Il provvedimento con il quale il Garante per la protezione dei dati personali ha ordinato a Tik Tok il blocco dei trattamenti di dati personali degli utenti dei quali il social non è in grado di provare l’età o, almeno, il superamento dell’età alla quale è riservato il servizio, ha acceso un vivace dibattito nell’ambito del quale assieme a molti plausi per l’iniziativa sono stati sollevati dubbi e perplessità.
Proviamo a rispondere ad alcune questioni sollevate.
Indice degli argomenti
Il rapporto tra la tragedia di Palermo e il provvedimento. Si è trattato di un provvedimento emotivo più che giuridico?
La tragedia di Palermo ha rappresentato solo l’occasione che ci ha indotti a valutare l’opportunità di un intervento urgente in relazione a una questione sulla quale, già da mesi eravamo intervenuti prima sollevandola in ambito europeo e poi indirizzando a TikTok delle contestazioni, peraltro, proprio sulla questione oggetto del provvedimento cautelare: se e quanto il gestore della piattaforma si preoccupi di scongiurare il rischio che bambini ai quali la piattaforma non è, per sua stessa ammissione, adatta vi entrino semplicemente dichiarando un’età diversa. Ovviamente la nostra competenza riguarda esclusivamente i trattamenti dei dati personali sottesi all’utilizzo della piattaforma e non l’utilizzo in quanto tale.
Poi, guai a negare, che in ogni decisione, pur basata esclusivamente sull’applicazione della legge, la coscienza, l’anima e il cuore del singolo hanno un ruolo e che la volontà di scongiurare il rischio che quanto, forse, accaduto a Palermo accada ancora possa aver inciso sull’adozione del provvedimento. Mi pare naturale.
In punto di diritto e, in particolare di protezione dei dati personali, quale è il fondamento della decisione
La necessaria premessa è che si tratta di un provvedimento cautelare adottato, come è previsto che sia, sulla base di quello che si chiama fumus boni iuris: l’apparente fondatezza del diritto azionato perché, poi, magari, approfondendo la questione nel merito ci si potrebbe accorgere che non è così.
Il fondamento giuridico della decisione è, però, piuttosto lineare nelle sue linee portanti.
TikTok dichiara che tratta i dati personali di tutti i suoi utenti sulla base di un contratto al solo scopo di darvi esecuzione e quelli degli utenti che le prestano il consenso, per finalità commerciali ulteriori.
La stessa società identifica il proprio servizio come riservato agli ultratredicenni e su questa base propone ai soli utenti che abbiano tredici anni di accettare la sua proposta.
Se un infratredicenne aderisce a una proposta riservata a un ultratredicenne non si perfeziona nessun valido contratto e, quindi, il conseguente trattamento di dati personali si ritrova privo di ogni base giuridica (art. 8, par. 3 GDPR).
E lo stesso accade quando un infraquattordicenne, perché questo è il limite di età oggi previsto dalla disciplina italiana in materia di privacy, presta un consenso al trattamento dei suoi dati anche per finalità commerciali (art. 8, par. 1 e 2 GDPR e art. 2 quinquies).
Il consenso raccolto da Tik Tok non è un consenso valido.
A nulla rileva, in un caso e nell’altro, che l’utente abbia dichiarato un’età diversa ovvero quella giusta per accettare la proposta di Tik Tok e aderire al contratto.
Violazione del Gdpr
Il GDPR impone al titolare del trattamento di disegnare, progettare e gestire i propri processi in modo che i trattamenti di dati personali siano leciti e, soprattutto, di essere in grado di provarne sempre la liceità (art. 25 GDPR).
In assenza di adeguati controlli sull’età di chi accetta la propria proposta contrattuale e di chi presta il consenso a ulteriori trattamenti per scopi commerciali sembra lecito dubitare che Tik Tok stia rispettando le regole della disciplina europea in materia di privacy.
E se così fosse Tik Tok, come appunto le è stato ordinato, dovrebbe sospendere ogni trattamento di dati personali basato sul contratto e, a maggior ragione, ogni trattamento di dati personali basato sul consenso perché in questo secondo caso è davvero fuori discussione che il titolare del trattamento che non prova di aver raccolto il consenso da un ultraquattordicenne, non può trattare i dati dell’interessato.
Aggiungo che, probabilmente, alla stessa conclusione si arriva anche semplicemente tenendo conto che Tik Tok non propone ai suoi utenti come espressamente richiesto dal GDPR una informativa sulla privacy scritta a misura di bambino e/o adolescente con la conseguenza che tanto i trattamenti di dati personali basati sul contratto, tanto quelli basati sul consenso sembrano illeciti perché basati su manifestazioni di volontà meno consapevoli di quanto stabilito dalla legge. (art. 12 GDPR)
Altri social
Alcuni ci chiedono: ma il problema non riguarda anche altri social? In realtà il provvedimento, come è naturale che sia, a un destinatario specifico ma questo non significa che, in futuro, analoghe contestazioni, al ricorrere di fattispecie analoghe, non possano essere indirizzate anche ad altri titolari del trattamento. Anzi è probabile che questo possa o debba avvenire.
Intervento d’urgenza
Al tempo stesso vale la pena di ricordare che il GDPR stabilisce una regola generale secondo la quale l’enforcement delle sue regole, di norma, compete all’Autorità di protezione dei dati personali nazionale nel cui Paese europeo il titolare del trattamento ha il suo stabilimento principale.
L’eccezione a questa regola è il potere delle singole Autorità di intervenire in via d’urgenza in casi ad alta connotazione nazionale.
Nel caso di Tik Tok si è ritenuto ricorressero i presupposti eccezionali di cui all’articolo 66 del GDPR. Ovviamente l’eccezione non può diventare regola senza mettere in crisi l’intero impianto della disciplina europea che esige coordinamento tra le diverse Autorità nazionali di protezione dei dati personali.
Come si può acquisire certezza dell’età minima necessaria per accedere alla piattaforma e/o i 14 anni per prestare un consenso valido a fini privacy
Per quanto riguarda poi l’adeguamento dei social, innanzitutto, è bene chiarire che stiamo parlando di verificare l’età e non di verificare l’identità.
Le due cose, specie nella dimensione digitale, non sono necessariamente collegate e la seconda non sembra la strada giusta da percorrere perché, almeno a percorrerla con poca perizia, si correrebbe il rischio di consegnare ai gestori delle piattaforme ancora più dati e dati ancora più preziosi rispetto a quelli che già anno.
L’identificazione della soluzione tecnologica appartiene naturalmente al titolare del trattamento.
Chi, però, investe così tanto in ricerca e sviluppo proprio in soluzioni algoritmiche e basate sui big data per la profilazione degli utenti per scopi commerciali, probabilmente, potrebbe fare altrettanto per piegare le stesse soluzioni a distinguere un bambino di dieci anni da uno di tredici o di quattordici.
Magari dai contenuti che guardano, dal modo in cui usano il dispositivo, dalla maniera con la quale interagiscono con l’interfaccia.
Queste soluzioni non consentiranno di pervenire a risultati infallibili ma, in una logica di accountability – quella alla base del GDPR – una cosa è fare il massimo per evitare di raccogliere un consenso da parte di un utente che non ha l’età per prestarlo o iniziare un trattamento sulla base di un contratto con un utente che non ha l’età per perfezionarlo e una cosa è limitarsi a chiedere a un ragazzino che sebbene non possa vuole usare un servizio di dichiarare la sua età.
Non credo che la targettizzazione commerciale si basi esclusivamente sulle dichiarazioni degli utenti. E’ ampiamente basata sul modo in cui interagiamo con contenuti, interfacce e dispositivi.
Perché non fare altrettanto a tutela dei bambini?
E se TikTok non ottemperasse al provvedimento di blocco dei trattamenti e continuasse a trattare i dati personali di tutti i suoi utenti?
Infine, il GDPR prevede, per l’ipotesi di inottemperanza agli ordini di un’Autorità una sanzione fino al 4% del fatturato globale annuo del titolare del trattamento (mentre è esclusa la possibilità di un blocco del social). La possibile conseguenza sarebbe, dunque, questa. Si tratterebbe, peraltro, di una decisione da discutere in ambito europeo e, in particolare, con la nostra omologa irlandese che è l’Autorità di riferimento per Tik Tok essendo quella del Paese nel quale la società ha dichiarato di avere il suo stabilimento principale. Siamo però in una dimensione di prima applicazione di una norma relativamente giovane e non abbiamo certezze assolute.