La popolare applicazione TikTok ha annunciato un aggiornamento della propria privacy policy per lo Spazio Economico Europeo, volto a migliorare la trasparenza del servizio e la sicurezza dei dati trattati dalla società per tutti gli utenti europei. Ma la nuova privacy policy non ha sopito in toto alcuni dei dubbi sollevati, negli ultimi anni, dagli esperti del settore, circa l’effettiva riservatezza dei dati trattati dalla piattaforma.
“Siamo continuamente impegnati per migliorare la condivisione di informazioni rilevanti per i nostri utenti e questo nuovo aggiornamento è parte di questo processo”, afferma Elaine Fox, responsabile della privacy per la piattaforma, nel comunicato reso sulla pagina ufficiale.
L’aggiornamento alla policy, che si occupa di modificare prevalentemente le sezioni dedicate al luogo di conservazione dei dati e alle modalità di trattamento dei dati di geolocalizzazione, pubblicato il 2 novembre, sarà efficace a partire dal 2 dicembre 2022.
Truffe su TikTok, le cinque più comuni: se le conosci le eviti
Indice degli argomenti
Conservazione e trasferimento dei dati extra UE
Come anticipato in premessa, uno dei punti principali che la piattaforma affronta nella nuova privacy policy di novembre, è il luogo di conservazione dei dati dei propri utenti, tra cui figurano anche gli utenti europei.
Come si legge nel comunicato: “I dati degli utenti europei sono attualmente conservati negli Stati Uniti e a Singapore. Sulla base di effettive necessità per lo svolgimento del proprio lavoro, nel rispetto di una serie di solidi controlli di sicurezza e protocolli di approvazione, e attraverso metodi riconosciuti dal GDPR, consentiamo l’accesso remoto ai dati degli utenti TikTok ad alcuni addetti che fanno parte della nostra azienda che si trovano in Brasile, Canada, Cina, Israele, Giappone, Malesia, Filippine, Singapore, Sud Corea e negli Stati Uniti. I nostri controlli di sicurezza prevedono controlli di accesso al sistema, crittografia e sicurezza della rete”.
Le finalità di conservazione riconosciute nella privacy policy sono molteplici, principalmente connesse alla messa a disposizione nei confronti degli utenti della Piattaforma, all’adempimento degli obblighi contrattuali e normativi, al perseguimento di legittimi interessi commerciali e per l’esercizio o la difesa di azioni legali.
Nella policy si precisa altresì che nel caso in cui le informazioni siano trasferite al di fuori del SEE, il livello di protezione “adeguato” sarà garantito dall’affidamento su:
- decisioni di adeguatezza, per le società del gruppo con sede in Canada, Regno Unito, Israele, Giappone e Corea del Sud cui viene concesso un accesso remoto limitato;
- clausole contrattuali standard, per le società del gruppo che hanno sede in Paesi per i quali non sussiste una decisione di adeguatezza (Brasile, Cina, Malesia, Filippine, Singapore, e Stati Uniti).
Le precisazioni svolte nella nuova informativa non sono risultate, tuttavia, sufficienti a placare le preoccupazioni sollevate dagli esperti del settore, alla luce anche del fatto che Stati Uniti e Cina sono attualmente al centro dell’occhio del ciclone a causa delle rispettive normative interne, che prevedono che possa essere garantito l’accesso ai dati da parte delle autorità governative, ove ritenuto necessario.
Inoltre, la stessa TikTok è oggi oggetto di diverse indagini, anche da parte dell’autorità garante irlandese, che ci sta premurando di verificare proprio la conformità dei trasferimenti di dati personali effettuati dalla società verso la Cina (sede della società madre, ByteDance).
Anche in presenza di clausole contrattuali standard, infatti, la Società potrebbe comunque trovarsi costretta, a causa di normative locali non coerenti con il dettato normativo del GDPR, e ciò potrebbe costituire una grave lesione dei diritti garantiti dal GDPR a tutti gli utenti europei.
Si tratta delle medesime preoccupazioni che hanno comportato, con la nota sentenza Schrems II, il venir meno del Privacy Shield che consentiva il trasferimento dei dati fra USA e UE, e che oggi rappresenta un ostacolo anche per la formulazione di un nuovo accordo di trasferimento dei dati che possa essere considerato realmente sicuro per i cittadini europei.
La posizione ufficiale di TikTok e il controllo dei dati
In tal senso, la stessa TikTok aveva annunciato di voler effettuare degli investimenti, a partire dal 2023 per creare un datacenter a Dublino, sul quale dovranno essere ospitati i dati degli utenti del Regno Unito e dei Paesi del SEE, oltre ad Islanda, Liechtenstein e Norvegia, affermando anche in un blog post di essere allineati al contenuto della sentenza.
“TikTok è in linea con questa direzione e riteniamo che i passi che stiamo intraprendendo rafforzeranno il nostro approccio al supporto di questi obiettivi e daranno agli utenti una maggiore fiducia nel nostro impegno per un forte regime europeo di protezione dei dati. Stiamo già investendo molto tempo e sforzi per garantire che le nostre pratiche siano allineate con le linee guida in evoluzione delle istituzioni, tra cui la Commissione europea e il Comitato europeo per la protezione dei dati”, si legge nella comunicazione già resa ad agosto dello scorso anno.
“Abbiamo implementato politiche e controlli estesi per salvaguardare i dati degli utenti. Facciamo affidamento su metodi approvati per il trasferimento dei dati dall’Europa, come le clausole contrattuali standard. Inoltre, adottiamo una serie di misure tecniche, contrattuali e organizzative complementari in modo che, nei casi in cui è richiesto l’accesso ai dati degli utenti, sia garantito un livello di protezione dei dati equivalente a quello nel SEE e nel Regno Unito”, continua la comunicazione.
“Ciò significa in pratica che tutti i dati personali sono protetti attraverso una solida serie di controlli di sicurezza fisica e logica, insieme a varie politiche e controlli di accesso ai dati per i dipendenti. Abbiamo anche un processo definito stabilito nelle nostre Linee guida per le forze dell’ordine per qualsiasi richiesta di dati degli utenti da parte delle forze dell’ordine e altre autorità competenti nei paesi in cui TikTok è disponibile. Il numero di tali richieste legali presentate e i paesi che le presentano sono inclusi nei nostri Rapporti semestrali sulla trasparenza”.
La società, dunque, sembrerebbe star investendo le proprie risorse nella risoluzione delle problematiche sollevate dalla sentenza Schrems II, anche al fine di evitare le pesanti sanzioni che le autorità hanno già applicato nei confronti di piattaforme concorrenti, pure trovatesi sprovviste di misure di sicurezza che consentissero l’effettiva tutela dei dati dei propri utenti dall’accesso delle autorità governative.
A tal riguardo, Michael Veale, professore associato di diritti digitali presso l’University College London, ha affermato al TheGuardian che i trasferimenti di dati tra il blocco e la Cina dovrebbero essere controllati per la sicurezza. “È straordinariamente difficile inviare regolarmente i dati degli utenti dell’UE alla Cina perché i contratti tra un’azienda cinese e un’azienda europea non possono impedire l’accesso dello stato”. Veale ha affermato che le leggi sui dati della Cina potrebbero sollevare dubbi sulla sicurezza anche di trasferimenti di dati limitati. Tuttavia, ha aggiunto di non essere “convinto che l’attenzione del governo cinese sia attualmente sullo spionaggio dei dati TikTok degli individui. Hanno altri mezzi per ottenere informazioni private. Crescere e approfondire una piattaforma influente è di per sé un potente obiettivo”.
La raccolta dei dati di geolocalizzazione
Il secondo punto che la nuova Privacy Policy si premura di affrontare e chiarire è il trattamento dei dati di geolocalizzazione. TikTok, infatti, è stata recentemente al centro di una serie di dure critiche relative all’utilizzo dei dati di geolocalizzazione dei propri utenti, a seguito della pubblicazione da parte di Forbes, ad ottobre 2022, di un rapporto nel quale si evidenziava che la società madre ByteDance avrebbe potuto tracciare la posizione delle persone tramite l’applicazione.
In particolare, si affermava che “in almeno due casi, un team cinese di ByteDance, il proprietario della piattaforma, ha pianificato di raccogliere dati TikTok sulla posizione di un cittadino statunitense”. “Forbes”, riporta il TheGuardian sul punto, “citando materiale non divulgato che aveva visualizzato, ha affermato che non era chiaro se i dati sulla posizione fossero stati infine raccolti dai dispositivi degli utenti. Ha affermato che il materiale indicava che ByteDance non intendeva utilizzare le informazioni sulla posizione per scopi commerciali come il targeting degli annunci.”
A dette accuse TikTok rispondeva prontamente, affermando di non raccogliere informazioni precise sulla posizione GPS dei propri utenti, in particolare degli utenti statunitensi, e che dunque non avrebbe potuto in alcun modo attuare tecniche di monitoraggio secondo le modalità suggerite nel report. Affermava altresì di non aver mai utilizzato la piattaforma per “prendere di mira” “membri del governo degli Stati Uniti, attivisti, personaggi pubblici o giornalisti” e che qualsiasi utilizzo delle risorse di audit interno sarebbe “motivo per l’immediato licenziamento del personale dell’azienda”.
Per tali motivazioni, nella nuova privacy policy, che entrerà in vigore a dicembre, TikTok si premura di precisare le “modalità in cui possono essere raccolte informazioni riguardo alla posizione degli utenti europei. Ad esempio”, afferma Elaine Fox, “quando gli utenti creano un video, possono scegliere di aggiungere la localizzazione, così come attrazioni turistiche o altri luoghi di interesse.
In alternativa, possono scegliere di attivare i servizi di “Localizzazione per TikTok” nelle loro impostazioni, per permettere a TikTok di raccogliere informazioni dal loro device. TikTok non raccoglie informazioni dettagliate sulla localizzazione degli utenti europei, che siano basate sulla tecnologia GPS o altro”.
Più nello specifico, nell’informativa si legge che la piattaforma raccoglie automaticamente informazioni sulla posizione approssimativa (ad esempio, paese, stato o città) in base alle informazioni tecniche della rete che viene utilizzata per accedere (ossia, scheda SIM e indirizzo IP). “Inoltre”, si legge, “qualora attiviate servizi di localizzazione per l’app TikTok nelle impostazioni del vostro dispositivo, raccogliamo dal dispositivo informazioni approssimative sulla posizione”.
Dette informazioni approssimative sono specificate nella pagina dedicata, nella quale, tuttavia, si legge che quando i servizi di localizzazione sono attivi:
- TikTok riceverà la tua posizione approssimativa dai dati GPS del tuo dispositivo.
- Le informazioni sulla posizione approssimativa che TikTok riceve dal tuo dispositivo sono comprese in un’area di almeno 3 chilometri quadrati (1,16 miglia quadrate) rispetto alla tua posizione effettiva. L’area potrebbe essere più grande, a seconda del tipo di sistema operativo e della versione in esecuzione sul dispositivo.
- Se ti trovi in Bangladesh, Cambogia, Indonesia, Giappone, Malesia, Pakistan, Filippine, Singapore, Thailandia o Vietnam, potresti anche avere la possibilità di attivare la posizione precisa”.
Si specifica altresì che “a causa di problemi con i produttori, alcuni dispositivi Android potrebbero richiedere di attivare la posizione precisa, anche se nella tua area geografica sono disponibili solo i servizi di localizzazione con posizione approssimativa. In questi casi, TikTok continuerà a garantire che vengano raccolte solo le tue informazioni approssimative”.
La raccolta delle informazioni GPS, dunque, sembrerebbe essere possibile, seppur con applicazione di misure tecniche atte a non acquisire la posizione precisa, oltre che subordinata al compimento di un’azione volontaria identificata con l’attivazione della geolocalizzazione sul dispositivo utilizzato per fare l’accesso.
La nuova privacy policy, dunque, sposa un principio di maggiore trasparenza nei confronti dell’utente, andando a chiarire alcuni dei punti che risultavano maggiormente dubbi.
Ciò non esclude che si renderà necessario, per le autorità competenti, porre ulteriore attenzione a detti elementi, conducendo indagini più approfondite che consentano di verificare – ove possibile – l’effettiva coerenza delle policy e la conformità delle operazioni condotte dalla piattaforma al disposto normativo europeo.
