martedì, Maggio 21, 2024
Uncategorized

Il provvedimento del Garante privacy in materia di pubblicità personalizzata nei confronti di Tik Tok

Il provvedimento del Garante privacy in materia di pubblicità personalizzata nei confronti di Tik Tok

La vicenda

Con la pubblicazione di uno specifico annuncio recante il titolo “modifiche alle nostre impostazioni relative alla pubblicità personalizzata in SEE, Regno Unito e Svizzera”, nel giugno 2022 la piattaforma multimediale – Tik Tok – informava i propri utenti in merito alle modifiche apportate alla privacy policy che sarebbero dovute intercorrere a partire dal 13 luglio 2022. [1]

Con riferimento agli annunci pubblicitari, indirizzati da parte di Tik Tok ai propri utenti, occorre – primariamente – sottolineare che questi ultimi vengono personalizzati utilizzando dati personali raccolti per mezzo di due distinte attività. In primo luogo, la raccolta avviene attraverso “un’attività su Tik Tok”, nel contesto dell’utilizzo di tale applicativo da parte dell’utente, a seguito della quale è possibile ottenere delle informazioni sugli interessati sulla base degli account da questi seguiti, dei dati presenti nel loro profilo personale e dalle interazioni ai video postati sulla rete. Secondariamente, risulta, altresì, possibile personalizzare i suddetti annunci sulla base delle informazioni riferite agli utenti e ricevute da Tik Tok da parte dei propri partner pubblicitari che offrono servizi di misurazione e di dati (“attività fuori da Tik Tok”). [2]

La base giuridica originariamente prevista a sostegno del trattamento sopra descritto – sia che esso avvenga su Tik Tok che fuori da Tik Tok – coincideva con il consenso dell’interessato rilasciato ai sensi dell’art 6, par. 1 lett. a) del Regolamento (UE) 2016/679 in materia di protezione dati personali (“GDPR”). [3] Tuttavia, le modifiche apportate all’informativa privacy di Tik Tok, preposte a mettere in luce le nuove esigenze della piattaforma in materia di pubblicità personalizzata, avevano determinato un mutamento della base giuridica per la sola attività, cosiddetta “interna”, all’applicazione. Il trattamento, basato sull’invio agli utenti di età pari o superiore ai 18 anni di annunci pubblicitari cd. “personalizzati”, fondati sulla profilazione dei comportamenti tenuti nella navigazione sulla piattaforma sarebbe stato giustificato, infatti, dalla presenza di un interesse legittimo ex art 6, par. 1 lett. f) del GDPR [4] di Tik Tok, dei propri partner commerciali e degli utenti stessi; restando, invece, invariata la base giuridica prevista per l’attività “esterna” da Tik Tok, per la quale risultava necessario il consenso dell’utente.

 

L’intervento dell’Autorità garante

A seguito delle pubblicazione di tale annuncio, l’Autorità garante per la protezione dei dati personali italiana (“Garante”) aveva avviato un’istruttoria nei confronti della controllata italiana (“Tik Tok Italy S.r.l.”). Nello specifico, lo scorso 22 giungo 2022, era stata trasmessa una richiesta di informazioni atta ad avere evidenza – tra le altre cose – delle motivazioni che avevano indotto la Società ad optare per tale base giuridica; qualora, sul punto, fosse stata effettuata una valutazione di impatto preliminare ai sensi dell’art. 35 del GDPR e un triplice test [5], oltre alle misure che sarebbero state introdotte al fine di poter verificare la maggior età degli utenti i cui dati sarebbero stati trattati per finalità di pubblicità profilata. [6]

In risposta a tale richiesta, la Società aveva, successivamente, fornito un riscontro all’Autorità, nel contesto del quale aveva dato atto di aver effettuato tutte le valutazioni pertinenti in conformità al Regolamento europeo – inclusa un’analisi di impatto – e che, quindi, a seguito di tale test, il bilanciamento risultava soddisfatto per le seguenti ragioni:

“(i) il trattamento è chiaramente spiegato agli utenti;

(ii) è improbabile che il trattamento abbia un impatto negativo sugli utenti o causi loro un danno; (iii) gli utenti di età inferiore ai 18 anni sono esclusi dal trattamento;

(iv) TikTok facilita lesercizio dei diritti degli interessati attraverso diverse funzioni e impostazioni della piattaforma”. [7]

Tuttavia, all’esito delle verifiche condotte dall’Autorità garante sarebbero emerse delle criticità tali da aver indotto quest’ultima ad adottare, lo scorso 7 luglio 2022, un provvedimento d’urgenza nei confronti della controllata italiana. [8]

Con tale avvertimento, il Garante rileva l’inadeguatezza e l’insufficienza delle dichiarazioni fornite da Tik Tok nella replica di risposta del 30 giugno 2022. In sostanza, la Società non avrebbe esplicitato il contenuto del legittimo interesse perseguito dalla stessa in qualità di titolare del trattamento, dai terzi (i propri partner commerciali) e dai propri utenti e non avrebbe chiarito laddove il perimetro di dati inclusi nel trattamento si sarebbe potuto estendere anche a dati di carattere particolare, evidenziando, sul punto, la relativa eccezione al trattamento degli stessi ai sensi dell’art. 9, par. 2 del GDPR. [9] Quanto alla valutazione di impatto condotta, l’Autorità sottolinea che quest’ultima non sarebbe stata fornita dal DPO della Società, pur essendo stata richiesta in sede di istruttoria; mentre, con riferimento al test di bilanciamento evidenzia che quest’ultimo sarebbe stato “indicato in modo generico e insufficiente a consentire una adeguata valutazione della sua correttezza alla luce dei criteri forniti dalla giurisprudenza della Corte di Giustizia dellUnione europea”. [10] Invece, per quel che attiene al profilo della tutela dei minori, potenzialmente impattati da tale trattamento, la Società non avrebbe indicato – neppure in linea generale – le misure di verifica dell’età adottate allo scopo di impedire che la pubblicità personalizzata possa essere rivolta anche agli utenti minori di 18 anni.

Alla luce di tali valutazioni, il Garante ha, dunque, dichiarato che il mutamento della base giuridica effettuato ricorrendo al legittimo interesse, risulta incompatibile con la direttiva europea 2002/58 (“direttiva ePrivacy”) [11] e con l’art. 122 del D.lgs. 196/2003 (“Codice privacy”) [12]. Tali disposizioni prevedono, infatti, che le attività concernenti “l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” possano essere legittimate solo in presenza del consenso degli interessati. Inoltre, nelle conclusioni  del provvedimento è stato, altresì, evidenziato che viste le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma, non è possibile “escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati”. [13]

Conclusioni

Come emerso nel comunicato stampa del 12 luglio 22, l’adozione del provvedimento in via d’urgenza e al di fuori della procedura di cooperazione prevista dal GDPR per l’Autorità garante era stato, a sua volta, giustificato dalla violazione della normativa europea in materia di protezione dati, i.e. la direttiva ePrivacy. Contestualmente, il Garante aveva avuto cura di informare anche l’Autorità irlandese (“Data Protection Commission”) in quanto sede principale della Società (“Tik Tok Technology Limited” o “Tik Tok Ireland”) in Unione Europea, e il Comitato europeo per la protezione dei dati personali (“European Data protection Board”). [14]

Preso atto dell’avvertimento, la piattaforma social ha, quindi, deciso di sospendere le modifiche preannunciate, instaurando, così, un dialogo con l’Autorità “finalizzato alla ricerca del bilanciamento tra interessi economici e diritti degli utenti”. [15]

[1] Il testo integrale dell’annuncio di Tik Tok è disponibile online al seguente link https://www.tiktok.com/legal/changes-to-personalised-advertising-in-the-eea?lang=it

[2] Per maggiori informazioni circa le due attività si faccia riferimento al seguente link https://www.tiktok.com/legal/changes-to-personalised-advertising-in-the-eea?lang=it

[3] GDPR, art. 6, par. 1 lett a): “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (..) a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”. Il testo del GDPR è disponibile online al seguente link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679. A tal proposito, l’attuale informativa privacy dell’applicazione, prevede che “con il tuo consenso, ti mostreremo annunci pubblicitari personalizzati basati sulla tua attività sulla Piattaforma e al di fuori della stessa.”  Il testo integrale dell’informativa è disponibile online al seguente link https://www.tiktok.com/legal/page/eea/privacy-policy/it-IT

[4] GDPR, art. 6, par. 1 lett. f): “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (..) f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.”

[5] CGUE, C- 13/16 Rīgas satiksmea. Per maggiori informazioni sulla sentenza della Corte di Giustizia dell’Unione europea, si faccia riferimento al seguente link https://eur-lex.europa.eu/legal-content/it/TXT/?uri=CELEX:62016CJ0013

[6] Per maggiori informazioni si faccia riferimento al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9788429

[7] Per maggiori informazioni si faccia riferimento al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9788429

[8] Si tratta del provvedimento n. 248 del 7 luglio 2022, il cui testo integrale è disponibile online al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9788429

[9] Per quel che concerne i dati particolari, i. e. “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, il GDPR prevede uno specifico divieto al trattamento di questi ultimi. Tuttavia, l’art. 9, par. 2 lett a-j fa riferimento ad una serie di circostanze in presenza delle quali è possibile procedere con il trattamento dei suddetti dati.

[10] Garante per la protezione dei dati personali, provvedimento n. 248 del 7 luglio 2022.

[11] Il testo integrale della direttiva è disponibile online al seguente link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32002L0058&from=IT

[12] Il testo integrale del Codice privacy è disponibile online al seguente link https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29

[13] Garante per la protezione dei dati personali, provvedimento n. 248 del 7 luglio 2022. Con il provvedimento n. 20 del 22 gennaio 2021, il Garante privacy era già intervenuto nei confronti di Tik Tok in materia di protezione dei dati personali dei soggetti minori; il testo del provvedimento è disponibile al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9524194

[14] Il testo integrale del Comunicato stampa è disponibile online al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9789143

[15] Per maggiori informazioni si faccia riferimento al seguente link https://www.cybersecurity360.it/legal/privacy-dati-personali/garante-privacy-a-tiktok-stop-pubblicita-personalizzata-ecco-perche/

Chiara Zampaglione

Laureata in Giurisprudenza presso l'Alma Mater Studiorum - Università di Bologna nell'ottobre 2021. Durante il suo percorso universitario ha avuto l'opportunità di studiare in Germania presso la Johannes Gutenberg-Universitat Mainz grazie al programma Erasmus+ e presso la Freie Universitat Berlin grazie alla partecipazione all'associazione UNA Europa. Appassionata di diritto e nuove tecnologie ha, inoltre, preso parte alla 2020 Intellectual Property Law School organizzata dalla Jagiellonian University di Cracovia. Attualmente svolge la pratica legale presso uno studio milanese specializzato in Proprietà Intellettuale.

Lascia un commento