“Tik Tok vìola la privacy degli utenti”, “Tik Tok: dal consenso al legittimo interesse”, “Il Garante contro Tik Tok: no al legittimo interesse”.

Questi sono i titoli di alcuni degli articoli che abbiamo letto nelle ultime settimane, sia sui media tradizionali che sui blog di settore.

Ma perché? Che cosa è successo tra Tik Tok e il Garante della privacy?

Tutto è cominciato con la decisione del social network di modificare la propria privacy policy.

Per dare il via libera alla pubblicità “personalizzata”, Tik Tok ha cercato di sostituire il “consenso” come base giuridica per il trattamento dei dati degli utenti, con non meglio precisati “legittimi interessi” della piattaforma e dei suoi partner.

Gli utenti sono quindi stati informati che, a partire dal 13 luglio 2022, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei loro comportamenti nel corso della navigazione sul social network.

Una decisione a dir poco rischiosa per la privacy di milioni di persone, soprattutto per quella dei giovanissimi.

La vicenda ha quindi generato preoccupazione, e l’Autorità Garante per la protezione dei dati personali ha lanciato l’allarme.

Ma non è la prima volta che Tik Tok e il Garante si trovano su posizioni avverse in tema di privacy.

Le prime obiezioni del Garante a Tik Tok

Già a gennaio 2021 l’Autorità aveva disposto il blocco immediato dell’uso dei dati degli utenti di Tik Tok per i quali non era stata accertata l’età.

Il provvedimento era scattato dopo che i giornali e la procura di Palermo avevano collegato la morte di una bambina all’utilizzo del social network.

Ancora prima, a dicembre del 2020, il Garante aveva contestato a Tik Tok una serie di disattenzioni che rischiavano di minare l’identità digitale degli utenti più giovani.

Alcune di queste erano:

  • La scarsa attenzione alla tutela dei minori
  • La facilità con la quale è aggirabile il divieto, previsto dalla stessa piattaforma, di iscriversi per i minori di 13 anni
  • La poca trasparenza e chiarezza nelle informazioni rese agli utenti
  • L’uso di impostazioni predefinite, non rispettose della privacy

Perché il Garante è intervenuto contro la pubblicità personalizzata di Tik Tok

Ma torniamo a quello che è successo più di recente.

Dunque, Tik Tok aveva deciso di introdurre modifiche alla propria privacy policy.

Il fine sarebbe stato quello di mostrare agli utenti maggiorenni annunci pubblicitari personalizzati in base alla loro esperienza sulla piattaforma.

Dopo l’annuncio di questa novità, il Garante ha avviato un’istruttoria e chiesto informazioni al social network.

Con un provvedimento adottato d’urgenza lo scorso 7 luglio, l’Autorità ha avvertito Tik Tok che, in assenza di un esplicito consenso, l’utilizzo dei dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata sarebbe stato illecito.

Ciò su cui si è focalizzato il Garante è il passaggio, nelle nuove condizioni di privacy, da una base giuridica chiamata “esplicito consenso” a un’altra, molto diversa, che è il “legittimo interesse”.

L’Autorità, ha spiegato che tale mutamento risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva ePrivacy, e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione).

Infatti “[…] queste norme prevedono espressamente, come base giuridica, per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente, esclusivamente il consenso degli interessati […]”.

La violazione della direttiva ePrivacy da parte di Tik Tok, che tra l’altro prevede il pagamento di pesanti sanzioni, ha consentito al Garante di intervenire direttamente e in via d’urgenza nei confronti della piattaforma.

Contestualmente l’Autorità ha informato la Data Protection Commission d’Irlanda, Paese in cui Tik Tok ha il proprio stabilimento principale, e il Comitato europeo per la protezione dei dati personali.

Ma, oltre alla base giuridica inadeguata, c’era anche un altro aspetto della nuova normativa che preoccupava il Garante, ossia quello della tutela dei minori iscritti alla piattaforma.

Infatti, le attuali difficoltà mostrate da Tik Tok nell’accertare l’età minima per l’accesso al social, già evidenziate in passato, non escludevano il rischio che la pubblicità “personalizzata” basata sul “legittimo interesse” raggiungesse anche i più giovani con contenuti non appropriati.

Il “dietrofront” di Tik Tok

A distanza di una settimana dal provvedimento del Garante, e cioè il 12 luglio scorso, Tik Tok ha comunicato che i termini delle condizioni di servizio basati sul legittimo interesse non sarebbero più stati modificati.

Ecco il commento del Garante per la Privacy, in un successivo intervento: “L’Autorità Garante per la protezione dei dati personali prende atto della decisione responsabile del social network e si dichiara aperta a un dialogo finalizzato alla ricerca del bilanciamento tra interessi economici e diritti degli utenti”.

La parola a Guido Scorza

Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, ha commentato la violazione della normativa sulla privacy da parte di Tik Tok in una video-intervista rilasciata a Matteo Flora, esperto di reputazione digitale.

Anzitutto Guido Scorza ha chiarito il concetto di “legittimo interesse”, definendolo come una delle basi giuridiche su cui si può basare il trattamento dei dati personali.

Ha, in linea di principio, la stessa dignità del consenso, ma con una particolarità: bypassa o posticipa a un momento successivo il diritto dell’interessato a pronunciarsi in merito al suddetto trattamento.

Può naturalmente accadere che, quando l’interessato viene informato del fatto che i propri dati vengono trattati in base a questo principio, si opponga e chieda spiegazioni, proprio come ha fatto il Garante con Tik Tok.

A questo punto, il titolare del trattamento è tenuto a ripetere la valutazione che ha fatto circa la sussistenza del suo “legittimo interesse” e la prevalenza di quest’ultimo sul diritto alla privacy degli interessati.

Nel caso di Tik Tok, la profilazione per finalità pubblicitarie è da considerarsi un “legittimo interesse”?

Tocca, in prima battuta, all’autorità irlandese e alle altre autority europee nell’ambito dell’European Data Protection Board stabilirlo.

L’Autorità italiana ha solo il compito di segnalare la questione e avanzare dei dubbi.

Quello che invece può fare – e che ha fatto – è intervenire a seguito della violazione di Tik Tok della direttiva E-privacy e della normativa del Codice Privacy affermando di “mettere le mani” nei dispositivi personali degli utenti (lo ribadiamo, per utilizzo dei dati archiviati nei dispositivi degli utenti è necessario il consenso degli interessati).

Che cosa ci insegna il caso Tik Tok?

Il compito dei legislatori e degli esperti della materia oggetto della violazione è spingere alla riflessione su quanto è accaduto.

Da questa vicenda è necessario trarre delle conclusioni e degli insegnamenti per il futuro.

Solo così potremo dire di aver colto l’importanza di analizzare i fatti presenti per intervenire su quelli futuri.

Tirando le somme, e sempre sulla base delle parole di Guido Scorza, la violazione di Tik Tok delle norme sulla privacy ci deve insegnare:

  • A riflettere maggiormente sul ricorso al “legittimo interesse” per il trattamento di dati personali. In questo modo si potrà acuire il senso di valutazione nell’introduzione e nell’adozione di nuove norme.
  • Ad aprire gli occhi degli utenti in merito all’utilizzo dei propri dati.
  • Infine, ad informarli della circostanza di rifiutare la pubblicità personalizzata basata sulla profilazione, affinché conoscano le modalità attraverso le quali opporsi al trattamento basato sul “legittimo interesse”.