In seguito al reclamo di un utente, il Garante Privacy per la protezione dei dati personali ha chiesto informazioni a MG Freesites Ltd, la società cipriota che gestisce il portale Pornhub, riguardo alla versione italiana del sito.
Le richieste del Garante hanno come oggetto la sussistenza di profilazione di utenti italiani. E, in caso affermativo, le modalità di svolgimento della profilazione e le finalità di raccolta dei dati.
Altro tema oggetto di richiesta di informazioni è l’uso di cookie e altri strumenti di tracciamento diversi da quelli tecnici: “La società dovrà indicare la base giuridica del trattamento (sia per gli utenti che abbiano creato un account sulla piattaforma sia per quelli non autenticati), la tipologia e la natura dei dati eventualmente raccolti, nonché le modalità tecniche per raccogliere il consenso e quale informativa sia stata resa agli utenti”.
Tema delicatissimo, inoltre, è l’eventuale cessione dei dati a terzi: nel caso i dati siano comunicati a soggetti diversi, MG Freesites Ltd dovrà indicare i destinatari e chiarire se gli utenti ne erano stati informasti e se lo erano stati adeguatamente.
Inoltre è particolarmente delicato il tema dell’età degli utenti e il filtro per i minorenni.
Indice degli argomenti
L’attività del Garante su Pornhub
Partendo dal presupposto che, a fronte di un reclamo, il Garante, in questi casi, deve intervenire, la richiesta di informazioni, effettuata nei termini di cui sopra, si colloca perfettamente nell’alveo dell’attività svolta dall’Authority negli ultimi mesi.
Non c’è molta differenza tra i quesiti posti a ByteDance per quanto riguarda TikTok e a OpenAI per quanto concerne ChatGPT rispetto a quanto richiesto a MG Freesites Ltd per Pornhub.
Un dato appare, tuttavia, chiarissimo: siamo di fronte ad una richiesta di informazioni e non ad un provvedimento provvisorio di blocco del trattamento.
Scelta di merito
È altamente probabile che questa scelta del Garante sia di merito, nel senso che non ha ravvisato, nell’immediato, il rischio di una lesione per i diritti dell’interessato. L’alternativa – invece improbabile – è che sia una questione “politica”, legata al rischio di insurrezione degli utenti, come era avvenuto per ChatGPT.
Conclusioni
Ormai le tematiche relative alla profilazione, alla base giuridica sottostante al trattamento – e relativa informativa – ed al filtro per i minorenni sono delle costanti del diritto alla protezione dei dati personali.
I colossi che operano online non possono sottrarsi dal creare un sistema di gestione della privacy che sia perfettamente compliant in termini di privacy by design e by defualt; nono solo, devono anche dotarsi di strutture idonee a provare documentalmente e di fatto di aver adempiuto correttamente agli obblighi imposti.
La tutela dei minorenni, inoltre, non rientra solo nella compliance del GDPR, ma anche tra gli obblighi imposti dal DSA e PornHub rientra pienamente nel novero dei servizi online.
Con il febbraio 2024, peraltro, le autorità indipendenti previste proprio dal Digital Service Act entreranno in funzione ed opereranno, verosimilmente, di concerto con i garanti per i dati personali: le piattaforme online saranno, indubbiamente, il primo bersaglio.
In conclusione, chiunque gestisca una piattaforma online deve investire in compliance e mettere in conto che i provvedimenti dei vari garanti europei iniziano a sommarsi e ad uniformarsi tra loro in termini di modo di operare di precedenti.
