Il Garante per la protezione dei dati personali ha mandato un forte segnale al social network Tik Tok. Con un provvedimento d’urgenza adottato il 7 luglio, l’Autorità ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.
Nelle scorse settimane il social network aveva annunciato la modifica della propria privacy policy, comunicando ai propri utenti che, a partire dal 13 luglio 2022, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti durante la navigazione sull’app TikTok. Secondo la privacy policy Tik Tok, il trattamento si baserebbe, su “Informazioni che ci fornisci, Informazioni raccolte automaticamente e Informazioni da altre fonti”, allo scopo di mostrare ai propri utenti “annunci che possano essere di loro interesse e per collegare gli inserzionisti con gli utenti che possano essere interessati ai loro prodotti o servizi”.
Il social network aveva quindi, altresì, modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma non meglio precisati “legittimi interessi” di Tik Tok e dei suoi partner.
Il Garante aveva immediatamente avviato un’istruttoria sulla modifica della privacy policy e chiesto informazioni al social network.
L’Autorità ha ora concluso che tale mutamento della base giuridica risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy” , e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione), norme che prevedono espressamente come base giuridica “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.
Oltre alla base giuridica inadeguata, il Garante ha messo in luce un aspetto che desta particolare preoccupazione e che riguarda la tutela dei minori iscritti alla piattaforma. Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma – ha osservato l’Autorità – non consentono infatti di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati.
L’Autorità italiana, avvalendosi di uno dei poteri previsti dal Regolamento Ue, ha pertanto inviato un “avvertimento” formale alla Società, avvisando che un trattamento effettuato sulla base giuridica del “legittimo interesse”, almeno in relazione alle informazioni archiviate sui dispositivi degli utenti, si porrebbe al di fuori della cornice normativa in vigore, con le evidenti conseguenze, anche di carattere sanzionatorio.
L’Autorità si è pertanto riservata l’adozione di eventuali provvedimenti anche di urgenza qualora TikTok non recedesse dal proprio proposito.
La violazione della direttiva “ePrivacy” ha permesso al Garante di intervenire direttamente e in via d’urgenza nei confronti di Tik Tok, al di fuori della procedura di cooperazione prevista dal Gdpr, che avrebbe visto l’esercizio dell’iniziativa da parte dell’Autorità di protezione dati irlandese, Paese ove Tik Tok ha fissato il proprio stabilimento principale.
In ogni caso, poiché anche il trattamento di informazioni diverse rispetto a quelle archiviate sui dispositivi degli utenti sulla base del legittimo interesse appare incompatibile con la disciplina europea in materia di protezione dei dati personali – in questo caso quella dettata dal Gdpr – il Garante ha contestualmente informato il Comitato europeo delle autorità di protezione dei dati personali e l’Autorità irlandese, perché valutino le ulteriori iniziative da intraprendere.
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9788342