venerdì, Marzo 29, 2024
Uncategorized

Tik Tok: il Garante Privacy limita l’utilizzo del social

Il Garante Privacy (l’”Autorità”) ha ordinato a Tik Tok[1] di bloccare immediatamente l’utilizzo dei dati degli utenti per i quali non è stata stabilita con certezza l’età.

Il controllo dell’età dell’utente, specie se minore, è motivato dal disposto dell’art. 8 del Regolamento (UE) sulla protezione dei dati personali 2016/679 (“GDPR”) il quale prevede che in relazione all’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

L’Autorità ha deciso di intervenire d’urgenza in seguito al terribile caso della bambina palermitana di 10 anni, morta in seguito alla c.d. “Blackout Challenge”. Questa sfida consiste nello stringersi una cintura attorno al collo, resistere il più possibile e filmarsi al fine di condividere il video. Su questa tragica vicenda sta indagando la Procura di Palermo che ha aperto un’inchiesta per istigazione al suicidio[2].

Le violazioni riscontrate già nel provvedimento del 22 dicembre 2020

Già a dicembre, l’Autorità aveva avviato un procedimento[3] nei confronti di Tik Tok per gravi violazioni del GDPR nonchè del codice privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, “Codice Privacy”), nelle attività di trattamento dei dati, nello specifico:

  • facile aggiramento del divieto di registrazione della piattaforma per i minori di 13 anni (ad esempio inserendo una falsa data di nascita) in violazione dell’articolo 8 del GDPR e dell’articolo 2-quinquies[4] del Codice Privacy, che prevedono entrambi le condizioni applicabili al consenso del minore in relazione ai servizi della società dell’informazione. Infatti, in Italia l’iscrizione di un minore di 14 anni ad un social network richiede che il consenso sia autorizzato dai genitori o dai titolari della potestà genitoriale.
  • mancanza di trasparenza e chiarezza nelle informazioni fornite agli utenti in violazione dell’articolo 12 del GDPR, che richiede l’utilizzo di un linguaggio più semplice che tenga in considerazione le esigenze specifiche dei minori.
  • periodi di conservazione dei dati non specificati rispetto alle finalità per cui i dati vengono raccolti in violazione dell’articolo 13 del GDPR.
  • garanzie appropriate poco chiare e non specificate utilizzate per i trasferimenti di dati verso paesi extra-UE, in violazione degli articoli 13 e 44-49 del GDPR.
  • impostazione di default su “pubblico” dei profili degli utenti in violazione dell’articolo 25 del GDPR, che richiede l’adozione di misure di sicurezza, tecniche e organizzative, per consentire, di default, di decidere se i propri dati personali debbano essere divulgati o meno a un numero indefinito di soggetti.

Il provvedimento del 22 gennaio 2021

In attesa di ricevere il riscontro[5] richiesto nella suddetta comunicazione di contestazione, l’Autorità ha deciso di intraprendere ulteriori azioni al fine di garantire un’immediata tutela dei minori registrati su Tik Tok in Italia. In particolare, il Garante:

a) ai sensi dell’articolo 58, paragrafo 2, lettera f), e dell’articolo 66, paragrafo 1, del GDPR, limita provvisoriamente il trattamento dei dati, vietando l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano e per i quali non vi sia la certezza assoluta della loro età e, conseguentemente, del rispetto delle disposizioni relative al requisito dell’età.

b) che detta limitazione sia disposta, fatta salva ogni successiva valutazione, sino al 15 febbraio 2021.

c) la predetta limitazione ha effetto immediato dalla data di ricevimento del presente provvedimento e fatta salva ogni ulteriore valutazione dell’Autorità, ai sensi dell’art. 66 del GDPR.

d) ai sensi dell’articolo 66, paragrafo 1, del GDPR, le autorità di controllo interessate, il Comitato europeo per la protezione dei dati[6] e la Commissione europea saranno prontamente informati della presente decisione.

Inoltre, il suddetto provvedimento sarà portato all’attenzione dell’Autorità Irlandese per la protezione dei dati in quanto Tik Tok ha recentemente annunciato di aver disposto il suo stabilimento principale in Irlanda[7].

Conclusioni

La decisione offre interessanti spunti di rilievo, ed in particolare:

  • dimostra il crescente focus da parte delle autorità di controllo in relazione al rispetto dei principi di trasparenza, privacy by design e by default[8] nelle attività di trattamento dei dati personali inerenti i minori;
  • apre al complesso ed articolato dibattito sui mezzi efficaci che i social network potrebbero utilizzare per l’identificazione e il controllo dell’età degli utenti, così da garantire le condizioni richieste per il consenso dei minori in relazione ai servizi della società dell’informazione.

 

[1] Provvedimento del 22 gennaio, 2021 [9524194], disponibile al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524194

[2] Tra i tanti si veda, Bimba morta per “gioco” su TikTok, oggi l’autopsia. Si indaga per istigazione al suicidio, Il Messaggero, disponibile qui: https://www.ilmessaggero.it/social/tiktok_blackout_challenge_video_bambina_morta_sfida_che_cosa_e_ultime_notizie-5717554.html; “Prova estrema su TikTok”: bambina di 10 anni in coma a Palermo, dichiarata la morte cerebrale. Inchiesta per istigazione al suicidio, Il Fatto Quotidiano, disponibile qui: https://www.ilfattoquotidiano.it/2021/01/21/prova-estrema-su-tiktok-bambina-di-10-anni-in-coma-a-palermo-dichiarata-la-morte-cerebrale-inchiesta-per-istigazione-al-suicidio/6074009/

[3] Tik Tok, a rischio la privacy dei minori: il Garante avvia il procedimento contro il social network, comunicato del 22 dicembre 2020, disponibile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9508923

[4]In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali

servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, e’ lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”.

[5] Nel provvedimento di dicembre, Tik Tok aveva 30 giorni per presentare memorie difensive e richiedere di essere sentita. Tuttavia, tale termine è stato esteso al 29 gennaio 2021.

[6] Si segnala che proprio su richiesta del Garante Privacy, il comitato europeo per la protezione dei dati (EDPB) ha deciso di istituire una task force per coordinare potenziali azioni e acquisire una panoramica più completa delle operazioni di trattamento e delle pratiche di TikTok in tutta l’Unione Europea. https://edpb.europa.eu/news/news/2020/thirty-first-plenary-session-establishment-taskforce-tiktok-response-meps-use_it

[7] Provvedimento del 22 gennaio, 2021 [9524194], disponibile al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524194

[8] D. Stefanello, Data protection by default: trattare solo i dati personali necessari per ogni specifica finalità, Ius in itinere, Luglio 2019, disponibile qui: https://www.iusinitinere.it/data-protection-by-default-trattare-solo-i-dati-personali-necessari-per-ogni-specifica-finalita-21630;  A. Rovesti, Data protection by design e by default, Ius in itinere, Maggio 2018, disponibile qui: https://www.iusinitinere.it/data-protection-by-design-e-by-default-9909

Giovanna Fragalà

Laureata nel 2017 presso l'Università Commerciale Luigi Bocconi con una tesi in privacy e data protection.                        Praticante Avvocato presso il dipartimento di ICT & Data Protectioe dello Studio legale Simmons & Simmons.

Lascia un commento