Se, quindi, per molti i social rimangono un semplice strumento di agevolazione delle comunicazioni, per molti altri sono diventati un “luogo” di lavoro o di svago quotidiano, date le innumerevoli funzionalità garantite dall’evoluzione tecnologica.
Sicuramente uno dei fenomeni che ha acquisito maggior successo in pochissimo tempo, arrivando a far tremare anche i colossi del digitale ormai veterani, è quello che ha visto protagonista la piattaforma TikTok, prima conosciuto come musical.ly, di proprietà dell’azienda cinese ByteDance. Basti pensare che l’app ha raggiunto un miliardo di utenti in soli 3 anni! Questo social si caratterizza per la possibilità offerta agli utenti di creare contenuti video brevi, dai 15 ai 60 secondi, impreziositi però da una cospicua serie di effetti. Funzione che ha avuto presa come bacino di utenza preferenziale sui giovani, molto spesso non maggiorenni. È proprio su questo aspetto, però, che si basano le maggiori perplessità sollevate nei confronti di TikTok, anche recentemente da parte del Garante per la protezione dei dati italiano.
La task force europea
Dopo che le medesime perplessità su TikTok venivano espresse dall’ex Presidente del Garante per la protezione dei dati personali italiano, Antonio Soro, il quale aveva sottolineato come “questa piattaforma non solo per la sua proprietà in Cina, un Paese estraneo alle regole di tutela dei dati personali vigenti in Europa, ma anche per la scarsa abitudine all’utilizzo a uno strumento così sofisticato, offre la possibilità di violazioni anche molto pesanti”, e dopo la richiesta di un parlamentare europeo, il 10 giugno 2020 il Comitato Europeo per la protezione dei dati personali ha istituito una task force per valutare l’operato di TikTok sul territorio UE.
Il punto su cui l’EDPB (European Data Protection Baord) si è concentrato riguarda principalmente le modalità di raccolta e conservazione dei dati personali degli utenti della piattaforma. TikTok, infatti, rientra tra quelle società che, pur non avendo una sede in UE, offre però servizi sul territorio europeo. In particolare, gli aspetti critici oggetto di valutazione sono il trasferimento di dati presso paesi terzi il trattamento di dati personali di soggetti minori d’età.
L’obiettivo che l’istituzione della task force sottende è quello di coordinare e vigilare in maniera concertata le attività da porre in essere, a livello europeo, da parte di tutte le autorità garanti per la protezione dei dati personali.
Al di fuori dell’UE, è importante ricordare che anche l’ICO inglese (Information Commissioner’s Office) e la FTC americana (Federal Trade Commission), autorità pubbliche a tutela degli utenti, hanno condotto delle autonome indagini nei confronti di TikTok e che in particolare quella americana si è conclusa con una sanzione pari a 5,7 milioni di dollari (benché a fronte però dei 7 miliardi di fatturato registrati nel 2019 dall’app di proprietà cinese).
Il procedimento del Garante Italiano contro TikTok
“Scarsa attenzione alla tutela dei minori, divieto di iscrizione ai più piccoli facilmente aggirabile, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non rispettose della privacy.”
Queste sono le principali contestazioni che il Garante per la protezione dei dati personali italiano ha sollevato nei confronti di TikTok, nonostante non sia cessata l’attività di controllo e vigilanza a carico del Comitato europeo. La volontà di iniziare un procedimento formale, da parte dell’Autorità Garante italiana, risiede nella riscontrata urgenza di problematiche che preoccupano non poco la tutela della privacy degli utenti del noto social network, oltre che la preoccupazione di una grave mancanza di attenzione nei confronti dei soggetti più vulnerabili, i minori.
La principale perplessità risiede nella modalità e nei requisiti di iscrizione a TikTok, che prevederebbero, in linea teorica, un divieto per i soggetti al di sotto dei 13 anni di età. Questa limitazione, però, a livello pratico, risulta essere facilmente eludibile: potrebbe essere infatti sufficiente inserire una data di nascita falsa per utilizzare tranquillamente il social, andando però incontro a gravi rischi per la privacy a cui nessuno sembra porre un freno.
Infatti, il Garante italiano, in occasione della comunicazione in merito all’avvio del procedimento contro TikTok del 22 dicembre 2020, ha sottolineato come “Tik Tok, di conseguenza, non impedisce ai più piccoli di iscriversi né verifica che vengano rispettate le norme sulla privacy italiane, le quali prevedono per l’iscrizione ai social network il consenso autorizzato dei genitori o di chi ha la responsabilità genitoriale del minore che non abbia compiuto 14 anni”.
La normativa di riferimento e le violazioni contestate
A questo punto è utile fare un breve punto sulla normativa che si contesta a Tiktok di non rispettare.
Il combinato disposto degli articoli 6 e 8 del Regolamento Europeo 679/2016 stabilisce che “qualora si applichi l’art. 6, paragrafo 1, lettera a) – quando la base giuridica del trattamento consiste nel consenso dell’interessato-, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai sedici anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai tredici”.
L’Italia, in particolare, ha stabilito in 14 anni come età minima per manifestare validamente il proprio consenso per un minore: circostanza che non sembra in nessun modo rispettata da TikTok.
Altra critica sollevata dal Garante riguarda l’informativa resa agli utenti per quanto concerne l’utilizzo del social network, la quale risulta essere in molti punti poco chiara e fuorviante, già per un bacino di utenza adulto, e ancora di più per degli utenti giovani e inesperti, più esposti alle criticità che la piattaforma multimediale nasconde.
Sarebbe opportuno, infatti, evitare una procedura standardizzata nella stesura delle informative, al contrario, prevedendo informazioni specifiche che possano essere comprensibili anche ad un pubblico più giovane, oltre alla previsione di veri e propri meccanismi di “alert” che rendano immediatamente riconoscibili i rischi a cui gli utenti minori sono potenzialmente esposti, come indicato anche dal considerando 58 del GDPR (“Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente”).
Sono state rinvenute anche una serie di violazioni riguardanti più in generale l’attuale quadro normativo in materia di protezione dei dati personali, e nello specifico:
- la mancanza di una specifica previsione in merito ai tempi di conservazione dei dati personali raccolti rispetto agli scopi, oltre alla non indicazione delle modalità di anonimizzazione, che pure TikTok afferma di eseguire;
- poca chiarezza in merito al trasferimento dei dati personali verso Paesi terzi extra UE, non essendo specificati in alcun modo i soggetti ai quali questi dati verranno trasmessi, né offerte indicazioni riguardo i livelli di adeguatezza di questi Paesi alla normativa in materia di protezione dei dati personali europea;
- la preimpostazione, da parte del social network, dei profili degli utenti come profili “pubblici”: circostanza che permette di consultare liberamente tutti i contenuti caricati dall’utente in questione e che va in contrasto con la normativa in materia di protezione dei dati personali, laddove prevede l’adozione di “misure tecniche e organizzative” adeguate alla tutela dei soggetti coinvolti in un trattamento di dati personali.
A tal proposito, un portavoce di TikTok ha dichiarato che: “La massima priorità per TikTok è quella di garantire la sicurezza e la privacy dei propri utenti, in particolare di quelli più giovani. Di recente abbiamo ricevuto una comunicazione da parte del Garante per la protezione dei dati personali: stiamo ancora ultimando la verifica delle conclusioni dell’autorità e continuiamo a collaborare con il Garante per fornire informazioni in risposta alle loro richieste. Tuttavia, non concordiamo con diversi aspetti della loro analisi e su alcune delle conclusioni che sono state delineate. Dal momento che la nostra valutazione è ancora in corso, in questo momento non ci è possibile fornire ulteriori commenti”.
Conclusioni
Ciò che emerge dalla breve disamina effettuata è la necessità di un’azione coordinata e forte nei confronti dell’ormai diffusissimo social network di origine cinese, che ha ottenuto un notevole seguito, composto principalmente da giovani utenti. Proprio questi ultimi, a causa delle maggiori vulnerabilità e dei rischi a cui sono esposti – si pensi al riprovevole fenomeno della “sextortion” che molto spesso trova spazio sui social network- , sono i destinatari delle forti preoccupazioni, manifestate in più occasioni dalle Autorità di controllo europee, le quali, come enunciato dall’articolo 57,1 lett.b) del GDPR, hanno il compito di “promuove la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori”.
L’auspicio è quello di riscontrare un atteggiamento proattivo e di allineamento al quadro normativo europeo in materia di protezione dei dati personali da parte di TikTok, non solo per il deterrente di una pesante sanzione in caso di accertamento della commissione di violazioni, ma come vero e proprio passo verso un atteggiamento rispettoso dei diritti e delle libertà degli utenti/interessati – soprattutto se minori.