l'analisi

La guerra del Garante Privacy contro i social, per i minori: che succede ora

TikTok rischia in Italia una super sanzione. Il Garante Privacy chiede di interrompere il trattamento dei dati di chi non può accertare l’età. Ecco gli scenari che si aprono. Quale appiglio giuridico e quale possibile enforcement contro questo e altri social

Pubblicato il 23 Gen 2021

Riccardo Berti

Avvocato e DPO in Verona

Alessandro Longo

Direttore agendadigitale.eu

tiktok-vs-instagram-and-facebook

Dopo il caso della bimba di Palermo il Garante Privacy interviene con estrema decisione sul social network TikTok chiedendo quello che di fatto sarebbe un blocco dell’applicazione fino al 15 febbraio.

Formalmente il Garante ha chiesto infatti di interrompere il trattamento dei dati di chi il social non può accertare l’età. E il social al momento non sembra avere gli strumenti per quest’accertamento. 

Una situazione in cui TikTok può rispondere nell’immediato solo in due modi: bloccando il trattamento di tutti (il che sarebbe paralisi dell’app quindi, almeno dal punto di vista commerciale) o non rispettando la richiesta del Garante, il che aprirebbe al rischio di una super sanzione fino al 4 per cento del fatturato.

Il quadro è però più complesso di quanto appare.

Il provvedimento del Garante Privacy contro TikTok

Bisogna prima di tutto comprendere che con il provvedimento del 22 gennaio 2021 il Garante Privacy ha fatto esercizio dei propri poteri straordinari contro il social network, applicando l’art. 66 del Regolamento UE 679/2016, che consente alle Autorità Garanti nazionali, in presenza di circostanze eccezionali e qualora ritengano che sia urgente intervenire per proteggere i diritti e le libertà degli interessati, di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi.

Ritenendo nel caso sussistente una circostanza eccezionale il Garante ha bruciato le tappe dell’istruttoria già avviata ordinando a TikTok di cessare immediatamente il trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico. TikTok vieterebbe l’uso ai minori di 13 anni, nelle proprie policy, che però molti suoi utenti ignorano o aggirano.

Il sottotesto è chiaro: le misure messe oggi a disposizione dal social network non sono in grado di accertare con sicurezza l’età degli iscritti, quindi, siccome non si può essere sicuri che ciascuno degli account presenti sul social appartenga davvero ad un maggiorenne, nessun dato relativo agli iscritti, da oggi e finché non verranno implementate misure ad hoc, potrà essere utilizzato dal social network.

TikTok, troppi dubbi privacy: ecco perché il Garante vuole vederci chiaro

Il fondamento giuridico del provvedimento, nel Gdpr

La misura è adottata ai sensi dell’art. 58 par. 2 lettera f) del GDPR, che consente alle Autorità garanti di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” e si protrarrà fino al prossimo 15 febbraio, anche se è evidente che TikTok faticherà ad implementare simili innovazioni entro tale ristretto termine e pertanto, verosimilmente, la questione non si chiuderà in termini così rapidi.

La normativa GDPR inoltre parte dal presupposto che sia possibile chiaramente identificare il soggetto che si ha davanti per definire se si tratta di un minore, garantendogli quella specifica protezione di cui parla il Considerando 38 del Reg. UE 679/2016.

Il Garante afferma apertamente che il proprio “cambio di prospettiva” sulla questione, discende dal fatto che “recenti articoli di stampa hanno riportato la notizia del decesso di una bambina di 10 anni a seguito di pratiche emulative messe in atto in relazione alla sua partecipazione alla predetta piattaforma e che l’iscrizione alla stessa non risulta essere stata sin qui smentita dalla Società”.

Guido Scorza su Agendadigitale.eu chiarisce ulteriormente il fondamento giuridico del provvedimento, parlando di consenso e contratto nulli.

Se TikTok infatti non sa chi è il soggetto che ha davanti, non può sapere quando applicare queste misure di protezione ulteriori e soprattutto non può sapere quando è necessario il consenso ai sensi dell’art. 8 GDPR (consenso che per i servizi della società dell’informazione è previsto per tutti gli utenti infrasedicenni, mentre la normativa italiana abbassa questa soglia a quattordici anni) e che, se manca, rende ex se illecito il trattamento dei dati.

Mentre quindi un contratto stipulato da un minore nella generalità dei casi non è nullo ma semplicemente annullabile entro cinque anni, secondo alcuni la normativa GDPR e il D.Lgs. 101/18 potrebbero arrivare ad incidere sulla validità del contratto con i servizi della società dell’informazione, rendendo illegittimo non solo il trattamento dati che ne consegue, ma anche il rapporto giuridico fra le parti in sé.

TikTok e minori, Scorza (Garante Privacy): “La base giuridica del provvedimento e le conseguenze”

Perché questo provvedimento eccezionale

Il triste caso della bambina di Palermo è quindi l’innesco che ha portato ad agire il Garante, stravolgendo gli stessi piani dell’Autorità, che aveva da poco concesso ai legali del social network una proroga per poter rispondere all’avvio dell’istruttoria del 15 dicembre scorso (ne avevamo parlato qui).

Il termine entro cui TikTok ha diritto di rispondere alle critiche del Garante (in parte, nei fatti, vi ha provveduto lo scorso 13 gennaio, ne avevamo parlato qui) deve ancora scadere ed è fissato al 29 gennaio, ma è evidente che ora il piano della contesa si allargherà alla legittimità del provvedimento inibitorio.

Nel proprio provvedimento il Garante si trova quindi da un lato a rimproverare a TikTok di non aver prodotto memorie difensive, affermando di dover prendere misure eccezionali fino a che ciò non avverrà per verificare nel contraddittorio fra le parti se il social network tratti o meno legittimamente i dati degli utenti (specie se minorenni), ma dall’altro lato si trova a dover ammettere che i termini per presentare tali memorie non erano scaduti e che quindi a TikTok non si può certo imputare un ritardo nella risposta.

In un’altra situazione il Garante avrebbe verosimilmente atteso la difesa dell’interessato prima di emettere un provvedimento così dirompente, nel caso però è evidente che l’Autorità ha raccolto sufficiente materiale per documentare l’inadempimento del social network, e non teme quindi che la produzione delle memorie di TikTok possa avere portata tale da delegittimare il provvedimento appena assunto.

Nel frattempo l’Autorità di controllo Irlandese, tradizionalmente sensibile alla posizione delle piattaforme tech straniere (o almeno questo vale per le piattaforme statunitensi, resta da vedere se la DPC di Dublino si dimostrerà altrettanto sensibile alla posizione di un social cinese) ha comunicato che TikTok Ireland può essere considerato stabilimento principale del social network in Europa, con la conseguenza che l’Autorità irlandese farà da autorità capofila dell’indagine avviata dal Garante italiano (e coordinerà eventuali ulteriori iniziative attivate dai singoli garanti nazionali).

Perché è anche un provvedimento preoccupante

L’intervento del Garante italiano da un lato è senz’altro meritevole, ma dall’altro preoccupante.

In primo luogo dimostra tutta la “sensibilità” dell’Autorità alle notizie di stampa, senza che questa si soffermi su una preventiva verifica nel contraddittorio fra le parti, in secondo luogo dimostra la facilità di un intervento del Garante con a fronte un contraddittore “forte” e centralizzato, ma il problema di questo attacco a TikTok è che rischia di dirottare i minori su altri social meno “controllabili” e rischia così di far perdere al Garante un interlocutore in certa misura sensibile (pur se solo per propria convenienza) alle tematiche della protezione dei dati dei minori.

Verifica dell’identità sui social, come YouTube?

Nel frattempo, gli altri social network non possono dormire sonni tranquilli, sono pochi infatti quelli che hanno implementato delle serie misure per la verifica dell’età degli iscritti, di solito basta un’email e una autodichiarazione sull’età per superare i “controlli” di molti social network ed accedere a contenuti destinati ad un’utenza matura.

Fra i social “virtuosi” potremmo annoverare YouTube, che consente agli iscritti di vedere contenuti destinati ad un pubblico adulto solo a chi si identifica con un documento di identità o tramite un test di transazione bancaria su carta, ma d’altro canto è anche vero che la generalità dei contenuti di YouTube non “riservati” agli adulti, è visibile previa semplice iscrizione con email e senza alcun controllo e che tra questi contenuti, sebbene “appropriati per gli spettatori di età inferiore a 18 anni”, si nascondono numerosi video poco edificanti.

  • La verifica con documento di identità, che può richiedere fino a tre giorni di tempo, non è certo la preferita dagli utenti di YouTube, eppure forse è l’unica strada realmente praticabile per TikTok, che vorrà evidentemente mantenere la propria sostanziosa fetta di utenti compresa fra i 13 e i 18 anni (che difficilmente può essere identificata con una transazione bancaria).
  • L’alternativa può essere una identificazione “algoritmica”, con qualche approssimazione – come già avviene per la profilazione degli utenti, anche a scopo pubblicitario, come suggerito dallo stesso Guido Scorza, relatore del provvedimento. Ma per farlo in fase di registrazione bisognerebbe imporre all’utente di rispondere ad alcune domande preliminari utili a profilare l’età in senso statistico. Non è facile come dimostra il tentativo fallito della legge inglese del 2019 per impedire la visione del porno ai minorenni; via che per altro anche l’Italia sta provando con una legge.
  • Altri (Stefano Quintarelli) suggeriscono una verifica indiretta via Spid o carta di credito

TikTok, così accerta l’età ed esclude i bambini: gli strumenti utilizzabili

Che succede ora?

L’iniziativa del Garante italiano, che in effetti mette a nudo un nervo scoperto del funzionamento delle piattaforme social, che hanno sempre faticato a gestire la verifica dell’età degli utenti per evitare di appesantire l’esperienza sul loro applicativo e di creare barriere all’ingresso, potrebbe avere un effetto a cascata di portata europea e forse globale e ridisegnare il modo stesso a cui pensiamo l’accesso ad un social network.

Alla luce del fondamento giuridico di questo provvedimento nel Gdpr, la strada per il social network dedicato ai giovanissimi sembra quindi davvero in salita, resta poi da vedere se TikTok deciderà di adempiere spontaneamente al diktat del Garante o se farà resistenza anche da questo punto di vista per evitare una sanzione eccezionale.

  • Se smette di trattare i dati di tutti gli utenti, la sua operatività è molto limitata. TikTok potrebbe fare così per evitare super sanzione ed escalation il problema, finché non adempierà all’accertamento dell’età.
  • Perlomeno potrebbe, da subito, scegliere di opporsi legalmente al provvedimento, facendo ricorso al tribunale ordinario (con tempi però incompatibili con la scadenza del 15 febbraio) oppure presentare al Garante la soluzione che intende adottare.
  •  Il Garante privacy italiano potrebbe valutare di contro una sanzione, ma solo in sede europea e con il Garante irlandese. I tempi non sarebbero brevi.
  • Un vero e proprio blocco del servizio (blocco IP tramite provider, rimozione da store Apple, Google…) è al momento fuori dalle ipotesi, ma allo stesso Garante non è chiaro se è un’arma nelle disponibilità delle autorità privacy europee (analogamente agli oscuramenti di siti ordinati da giudici o da Agcom). 

In conclusione

Insomma, non è facile prevedere che succederà. Ma è certo che il Garante agirà similarmente anche contro altri social, perché il mancato accertamento dell’età è problema comune. Certo anche che l’intervento, per completarsi, non potrà che coinvolgere anche l’Europa.

Siamo davanti a un evento eccezionale. Va letto come il primo passo per un cambiamento. Forse, quindi, l’iniziativa del Garante italiano, nel bene e nel male, potrebbe segnare l’inizio della fine dei social come li conosciamo, verso un’era di maggiore tutela dei diritti di tutti; minori in primis.

Senza dimenticare però, infine, che la tutela non la può dare solo il legislatore o il Garante (anche in collaborazione con l’Europa); ma deve partire da una maggiore consapevolezza in famiglia e scuola.

TikTok, non vietiamo ma educhiamo: il vero problema è l’assenza degli adulti

La risposta di TikTok

Il 27 gennaio TikTok ha fornito al Garante “delle linee di azione in risposta alle preoccupazioni sollevate, che prendiamo con la massima serietà”. Al momento non secretate.

Un portavoce di TikTok aveva dichiarato il 22 gennaio notte: Abbiamo ricevuto e stiamo analizzando l’informativa del Garante. La privacy e la sicurezza sono una priorità assoluta per TikTok e lavoriamo costantemente per rafforzare le nostre policy, i nostri processi e le nostre tecnologie per proteggere tutta la nostra community e i nostri utenti più giovani in particolare”.

Il giorno prima aveva detto in merito alla morte della bambina: “Siamo davanti ad un evento tragico e rivolgiamo le nostre più sincere condoglianze e pensieri di vicinanza alla famiglia e agli amici di questa bambina. La sicurezza della community TikTok è la nostra priorità assoluta, per questo motivo non consentiamo alcun contenuto che incoraggi, promuova o esalti comportamenti che possano risultare dannosi. Utilizziamo diversi strumenti per identificare e rimuovere ogni contenuto che possa violare le nostre policy. Nonostante il nostro dipartimento dedicato alla sicurezza non abbia riscontrato alcuna evidenza di contenuti che possano aver incoraggiato un simile accadimento, continuiamo a monitorare attentamente la piattaforma come parte del nostro continuo impegno per mantenere la nostra community al sicuro. Siamo a disposizione delle autorità competenti per collaborare alle loro indagini.”

Box modificato il 27 gennaio

L’indagine del Garante si allarga a Facebook/Instagram

Come previsto, il Garante Privacy ha comunicato che di aver chiesto a Facebook, che controlla anche Instagram, di “fornire una serie di informazioni, a partire da quanti e quali profili avesse la minore e, qualora questa circostanza venisse confermata, su come sia stato possibile, per una minore di 10 anni, iscriversi alle due piattaforme”.

“Ma ha chiesto soprattutto di fornire precise indicazioni sulle modalità di iscrizione ai due social e sulle verifiche dell’età dell’utente adottate per controllare il rispetto dell’età minima di iscrizione”.

Questo perché “nei giorni scorsi alcuni articoli di stampa hanno riportato la notizia che la minore avrebbe diversi profili aperti sui due social network”.

Facebook dovrà dare riscontro al Garante entro 15 giorni.

“La verifica dell’Autorità sarà estesa anche agli altri social, in particolare riguardo alle modalità di accesso alle piattaforme da parte dei minori”.

Box aggiunto il 27 gennaio

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Ricetta bianca solo digitale: la novità che discrimina i deboli