Age verification ed elezioni politiche: le implicazioni giuridiche nel caso TikTok
Negli ultimi anni il social network TikTok ha sorpreso molti concorrenti del settore diventando l’app più scaricata al mondo nel 2020. Le ragioni di tale successo risiedono in tre elementi, in primo luogo, la facilità con cui gli utenti possono condividere i propri contenuti. In secondo luogo, la varietà dei contenuti, in quanto TikTok ha diversificato il trend rispetto ai concorrenti con l’introduzione dei video in formato breve, la cui durata è di circa 15 secondi. Questi ultimi attirano maggiormente l’attenzione degli utenti durante lo scorrimento della sequenza temporale. Infine, la percezione della community, fattore incisivo per avvicinare nuovi utenti al social network. Nel settembre 2021 la società ha annunciato di avere 1 miliardo di utenti globali attivi[1], nella dichiarazione, TikTok ha rivelato che i suoi utenti attivi mensili sono cresciuti di quasi l′800% da gennaio 2018.
Tutela dei minori
Alla luce di tale successo sono emerse, di conseguenza, molte criticità in riferimento ad alcuni fenomeni. Più precisamente, in data 22 gennaio 2021, il Garante per la protezione dei dati personali ha imposto il blocco immediato dell’utilizzo del social network agli utenti per i quali non sia stata accertata l’età anagrafica. Pertanto, dal 9 febbraio, dando attuazione alle richieste del Garante, TikTok ha bloccato tutti gli utenti con apposita richiesta di indicare nuovamente la data di nascita. Inoltre, considerato il fatto che la società ha annunciato di aver definito il proprio stabilimento principale in Irlanda, il provvedimento di blocco è stato condiviso con il Data Protection Commission (DPC) irlandese, con un approfondimento in merito “age verification”. Quest’ultimo rappresenta il processo di conferma dell’età di un individuo sulla base di un’analisi delle sue caratteristiche facciali utilizzando l’IA, o più specificamente la visione artificiale. Uno strumento di analisi dell’età solitamente implementato per garantire la protezione dei minori, online o in negozio, con l’obiettivo di impedire l’acquisto di prodotti (alcolici, tabacco, sigarette elettroniche), servizi (incontri online, gioco d’azzardo) o contenuti per adulti (pornografia) che sono stati altrimenti classificati come inappropriati per utenti di età inferiore. L’utilizzo di tale strumento affinché i giovani utenti possano accedere ad un social network ha destato maggiore clamore soprattutto per ciò che concerne il trasferimento dei dati verso l’estero. Pertanto, TikTok ha dovuto revisionare la propria Informativa Privacy sull’app per gli utenti minorenni cosicché questi ultimi potessero comprendere maggiormente quali dati che la piattaforma social raccoglie come vengono trattati.
Pubblicità “personalizzata”
Un altro caso per cui si è espresso il Garante per la protezione dei dati personali è la pubblicità “personalizzata”. In data 7 luglio 2022 TikTok è stata avvisata, tramite provvedimento, sul fatto che l’utilizzo dei dati personali archiviati nei dispositivi degli utenti per profilazione e l’invio di pubblicità personalizzata risulta illecito in assenza di un esplicito consenso. La società ha evidenziato il legittimo interesse come base giuridica per il trattamento dati relativi alla fornitura di pubblicità, diversamente l’Autorità Garante ha sottolineato come questo trattamento sarebbe stato in contrasto con quanto enunciato nella direttiva “ePrivacy” del 2002 e con il Codice in materia di protezione dei dati personali. Più precisamente, è meritevole ricordare che nell’ipotesi in cui un utente archivi determinate informazioni nell’apparecchiatura terminale risulta essenziale il consenso degli interessati come base giuridica.
Alla luce del provvedimento del 22 gennaio 2021, l’Autorità Garante ha prestato particolare attenzione alla tutela dei minori iscritti al social network. Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma – ha osservato il Garante per la protezione dei dati personali – non consentono infatti di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati. Successivamente, il Garante per la protezione dei dati personali ha segnalato ulteriori elementi al European Data Protection Board (EDPB) e al Data Protection Commission (DPC) irlandese, affinché possano valutare il caso secondo la normativa con la disciplina europea disciplina.
In data 13 settembre 2022 l’Autorità Garante irlandese ha presentato un draft di decisione nell’ambito di un’indagine su larga scala sulla società TikTok ad altre Autorità di controllo interessate in tutta l’UE. L’indagine, avviata nel settembre 2021, verte sulle impostazioni della piattaforma di TikTok e la trasparenza sul trattamento dei dati personali dei minori. Graham Doyle, vicecommissario dell’Autorità Garante irlandese, ha dichiarato che la condivisione del draft richiama l’art. 60 del GDPR il quale enuncia la possibilità di “Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate”, che hanno un mese per rivedere il documento e sollevare eventuali “obiezioni pertinenti e motivate”. Questa decisione preliminare arriva dopo la sanzione inflitta dal Data Protection Commission (DPC) irlandese nei confronti di Instagram (Meta) per la violazione della privacy dei bambini di 405 milioni di euro[2].
Elezioni politiche
In aggiunta, una volta compresa l’importanza che TikTok ricopre per i giovani, numerosi politici italiani hanno creato appositi account in vista delle prossime elezioni politiche del 25 settembre 2022 generando, di conseguenza molte reazioni sulla piattaforma. Ciò non dovrebbe destare clamore, in quanto il binomio politica e social network è ormai una consuetudine nella società odierna, ma è meritevole sottolineare che il fenomeno TikTok non può passare inosservato sia per i provvedimenti emessi dal Garante per la protezione dei dati personali, ma anche per quanto condiviso recentemente nel Regno Unito.
Più precisamente, il parlamento del Regno Unito, in data 28 luglio 2022, ha chiuso definitivamente il suo account TikTok dopo che i politici britannici, tra cui il presidente della commissione per gli affari esteri Tom Tugendhat, hanno scritto una lettera in cui viene fatto presente che il social network, la cui proprietà appartiene alla società cinese ByteDance, trasmette i dati degli utenti al governo cinese. Ai sensi dell’Intelligence Security Law cinese (国家情报法), in vigore dal 2017, le aziende cinesi sono tenute a fornire, su richiesta, i dati alle autorità della Repubblica popolare cinese e non possono rivelare di averlo fatto. L’account del parlamento del Regno Unito è stato creato con l’obiettivo di avvicinare maggiormente i giovani alla politica, ma il tentativo è durato solo una settimana prima che le preoccupazioni crescessero e, di conseguenza, è stato rapidamente rimosso.
In relazione al caso si è espresso anche il deputato del Pd Enrico Borghi, componente del Copasir, il quale ha condiviso un tweet ricordando che TikTok è un social di proprietà cinese. Più precisamente “i servizi inglesi hanno da tempo sollevato preoccupazioni sul trasferimento dei dati al governo cinese, e la legge cinese fa obbligo ad ogni azienda di consegnare i propri dati a Pechino”.
Conclusioni
È opportuno ricordare che è già presente una cornice normativa che autorizza il Garante per la protezione dei dati personali ad intervenire. In primo luogo, controllando che i trattamenti di dati personali siano conformi al Regolamento (UE) 2016/679. Successivamente, come già intercorso con il Data Protection Commission (DPC) irlandese, collaborare con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del Regolamento. Inoltre, vi è la possibilità in caso di violazioni della normativa vigente di imporre sanzioni pecuniarie. Pertanto, le recenti preoccupazioni in relazione all’utilizzo del social network ed i provvedimenti dell’Autorità Garante segnano solo il primo round di turbolenza per TikTok, poiché secondo alcuni report internazionali la piattaforma nel tempo potrebbe risultare anche una minaccia per la sicurezza nazionale e dei rispettivi alleati.
Note
[1] TikTok, available at https://newsroom.tiktok.com/en-us/1-billion-people-on-tiktok.
[2] European Data Protection Board, Record fine for Instagram following EDPB intervention, 15 September 2022, available at https://edpb.europa.eu/news/news/2022/record-fine-instagram-following-edpb-intervention_en.
Articolo a cura di Luca Barbieri
Luca Barbieri è laureato in Giurisprudenza presso l’Università Luiss Guido Carli con tesi intitolata “From cyber espionage to cyber warfare: a criminal comparative analysis between Italy, USA and China”, nella materia di Diritto Penale, con il Relatore Prof. Gullo.
Durante l’Exchange Program, presso la Beijing Normal University di Pechino, ha sostenuto esami di diritto cinese e cyber security.
Inoltre, ha conseguito il corso “Big data, artificial intelligence e piattaforme: aspetti tecnici e giuridici connessi all'utilizzo dei dati e alla loro tutela” presso l’Università degli Studi di Milano ed il Master universitario di secondo Livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università Roma Tre, con tesi intitolata “Cybersecurity: sistemi di Intelligenza artificiale a protezione delle reti e delle infrastrutture critiche”, con il Relatore Prof. Avv. Aterno.
Attualmente è Dottorando in “Security, Risk and Vulnerability” presso l’Università di Genova e collabora in uno studio legale specializzato in cybersecurity e data protection fornendo assistenza nelle attività di compliance alla Direttiva NIS, al Perimetro di Sicurezza Nazionale Cibernetica ed al GDPR.