Tik Tok: Altolà del Garante Privacy alla pubblicità “personalizzata” basata sul legittimo interesse

Garante Privacy, Provvedimento n.248 del 07/07/2022

Pubblicato il

Tik Tok: Altolà del Garante Privacy alla pubblicità “personalizzata” basata sul legittimo interesse
Base giuridica inadeguata e rischi che la pubblicità arrivi anche ai minori


Il Garante per la protezione dei dati personali manda un segnale forte a Tik Tok. L’Autorità, con un provvedimento d’urgenza adottato il 7 luglio, ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.

Nelle scorse settimane il social network aveva informato i propri utenti che, a partire dal 13 luglio, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti nella navigazione su TikTok.  E aveva modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma non meglio precisati “legittimi interessi” di Tik Tok e dei suoi partner.

Il Garante aveva immediatamente avviato un’istruttoria sulla modifica della privacy policy e chiesto informazioni al social network.

Sulla base degli elementi forniti dalla Società, l’Autorità ha ora concluso che tale mutamento della base giuridica  risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy” , e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione), norme che prevedono espressamente come base giuridica “per l'archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell'apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.

Oltre alla base giuridica inadeguata, il Garante ha messo in luce un aspetto che desta particolare preoccupazione e che riguarda la tutela dei minori iscritti alla piattaforma. Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma - ha osservato l’Autorità - non consentono infatti di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati.

L’Autorità italiana, avvalendosi di uno dei poteri previsti dal Regolamento Ue, ha pertanto inviato un “avvertimento” formale alla Società, avvisando che un trattamento effettuato sulla base giuridica del “legittimo interesse”, almeno in relazione alle informazioni archiviate sui dispositivi degli utenti, si porrebbe al di fuori della cornice normativa in vigore, con le evidenti conseguenze, anche di carattere sanzionatorio. 

L’Autorità si è pertanto riservata l’adozione di eventuali provvedimenti anche di urgenza qualora TikTok non recedesse dal proprio proposito.

La violazione della direttiva “ePrivacy” ha consentito al Garante di intervenire direttamente e in via d’urgenza nei confronti di Tik Tok, al di fuori della procedura di cooperazione prevista dal Gdpr, che avrebbe visto l’esercizio dell’iniziativa da parte dell’Autorità di protezione dati irlandese, Paese ove Tik Tok ha fissato il proprio stabilimento principale. 

In ogni caso, poiché anche il trattamento di informazioni diverse rispetto a quelle archiviate sui dispositivi degli utenti sulla base del legittimo interesse appare incompatibile con la disciplina europea in materia di protezione dei dati personali - in questo caso quella dettata dal Gdpr - il Garante ha contestualmente informato il Comitato europeo delle autorità di protezione dei dati personali e l’Autorità irlandese, perché valutino le ulteriori iniziative da intraprendere. 

Garante privacy, comunicato stampa 11 luglio 2022

Condividi su FacebookCondividi su LinkedinCondividi su Twitter

[doc. web n. 9788429]

Provvedimento del 7 luglio 2022

Registro dei provvedimenti
n. 248 del 7 luglio 2022


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (di seguito “Direttiva ePrivacy”);

VISTA la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il Parere del Gruppo di lavoro Articolo 29 n. 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’art. 7 della Direttiva 95/46/CE);

VISTO il Parere del Comitato europeo per la protezione dei dati personali n. 05/2019 sulle interrelazioni tra la direttiva e-Privacy ed il Regolamento, con particolare riguardo alle competenze, ai compiti ed ai poteri delle Autorità di protezione dati;

VISTE le linee guida del Gruppo di lavoro Articolo 29 del 6 febbraio 2018, sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, ratificate dal Comitato europeo per la protezione dei dati personali il 25 maggio 2018;

VISTE le linee guida del Comitato europeo per la protezione dei dati personali n. 8/2020 sul targeting degli utenti di social media;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;


PREMESSO
 

1.    Il caso
A partire dal mese di giugno 2022, il social network Tik Tok, ha annunciato la modifica della propria privacy policy (disponibile al link https://www.tiktok.com/legal/new-privacy-policy?lang=it-IT), comunicando agli utenti, anche mediante specifici messaggi, l’intenzione di avviare, a far data dal successivo 13 luglio 2022, un’attività di fornitura di “pubblicità personalizzata … agli utenti dai 18 anni in su” consistente nel mostrare a questi “annunci personalizzati in base alla tua attività sull’app di TikTok”.

Il trattamento si baserebbe, secondo quanto è possibile leggere nella privacy policy Tik Tok su “Informazioni che ci fornisci, Informazioni raccolte automaticamente e Informazioni da altre fonti, allo scopo di mostrare ai propri utenti “annunci che possano essere di loro interesse e per collegare gli inserzionisti con gli utenti che possano essere interessati ai loro prodotti o servizi”.
Tali trattamenti di dati personali troverebbero, ad avviso della piattaforma, la propria base giuridica nel “legittimo interesse” di cui all’art. 6, par. 1, lett. f) del Regolamento, anziché nel consenso degli interessati.

2.    L’istruttoria svolta
A fronte di tale prospettata modifica, l’Ufficio ha inviato in data 22 giugno 2022, una richiesta di informazioni a TikTok Italy. Nella richiesta è stato chiesto di poter conoscere:

- la base giuridica legittimante l’attività di profilazione e le motivazioni sottostanti la sua scelta;

- nel caso in cui questa fosse stata rinvenuta nel “legittimo interesse”, le valutazioni svolte dalla Società in relazione al c.d. triplice test così come enucleato dalla Corte di Giustizia dell’Unione europea nella sentenza C 13/16 Rigas satiksmea;

- se fosse stata effettuata una valutazione di impatto preliminare, ai sensi dell’art. 35 del GDPR e, in caso affermativo, di ricevere una copia della stessa;

- le misure adottate al fine di verificare la maggior età anagrafica dell’utente i cui dati verranno trattati per finalità di pubblicità profilata, tenuto peraltro conto delle difficoltà, sino ad oggi irrisolte, nell’identificazione dei minori di anni 13 e 14 (limite d’età italiano ex art. 8, par. 1, secondo capoverso, del Regolamento).

TikTok ha fornito riscontro in data 30 giugno 2022 rappresentando preliminarmente, quanto alla base giuridica scelta per fornire pubblicità personalizzata, di trattare due diverse categorie di dati degli utenti:

1) dati ricavabili da attività su TikTok: informazioni raccolte direttamente dalle azioni dell’utente sulla piattaforma;

2) dati ricavabili da attività al di fuori di TikTok: informazioni ricevute da partner esterni operanti nel settore della pubblicità, della misurazione e dei dati, ottenute dall’attività dell’utente effettuata al di fuori della piattaforma.

La Società ha quindi precisato che tali trattamenti sono stati già svolti da TikTok e vengono tuttora svolti sulla base del consenso degli interessati, ai sensi dell’art. 6, par. 1, lettera a), del Regolamento.

A partire dal 13 luglio p.v., i medesimi trattamenti per mostrare annunci personalizzati basati sui dati tratti dall’”Attività su TikTok”- per i soli utenti di età superiore ai 18 anni – troverebbero la base giuridica nei “legittimi interessi perseguiti da TikTok, dai suoi partner pubblicitari e dai suoi utenti ai sensi dell’art. 6, paragrafo 1, lettera f), del GDPR”.

La Società afferma di aver effettuato tutte le valutazioni pertinenti in conformità al Regolamento, inclusa un’analisi di impatto, considerando: “(i) se il trattamento di dati circa le attività di TikTok persegua i legittimi interessi di TikTok, dei suoi partner commerciali e dei suoi utenti; (ii) se tali legittimi interessi non prevalgano sugli interessi o sui diritti e le libertà fondamentali degli interessati”.

A seguito di tale test, TikTok ha concluso che il bilanciamento è soddisfatto per le seguenti ragioni: (i) il trattamento è chiaramente spiegato agli utenti; (ii) è improbabile che il trattamento abbia un impatto negativo sugli utenti o causi loro un danno; (iii) gli utenti di età inferiore ai 18 anni sono esclusi dal trattamento; (iv) TikTok facilita l’esercizio dei diritti degli interessati attraverso diverse funzioni e impostazioni della piattaforma.

Quanto, invece, alla base giuridica per le “Attività fuori da TikTok” non vi sarebbe alcuna modifica, per cui il social continuerà a basarsi sul consenso dell’utente ai sensi dell’art. 6, par. 1 lett. a), del GDPR. 

TikTok ha poi evidenziato le informazioni fornite agli utenti in merito alla modifica della base giuridica, ricordando di aver pubblicato una informativa sulla privacy aggiornata che entrerà in vigore il 13 luglio. Inoltre, gli utenti sono stati informati degli aggiornamenti dell’informativa sulla privacy tramite un pop-up nell’app TikTok. Infine, quanto all’esercizio dei diritti dell’interessato, la sezione relativa agli interessi legittimi dell’informativa sulla privacy informa gli utenti del loro diritto di opporsi ai sensi dell’art. 21 del GDPR al ricevimento di pubblicità personalizzata. 

In risposta alla richiesta sulle misure per verificare l’età degli utenti, la piattaforma, dopo aver ricordato che la modifica della base giuridica per il trattamento dei dati circa l’”Attività su TikTok” al fine di fornire pubblicità personalizzata, si applica solo agli utenti di età pari o superiore ai 18 anni, ha sottolineato di aver adottato processi e procedure tecniche e umane per verificare l’età degli utenti. 

Inoltre, la piattaforma ha assicurato di avere in corso una collaborazione con gli esperti del settore e con l’autorità irlandese (in qualità di principale autorità di controllo di TikTok) per sviluppare e identificare modi innovativi per migliorare ulteriormente le misure di verifica dell’età in modo da bilanciare con successo i diritti e gli interessi degli utenti.

3.    Considerazioni giuridiche e valutazioni dell’Autorità

3.1. Le criticità emerse

In primo luogo non può non evidenziarsi un approccio della piattaforma al tema della base giuridica piuttosto ondivago e piegato alle varie esigenze di volta in volta emergenti.

Ad esempio, nella lunga vicenda relativa al trattamento dei dati dei minori di anni 13 che ha portato il Garante ad ordinare il blocco d’urgenza dei trattamenti in Italia da parte della piattaforma, quest’ultima ha sempre sostenuto l’applicabilità per i minori della base giuridica del contratto, rinviando invece al consenso per la somministrazione di pubblicità mirata ai maggiori di anni 16. 

Ora si intende modificare detta base giuridica, per i trattamenti originati presso la piattaforma, invocando il riferimento al legittimo interesse, come se la scelta del fondamento giuridico non fosse un presupposto consustanziale del trattamento dei dati, ma rappresentasse solo un disinvolto utilizzo della migliore opzione di volta in volta selezionabile da parte del titolare. 

Con riguardo ai contenuti della risposta fornita da TikTok, poi, si deve prioritariamente rilevare che non è stata sufficientemente rappresentata la modalità di svolgimento delle attività di pubblicità personalizzata basate sulla raccolta diretta dei dati relativi alle azioni dell’utente sulla piattaforma né il fondamento giuridico legittimante il trattamento dei dati in questione. 

In particolare:

• non è stato esplicitato quale sia il legittimo interesse perseguito dal titolare e da terzi (i partner pubblicitari) nonché “dagli stessi utenti”;

• non è stato precisato se il trattamento riguarda anche i dati di carattere particolare e quale sia, in tal caso, l’eccezione prevista dall‘art. 9, par. 2, del Regolamento che potrebbe giustificarlo;

• il test di bilanciamento è indicato in modo generico e insufficiente a consentire una adeguata valutazione della sua correttezza alla luce dei criteri forniti dalla giurisprudenza della Corte di Giustizia dell’Unione europea. Peraltro “il mero adempimento dei doveri di informazione a norma dell’art. 13 del GDPR - menzionato al primo punto del test di bilanciamento - non costituisce una misura di trasparenza da prendere in considerazione per la ponderazione degli interessi conformemente all’art. 6, paragrafo 1, lett. f) del GDPR1” ; pertanto l’affermazione secondo cui il test di bilanciamento si ritiene soddisfatto per questo trattamento non pare adeguatamente argomentata;

• la valutazione di impatto che TikTok sostiene di aver condotto consultando il proprio DPO non è stata fornita, pur a fronte di una esplicita richiesta da parte dell’Ufficio;

• le misure di verifica dell’età non sono state rappresentate neppure in linea generale e TikTok si è limitata a richiamare genericamente la circostanza per cui starebbe collaborando con esperti di settore e con l’autorità irlandese;

• i risultati sin qui prodotti dai meccanismi posti in essere da Tik Tok per la verifica dell’età dell’utente non paiono in grado di escludere che la pubblicità personalizzata possa essere rivolta a minori di 18 anni, e persino ai minori di 14 anni, che rappresentano un bacino presso cui la piattaforma è assai popolare.  

Inoltre, dall’informativa risultano i seguenti elementi:

- vengono con alto grado di probabilità effettuate operazioni a fini di “personalizzazione” della pubblicità che comportano verosimilmente l’uso di cookie o di altre tecniche di tracciamento (anche di terze parti);

- vengono con alto grado di probabilità effettuate operazioni di profilazione che comportano anche processi di decisione automatizzata ai sensi dell’art. 22 del Regolamento in assenza delle previste garanzie;

- nell’informativa il diritto di opposizione non è posto in adeguata evidenza, è citato in modo generico alla fine del testo senza alcun collegamento diretto con l’attività di pubblicità personalizzata.

In assenza di elementi su tali punti, avendo riguardo ad altri analoghi modelli di business, appare altamente probabile che vengano trattati anche dati di carattere particolare, evincibili dal comportamento dell’utente nella piattaforma (scelta di letture, video, personaggi, ecc.) e, inoltre, che il trattamento risulti effettuato in forma totalmente automatizzata.
Si tratta di profili che l’Autorità sta approfondendo e in relazione ai quali intende segnalare alla SA Irlandese e al Comitato europeo della protezione dati l’opportunità di valutare un intervento urgente nell’ambito delle procedure di cooperazione previste dal Regolamento.

3.2. L’applicazione della direttiva e-privacy

Indipendentemente da quanto precede, in ogni caso, risulta evidente dall’informativa (cfr. versione destinata a entrare in vigore il prossimo 13 luglio) che TikTok, tra le altre, intende utilizzare, sulla base del legittimo interesse “informazioni raccolte automaticamente” ovvero, sempre ai sensi di quanto previsto nella medesima informativa “informazioni sul dispositivo…che includono il modello del tuo dispositivo, il sistema operativo, i pattern o i ritmi di digitazione, l’indirizzo IP e la lingua del sistema… nonché informazioni relative al servizio, alla diagnostica e alle prestazioni, compresi i rapporti di crash e i log delle prestazioni” e, ancora, “informazioni sulla tua posizione…in base alle tue informazioni tecniche (tra cui la scheda SIM e l’indirizzo IP) e, qualora l’utente abiliti servizi di localizzazione per l’app TikTok, “dal dispositivo informazioni approssimative sulla posizione”.

Nella stessa informativa si riferisce inoltre che Tik Tok raccoglie e utilizza  “cookie e simili tecnologie di tracciamento per gestire e fornir[ti]e i nostri servizi. Ad esempio usiamo i cookie per ricordare le tue preferenze di lingua, per assicurarci che tu non veda lo stesso video più di una volta e per motivi di sicurezza. Usiamo queste tecnologie anche per finalità di marketing.”

Ai sensi dell’art. 5, par. 3 della direttiva 2002/58/CE, per “l'archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell'apparecchiatura terminale di un abbonato o utente” è necessario il consenso dell’interessato. La formulazione di tale articolo è sufficientemente ampia da comprendere una varietà di servizi, poiché si riferisce all’operazione oggetto della necessità del consenso (“conservazione di informazioni o accesso a informazioni già archiviate”) e non alle specifiche applicazioni che necessitano delle informazioni memorizzate nei terminali degli utenti. 

Anche i cookie di profilazione possono essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. E ciò in base alla norma tuttora applicabile alla fattispecie, ossia l’art. 122 del Codice, già menzionato, ai sensi del quale 

1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate

Questa disposizione è stata introdotta nell’ordinamento nazionale a seguito del recepimento della direttiva ePrivacy n. 2002/58/CE, preliminare rispetto alla data di applicazione del Regolamento e anch’essa, al pari delle norme di diritto interno che la recepiscono, tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche (v., in proposito, il considerando 173 del Regolamento secondo cui “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio …”, nonché l’art. 2, lettera l), della direttiva quadro 2002/21/CE che ricomprende anche la direttiva ePrivacy nel novero delle “direttive particolari”).

Il quadro normativo sopra illustrato consente di escludere che il legittimo interesse possa rappresentare una idonea base giuridica almeno per il trattamento, ai fini dell’invio di pubblicità personalizzata, di tutti quei dati personali che nell’informativa di Tik Tok vengono definite “informazioni raccolte automaticamente” e, pertanto, di ritenere illecito, almeno parzialmente, a prescindere da ogni ulteriore e successivo approfondimento, il trattamento dei dati personali degli utenti che Tik Tok intende intraprendere a far data dal prossimo 13 luglio.

Né, in relazione al trattamento delle predette informazioni archiviate sui dispositivi degli utenti è lecito dubitare dell’applicazione della Direttiva ePrivacy n. 2002/58/CE e, conseguentemente, della competenza diretta e esclusiva del Garante, non trovando applicazione il meccanismo di cooperazione previsto dagli artt. 60 ss. del Regolamento.

3.3. Il legittimo interesse nel Regolamento

Il riferimento al legittimo interesse, nel caso prospettato da Tik Tok, appare tuttavia problematico anche con riguardo a quanto previsto dal Regolamento.

In primo luogo, sotto un profilo squisitamente metodologico, manca una valutazione in termini di elementi positivi, da parte di TikTok, in ordine alle circostanze che indurrebbero il titolare del trattamento a modificare il precedente assetto relativo alla base giuridica anche in assenza di modifiche sostanziali sulle modalità complessive di trattamento. Ciò depone per considerare la scelta di TikTok come meramente strumentale al perseguimento dei propri obiettivi, laddove la legittimità dei trattamenti appare solo essere un elemento di contorno, plasmabile a seconda delle esigenze.

Sempre in termini generali, l’eventuale utilizzo della base giuridica del legittimo interesse va visto con estrema prudenza, essendo necessaria una preliminare e documentata (anche ai fini del rispetto dell’accountability) attività di ponderazione degli interessi in gioco. Sul punto le Linee guida del WP29 (“sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679” del 6 febbraio 2018) indicano una serie di elementi di cui occorre tener conto, nell’ambito  del necessario balancing test (grado di dettaglio e granularità del profilo, esaustività dello stesso, impatto sull’interessato, presenza di garanzie finalizzate ad assicurare la correttezza e a mantenere l’esattezza del trattamento nonché a prevenire discriminazioni).

Il titolare dovrebbe, inoltre, tener conto dell’utilizzo futuro o delle successive possibili combinazioni di profili al fine di considerare la “solidità dell’impianto sotteso al trattamento” effettuato su tale presupposto. Vi è poi da considerare che anche il precedente parere del WP29 sul concetto di legittimo interesse (Parere 06/2014), seppure basato sull’art. 7 dell’abrogata direttiva 95/46/CE, riteneva difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalità di marketing o pubblicità. Dirimente deve poi ritenersi quanto già chiarito dal WP29, ovvero che il legittimo interesse del titolare del trattamento non può rendere lecita la profilazione se il trattamento, come parrebbe essere quello effettuato da Tik Tok nella fattispecie in esame, rientra nella definizione di cui all’art. 22, par. 1 del Regolamento.

L'applicazione della base giuridica del legittimo interesse presuppone, ineludibilmente, la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall'Autorità di controllo) di quest'ultimo sui diritti, libertà e meri interessi degli interessati; prevalenza che, nel caso di Tik tok, non pare proprio potersi ravvisare. 

Peraltro, “il titolare del trattamento non può …. ricorrere retroattivamente alla base dell’interesse legittimo. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati” (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01) e non può certo sopperirvi all’improvviso – peraltro, essendo rimasti sostanzialmente immutati i trattamenti effettuati - per ovviare al mancato consenso degli interessati o ad un consenso non validamente acquisito dai medesimi (v. provv. Garante 15 gennaio 2020 n.7, doc. web n. 9256486).

Vi è inoltre l’altissima probabilità che vengano trattati anche dati di carattere particolare, evincibili dal comportamento dell’utente durante la navigazione nella piattaforma e a tale riguardo nessuna informazione è fornita circa l’eventuale applicabilità di una delle ipotesi di cui all’art. 9, par. 2, del Regolamento.

Infine, nel riscontro al Garante, TikTok propone un rinvio, che non può che apparire pretestuoso, ai “legittimi interessi […] perseguiti dai suoi Utenti” (cfr. pag. 2, cpv. 2 del riscontro) facendoli di fatto coincidere o comunque apparentemente sovrapponendoli con il legittimo interesse del titolare. Tale operazione logico-giuridica appare assai problematica e priva di precedenti, se si considera che l’Opinion n. 6/2014 (Linee guida del WP29 in materia di legittimo interesse), e più in generale i riferimenti normativi relativi al concetto di legittimo interesse, circoscrivono tale definizione a finalità proprie del titolare del trattamento che non possono essere strumentalmente traslate genericamente sugli interessati (cfr. Opinion 6/2014, pagg. 34 e ss.).

Infine, non può non sottacersi che l’assenza di elementi certi per l’identificazione della persona maggiore di età, alla luce anche delle negative prove sin qui susseguitesi in ordine alla capacità di Tik Tok (al pari di altri social network) di effettuare tale valutazione, rischia di coinvolgere nella suddetta attività anche le persone minori di 18 anni, ma anche di anni 14, per i quali sarebbe necessario un consenso degli esercenti la responsabilità genitoriale e, in ipotesi anche dei minori di anni 13, per i quali l’accesso alla piattaforma sarebbe del tutto interdetto.

Con riferimento a tali ulteriori profili, tuttavia, l’Autorità procederà ai necessari approfondimenti anche nell’ambito delle previste procedure di cooperazione, riservandosi, eventualmente anche l’adozione di ulteriori provvedimenti in via d’urgenza a tutela dei diritti di interessati utenti, in Italia, di TikTok i cui dati personali rischiano di essere trattati, a far data dal prossimo 13 luglio, illegittimamente.

4.    Conclusioni

Quanto sopra considerato porta a ritenere che l’attività di somministrazione di pubblicità commerciale “personalizzata”, da parte di TikTok agli utenti maggiorenni, attraverso attività di profilazione dei loro comportamenti all’interno del social network, almeno nella misura in cui risulti basata, come espressamente riferito dalla società, sulle c.d. “informazioni raccolte automaticamente” e archiviate sul dispositivo degli utenti non possa basarsi giuridicamente sull’interesse legittimo ponendosi tale attività in contrasto con l’art. 5, par. 3 della della Direttiva e-privacy e l’art. 122 del Codice

Né può dubitarsi, almeno limitatamente a tale profilo della competenza esclusiva in materia, per il proprio ambio territoriale di riferimento, del Garante.

Pertanto, nelle more dell’acquisizione di eventuali maggiori elementi informativi, in considerazione delle violazioni rilevate e della competenza del Garante, si ritiene necessario rivolgere, ai sensi del combinato disposto di cui all’art. 58, par. 2, lett. a), del Regolamento e all’art. 154, comma 1, lett. f), del Codice un avvertimento a Tik Tok, evidenziando che il trattamento previsto può verosimilmente configurare una violazione della disciplina vigente con le connesse responsabilità di un trattamento basato su una base giuridica non corretta.

Di tale decisione verranno informati, per quanto di interesse e competenza, la Data Protection Commission irlandese e il Comitato per la protezione dei dati personali.

Resta salva la facoltà per l’Autorità di intervenire d’urgenza, laddove se ne ravvisasse in prosieguo l’esigenza, anche ai sensi dell’art. 66 del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento e dell’art. 154, comma 1, lett. a) del Codice, rileva che il trattamento previsto da TikTok Italy S.r.l., con sede in Milano, via Mazzini 9/11 e TiKTok Technology Limited, con sede in Dublino, c/o Wework Harcourt Road può verosimilmente configurare una violazione della disciplina vigente per violazione delle disposizioni nei termini di cui in motivazione;

b) ai sensi del combinato disposto di cui all’art. 58, par. 2, lett. a), del Regolamento e all’art. 154, comma 1, lett. f), del Codice, avverte TikTok Italy S.r.l., con sede in Milano, via Mazzini 9/11 e TiKTok Technology Limited, con sede in Dublino, c/o Wework Harcourt Road che eventuali trattamenti dei dati personali oggetto della condotta descritta in premessa si porrebbero in violazione degli artt. 5, par. 3 della direttiva 2002/58/CE e dell’art. 122 del Codice, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali;        

c) il Garante si riserva di intervenire d’urgenza, laddove se ne ravvisasse in prosieguo l’esigenza, anche ai sensi dell’art. 66 del Regolamento; 

d) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità.

__________

Cfr. pag. 22, punto 66, delle “Linee guida 8/2020 sul targeting degli utenti dei social media” adottate dall’EDPB il 13 aprile 2021.

Roma, 7 luglio 2022

 

©2024 misterlex.it - [email protected] - Privacy - P.I. 02029690472