio 2019 il caso si era chiuso con un accordo in cui la sussidiaria americana di ByteDance aveva accettato di versare ben 5.7 milioni di dollari in sanzioni. Secondo quanto dichiarato dalla stessa FTC in quell’occasione, si tratta della sanzione più alta ottenuta dalla FTC in un caso relativo alla privacy. Successivamente l’amministrazione Trump, nell’agosto 2020, ha imposto un ban dell’applicazione (nonché dell’app cinese WeChat) lamentando (in un comunicato piuttosto confuso e frettoloso) minacce alla sicurezza nazionale e concedendo un termine di 45 giorni per concordare una soluzione.

Nel caso di TikTok la soluzione su cui si è orientata l’amministrazione Trump è stata quella della cessione della sussidiaria americana del social network a società statunitensi (prima si è fatta avanti Microsoft, quindi Walmart ed Oracle. Il ban è stato quindi prorogato per consentire il raggiungimento di un accordo, che però è stato complicato dal comportamento erratico del Presidente (che ha spinto alle dimissioni il CEO dell’azienda) e dal fatto che nel frattempo la questione si è spostata sul piano giudiziale (con azioni intraprese dalla stessa TikTok nonché da numerosi influencer della piattaforma, che conta 100 milioni di utenti negli USA).

Le azioni intraprese da TikTok finora hanno avuto successo ed infatti due giudici si sono pronunciati (con altrettante ingiunzioni preliminari) sospendendo gli effetti del ban fino all’esito dei giudizi. L’ultima decisione è della Corte Federale di Washington D.C. che l’8 dicembre scorso ha sospeso gli effetti del ban e i termini dettati dal Dipartimento del Commercio, provvedimento prontamente appellato dall’amministrazione Trump.

Il ban indiano

In India il 29 giugno 2020 il Ministry of Electronics and Information Technology ha bandito TikTok (nonché numerose altre app cinesi) affermando che l’applicazione tratta i dati in maniera illecita e che le app cinesi bandite rappresentano una minaccia per la sicurezza nazionale.

La motivazione del ban, nel caso, trova origine nell’accesa rivalità fra le due nazioni (accentuata da dispute di confine) ma a differenza del ban americano non prevede “vie d’uscita” per ByteDance, la cui app non sarà disponibile sugli app store indiani a tempo indeterminato.

Lo scenario futuro

In questa situazione di attacco globale ByteDance ha iniziato a sviluppare una certa “resilienza” alle offensive amministrative e ha dimostrato di sapere collaborare e contrattaccare (quantomeno sui mercati principali), resta da vedere come si comporterà in Italia. Dopo l’iniziativa del Garante italiano, TikTok ora avrà a disposizione trenta giorni per inviare memorie difensive, nelle quali verosimilmente evidenzierà quanto è stato già fatto per migliorare la situazione e quanto invece intende fare per risolvere le problematiche segnalate dall’Autorità.

Non è da escludere che TikTok adotti un approccio simile a quello di Facebook, cercando di “trascinare nella contesa” gli altri social network con le stesse mancanze (se non peggiori) dal punto di vista privacy.

Il punto di vista di ByteDance

Nel caso forse ByteDance non ha tutti i torti a evidenziare l’eccessiva attenzione di cui è oggetto. Sebbene infatti l’iniziativa del Garante sia determinata dal modello di business dell’app TikTok, destinata ad un pubblico di giovanissimi, non si può evitare la sensazione che in Italia, così come in Europa e negli USA, si guardi con maggior preoccupazione ad un’app di proprietà cinese rispetto agli omologhi applicativi occidentali.

Nonostante ByteDance continui a ribadire che TikTok è cosa diversa da DuoYin e che i dati della prima non arrivano nemmeno in Cina, il social network made in China deve affrontare un’attenzione più pressante da parte delle autorità.

La funzione dell’algoritmo per i contenuti

Altro aspetto da esaminare (non affrontato dal Garante italiano ma che sarà sicuro oggetto dell’indagine EDPB) è la primaria importanza dell’algoritmo nella selezione dei contenuti proposti agli utenti. Se negli altri social network è possibile intervenire in certa misura sulla presentazione dei contenuti, ottenendone quantomeno un controllo parziale (selezionando ad esempio le fonti da cui trarre informazioni), TikTok si fonda soprattutto sulla presentazione apparentemente casuale dei contenuti della sezione “per te”, con complessi meccanismi che determinano quali video proporre ai vari utenti (da parte di creatori noti ma anche meno noti per assicurare la crescita di utenti appena affacciatisi sulla piattaforma).

Se Facebook sostituisce (male) l’informazione tradizionale, TikTok sostituisce l’intrattenimento televisivo spiccio, proponendo una serie di contenuti video adatti alla velocità dei giorni nostri e senza necessità di dover “pensare” a cosa guardare dopo, con un algoritmo che proporrà per noi quello che verosimilmente potrebbe piacerci. Questa proposta di contenuti, fondata su criteri difficilmente comprensibili e comunque poco trasparenti, andrà verificata da un punto di vista della privacy degli utenti, che scavando fra i vari contenuti permettono a ByteDance di conoscere le loro preferenze più a fondo di quanto immaginano e di “nutrire” i loro sistemi intelligenti con questa dettagliatissima profilazione.

Conclusione

Nel frattempo, almeno stando ai dati con TikTok che continua a crescere ed ha raggiunto e superato gli 8 milioni di utenti in Italia, pare che gli utenti siano meno preoccupati delle autorità dell’”origine” del social network su cui condividono ritagli della loro vita, forse perché si sono resi conto che fra USA e Cina non c’è tanta differenza nella spregiudicata corsa ai dati dei cittadini UE o forse (più probabile) perché non si sono ancora resi conto dei rischi di queste condivisioni di dati che programmaticamente trasmettono la nostra identità digitale al di fuori dello “spazio sicuro” costruito all’interno dell’Unione.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3