NEWS

Provvedimento d’urgenza su Tik Tok: lodevole iniziativa del Garante Privacy che va oltre il formale principio dello ‘one stop shop’

In data 11 luglio 2022 l’Ufficio stampa del Garante per la protezione dei dati personali italiana ha reso noto che la medesima Autorità ha adottato in data 7 luglio 2022 un provvedimento di urgenza nei confronti di Tik Tok col qual ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare ad essi pubblicità personalizzata senza un loro esplicito consenso.

Tik Tok nel mirino del garante privacy italiano
La decisione del Garante è avvenuta al termine di una rapida istruttoria della Autorità originata dal fatto che qualche settimana fa Tik Tok aveva informato gli utenti che a partire dal 13 luglio le persone maggiori di 18 anni sarebbero stati oggetto di pubblicità personalizzata, basata sui comportamenti tenuti nella navigazione su Tik Tok. Inoltre, sempre nella informativa del 13 luglio, Tik Tok dichiarava di considerare legittima come base giuridica di tale trattamento non più il consenso dell’interessato ma non precisati “interessi legittimi” di Tik Tok e dei suoi partner.

È chiaro che una informativa di questo genere, ovviamente estensibile quanto a presunta base di legittimazione del trattamento a qualunque social, comporta conseguenze rilevantissime per gli utenti di Tik Tok e di altre possibili piattaforme social, tali da mettere a serissimo rischio non solo la protezione dei dati degli utenti e il loro uso ma anche tutto il sistema basato sul GDPR.

Per questo l’Autorità italiana ha molto lodevolmente assunto la iniziativa di avviare una indagine istruttoria su tale informativa, andando anche oltre i vincoli che avrebbero potuto derivare da un rispetto formale puntiglioso del principio della leading authority che in questo caso sarebbe stata la Autorità irlandese in quanto Tik Tok ha la propria sede europea in Irlanda. Aspetto, anche questo, molto importante perché proprio il principio dello one stop shop, introdotto dal GDPR, si sta dimostrando un meccanismo molto lento e poco efficace per assicurare una tutela rapida ed efficace dei diritti degli interessati.

In ogni caso, avviata la istruttoria dopo la pubblicazione dell’informativa di Tik Tok, e ricevute dal social risposte considerate inadeguate rispetto alle contestazioni sollevate, con la decisione che si commenta il Garante afferma alcuni principi di grande rilievo:

1) Il primo principio, importante anche perché vale per tutti i social e i trattamenti di dati fatti da terzi, è che non può essere invocato il legittimo interesse quando i dati sono utilizzati per finalità diverse da quelle per le quali sono stati raccolti. Secondo il Garante occorre invece una nuova ed esplicita dichiarazione di consenso dell’interessato, data a fronte di una nuova informativa sulla raccolta e sull’uso che si intende fare dei dati.

2) Il secondo principio riguarda la tutela dei minori, che il Garante giudica non adeguata, tanto più in quanto i dati raccolti siano ritenuti utilizzabili sulla base del legittimo interesse.
Pur senza affermarlo esplicitamente il Garante mostra di ritenere che il consenso sia tanto più necessario in questo caso in quanto i dati trattati possono riferirsi a minori. In questo caso, infatti, appare soprattutto importante il principio, implicitamente ribadito dal Garante, che una eventuale difficoltà del titolare a individuare l’età dei titolari dei dati per accertare se essi siano o meno minori e, aggiungiamo noi, possano o meno fornire autonomamente il consenso, non può mai giustificare il ricorso al legittimo interesse quale base giuridica del trattamento, essendo evidente che se così fosse il mutamento di base giuridica avrebbe come effetto quello di abbattere ogni effettiva tutela dei minori che invece l’art. 8 del GDPR, stabilendo i casi in cui è necessario anche il consenso di chi abbia la responsabilità genitoriale del minore, intende chiaramente rafforzare.

3) Il terzo punto importante del provvedimento del Garante è dunque quello di ribadire sia la necessità del consenso che l’obbligo di dare corretta applicazione all’art. 8 del GDPR. Il che comporta che il titolare debba accertarsi, a seconda del Paese UE in cui opera, di quale sia l’età fissata dall’ordinamento interno raggiunta la quale è sufficiente il consenso del solo minore. Ad esempio, nel caso italiano tale età è, in ragione dell’art. 2 quinquies del d.lg.vo n.196 del 30 giugno 2003, fissato nei 14 anni.

4) Resta la questione della leading authority e dei poteri ad essa spettanti secondo il GDPR. Non vi è dubbio, infatti, che il Garante italiano avrebbe dovuto segnalare il caso alla Autorità irlandese e poi esprimere il proprio parere di Autorità interessata sulla bozza di provvedimento che la Autorità irlandese avesse eventualmente predisposto al termine della sua attività istruttoria, secondo quanto previsto dalle norme contenute nel Capo VII del GDPR intitolato “Cooperazione e coerenza”.


(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)


Poiché però, come si è detto, il meccanismo della leading authority si sta dimostrando alla prova dei fatti lento e macchinoso e in questo caso la Autorità italiana era evidentemente particolarmente preoccupata soprattutto della tutela dei minori che, rispetto ai social in genere e ad alcuni come Tik Tok in particolare, si mostrano particolarmente delicati e potenzialmente pericolosi, il Garante italiano ha ritenuto di potere (e anzi di dover) proceder subito e rapidamente come infatti ha fatto.

Tuttavia va sottolineato che in questo caso la Autorità italiana non ha adottato un provvedimento sanzionatorio o specificamente vincolante (il che sarebbe stato certamente in evidente contrasto col Titolo II del GDPR) ma ha adottato solo un “avvertimento” relativo al comportamento di Tik Tok, anticipando la intenzione di adottare anche provvedimenti di urgenza nel caso in cui Tik Tok non si adeguasse all’avvertimento.

Ha inoltre fondato il suo provvedimento sulla violazione della Direttiva ePrivacy, tuttora non formalmente adeguata al GDPR, implicitamente ritendendo che nell’ambito della stessa direttiva la normativa del GDPR relativamente alla leading authority non sia rigidamente vincolante. Infine, ed è importante sottolinearlo, poiché, come dice il comunicato stampa, il trattamento dei dati come esposto nell’ informativa di Tik Tok appare comunque in contrasto esplicito anche col GDPR, l’Autorità italiana ha ritenuto opportuno informare di quanto deciso e dei comportamenti tenuti sia lo EDPB sia la Autorità irlandese affinché essi possano valutare quanto deciso dalla Autorità italiana e, soprattutto, decidere se e quali iniziative intraprendere.

Questo ultimo aspetto della decisione del Garante italiano è particolarmente importante perché nell’informare ufficialmente ufficializza il tema della efficacia dei limiti del meccanismo della leading authority e può aprire la via anche a un esame attento da parte dello EDPB della normativa vigente e delle eventuali modifiche che in un futuro che per molti aspetti appare prossimo, una eventuale modifica del GDPR potrebbe apportare anche al meccanismo dello one stop shop oggi in vigore.

Insomma la decisione del Garante italiano appare particolarmente importante, anche perché pone esplicitamente il tema del consenso del minore e della necessità di tutelare il minore anche accertando la sua età ai fini della necessità o meno che il suo consenso, la cui necessità in questo caso è comunque, e erroneamente, negata da Tik Tok, sia accompagnato anche dalla espressione della volontà di chi esercita la responsabilità genitoriale.

A parere di chi scrive siamo in presenza di quella che è forse una delle più importanti decisioni assunte dalla Autorità presieduta dal Presidente Stanzione e comunque di una decisione che, particolarmente per quanto attiene al consenso dei minori, è bene sia studiata a fondo a tutti gli specialisti di Data Protection e in primo luogo dai Data Protection Officer.

Per questo la segnaliamo con particolare enfasi anche manifestando fin da ora la volontà di seguire con attenzione il dibattito che si spera seguirà alla sua pubblicazione e diffusione.

Note Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev Privacy Shield e Google Analitycs: il caso NetDoktor in un ampio contesto europeo
Next Trasferimento di dati in Russia: più deroghe che garanzie adeguate

Basta un consenso e Google Maps vi pedina ovunque andate

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy