L’autorità garante per la protezione dei dati personali ha annunciato l’avvio di un procedimento contro il social network TikTok, rilevando fra le principali violazioni una “scarsa attenzione alla tutela dei minori, divieto di iscrizione ai più piccoli facilmente aggirabile, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non rispettose della privacy”.
Sebbene il Comitato europeo per la protezione dei dati abbia creato da giungo una task force per investigare sulle operazioni di trattamento e le pratiche di TikTok all’interno dell’Unione Europea, l’azione del Garante italiano risponde all’esigenza di aprire un procedimento formale a migliore tutela dei minori coinvolti, con 30 giorni, a far data dal 22 dicembre, per la società, per l’invio di memorie difensive ed essere eventualmente ascoltata.
Risultano infatti esser stati portati all’attenzione dell’Autorità, da marzo 2020, una serie di non conformità delle attività di trattamento svolte, soprattutto alla luce dell’art. 8 GDPR, concernente le particolari condizioni di consenso dei minori in relazione ai servizi della società dell’informazione. Sostanzialmente, sono stati contestati dei forti problemi di trasparenza.
L’art. 2-quinquies del Cod. Privacy stabilisce che il c.d. “consenso digitale” del minore, di età superiore a 14 anni, ha come condizione l’adempimento di un obbligo informativo da parte del titolare del trattamento, il quale deve ricorrere ad un “linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi”.
L’intento della norma è un rafforzamento della responsabilizzazione dei titolari, che si avvalgono della base giuridica del consenso prestato da parte del minore, all’interno di un contesto digitale, in ragione dell’esposizione ai rischi intrinseci al funzionamento stesso dei servizi cui aderisce e partecipa.
Per quanto evidenziato, dunque, le misure tecniche e organizzative che, in forza del principio di responsabilizzazione, devono essere adottate per fornire le informazioni e garantire il divieto di accesso ai minori di 13 anni, non devono essere meri adempimenti formali, bensì essere valutate per la loro effettività.
Ulteriore oggetto di contestazione da parte del Garante sono stati il linguaggio “standard” impiegato (e dunque il mancato rispetto degli artt. 8 e 12 GDPR, per cui si deve tenere conto dei destinatari dell’informativa), la mancata definizione dei tempi di conservazione, nonché la poca chiarezza circa le modalità di anonimizzazione e i trasferimenti verso paesi terzi.
Da ultimo, non appare rispondente al principio di privacy by default, di cui all’art. 25 GDPR la preimpostazione del profilo utente come “pubblico”, dovendo richiedere un intervento attivo all’interessato per non rendere accessibili i dati ad un numero indefinito di soggetti.
È bene ricordare che il rispetto del principio di trasparenza, soprattutto nei confronti di interessati vulnerabili, è spesso l’anticamera di ogni altra tutela sostanziale cui provvede il GDPR.
