Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Approfondimenti

Tik Tok: la raccolta di dati automatici dal dispositivo viola la privacy

Avv. Muia’ Pier Paolo 07/09/22
Scarica PDF Stampa
Il Garante privacy avverte Tik Tok che la raccolta di dati automatici dal dispositivo degli utenti viola la privacy se non sussiste il consenso degli interessati.

     Indice

  1. I fatti
  2. La valutazione del Garante
  3. La decisione del Garante

>>> Ordinanza ingiunzione n. 248 del 7 luglio 2022<<<

1. I fatti

Nel giugno del 2022, il noto social network Tik Tok aveva comunicato ai propri utenti che dal successivo 13 luglio avrebbe iniziato a inviare agli utenti con età superiore ai 18 anni una pubblicità personalizzata in base alla attività che gli stessi svolgevano sulla piattaforma e aveva altresì modificato la propria policy in materia di privacy, precisando che la base giuridica di tali trattamenti dati si sarebbe fondata sul legittimo interesse anziché sul consenso degli interessati.

In considerazione di ciò, il Garante per la protezione dei dati personali aveva immediatamente richiesto a Tik Tok di avere informazioni sulla base giuridica che legittimasse la annunciata attività di profilazione degli utenti e le valutazioni che la piattaforma aveva compiuto per individuare tale base giuridica nel legittimo interesse, nonché di avere una copia della valutazione di impatto preliminare (qualora fosse stata eseguita).

Il social network rispondeva alla richiesta del Garante sostenendo di trattare due diverse categorie di dati degli utenti, quelli ricavabili dalla loro attività su Tik Tok e quelli ricavabili da attività effettuate dagli utenti al di fuori della piattaforma (attraverso informazioni ricevute da partner esterni). Il social network precisava, poi, che tali trattamenti erano stati svolti fino ad oggi in virtù del consenso degli interessati, quale base giuridica del trattamento, e che a partire dal 13 luglio 2022 gli stessi trattamenti per mostrare annunci personalizzati basati sui dati tratti dalla sola attività svolta su Tik Tok dagli utenti maggiorenni avrebbero trovato la loro base giuridica nei legittimi interessi perseguiti da Tik Tok, dai suoi partner pubblicitari e degli stessi utenti della piattaforma (mentre per i dati raccolti in base alle attività effettuate dagli utenti fuori dalla piattaforma, i trattamenti continuerebbero a basarsi sul consenso degli utenti medesimi).

In secondo luogo, il social network comunicava al Garante di aver effettuato una valutazione di impatto preliminare, per verificare se detti legittimi interessi perseguiti da Tik Tok, dai suoi partner e dagli utenti fossero prevalenti sui diritti e le libertà fondamentali degli interessati, e di aver concluso che sussiste un bilanciamento fra i due suddetti interessi in quanto: (i) il trattamento è spiegato agli utenti; (ii) è improbabile che il trattamento abbia un impatto negativo sugli utenti o causi loro un danno; (iii) gli utenti di età inferiore a 18 anni sono esclusi dal trattamento; (iv) Tik Tok facilità l’esercizio degli interessati attraverso diverse funzioni e impostazioni della piattaforma.

Infine, il social network, con riferimento alla richiesta dal Garante di dare conto delle misure adottate dalla stessa Tik Tok per verificare l’età dei propri utenti, faceva presente di aver adottato processi e procedure tecniche e umane per verificare l’età e di avere in corso una collaborazione con esperti del settore e con l’autorità di controllo irlandese per identificare e sviluppare nuovi sistemi per migliorare le misure di verifica dell’età degli utenti.

Potrebbero interessarti anche: 

2. La valutazione del Garante

Dopo aver valutato le argomentazioni rese dal social network, il Garante privacy, in primo luogo, ha ritenuto che non sono state rappresentate in maniera sufficiente le modalità con cui Tik Tok ha intenzione di svolgere le attività di pubblicizzata personalizzata basata sulla raccolta dei dati risultanti dalle attività compiute dagli utenti all’interno della piattaforma stessa, né quale sia il fondamento giuridico che legittimi detto trattamento dati.

In particolare, secondo il Garante, Tok Tok:

  • non ha chiarito quale sia il legittimo interesse che, attraverso la pubblicità personalizzata, sarebbe perseguito dallo stesso social network e dai suoi partner commerciali terzi nonché il legittimo interesse degli utenti;
  • non ha precisato se il trattamento dati effettuato per realizzare gli annunci personalizzati riguardi anche dati di carattere personale e quale, in caso positivo, sia l’eccezione che giustifica il loro trattamento in deroga al divieto generale di trattamento;
  • ha indicato in maniera troppo generica ed insufficiente le valutazioni effettuate per ritenere la sussistenza del bilanciamento fra gli interessi del social network e dei suoi partner con i diritti e le libertà degli utenti;
  • non ha fornito la valutazione di impatto preliminare che sostiene di aver effettuato;
  • non ha indicato neppure in maniera generica quali misure siano state adottate per verificare l’età effettiva degli utenti (cosa che non permette di escludere, anche in considerazione di quanto avvenuto in precedenza, che la pubblicità personalizzata possa essere rivolta anche ai minori di 18 anni e addirittura anche ai minori di 14 anni).

In secondo luogo, il Garante ha rilevato come i trattamenti annunciati dal social network sarebbero comunque lesivi della direttiva e-privacy e delle disposizioni del codice privacy italiano.

In particolare, secondo quanto indicato nella stessa informativa privacy fornita da Tik Tok, il social network intende utilizzare i dati che vengono raccolti automaticamente dal dispositivo degli utenti (quali il modello del dispositivo medesimo, il sistema operativo, l’indirizzo IP, la lingua del sistema, informazioni sulla posizione dell’utente), nonché quelli raccolti mediante l’uso di cookie e simili tecnologie di tracciamento. La base giuridica di tali trattamenti dati sarebbe, come detto, quella del legittimo interesse di Tik Tok e dei suoi partner (oltre che degli stessi utenti).

Ebbene, secondo la richiamata normativa e-privacy, per l’archiviazione di informazioni o l’accesso a informazioni già archiviate nei dispositivi degli utenti è sempre necessario il consenso dell’interessato.

Inoltre, secondo quanto previsto dall’art. 122 del codice privacy italiano, i cookie di profilazione possono essere utilizzati soltanto se è stato previamente acquisito il consenso informato dell’utente.

In considerazione di ciò, il legittimo interesse non può essere una base giuridica idonea per legittimare il trattamento, ai fini di invio di pubblicità personalizzata, dei dati personali che vengono raccolti automaticamente dal dispositivo degli utenti.

Pertanto, il Garante ha ritenuto che il trattamento dati così come annunciato da Tik Tok a partire dal 13 luglio 2022 è da ritenersi almeno in parte illecito.

Infine, il Garante ha evidenziato come, in ogni caso, il riferimento al legittimo interesse come base giuridica del trattamento non appare comunque idoneo a legittimare il trattamento preannunciato da Tik Tok neanche secondo quanto previsto dal GDPR.

In particolare, per poter utilizzare tale base giuridica è necessario effettuare una preliminare valutazione e ponderazione degli interessi in gioco, tenendo conto del grado di dettaglio della profilazione, dell’esaustività del profilo, dell’impatto che ha sull’interessato, delle garanzie della correttezza del trattamento e dell’insussistenza di discriminazioni) e quindi documentare detta valutazione effettuata.

Nel caso di specie, in base alle argomentazioni fornite da Tik Tok, il Garante non ritiene che, nel bilanciamento fra gli interessi del social network e dei suoi partner e i diritti degli interessati, possa rivenirsi una prevalenza dei primi rispetto ai secondi. Ciò senza contare che Tik Tok sostiene che vi sarebbe anche u legittimo interesse degli utenti al trattamento dati come sopra indicato, ma ciò appare illogico, anche perché i riferimenti normativi della materia limitano il legittimo interesse solo a quello del titolare del trattamento.

3. La decisione del Garante

In base alle suddette valutazioni, il Garante per la protezione dei dati personali ha quindi ritenuto che il trattamento dati preannunciato da Tik Tok appare non conforme alla normativa privacy, almeno nella parte in cui tale trattamento si sostanzia nella raccolta in maniera automatica di dati archiviati nel dispositivo dell’utente e si fonda, come base giuridica, nel legittimo interesse.

Conseguentemente il Garante ha ritenuto necessario rivolgere a Tik Tok un avvertimento, evidenziando che tale trattamento può configurare una violazione della normativa privacy, con le relative responsabilità del social network.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Scopri di più

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche

Privacy e Cybersecurity
Privacy nelle palestre: un vademecum pratico
Giuseppe Alverone 19/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI&amp;Legaltech
Privacy e Cybersecurity
Garante Privacy: no al riconoscimento facciale dei lavoratori
Luisa Di Giacomo 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Intestazione carta deposit a dipendente senza informativa: violazione privacy
Pier Paolo Muià 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
diritto europeo e internazionale
Privacy e Cybersecurity
European digital identity wallet: approvata proposta di regolamento
Luisa Di Giacomo 17/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;