Il Garante Privacy rileva che il trattamento previsto nella nuova privacy policy di TikTok viola la disciplina in materia di protezione dei dati personali e la piattaforma cinese sospende le modifiche previste.
Il caso
A fine giugno, il social network cinese ha comunicato ai propri iscritti di voler fornire - agli utenti maggiorenni - un tipo di pubblicità personalizzata in base all’attività abitualmente svolta sull’App, individuando come base giuridica del trattamento dei dati personali, non più il consenso degli interessati, ma il legittimo interesse. Tale modifica alla privacy policy avrebbe dovuto essere effettiva il 13 luglio.
Dopo l’annuncio della modifica su menzionata, l’ufficio del Garante per la protezione dei Dati Personali ha inviato alla piattaforma cinese una richiesta di maggiori informazioni riguardo la base giuridica legittimante l’attività di profilazione, la ponderazione degli interessi in gioco, la valutazione di impatto e le misure adottate per verificare la maggior età degli utenti. Nel riscontro fornito all’Autorità, TikTok ha dichiarato che i trattamenti per gli annunci pubblicizzati basati sui dati trattati dall’attività sul social network troverebbe la base giuridica nei “legittimi interessi di TikTok, dei suoi partner pubblicitari e dei suoi utenti”. La società cinese ha altresì asserito di avere effettuato una preventiva valutazione d’impatto, ai sensi dell’art. 35 del GDPR, concludendo che il test di bilanciamento degli interessi si ritiene soddisfatto. Con riferimento invece alle misure adottate per verificare l’età degli utenti, il social network si è limitato a rispondere che la verifica è stata attribuita a processi tecnici e umani, aggiungendo e assicurando di aver avviato una collaborazione con gli esperti del settore e l’autorità irlandese per migliorare ulteriormente i processi di verifica.
La pubblicità “personalizzata”
L’art. 4 del GDPR definisce profilazione “qualsiasi forma di trattamento automatizzato di dati consistente nell’utilizzo degli stessi per valutare determinati aspetti personali relativi ad una persona fisica”, in particolare per analizzarne le preferenze personali, gli interessi, il comportamento. Com’è noto in materia esiste un generale divieto ad essere sottoposti a processi automatizzati, sancito dall’art. 22 del GDPR, che viene meno in presenza di una consolidata base giudica che legittimi l’attività.
Le violazioni riscontrate
Il riscontro fornito da TikTok è stato giudicato dal Garante carente di informazioni specifiche, ondivago e poco puntuale rispetto alle richieste formulate. L’Autorità ha pertanto deliberato che tale mutamento della base giuridica risulta incompatibile con la Direttiva 2002/58/CE (Direttiva “ePrivacy”) e con l’art. 122 del D.lgs. 196/2003 e ss.mm.ii. (Codice Privacy), che ne dà attuazione. Tali norme, infatti, prevedono espressamente come base giuridica “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati. L’Autorità ha quindi ritenuto che, l’attività di somministrazione di pubblicità commerciale “personalizzata”, da parte di TikTok agli utenti maggiorenni, attraverso attività di profilazione dei loro comportamenti all’interno del social network, almeno per quel che riguarda le informazioni raccolte automaticamente, sulla base del quadro normativo di riferimento non può basarsi giuridicamente sul legittimo interesse.
Il Garante ha anche sottolineato che, il riferimento al legittimo interesse appare problematico anche con riguardo a quanto previsto dal Regolamento sotto un profilo squisitamente metodologico, in quanto non vi è una valutazione alle circostanze che indurrebbero il titolare del trattamento a modificare il precedente assetto. Ciò ha indotto ulteriormente a far considerare la scelta di TikTok come meramente strumentale al perseguimento dei propri obiettivi, senza tenere in debito conto gli interessi degli utenti della piattaforma.
In considerazione delle violazioni rilevate, il Garante ha quindi formulato un avvertimento a TikTok, evidenziando che la modifica della privacy policy può verosimilmente configurare una violazione della disciplina vigente con le connesse responsabilità di un trattamento basato su una base giuridica non corretta. L’Autorità si è riservata di intervenire d’urgenza, laddove se ne ravvisasse in seguito l’esigenza, anche ai sensi dell’art. 66 del Regolamento.
TikTok sospende l’aggiornamento della privacy policy
Il 12 luglio, quindi il giorno prima dell’annunciata modificata della privacy policy, TikTok ha dichiarato di aver sospeso l’aggiornamento previsto per rispondere alle richieste dei vari stakeholder in merito alle modifiche al documento, continuando, però, a sostenere la propria posizione riguardo alla pubblicità personalizzata. Oltre al provvedimento del Garante Privacy, infatti, la società cinese era stata accusata dagli attivisti di Access Now di aver violato diverse leggi europee, incluso il GDPR.
Avv Sabrina Salmeri e Dott.ssa Rossella Taddei