Il Garante ammonisce in via d’urgenza TikTok
Non è la prima volta che TikTok finisce nel mirino del Garante privacy, questa volta ha tentato di eludere le norme europee sulla privacy, ed il Garante privacy italiano non è stato solo lì a guardare, anzi, con provvedimento di urgenza del 7 luglio 2022 ha avvertito la piattaforma che la nuova privacy policy potrebbe portare la Società a conseguenze inevitabili.
La nuova privacy policy
TikTok aveva già annunciato qualche settimana fa che, a partire dal 13 luglio 2022, gli iscritti maggiorenni sarebbero stati raggiunti da pubblicità personalizzate, basata sulla profilazione dei comportamenti tenuti nella navigazione su TikTok. E questo perché, come già suddetto, la Società ha modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma i cd “legittimi interessi” di TikTok e dei suoi partner.
Con istruttoria già avviata, l’Autorità ha recepito gli elementi forniti dalla Società e ha concluso che tale mutamento della base giuridica è incompatibile con la Direttiva europea 2002/58 – Direttiva “ePrivacy” – e con l’art.122 del Codice in materia di protezione di dati. Infatti, entrambe le fonti prevedono espressamente come base giuridica per “archiviazione di informazioni, o accesso ad informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.
Altro aspetto preoccupante, sottolineato dal Garante, è il fatto che TikTok ha dimostrato di essere in difficoltà nel momento in cui deve accertare l’età minima per l’accesso alla piattaforma, e questo ci porta ad affermare che, con alta probabilità, anche i minori di 18 anni possano essere raggiunti da pubblicità personalizzata, e contenuti non appropriati.
Intervento dell’Autorità italiana
L’Autorità italiana è intervenuta, con un avvertimento formale alla Società, avvisando che un trattamento effettuato sulla base giuridica del “legittimo interesse” si porrebbe al di fuori della cornice normativa attualmente in vigore e con il rischio di conseguenze, anche di carattere sanzionatorio.
Tale violazione della direttiva “ePrivacy” ha consentito al Garante di intervenire direttamente e in via d’urgenza, seppure al di fuori della procedura di cooperazione prevista dal GDPR, che invece avrebbe visto l’esercizio di tale potere da parte dell’Autorità di protezione dati irlandese, paese in cui TikTok ha fissato il proprio stabilimento principale.
Inoltre, dato che il trattamento di informazioni diverse rispetto a quelle archiviate sui dispositivi degli utenti sulla base del legittimo interesse appare contrastante con la disciplina europea in materia di protezione dati – GDPR – il Garante ha informato il Comitato europeo delle autorità di protezione dei dati personali e l’Autorità irlandese affinché valutino ulteriori iniziative da intraprendere.
Difesa di TikTok
Non è mancata risposta di TikTok, la quale ha affermato che: “in TikTok cerchiamo di costruire un’esperienza personalizzata per la nostra community, impegnandoci al contempo a rispettare la privacy dei nostri utenti, ad essere trasparenti sulle nostre politiche in materia di privacy e ad operare in conformità con tutte le normative vigenti. Mentre la nostra valutazione della recente comunicazione del Garante per la Protezione dei Dati Personali è ancora in corso, non possiamo commentare oltre».
Il 12 luglio TikTok ha deciso di sospendere il passaggio al legittimo interesse come base giuridica per la pubblicità “personalizzata” per le persone maggiori di 18 anni, cioè fondata sulla profilazione dei comportamenti tenuti nella navigazione sulla piattaforma.
Insomma, il caso di TikTok (avente sede legale extra UE) segnala con forza particolare il clima di contrasto tra normative e visioni della privacy.
