social e minori

TikTok, pre-adolescenti a rischio: le misure che servono

TikTok, l’app più popolare tra i giovanissimi solleva dubbi sulla sicurezza dei dati degli utenti e la possibilità di utilizzo da parte di minori non autorizzati, in un contesto internazionale di forti critiche da parte delle autorità e cause intentate negli USA. Ecco perché servono misure specifiche di protezione

07 Ott 2020
Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Roberta Savella

Avvocato praticante presso Studio Legale Martorana


Un recente articolo del New York Times, a firma di Raymond Zhong e Sheera Frenkel, solleva preoccupazioni in merito all’età media degli utilizzatori di TikTok e ai rischi per la loro sicurezza. Non c’è da stupirsi che negli USA il problema sia particolarmente sentito, visto il braccio di ferro in corso tra Trump e la compagnia cinese ByteDance proprietaria della app e, soprattutto, la crescita vertiginosa della popolarità del social tra i giovanissimi durante il periodo del lockdown.

TikTok sta diventando una vera e propria potenza: scaricata 2 miliardi di volte globalmente, solo negli Stati Uniti conta più di 100 milioni di utenti attivi ogni mese, di cui 50 attivi giornalmente, con una crescita di più del doppio rispetto ai numeri registrati nell’ottobre 2019. Tuttavia, già da tempo la app cinese si trova a dover rispondere dell’utilizzo improprio dei dati dei suoi utenti: sempre negli USA, nel febbraio del 2019 aveva accettato di pagare 5.7 milioni di dollari per chiudere un procedimento iniziato dalla Federal Trade Commission nei suoi confronti per la raccolta illegale di dati di minori.

Il limite di età per utilizzare TikTok

Per affrontare il problema della sicurezza dei minori su TikTok, serve innanzitutto comprendere il meccanismo di iscrizione degli utenti e trattamento dei loro dati. Per questo basta farsi un giro sul sito della app, dove si scoprirà subito che il regime giuridico si differenzia in base alla provenienza dei potenziali utenti: vi sono dei termini d’uso per i residenti negli USA, altri per i residenti nell’Area Economica Europea e in Svizzera, altri ancora per i residenti in India (aggiornati allo scorso febbraio, mentre la app è stata in effetti bannata dall’India lo scorso giugno) e, infine, vi sono dei termini specifici per i residenti in Paesi diversi da tutti questi già elencati. In tutti gli Stati è presente un limite minimo d’età per utilizzare la app di 13 anni tranne che negli USA, dove i minori di 13 anni possono usufruire di una versione di TikTok progettata appositamente per loro e contenente grosse limitazioni al servizio: non è possibile scambiarsi messaggi, né rendere il profilo visibile ad altri utenti, né condividere contenuti, ma solo guardare video postati da chi possiede i requisiti minimi di età e creare dei video da salvare sul proprio dispositivo a cui nemmeno TikTok può accedere. In ogni caso, nei termini di servizio statunitensi si legge che i minori di 18 anni possono utilizzare la app solo con il consenso di chi esercita la potestà genitoriale.

L’informativa privacy europea e il GDPR

Diverse tra loro sono anche le informative privacy, che comprendono una “Privacy Policy for Younger Users” rivolta ai minori di 13 anni negli Stati Uniti.

Nell’Unione Europea il GDPR fornisce delle indicazioni precise sul contenuto delle informative privacy da fornire ai soggetti interessati; per questo gli interessati dovrebbero essere in grado di conoscere con chiarezza quali dati vengono trattati, per quale fine, su quale base giuridica, se questi vengono trasferiti a terzi e dove questi si trovano. Il principio cardine è la trasparenza, che permette agli individui di compiere delle scelte consapevoli nel momento in cui si avvalgono di un servizio online. Nell’informativa di TikTok rivolta ai residenti nell’Area Economica Europea e in Svizzera troviamo quindi delle informazioni interessanti: i dati raccolti, che ricomprendono anche i video caricati vengono trattati sulla base del legittimo interesse del titolare del trattamento e per l’esecuzione del contratto con l’utente. In parole povere, questo significa che non serve il consenso dell’interessato per effettuare quel tipo di trattamento. Tale consenso sarà richiesto solo per effettuare attività pubblicitarie personalizzate (quindi per fini di marketing). Il che, si dirà, è piuttosto comune e, anzi, si pone nel solco delle linee guida dei Garanti europei che da anni invocano il principio per cui il consenso non debba essere utilizzato nei casi in cui sia appropriata una base giuridica diversa. Tuttavia, qui sorge una questione spinosa per quanto riguarda i dati dei minori. Il GDPR introduce una “età digitale del consenso” nell’ambito dei servizi resi dalla società dell’informazione fissandola, in linea generale, a 16 anni, con la possibilità per ogni Stato membro di abbassarla fino a 13 anni (in Italia il d.lgs 101/2018 ha stabilito che sia 14 anni). Al di sotto di questa età, per i trattamenti che si fondano sulla base giuridica del consenso dell’interessato serve il consenso di chi esercita la potestà genitoriale. Ma cosa succede se il trattamento di TikTok si basa sul legittimo interesse o sull’esecuzione del contratto, richiedendo il consenso solo per le attività di marketing targhettizzato? Questo meccanismo fa sì che, in Europa, TikTok possa trattare i dati dei minorenni dai 13 anni in su senza dover informare o chiedere il consenso a un genitore o un tutore. Dati che, come specificato nell’informativa, vengono condivisi dall’applicazione con i partner della società e con i vari providers e vengono trasferiti al di fuori dell’Unione utilizzando clausole contrattuali standard. Da ultimo è importante notare anche come l’informativa fornita dalla app non sembri affatto tenere conto che la fetta maggioritaria del suo bacino di utenza è formata da individui giovanissimi, ma sia in effetti un documento lungo e scritto con un linguaggio ai limiti del tecnico, mentre l’articolo 12 del GDPR impone di modellare l’informativa in modo che sia facilmente comprensibile specialmente se destinata a minori. Sotto questo punto di vista è stato interessante leggere la “Privacy Policy for Younger Users”, che presenta le stesse caratteristiche grafiche e di linguaggio, pur essendo rivolta a un pubblico di utenti minori di 13 anni; certo negli USA non sono vincolati alle prescrizioni del GDPR in tema ma, in ogni caso, questa circostanza fa sì che la piattaforma non sia effettivamente comprensibile per un soggetto di quell’età se non guidato da un adulto come dovrebbe avvenire fisiologicamente ma, nei fatti, probabilmente si verifica solo nella minoranza dei casi.

La denuncia dei dipendenti di TikTok

In apertura si è parlato dell’articolo del New York Times di Raymond Zhong e Sheera Frenkel, estremamente interessante per via delle dichiarazioni che contiene e che sono state rilasciate da alcuni dipendenti o ex dipendenti di TikTok. Questi sollevano il problema di come, nei fatti, molti degli utenti di TikTok siano minori di 13 anni che aggirano i controlli della app per accedere al servizio senza avere l’età minima. Non si tratta qui, sia chiaro, di bambini che utilizzano la modalità semplificata prevista per loro negli USA, ma di minori che inseriscono una data di nascita falsa per accedere al servizio riservato ai ragazzi dai 13 anni in su. Negli Stati Uniti il “Children’s Online Privacy Protection Act” prevede che i siti debbano richiedere il consenso di un genitore o tutore per raccogliere informazioni su soggetti minori di 13 anni; le piattaforme, nel caso in cui vengano a conoscenza che un loro utente non raggiunge l’età necessaria, sono obbligate a chiedere tale consenso o cancellare le informazioni personali dell’utente. La questione quindi diventa: TikTok è a conoscenza della violazione del requisito dell’età minima? Stando alle dichiarazioni di alcuni dipendenti ed ex dipendenti della app, sembrerebbe proprio di sì: TikTok non si basa unicamente sulle dichiarazioni dell’utente per stabilire la sua età, ma anche su algoritmi di riconoscimento facciale, su calcoli relativi ai suoi contatti con altri utenti e su informazioni comprate da altre piattaforme. Nelle informative privacy (anche in quella rivolta ai residenti statunitensi) è previsto poi un indirizzo da contattare nel caso in cui si abbia il sospetto che un utente non raggiunga l’età minima. Eppure, un ex dipendente afferma che la app non utilizza le informazioni in proprio possesso per togliere video postati da bambini né per chiedere il consenso dei genitori quando necessario.

Le preoccupazioni di Trump e lo spettro del ban

Abbiamo osservato come TikTok usi tecnologie di riconoscimento facciale per stabilire l’età dei suoi utenti, operazione che in effetti, se eseguita con la dovuta trasparenza, potrebbe ovviare al problema della presenza incontrollata di minori di 13 anni sulla piattaforma. Tuttavia, il trattamento dei dati effettuato dalla app ha sollevato le preoccupazioni del Presidente degli Stati Uniti, che vede in questo meccanismo il rischio di un controllo dei cittadini americani da parte del governo cinese. Per questi motivi Trump ha emanato un ordine esecutivo per proibire l’utilizzo di TikTok negli USA (come è già successo anche in India): il 27 settembre sarebbe dovuto entrare in vigore il divieto di scaricare l’app, mentre un divieto generale del suo utilizzo negli Stati Uniti è previsto per il 12 novembre. Nel frattempo, TikTok si è rivolto ai giudici per evitare che il ban diventasse effettivo e proprio il 27 settembre il giudice Carl J. Nichols del Tribunale distrettuale di Washington DC ha concesso una ingiunzione preliminare al social cinese. L’ordinanza di Trump è stata quindi temporaneamente bloccata, ma il governo ha già annunciato che farà ricorso contro l’ingiunzione. In ogni caso, la decisione del giudice non incide sul bando totale di TikTok sul suolo statunitense, ma solo sul divieto di scaricare la app che sarebbe entrato in vigore il 27 settembre stesso. Parallelamente a queste vicissitudini, proseguono le trattative con ByteDance per consentire ad alcune società statunitensi di acquisire partecipazioni di TikTok; l’offerta di Microsoft è stata rigettata, ma sembra che la società cinese stia trovando un accordo con Oracle e Walmart, che avrebbe perfino ricevuto il benestare di Trump. Se le tre società riuscissero a finalizzare l’intesa entro novembre, forse il social potrebbe evitare il ban negli USA; tuttavia, come si è visto con i recenti sviluppi, sarà necessario monitorare giorno per giorno la situazione, che è in costante evoluzione tra ordinanze presidenziali, decisioni giudiziali e accordi di mercato.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

In ogni caso, le preoccupazioni di Trump sono un chiaro esempio di come sia difficile il bilanciamento tra sicurezza e privacy: il monitoraggio è di per sé un elemento neutro che può essere utilizzato per fornire un servizio in modo appropriato, individuando gli elementi patologici come la presenza sulla piattaforma di individui non autorizzati, oppure per ottenere informazioni per fini di spionaggio e in violazione della privacy dei soggetti. La protezione dei cittadini non deve quindi concretizzarsi in un divieto generale di impiego di tecnologie come quelle di riconoscimento facciale, ma in una attenta regolazione di questi fenomeni per far sì che si raggiungano gli obiettivi previsti dalle varie normative, nel rispetto della privacy e dei termini di servizio della piattaforma, a tutela di tutti.

Una class action negli USA

In California e Illinois nell’ultimo anno sono stati intentati venti procedimenti contro TikTok da parte di famiglie di minori che utilizzavano la app e dai quali, secondo i ricorrenti, vengono sistematicamente raccolti dati in modo illecito. Le cause sono state riunite in una unica class action nella Corte distrettuale del Distretto Nord dell’Illinois, ma gli avvocati dei ricorrenti chiederanno al giudice di espandere la class action a livello nazionale, coinvolgendo decine di milioni di utenti americani. I ricorrenti affermano che i dati dei minori vengono raccolti anche prima che questi creino il proprio profilo accettando i termini d’uso della app ed è qui che si gioca l’accoglimento o meno della causa: nei suddetti termini è prevista una clausola di arbitrato obbligatorio, che impedisce l’utilizzo di class actions per risolvere le dispute con TikTok. Tuttavia, da un lato in base alla legge californiana le clausole di arbitrato obbligatorio non si applicano ai minori, che possono comunque fare causa; dall’altro i ricorrenti affermano che questa clausola non si applica perché il trattamento avviene anche prima dell’accettazione dei termini. Una causa simile è stata intentata contro Facebook e ha portato al pagamento da parte di quest’ultimo di 650 milioni di dollari in via transattiva lo scorso luglio; se la class action contro TikTok diventasse nazionale, l’app cinese arriverebbe a pagare una somma anche superiore. Resta da vedere, inoltre, come questo caso pendente inciderà sulle trattative con il futuro compratore americano della compagnia.

Una task force europea

Anche nell’Unione Europea da tempo TikTok è sotto la lente d’ingrandimento delle autorità. I Garanti privacy francesi e olandesi hanno aperto delle investigazioni su come la app tratti i dati dei suoi utenti, mentre già dallo scorso anno l’autorità del Regno Unito si era mossa in questo senso, sollevando varie questioni relative al fatto che il profilo sia pubblico di default, alla possibilità per i minorenni di ricevere messaggi da chiunque, alla pubblicità delle loro foto del profilo e alla mancanza di controlli efficaci sul rispetto dell’età minima.

Lo scorso giugno l’European Data Protection Board (EDPB) ha istituito una task force europea, anche su spinta del Garante Privacy italiano, per valutare la conformità al GDPR della piattaforma. Il Garante Privacy italiano lo scorso gennaio aveva infatti sollevato il problema dei rischi per la privacy dei dati degli utenti su TikTok, soprattutto dei minori, chiedendo un’azione forte e coordinata a livello europeo.

Conclusioni

TikTok è diventata una app utilizzata prevalentemente da preadolescenti; anche prescindendo da considerazioni in merito alla possibile sorveglianza da parte del governo cinese, resta il fatto che la piattaforma contiene un numero altissimo di video di bambini e, quindi, di dati attraverso i quali sono facilmente identificabili. I pericoli insiti in questo tipo di meccanismo sono tali per cui non ci si può cullare su un rispetto formale e superficiale della normativa vigente, ma servirebbe la messa a punto di misure specifiche di protezione. Non si tratta di casi isolati, ma di un utilizzo sistematico e palese della app da parte di minori, spesso anche infra-tredicenni, che non può essere più ignorato dalla compagnia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4