Pubblicità personalizzata, consenso dell'utente e legittimo interesse del social network: il Garante interviene d'urgenza
Con un provvedimento d'urgenza dello scorso 7 luglio, il Garante per la protezione dei dati personali ha almeno temporaneamente bloccato il progetto di Tik Tok, teso alla profilazione dei propri utenti maggiorenni a fini di marketing, a prescindere dal loro consenso
Con un provvedimento d'urgenza dello scorso 7 luglio, il Garante per la protezione dei dati personali ha almeno temporaneamente bloccato il progetto di Tik Tok, teso alla profilazione dei propri utenti maggiorenni a fini di marketing, a prescindere dal loro consenso. La piattaforma aveva infatti comunicato ai propri iscritti che entro il 13 luglio scorso avrebbe modificato la propria privacy policy e dato avvio ad una attività di fornitura di "pubblicità personalizzata" per tutti gli iscritti maggiori di diciotto anni, semplicemente sulla base di un "legittimo interesse" della piattaforma stessa. A fronte di tale annuncio, il Garante ha richiesto alla piattaforma una serie di informazioni per meglio poter valutare la legittimità dell'iniziativa, a fronte delle quali, tuttavia, l'Autorità ha dovuto rilevarne la contrarietà rispetto al Codice privacy italiano ed alla direttiva europea per la tutela della vita privata nel settore delle comunicazioni elettroniche (dir. 2002/58/CE, c.d. "direttiva ePivacy")
Le basi di legittimità del trattamento dei dati personali
Affinché il trattamento di dati personali possa considerarsi legittimo non è sempre necessario il consenso della persona i cui dati vengono appunto "trattati" (c.d. "interessato"); il consenso costituisce, infatti, una sola delle possibili "basi giuridiche" che possono legittimare un trattamento di dati personali. Al di là del consenso, per esempio, è possibile effettuare un trattamento dei dati personali tutte le volte in cui questo sia necessario all'esecuzione di un contratto di cui l'interessato è parte o per adempiere ad obblighi legali o compiti di interesse pubblico ecc., oppure ancora quando "il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore" (art. 6, GDPR). Sulla base di quest'ultima previsione, Tik Tok, quale titolare del trattamento, ha ritenuto di poter vantare un legittimo interesse alla profilazione degli utenti per fini di marketing, a prescindere dal loro consenso, informando i propri iscritti della imminente modifica della propria privacy policy, che avrebbe dato corso alla raccolta di dati personali di tutti gli utenti maggiorenni. Su richiesta del Garante, la piattaforma ha precisato che le modalità di trattamento indicate sono già oggi attuate per gli utenti che abbiano prestato il proprio consenso e che la modifica della policy privacy, in sintesi, non farebbe altro che estendere detto trattamento anche a chi non ha acconsentito, semprechè maggiore di età. Il riferimento alla base giuridica del "legittimo interesse" permetterebbe quindi alla società di armonizzare la disciplina privacy per tutti gli iscritti, senza d'altronde causare loro danni e così pervenendo – ad avviso della piattaforma - ad un soddisfacente bilanciamento di tutti gli interessi in gioco.
Il bilanciamento di tutti gli interessi in gioco
Proprio l'adeguatezza del bilanciamento di tutti gli interessi in gioco ha invero destato forti perplessità nell'Autorità Garante, risoltesi poi in senso negativo, alla luce di una serie di considerazioni. Il Garante infatti ha rilevato, in primo luogo, che non emerge quale possa essere l'interesse degli utenti utile a bilanciare quello – invece chiaro – della piattaforma; oltre ciò, nonostante le rassicurazioni di Tik Tok, non vi è traccia di alcuna valutazione di impatto dell'iniziativa intrapresa, necessaria ai sensi del GDPR ogniqualvolta una tipologia di trattamento, in particolare ove preveda l'uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone e nemmeno emerge se il trattamento che Tik Tok ha intenzione di effettuare riguardi solo dati personali "semplici", o anche quelli "particolari", idonei a rivelare, per esempio, l'origine etnica, le opinioni politiche o le convinzioni religiose dell'utente, eventualità da non considerarsi affatto remota ed anzi "altamente probabile" – per utilizzare le parole del Garante – anche in considerazione della facilità di evincere tali informazioni dal comportamento on line dell'utente (es. scelte di lettura, visione di video, ecc.).In altre parole, "con alto grado di probabilità" il "nuovo" trattamento che la piattaforma vorrebbe effettuare finirebbe per comportare operazioni di vera e propria "profilazione" degli utenti, a prescindere dal loro consenso - con l'unica esclusione, invero tutta da verificare, dei minori di età – in violazione di quanto disposto dalla direttiva e Privacy e dal Codice Privacy che ne dà attuazione, per i quali la profilazione è ammessa esclusivamente su base consensuale.
I dati personali dei minori di età
Il trattamento dei dati personali dei minori di età richiede guarentigie particolari ed anzi, secondo il Regolamento Europeo, gli Stati membri non possono fissare un'età inferiore ai 13 anni per l'accesso ai servizi delle società di informazione; il legislatore italiano ha fissato al riguardo il limite minimo di età in 14 anni. Per verificare l'età minima o comunque l'esistenza di un valido consenso, prestato per esempio dal genitore del minore, il titolare del trattamento - nella specie, la piattaforma - deve adoperarsi "in ogni modo ragionevole", in considerazione delle tecnologie disponibili. In passato, Tik Tok, come invero altri social network, non ha tra l'altro dato buona prova di sé nell'attività tesa a verificare l'età degli utenti, rischiando di coinvolgere non solo minori di diciotto anni, ma anche minori di 14 e, in ipotesi – stante l'inefficienza delle misure attuate – anche minori di 13 anni, in violazione quindi dei limiti minimi di età stabiliti a livello sia nazionale, che europeo.La tipologia di misure attuate per verificare l'età degli utenti è dunque stata oggetto di espressa richiesta di chiarimento da parte del Garante e la piattaforma ha assicurato di avere in corso una collaborazione con gli esperti del settore per sviluppare e identificare metodi innovativi di accertamento, argomento tuttavia ritenuto non idoneo per garantire l'effettiva tutela degli utenti minori di età ed anzi, in ipotesi, manifestazione del fatto che ad oggi tali modalità di accertamento non appaiono ancora soddisfacenti.
Le conclusioni del Garante
Il Garante ha ritenuto quindi del tutto inadeguate le risposte della piattaforma rispetto alla richiesta di chiarimenti avanzata dall'Autorità medesima, che ha anzi precisato come l'utilizzo del legittimo interesse, quale base giuridica del trattamento dei dati personali, "va visto con estrema prudenza essendo necessaria una preliminare e documentata attività di ponderazione degli interessi in gioco", nella fattispecie del tutto inadeguata. Non si può, infatti – continua il Garante - piegare lo "strumento normativo" del legittimo interesse al mero perseguimento degli obiettivi del titolare del trattamento, finendo così per relegare il requisito della legittimità ad un "elemento di contorno, plasmabile a seconda delle esigenze". In conclusione, se è evidente l'interesse, puramente commerciale, di Tik Tok, ad un trattamento slegato dal consenso degli utenti, ad avviso del Garante esso non può considerarsi legittimo.
*a cura dell'Avv. Alessandra Spangaro DigitalMediaLaws
Alessandro Galimberti
Il Sole 24 OreRiforma Cartabia: sui passaggi di rito luci e ombre del "Correttivo civile"
di Francesco Paolo Luiso - Presidente dell'Associazione italiana fra gli studiosi del processo civile