Guarda il video
Sono le settimane a cavallo tra giugno e luglio 2022 e si respira un’aria febbrile. TikTok ha infatti annunciato che, a partire dal 13 luglio, gli utenti maggiorenni che navigano sulla piattaforma verranno raggiunti da una pubblicità personalizzata, la quale verrà loro indirizzata non sulla base del consenso da loro prestato, bensì in ragione di presunti legittimi interessi vantati dalla piattaforma e dai suoi partners. La profilazione del comportamento tenuto durante la navigazione, in sostanza, sarà sufficiente affinché vengano raccolti sufficienti dati per decidere quale tipologia di pubblicità inviare al singolo utente. Com’è facile immaginare, l’intervento dell’Autorità Garante Privacy non ha tardato di un minuto.
Queste condizioni hanno, dunque, innescato un meccanismo che ha portato l’Autorità Garante a chiarire la propria posizione sull’utilizzo dei dati personali e sulla grande attenzione posta in materia di tutela e trattamento dei dati personali.
È anche intervenuta la necessità di inquadrare i casi e le corrette modalità di utilizzo del legittimo interesse, avendo TikTok tentato di fare leva proprio su questo principio per avvalorare la propria posizione.
A portare chiarezza là dove sembrava dominare il caos, è intervenuto il Garante per la protezione dei dati personali con il richiamo alla direttiva ePrivacy, dissolvendo i dubbi residui.
In questo articolo, vediamo come e in che direzione l’Autorità Garante Privacy ha fermato il colosso TikTok, impedendogli di commettere una violazione ai danni di milioni – se non addirittura miliardi – di utenti.
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
CONTENUTO DELL'ARTICOLO
L’oggetto del contendere tra modifica alla privacy policy e legittimo interesse
Quale che sia lo strumento utilizzato e quale che sia il cavaliere dalla scintillante armatura intervenuto a impedire l’illecito, l’oggetto del contendere rimane sempre lo stesso: i dati personali.
Nel caso di specie, la modifica annunciata da TikTok – che sarebbe entrata in vigore a partire dal 13 luglio 2022 – prevedeva la raccolta e l’archiviazione dei dati personali ottenuti tramite la navigazione dell’utente sulla piattaforma, nonché l’utilizzo degli stessi, per l’invio di pubblicità personalizzate senza, però, aver ricevuto un consenso esplicito a procedere in tal senso da parte del titolare.
TikTok fondava la propria giustificazione a procedere in un presunto legittimo interesse vantato, oltre che dal social network stesso, anche dai suoi partner.
Eppure, sembra che il richiamo al legittimo interesse non abbia convinto l’Autorità Garante Privacy che, in merito, ha fermamente obiettato.
In particolare, non sono state riscontrate le premesse necessarie a ritenere presente un legittimo interesse in capo al social network TikTok in ossequio alla normativa GDPR. In questo modo, sembra essere confermato l’atteggiamento da parte dell’Autorità Garante Privacy a scoraggiare l’utilizzo del legittimo interesse per pure finalità di marketing e, soprattutto, i tentativi di bypassare il consenso del titolare dei dati personali.
Cos’è il legittimo interesse GDPR?
Ascolta il podcast
Dare una definizione di legittimo interesse è semplice e complicato al tempo stesso. Forse, è complicato proprio perché è semplice. Il significato, infatti, è tutto contenuto nelle parole che lo compongono.
Quando si parla di legittimo interesse GDPR, si fa riferimento all’intenzione manifestata di procedere al trattamento dei dati personali di un soggetto per specifiche finalità, che verranno minuziosamente illustrate. Tra queste finalità, sarà ricompreso il trattamento – inteso come raccolta e archiviazione – dei dati personali.
La spiegazione di queste finalità varrà ad ottenere il consenso esplicito del titolare dei dati personali, elemento imprescindibile affinché il trattamento di tali dati possa dirsi legittimo. Nel caso di TikTok, la modifica operata alla privacy policy nella direzione di inviare pubblicità personalizzata in assenza dell’elemento centrale del consenso dell’utente ha indotto l’Autorità Garante Privacy a emettere un provvedimento d’urgenza per evitare la commissione di un illecito.
Il provvedimento d’urgenza dell’Autorità Garante Privacy
Il tempo corre veloce e la modifica alla privacy policy in violazione del Regolamento ePrivacy viene annunciata con poche settimane d’anticipo rispetto all’entrata in vigore dei suoi effetti. In men che non si dica, gli utenti rischiano di vedersi inondati di pubblicità personalizzata, ma non è questo il peggio.
Ciò che non sanno accade nelle retrovie, dove i loro dati personali vengono raccolti, archiviati e utilizzati per la profilazione di questa strategia pubblicitaria sulla scorta di un non meglio specificato legittimo interesse.
È una situazione che l’Autorità Garante Privacy non può consentire, una situazione urgente che richiede un intervento altrettanto urgente.
Proprio con l’intenzione di obiettare alla modifica della privacy policy realizzata dal social network, il Garante per la protezione dei dati personali stabilisce pertanto l’illiceità della condotta di TikTok ai sensi della direttiva ePrivacy e lo fa con un provvedimento d’urgenza.
In base a tale disposto, infatti, inviare pubblicità personalizzata agli utenti in assenza di un esplicito consenso al trattamento dei dati personali è da considerarsi illegittimo, giacché l’archiviazione dei dati avviene in modo del tutto arbitrario.
Il legittimo interesse vantato dal social network, del resto, non sembra avere alcuna base giuridica e TikTok, che nel presente ha mostrato scarso interesse per gli utenti, ha un’altra questione ancora aperta che suscita l’attenzione dell’Autorità.
L’Autorità Garante Privacy, TikTok e la tutela dei minori
TikTok ne ha di cose per cui essere rimproverato o, almeno, così dice il Garante per la protezione dei dati personali. Passi la storia della furbesca trovata sul legittimo interesse mancante in violazione del regolamento ePrivacy, ma c’è qualcosa che all’Autorità proprio non va giù. Stiamo parlando della mancata tutela approntata nei confronti degli utenti minorenni che usano la piattaforma.
Pare, infatti, che non sia la prima volta che al social network venga intimato di mettere in atto delle soluzioni idonee ad assicurare una navigazione meno pericolosa per i soggetti di età inferiore agli anni 13. Ovviamente senza che siano stati ottenuti risultati.
Ad oggi, risulta che TikTok mostri parecchie difficoltà nell’accertare l’età effettiva degli utenti che si iscrivono alla piattaforma, il che aumenta il rischio che la tanto osannata pubblicità personalizzata raggiunga un target troppo giovane, esponendolo a contenuti non adeguati.
Questo giustifica con ancora più vigore il significato dell’intervento d’urgenza operato dall’Autorità Garante Privacy, volto proprio ad evitare che si verifichi una situazione di mancata tutela nei confronti di un’utenza al di sotto dell’età minima di anni 13.
È sulla scorta di queste ragioni che il Garante per la protezione dei dati personali è potuto intervenire d’urgenza senza attivare l’usuale procedura di cooperazione internazionale prevista dalla normativa GDPR.
Alla luce di quanto previsto nel RGDPR, invero, considerato il fatto che la collocazione principale del social network sia da individuarsi in Irlanda, avrebbe dovuto attivarsi l’Autorità Garante Privacy irlandese per valutare l’illiceità o meno della condotta posta in essere dalla piattaforma.
La situazione è stata ritenuta di tale gravità, tuttavia, da giustificare l’intervento subitaneo del Garante della Privacy italiano tramite procedura d’urgenza.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
Le possibili ulteriori conseguenze anticipate dal Garante
Stando così le cose, il Garante della Privacy ha ammonito formalmente TikTok, informandolo che la messa in atto di tale modifica comporta una violazione delle normative italiana ed europea in materia di trattamento e tutela dei dati personali.
Tale circostanza, ha spiegato, è da ricondurre alla mancanza di una base giuridica valida che giustifichi l’invio di pubblicità personalizzata, consistente nel consenso degli utenti.
Tale violazione, peraltro, è suscettibile di comportare delle sanzioni a discapito della piattaforma, nonché ulteriori provvedimenti di urgenza nel caso in cui non ci siano adeguamenti in linea con quanto espresso nel provvedimento dell’Autorità Garante Privacy.
Invero, di quanto accaduto, sono stati informati sia il Comitato europeo per la protezione dei dati sia il Garante Privacy Irlandese in modo tale da poter vigilare ed eventualmente prendere le dovute misure nei confronti del social network.
L’episodio di TikTok ci dimostra ancora una volta quanto complicato sia il mondo della normativa privacy e quanto facile sia, al contrario, commettere un errore.
Per questo motivo, esistono studi verticalizzati come Legal For Digital.
Tu hai bisogno di noi e noi siamo qui per te.
Contattaci per una consulenza!
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
⚖️ Prendersi cura delle note legali sito web, tramite privacy e cookie policy
12 Dicembre 2022Le note legali al sito web sono banalmente una risposta obbligata alla richiesta di trasparenza posta del regolamento GDPR. Un professionista titolare di P.IVA e una società, che decidano di aprire ciascuno il proprio sito web, hanno l’obbligo di comunicare le rispettive informazioni legali in modo che qualsiasi utente possa accedervi ed eventualmente effettuare un controllo in rete a riguardo.
Leggi altro
Garante Privacy blocca ChatGPT: cause, problemi e conseguenze
8 Aprile 2023Sui temi Intelligenza Artificiale, Chat-GPT e Garante della privacy abbiamo letto online molteplici notizie che affermano tutto, nulla e il contrario di tutto.
Prima di scrivere questo articolo ci siamo documentati, abbiamo preso del tempo per riflettere.
Vorremmo condividere la nostra visione del problema per darti un valore aggiunto sui temi del GDPR, della privacy e dei consensi, argomenti che sono spesso oggetto dei nostri contenuti.
Leggi altro
⚖️ Dark pattern, GDPR e Legal design
26 Aprile 2022Si torna a parlare di Dark pattern: tecniche di design che condizionano le scelte dell’utente. Cosa rischi se le utilizzi?
Leggi altro