A fine settembre l’UK Information Commissioner’s Officer (ICO) ha dichiarato di aver emesso, nei confronti di TikTok Inc. e TikTok Information Technologies UK Limited, un avviso di intenti nel quale è precisato che le suddette società potrebbero incorrere in una multa di 27 milioni di sterline per la violazione, da parte dell’app TikTok, della normativa sulla protezione dei dati personali del Regno Unito.
L’avviso di intenti è un provvedimento che, a seguito di accertamenti condotti dall’ICO, relativamente al periodo compreso tra maggio 2018 e luglio 2020, evidenzia alcune criticità rispetto alle disposizioni della legge applicabile in materia privacy, imponendo quindi di adottare delle adeguate misure, in assenza delle quali si procederà ad irrogare la sanzione prevista.
Indice degli argomenti
TikTok e la privacy per i minori: le contestazioni
Le contestazioni riguardano nello specifico il mancato rispetto della privacy dei bambini; in particolare, i punti critici che sono stati evidenziati dall’ICO concernono:
- il mancato consenso degli esercenti la potestà genitoriale per gli utenti minori di tredici anni;
- l’assenza di un’informativa adeguata (ovvero che fosse concisa, trasparente e facilmente comprensibile dagli utenti);
- il trattamento di dati rientranti in categorie particolari (quali l’origine etnica e razziale, orientamento sessuale, dati genetici, biometrici e sanitari, opinioni politiche e religiose) avvenuto senza il dovuto preventivo ed espresso consenso.
Il fatto che la sanzione potrebbe essere la più alta mai emessa dall’ICO rende evidente la gravità degli addebiti contestati a TikTok.
In primis l’Autorità di controllo ha considerato la natura dei soggetti coinvolti, gli interessati, i cui dati sono stati illecitamente trattati. Trattandosi di appartenenti a categorie deboli (minorenni appunto) il pericolo della lesione dei diritti è stato ritenuto di maggiore entità in particolar modo per le possibili esposizioni che il social (il più diffuso al mondo) consente.
Esposizione che diventa ancor più pericolosa per alcuni dei dati raccolti che appunto rientrano in quelli cosiddetti sensibili o particolari. Infine, l’importo della sanzione ipotizzata è stato parametrato anche al periodo delle violazioni (quasi due anni accertati), all’autore dell’illecito e al suo fatturato.
Potrebbe invece apparire di minor rilievo il tema della chiarezza dell’informativa. In realtà, su questo punto, tutte le Autorità indipendenti a presidio della protezione dei dati personali hanno evidenziato in più occasioni, nell’ambito degli accertamenti condotti, che una informativa non adeguata alle particolari caratteristiche del soggetto a cui è diretta non è idonea a salvaguardare i fondamentali diritti primari di protezione in quanto, se non espressa in linguaggio chiaro, vanifica la funzione stessa di consentire la comprensione e il corretto esercizio dei diritti.
La reazione di TikTok
Le società coinvolte devono ora rappresentare le loro argomentazioni e, se ritengono, intraprendere quelle misure che non siano state già implementate per porre rimedio alle imputazioni a loro ascritte.
Al momento non risultano prese di posizioni ufficiali, da parte di TikTok, sui singoli fatti contestati. I portavoce dell’app si sono limitati a dichiarare che, pur rispettando il ruolo dell’ICO nella salvaguardia della privacy nel Regno Unito, non sono d’accordo con le opinioni preliminari espresse e intendono rispondere formalmente all’ICO. Ma il caso è simile ad ulteriori provvedimenti che TikTok in questi ultimi tempi ha ricevuto da altre Autorità di controllo per analoghe criticità.
Il soggetto giuridico di controllo di TikTok, Byte Dance (un conglomerato cinese controllato in parte dal governo cinese), ha infatti già dovuto confrontarsi, in merito alla privacy, con richieste, ispezioni e provvedimenti di molti altri paesi: U.S.A., Australia, India, Olanda, Francia, Italia e ora U.K., solo per citarne alcuni.
È probabile che questo controllo verso TikTok sia particolarmente pervasivo, rispetto ad altri analoghi social network e app che pure presentano criticità simili in materia di tutela della privacy dei minori, anche perché TikTok raccoglie un’enorme quantità di dati e di differenti tipologie (mail e numero di telefono per la registrazione, link all’account di altre piattaforme social, localizzazione, registrazione audio, accesso alla fotocamera e ai contatti) e si teme che questi dati possano essere condivisi con il governo cinese, non solo con l’uso consapevole dell’app ma anche attraverso software di sorveglianza, in quanto un’azienda in Cina, per legge, può essere costretta a fornire dati al Governo se richiesto.
Valutazioni dell’ICO in linea anche col GDPR
Ancorché la normativa in materia di protezione dei dati oggi applicata in UK non sia esattamente la medesima in vigore nello SEE (Spazio Economico Europeo) le valutazioni fatte dall’ICO sono del tutto similari a quelle rappresentate dall’Autorità Garante per la Protezione dei Dati Personali in Italia che ha già condotto (nel 2021) una verifica sulla piattaforma, conclusasi con la medesima attestazione di scarsa attenzione alla tutela dei minori in ambito di protezione dei dati personali.
Anche in quel caso, infatti, era emerso che il divieto di iscrizione per i minori di 13 anni risultava facilmente aggirabile (falso account con dichiarazione errata di data di nascita) e non risultavano rispettati i principi di privacy by design e privacy by default in virtù delle impostazioni predefinite dell’app che, in automatico, attribuiva anche ai minorenni il profilo come pubblico e quindi permettendo anche per i giovanissimi una massima visibilità di default.
Il nostro Garante Privacy ha pure evidenziato il mancato rispetto per TikTok dell’art. 13 del Regolamento (UE) 2016/679 (c.d. GDPR) in relazione all’adeguamento dell’informativa, che non può essere standardizzata per adulti e ragazzi/bambini, ma occorre personalizzarla nel linguaggio e nella forma adatti per questi ultimi in quanto l’informativa, ha ricordato il Garante, deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, utilizzando un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.
Un ulteriore elemento di sensibilità è connesso con il trattamento di dati in diversi Paesi e continenti con la conseguenza di verificare, soprattutto ai sensi delle disposizioni GDPR in materia di circolazione dei dati Extra UE, le misure organizzative e i presidi di tutela applicabili nei vari paesi in cui i dati raccolti da TikTok vendono comunicati e profilati.
Gli algoritmi a ciò preposti e le modalità di anonimizzazione, che pure i social network come TikTok dichiarano di applicare, non sono infatti noti e mutano in continuazione rendendo pressoché impossibile un controllo efficace sugli stessi.
Garante Privacy a TikTok, “stop pubblicità personalizzata”: ecco perché
Le mosse di TikTok e i possibili sviluppi della faccenda
Dopo il provvedimento del Garante Italiano invero TikTok ha dichiarato di voler adottare una serie di misure per adeguarsi alle richieste per bloccare l’accesso agli utenti minori di 13 anni, anche con l’utilizzo di sistemi di intelligenza artificiale per la verifica dell’età, anticipando un progetto in collaborazione con l’Autorità privacy dell’Irlanda (dove TikTok ha lo stabilimento e sede principale in Europa).
Al momento TikTok ha predisposto il miglioramento della propria Informativa Privacy sull’app per gli utenti minorenni rendendola più semplice e comprensibile. La Privacy Policy al momento in vigore (l’ultima versione è datata 5/10/2021) relativa a SEE, UK e Svizzera, illustra le impostazioni su account privato, le modalità di suggerimento dell’account ad altri, le impostazioni per i download dei video, l’abilitazione dei messaggi diretti e di duetti in video, la creazione di stitch, commenti e altro.
Inoltre, vi sono ulteriori aspetti che, soprattutto per i minori, risulta necessario verificare e migliorare per consentire un reale e sostanziale rispetto dei diritti, verso i minori, sanciti dagli art. 16 e ss. del GDPR: le modalità di esercizio dei diritti di rettifica, oblio, limitazione del trattamento, portabilità dei dati, opposizione (anche ai processi decisionali automatizzati) devono risultare semplificate per gli utenti minori, al pari della semplificazione già richiesta per le informative.
Una valutazione complessiva delle misure adottate da TikTok per disabilitare alcune funzionalità di condivisione a disposizione anche dei minori richiederebbe un approfondimento, da parte delle Autorità di controllo, coordinato almeno a livello europeo, previa verifica degli algoritmi di visualizzazione e delle opzioni dei servizi attivi e attivabili.
L’azione coordinata anche da parte del EDPB (il Garante europeo) oggi possibile grazie ad una legislazione condivisa, quantomeno per lo SEE, è e sarà indispensabile per vigilare sulla reale adozione delle misure di sicurezza richieste e su un reale miglioramento delle informative e delle comunicazioni ai minori.
