Articoli

Violare la privacy dei minori costa caro: il caso dell’app TikTok

Avv. Vincenzo Colarocco

Il consenso dei minori al trattamento dei dati personali è una questione delicata, ed è stata recentemente oggetto di attenzione della Federal Trade Commission. Quest’ultimo -ente statunitense preposto alla tutela dei consumatori- ha sanzionato l’app musicale TikTok, che conta 500 milioni di utenti attivi mensili e di proprietà di Bytedance, per aver violato la privacy dei propri utenti minorenni. A riguardo, è stata comminata una sanzione da 5,7 milioni di dollari in ragione di una palese violazione del Children’s Online Privacy Protection Act, legge che negli USA regola la protezione della privacy dei minorenni in rete, e che vieta la raccolta e il trattamento di dati sensibili da soggetti minori di 18 anni senza che vi sia il consenso dei genitori o dei tutori legali.

Secondo una nota diffusa dalla Federal Trade Commissionl’operatore era a conoscenza del fatto che l’ applicazione fosse utilizzata da soggetti minorenni, eppure ha deliberatamente mancato di ottenere il consenso dei genitori prima di raccogliere nomi, indirizzi email e altri dati sensibili di utenti di età inferiore ai tredici anni“, inaugurando un precedente sanzionatorio nell’ambito della violazione della privacy di soggetti minori.

Invero, il testo normativo, il Children’s Online Privacy Protection Act, sulla base del quale è stata comminata la sanzione prevede che “an operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented”. Nonostante la chiarezza del testo di legge gli operatori di TikTok consentivano l’utilizzo dell’applicazione da parte di soggetti minori, che conferivano dati personali quali nome, cognome, indirizzo e-mail, immagine, numero di telefono e altre informazioni personali, senza che nell’utilizzo dell’applicazione fosse stato richiesto il preventivo consenso dei soggetti legittimati a fornirlo per loro conto, e quindi genitori o tutori legali. Ad attivare la procedura sanzionatoria da parte dell’ente americano competente in materia, sono state le migliaia segnalazioni ricevute da parte dei genitori dei soggetti interessati, le quali hanno dato origine ad un precedente importantissimo nell’ambito della violazione dei dati personali online di minori, e in relazione al quale, in ambito europeo, lo stesso GDPR, all’art. 8, ha dedicato un’attenzione particolare, disciplinando dettagliatamente il tema del consenso e le relative condizioni, avendo a riguardo i servizi della società dell’informazione.

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.