TikTok si appresta a un positivo cambio di passo nella gestione dei dati dei propri utenti (spesso minorenni): in vista dell’entrata in vigore del Digital services act si prepara a trasferire i dati degli utenti europei, svizzeri e britannici – ora raccolti negli USA e a Singapore – nel datacenter di Dublino, che sarà attivo a partire dal 2023.
A partire dal 2 novembre 2022, quindi, il social di proprietà cinese ha iniziato a comunicare il cambio di policy nella data retention degli utenti coinvolti. Ma c’è chi nutre seri dubbi sul fatto che alle parole seguiranno fatti concreti.
La nuova privacy di TikTok: gli spunti interessanti
Al di là delle belle parole (“per gestire una piattaforma globale ideata per condividere contenuti che portino allegria, ci avvaliamo di collaboratori in tutto il mondo per assicurare che l’esperienza della nostra community su TikTok sia coerente, piacevole e sicura”), la nuova privacy policy offre informazioni interessanti agli addetti ai lavori.
In particolare, si può leggere che “I dati degli utenti europei sono attualmente conservati negli Stati Uniti e a Singapore. Sulla base di effettive necessità per lo svolgimento del proprio lavoro, nel rispetto di una serie di solidi controlli di sicurezza e protocolli di approvazione, e attraverso metodi riconosciuti dal GDPR, consentiamo l’accesso remoto ai dati degli utenti TikTok ad alcuni addetti che fanno parte della nostra azienda che si trovano in Brasile, Canada, Cina, Israele, Giappone, Malesia, Filippine, Singapore, Sud Corea e negli Stati Uniti. I nostri controlli di sicurezza prevedono controlli di accesso al sistema, crittografia e sicurezza della rete”.
In estrema sintesi: i dati sono conservati su server considerati sicuri o, comunque, con standard di sicurezza che il social afferma essere GDPR compliant.
Le procedure di sicurezza prevedono crittografia e strumenti di difesa in termini di cybersecurity e i dati possono essere visti solo da pochi addetti “selezionati”, ancorché dislocati, praticamente, in ogni parte del mondo.
Minimizzazione e accountability
Passo importante dell’aggiornamento riguarda la minimizzazione del flusso dei dati e delle persone che possono accedervi.
Nell’aggiornamento si legge, infatti, che “i nostri sforzi si concentrano sulla limitazione del numero di dipendenti che hanno accesso ai dati degli utenti europei, sulla riduzione al minimo dei flussi di dati al di fuori dell’Europa e sulla conservazione dei dati degli utenti europei a livello locale”.
Minimizzazione e accountability sono le basi concettuali su cui è fondato il GDPR: la presa di posizione di TikTok, a mezzo della propria Head of Privacy Europe, Elaine Fox, sembra poggiarsi sui pilastri corretti.
Ovviamente, questo è quello che è scritto: poi le policies devono essere verificate nella loro applicazione concreta.
Con lo smartphone e sui social già alle medie: come guidare i ragazzi a un uso consapevole
Conclusioni
Emanuele Capone, su Italian.Tech, è piuttosto scettico sull’effettività delle misure sbandierate nella nuova privacy policy di TikTok.
Se è vero che il social cinese ha, fino ad ora, stupito in negativo, non si può solo per questo escludere che voglia mettersi in regola con le normative europee per mantenere il mercato del Vecchio Continente.
Va anche ricordato che le misure indicate nella nuova policy e la tempistica per l’introduzione dei server in Irlanda è del tutto congrua con le richieste dell’Unione europea sul punto.
Non solo: se la compliance prevista dal GDPR è stringente, quella introdotta con il DSA (Digital Service Act) lo è ancora di più.
Il nuovo regolamento ha sezioni dedicate alle piattaforme di grandi dimensioni: queste ultime sono individuate come i soggetti che operano online ed hanno almeno 45 milioni di utenti.
TikTok si vanta di averne oltre un miliardo in tutto il mondo: l’adeguamento ai nuovi standard è, quindi imprescindibile per poter rimanere attivi nel mercato europeo.
Dato che il DSA è in vigore ma non è ancora efficace, i soggetti interessati hanno del tempo per adeguarsi sul piano dell’infrastruttura e delle politiche interne, analogamente a quanto è avvenuto con il GDPR.
Posto che a vigilare sull’applicazione del DSA saranno sempre le autorità indipendenti dei vari Stati membri dell’Unione, TikTok dovrà, giocoforza, relazionarsi ancora con i Garanti per il trattamento dei dati.
Vista l’entità delle sanzioni applicabile, la compliance diventa l’unica scelta economicamente vantaggiosa per i colossi tech.
La nuova privacy policy di TikTok, quindi, va collocata e valutata esattamente per quello che è: un passaggio necessitato verso la compliance prevista dal DSA.
