privacy

TikTok e la difficile tutela dei minori online: le norme da conoscere, le accortezze da usare

È possibile conciliare l’era del web e dei social network con la tutela della privacy dei minori? Per le aziende è davvero così complicato alle norme in vigore e attuare controlli sull’età minima? E cosa cambierà col Digital services Act? Partiamo dall’ultimo intervento dell’Authority britannica contro TikTok

Pubblicato il 17 Nov 2022

Valeria Specchio

Junior Associate - Rödl & Partner

tiktok challenge

TikTok è nuovamente nel mirino delle autorità europee per la privacy: dopo quella italiana e quella irlandese, è ora la volta del Garante britannico.

Il focus degli interventi delle Autorità è la tutela della privacy dei minori, spesso e volentieri ignorata dal social network, popolarissimo soprattutto, appunto, fra i ragazzi.

Facciamo una breve ricognizione degli interventi delle tre Authority, di quale sia la disciplina in materia di dati personali dei minori e cosa occorra evitare o fare nel momento in cui l’offerta dei propri servizi preveda un pubblico meno maturo della maggiore età.

Privacy, TikTok si adegua alle nuove norme Ue: ecco cosa cambia

TikTok nel mirino: gli interventi delle Autorità

Ricordiamo infatti il caso della cosiddetta “Blackout Challenge” degli ultimi mesi del 2020, in cui molti adolescenti (e anche più piccoli) si sfidavano in prove life-challenging su TikTok. Fu, infatti, nel gennaio del 2021 che il Garante Italiano[1] si misurava (e non per la prima volta) con gli inadempimenti sulla protezione dei dati personali dei minori adottate dall’azienda. All’epoca, infatti, l’Autorità aveva rilevato i seguenti inadempimenti:

  • Inadeguata tutela dei minori al momento della registrazione
  • Mancanza di trasparenza nell’informativa sulla privacy
  • Profilo pubblico come impostazione predefinita

Ciò comportò un blocco dei trattamenti da parte di TikTok e in attesa della pronuncia dell’autorità capofila, ossia quella Irlandese.

Cosa è accaduto in seguito? L’autorità irlandese si è attivata nel settembre 2021 e a settembre del 2022 ha redatto una proposta di decisione ai sensi dell’art. 60 del GDPR nei confronti di TikTok Technology Limited[2].

Intanto, l’Information Commissioner’s Office- ICO, dall’oltremanica, alla fine del settembre 2022 ha rilasciato un comunicato stampa in cui annunciava la possibilità di irrogare una sanzione multimilionaria a TikTok, adducendo le stesse motivazioni delle cugine europee e aggiungendo come punto di controllo anche il trattamento di dati particolari di minori[3].

Cyber security experts warn parents of TikTok’s 'unsafe privacy policy' | 9 News Australia

Cyber security experts warn parents of TikTok’s 'unsafe privacy policy' | 9 News Australia

Guarda questo video su YouTube

La normativa europea ed italiana in materia di protezione dei dati personali dei minori

Occorre innanzitutto conoscere cosa la normativa applicabile prevede a tutela della privacy dei minori e quali adempimenti.

Il GDPR

In primo luogo, occorre identificare i minori secondo la legge in materia di protezione dei dati personali. Infatti, il Regolamento Europeo sulla Protezione dei Dati Personali- GDPR, all’art. 8 individua la soglia dei 16 anni.

Tuttavia, gli Stati Membri possono individuare una soglia inferiore, purché non al di sotto dei 13 anni[4]. L’Italia, ad esempio, ha eletto come età minima per operare nella società dell’informazione quella dei 14 anni.

Infatti, l’art. 2-quinquies del novellato Codice Privacy, prevede che chi abbia compiuto i 14 anni possa prestare il proprio consenso alle attività di trattamento legate a servizi tecnologici e che servizi che, al contrario, chi rivolga servizi a soggetti infraquattordicenni, debba ottenere il consenso dall’esercente la responsabilità genitoriale del minore[5].

La normativa esaminata inquadra quindi i 14 anni per l’Italia e il conferimento del consenso come discrimine della capacità d’agire nella società dell’informazione.

Partendo dai motivi del caso TikTok, dunque possiamo enucleare le seguenti azioni richieste a chi rivolga i propri servizi online ai minori di 14 anni:

  • Verifica dell’età: l’età dei minori deve essere verificata. Se viene erogato un servizio rivolto a chi abbia compiuto la maggiore età o comporti trattamenti fondati sull’ottenimento del consenso dell’interessato, occorre che il Titolare del trattamento svolga appositi controlli sul requisito dell’età minima, in particolare al momento della registrazione dell’utente.
  • Inserimento di una privacy policy chiara e semplice: L’art. 2-quinquies, comma 2, del Codice Privacy prevede inoltre che il Titolare del trattamento rediga informazioni e comunicazioni relative al trattamento dei dati personali dei minori in un linguaggio particolarmente chiaro e semplice, conciso ed esauriente, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato dal minore[6].
  • Divieto di profilazione: l’art. 22, par. 2 del Regolamento disciplina i casi in cui sono ammesse decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione. Il considerando n. 71 del Regolamento, tuttavia, precisa che tali trattamenti non sono ammessi con riferimento ai minori.

Ricordiamo anche un caso, risalente ma che ha ormai fatto scuola[7], di una catena di prodotti parafarmaceutici inglese, la quale aveva inviato materiale pubblicitario basato sulle abitudini di acquisto di una minorenne nel corso dei mesi precedenti. L’azienda in questione, infatti, oltre ad aver omesso i controlli sull’età minima della giovane – che, per altro, utilizzava una sua tessera fedeltà- inviò brochure su prodotti premaman all’indirizzo indicato dalla ragazza come residenza. Epilogo fu che la famiglia della giovane scoprì in questo modo il suo stato di gravidanza.

Le Linee Guida dell’ex Working Party 29

Tuttavia, una leggera apertura viene dalle Linee Guida dell’ex Working Party 29[8], secondo cui le decisioni basate unicamente sul trattamento automatizzato in relazione ai minori potrebbero essere effettuate nella misura in cui non abbiano un effetto giuridico o analogo sulla sfera del minore. Ciò in ottica di tutela della categoria considerata come vulnerabile cui appartiene tale fascia di interessati.

  • Trattamento di dati particolari dei minori: la previsione del trattamento di categorie particolari di dati di cui all’art. 9, par. 2 del GDPR, secondo cui suddette operazioni debbano avvenire in specifici casi, tra cui sulla base del consenso dell’interessato[9], vale anche per il caso dei minori. Ciò, pertanto (ma anche tuttavia) comporta che per ottenere il consenso di un minore di anni quattordici, occorra quello dell’esercente della di lui potestà genitoriale.

Quali sono le possibili accortezze da adottare

In relazione ai punti visti finora, pertanto, possiamo provare ad identificare possibili azioni che coordinino le esigenze di business con i requisiti normativi.

  • Verifica dell’età minima: Se, nell’ambito dei servizi proposti, vengano effettuate attività di trattamento che implichino la richiesta di consenso ai minori (ad esempio, l’iscrizione ad un sito web con richiesta di consenso per le attività di comunicazione commerciale o invio di newsletter), occorre accertarsi che l’età dichiarata dall’utente sia effettiva. Ad esempio, molti siti richiedono di indicare una data di nascita al momento dell’iscrizione, soprattutto se rivolgono i propri servizi o contenuti ad un pubblico di maggiore età. Ciò comporta che se nell’ottobre 2022 si dovesse iscrivere un utente che indichi come data di nascita dicembre 2009, dovrebbe esserne impedita l’iscrizione o, almeno, al momento della richiesta del consenso, dovrebbe essere assicurato, ad esempio mediante apposito pop-up, che l’esercente la responsabilità genitoriale possa “flaggare” in vece del proprio figlio la casella, possibilmente previa ulteriore verifica dell’età e inserimento di un disclaimer di riconoscimento della veridicità di quanto dichiarato.
  • Inserimento di una privacy policy chiara e semplice: come redigere, di fatto, un documento semplice, ma allo stesso tempo esaustivo? Sono numerosi gli esempi di legal design applicati alla data protection, non solo rivolti ad un pubblico strettamente giovanile, ma anche all’attenzione sempre meno ben disposta di fasce d’età più adulte. Numerose aziende hanno applicato, anche con il supporto di professionisti, strumenti grafici ma efficaci per rendere più gradevoli agli occhi degli utenti documenti che, diversamente – e a maggior ragione se inerenti a molteplici attività di trattamento- rischierebbero di venire dichiarati per letti senza una reale cognizione a livello contenutistico.
  • Divieto di profilazione: se si vuole incentrare l’analisi delle abitudini e comportamenti del minore senza di fatto rendere attività che, sulla base di tali analisi, non influenzino le loro scelte e comportamenti, il titolare del trattamento potrebbe valutare l’applicabilità della richiesta di un consenso (o meglio, di chi eserciti la responsabilità genitoriale)[10], oppure verificare la sussistenza del requisito della necessarietà del trattamento per la conclusione di un contratto con l’interessato[11] (sempre ricorrendone le condizioni legali), oppure valutare se vi sia autorizzazione da parte del diritto nazionale o europeo per effettuare tali trattamenti[12].
  • Trattamento di dati particolari: tale attività dovrebbe avvenire solamente in presenza di basi giuridiche legittime e per finalità proporzionate alle attività di raccolta e trattamento dei dati dei minori. Nel caso in cui ricorrano i presupposti dell’utilizzo del consenso come base giuridica adeguata, occorrerà assicurarsi di ottenerlo dall’esercente la responsabilità genitoriale del minore, come illustrato al primo punto.

Cosa può cambiare col Digital Service Act

Il Consiglio dell’Unione Europea ha approvato il testo finale del Digital Service Act-DSA (sottoposto a revisione[13]), teso a fornire nuovi obblighi per le piattaforme online, in previsione della cui entrata in vigore, TikTok si appresta a trasferire i dati degli utenti europei, svizzeri e britannici – ora raccolti negli USA e a Singapore – nel datacenter di Dublino, che sarà attivo a partire dal 2023.

Il testo in questione prevede una distinzione in piattaforme distinte in “piattaforme online”, “piattaforme online molto ampie” e in “motori di ricerca molto ampi”. In particolare, tra i vari adempimenti, gli operatori online dovranno tener conto anche di quelli relativi alla protezione dei minori.

Tra le altre, sono previste regole stringenti in materia di profilazione dei minorenni: l’art. 28 del testo del corrigendum[14] prevede un divieto per le suddette piattaforme di pubblicare annunci pubblicitari personalizzati nel corso della navigazione dei minori.

Il requisito in discussione sembra ribadire quanto previsto e interpretato dal combinato disposto del GDPR e del Codice Privacy in tema di profilazione dei minori. Ma, allo stesso tempo, aggiunge qualcosa di più mirato: la personalizzazione degli annunci nel corso della navigazione online dei minori.

Ciò porta a intuire previsioni anche in tema di cookie e, di conseguenza, controlli sui consensi forniti, ma, ancor di più, sull’età minima richiesta per accettare o meno tali strumenti. Dopotutto, quello tramite cookies è pur sempre un trattamento di dati personali. Potrebbe questa previsione, pertanto, aprire una nuova porta nel limbo del mondo dei cookies. Vorrà ciò significare che, prima ancora dell’accettazione o rifiuto dei cookie, i proprietari dei siti web dovranno assicurarsi che i propri visitatori abbiano l’età minima richiesta per poter esprimere le proprie preferenze? Oppure basterà un controllo ex post e prima di rendere effettive le personalizzazioni degli annunci?

La notizia positiva è che il medesimo articolo del DSA prevede che la Commissione Europea rilasci delle Linee Guida sulle modalità di attuazione delle suddette misure a tutela della privacy dei minori sulle piattaforme online accessibili a questa fascia di utenti.

Potrebbe essere pertanto illuminante la posizione della Commissione per far luce sull’ombra delle complicazioni dei controlli per gli operatori, big o non della società dell’informazione sull’età dei propri utenti.

Conclusioni

Tirando le somme, quel che ci indica la serie di casi contro TikTok è certamente un gap tra offerta di servizi online, in particolare se l’oggetto della materia sono i social network (da sempre destinati a fasce di pubblico più giovani e in confidenza con la tecnologia e la condivisione di contenuti), e requisiti normativi, spesso percepiti come troppo impattanti per tali operatori, spesso al punto da divenire sinonimo di “impossibilità” aprioristiche.

In realtà, ai titolari del trattamento basta attuare delle accortezze, e non per forza richiedenti particolari esborsi per la loro implementazione. Possibilmente con il supporto di professionisti e risorse dedicate, è infatti possibile disegnare soluzioni e accorgimenti che si combinino con le esigenze di tutela della privacy dei minori e con quelle di servizio/profitto.

In più, e su questo, qualora le istituzioni nei prossimi passi normativi volessero direttamente fornire linee guida per meglio agevolare i destinatari di tali atti (per il momento europei), non c’è che da attendere di conoscere il peso effettivo di tale supporto.

Note

  1. Garante Italiano per la Protezione dei Dati Personali- Provvedimento del 22 gennaio 2021 (doc. web n. 9524194)
  2. Irish DPC submits Article 60 draft decision on inquiry into TikTok | 13/09/2022 | Data Protection Commission
  3. ICO could impose multi-million pound fine on TikTok for failing to protect children’s privacy | ICO
  4. Art. 8, par. 1 Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 679/2016
  5. Art. 2-quinquies D.Lgs. n. 196/2003 così come novellato dal D.Lgs. n. 101/2018
  6. A questo proposito, il Garante Italiano, nel cit. provv. denunciava come l’informativa di TikTok fosse “standardizzata” e non tenesse in “specifica considerazione la situazione dei minori”.
  7. How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did (forbes.com)
  8. Linee Guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, adottate il 3 ottobre 2017 ed emendate il 6 febbraio 2018
  9. Art. 9, par. 2, lett.a) Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 679/2016
  10. Art. 22, par. 1 lett c) Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 679/2016
  11. Art. 22, par. 1 lett a) Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 679/2016
  12. Art. 22, par. 1 lett b) Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 679/2016
  13. CORRIGENDUM to the position of the European Parliament adopted at first reading on 5 July 2022 with a view to the adoption of Regulation (EU) 2022/… of the European Parliament and of the Council on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act), 7 settembre 2022
  14. Cfr. art 28 cit. normativa

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • Regolamento 2020/1503

    Equity crowdfunding, l'Italia si allinea alle nuove norme Ue: cosa cambia

    20 Nov 2023

    di Giancarlo Vergine

    Condividi

  • compliance

    IA e privacy: come garantire vantaggi competitivi alle aziende

    26 Gen 2024

    di Andrea Pauri

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 4