Il provvedimento cautelare di blocco di Tik Tok di cui vi abbiamo parlato in questo articolo si inserisce nell’ambito di un procedimento ordinario già avviato. Già a marzo del 2020, in tempi non sospetti e su base esclusivamente giuridica, il Garante si era mosso nei confronti del social network.
Il procedimento formale del Garante contro TIk Tok
Gli uffici dell’Autorità avevano avviato un procedimento formale contro Tik Tok a tutela dei minori italiani iscritti al social network. L’istruttoria aveva messo in luce delle difformità rispetto alle norme di legge. Alcune pratiche di trattamento dei dati effettuate da Tik Tok, infatti, apparivano non conformi al nuovo quadro normativo in materia di protezione dei dati personali.
L’Autorità aveva contestato al social network diverse violazioni. Innanzitutto, la scarsa attenzione alla tutela dei minori. Formalmente, Tik Tok stabilisce il divieto di iscrizione al di sotto dei tredici anni. Divieto che, di fatto, si può facilmente aggirare. Basta utilizzare una data di nascita falsa. Questo ha portato alle tragiche vicende riguardanti i minori – suicidi, violenze, pedofilia – che vi abbiamo raccontato in questo articolo.

Di conseguenza, il social non fa nulla affinchè l’iscrizione dei più piccoli non si compia. Non verifica nemmeno il rispetto delle norme sulla privacy italiane. Che, per l’iscrizione ai social network, richiederebbero il consenso autorizzato dei genitori (o di chi ha la responsabilità genitoriale) del minore infraquattordicenne.
Inoltre, il Garante aveva contestato la poca trasparenza e chiarezza nelle informazioni rese agli utenti. In questo senso, l’Autorità suggerisce la creazione di un’apposita sezione dedicata ai più piccoli, che spieghi l’informativa rilasciata agli utenti. Per realizzarla, è necessario un linguaggio più semplice e dei meccanismi di alert che segnalino i possibili rischi. Allo stato attuale, infatti, l’informativa è standardizzata e non prende in specifica considerazione la privacy dei minori.
Perché TIk Tok raccoglie i nostri dati?
Per quali scopi i dati degli utenti vengono raccolti? La domanda è lecita se pensiamo che i tempi di conservazione dei dati risultano indefiniti, né appaiono indicate le modalità di anonimizzazione applicate dal social network. Stessa storia in merito al trasferimento dei dati nei Paesi extra Ue: anche qui non sono specificati i Paesi extra Ue verso i quali la società intende trasferire i dati, né se questi Paesi abbiano una normativa adeguata alla legislazione europea in materia di privacy.
Inoltre, il social network preimposta il profilo dell’utente come «pubblico». In tal modo, consente la massima visibilità ai contenuti pubblicati. Ciò si pone in contrasto con la normativa sulla protezione dei dati che, invece, stabilisce l’adozione di misure che garantiscano, di default, la possibilità di scegliere se rendere (o meno) accessibili i propri dati personali ad un numero indefinito di persone.
Tik Tok deve seguire le norme del GDPR se eroga un servizio nell’Ue
Il provvedimento cautelare si basa sulla possibilità che Tik Tok stia violando le norme del GDPR, acronimo in inglese che sta per General Data Protection Regulation (il Regolamento Generale sulla Protezione dei Dati 2016/679). E qui una domanda è d’obbligo. Perchè si applica il GDPR (che è la disciplina europea sulla Protezione dei dati) ad un’azienda cinese che eroga un servizio in Italia (e in Europa) anche da una sede oltreoceano?

Premesso che siamo nella dimensione del «ce lo chiede l’Europa», il GDPR è il principale strumento normativo dell’Unione europea che stabilisce norme relative alla protezione delle persone fisiche, con particolare riguardo al trattamento dei dati personali. E introduce una serie di norme relative alla circolazione di tali dati.
La differenza tra privacy e protezione dei dati personali
Per comprendere la differenza tra privacy e protezione dei dati personali si può partire dall’idea che esista uno spazio sacro – quale è la vita privata – in cui nessuno può interferire, se non per giustificati motivi. La privacy moderna entra in gioco a più livelli: privacy fisica, privacy, privacy mentale e, infine, privacy informazionale. Con riferimento a quest’ultima, quando l’utente decide di far circolare i propri dati, questi non sono più riservati.
Ciò nonostante il soggetto non smette di essere protetto, in quanto ha ancora diritto a sapere come i soggetti terzi utilizzeranno i suoi dati. È a questo punto che ha inizio la protezione dei dati personali che, in qualche modo, prosegue la protezione iniziata dalla privacy. Attraverso il diritto alla protezione dei dati personali si consente al suo titolare di «seguire i dati nella loro circolazione», come sostiene Stefano Rodotà. Rodotà, già Autorità Garante della Privacy, è stato il primo giurista a farci capire che l’insieme dei nostri dati costituisce la nostra persona, e che dunque la violazione dei nostri dati comporta una violazione della nostra persona:«habeas data».
Obiettivi e contenuti del GDPR
Il Regolamento, adottato nell’aprile 2016 ed è entrato in vigore a partire da maggio 2018, ha tre principali obiettivi:
- proteggere i dati personali dei cittadini europei;
- restituire ai cittadini il controllo dei propri dati personali;
- semplificare le norme che riguardano gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’Ue.
Il GDPR, nell’intenzione dei legislatori europei, è ispirato a tre cardini fondamentali che ogni impresa, in tutta la sua vita, dovrà sempre tenere ben presenti ed applicare in ogni scelta:
- Privacy by Default: ovvero ogni impresa è tenuta a tutelare la vita privata dei cittadini “di default”. Dev’essere una scelta di base, cosciente, predefinita e continuativa nel tempo che l’impresa deve trattare come valore fondante nel suo operare.
- Privacy by Design: ovvero la protezione dei dati dei privati cittadini deve partire dalla progettazione di ogni processo aziendale, deve esser parte del disegno iniziale e non un adeguamento successivo.
- Accountability: termine anglosassone che letteralmente significa «responsabilità». Potrebbe esser tradotto con il dover «render conto a terzi delle scelte compiute». Nell’intenzione dei legislatori europei, l’accountability indica aspetti quali l’affidabilità, la capacità e la competenza aziendale nella gestione dei dati personali.
I social network rispettano il GDPR?
I gestori delle piattaforme social, per tutelare gli utenti, dovrebbero «osservare gli obblighi di controllo preventivo, di trasparenza del trattamento e, in caso di divulgazione di contenuti illeciti, di rimozione e segnalazione all’autorità pubblica». Il principio di trasparenza del trattamento, che è uno dei principi cardine del Regolamento europeo, deve essere sindacabile da parte dell’utente. La trasparenza del trattamento sta cambiando – lentamente, ma profondamente – l’approccio delle aziende alla privacy. Soprattutto dopo l’invalidazione del Privacy Shield, l’accordo tra Usa e UE per Io scambio di dati personali, molte aziende americane stanno comprendendo l’importanza di adeguarsi al Regolamento, pena la perdita del rilevante mercato europeo.

Un aspetto nuovo, rispetto alle regole precedenti sulla privacy, riguarda l’esportazione di dati personali al di fuori dell’UE: infatti, il GDPR obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’Unione Europea) che trattano dati di residenti nell’Unione Europea ad osservare e adempiere agli obblighi previsti. In virtù della regola per la quale conta il paese di destinazione del servizio, a Tik Tok si applica la disciplina europea.
L’ARTICOLO 8 DEL Gdpr: L’ETA’ PER IL CONSENSO DIGITALE DEI MINORI
La prima delle condizioni di liceità del trattamento è costituita dal consenso dell’interessato, con il quale egli «manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano». (Considerando 32, Gdpr).
L’art. 6, comma 1, Gdpr, rubricato Liceità del trattamento, enuncia una serie di condizioni di liceità del trattamento. In particolare, la lettera a) enuncia la prima delle suddette condizioni, ossia il consenso dell’interessato.
Sulla scia dell’articolo appena esaminato, l’art. 8 Gdpr introduce una specifica previsione
relativa alle «Condizioni applicabili al consenso dei minori in relazione ai servizi della società
dell’informazione». Si tratta, sostanzialmente, di quel consenso conosciuto come «consenso
digitale», legato alla fornitura di servizi online a ragazzi che non hanno ancora compiuto la
maggiore età.
In particolare, l’art. 8, comma 1 specifica che, nel caso in cui vengano offerti a minori i predetti servizi, il loro consenso sarà lecito solo laddove il minore «abbia almeno 16 anni». Nel caso in cui,
invece, l’interessato abbia un’età inferiore, il trattamento viene considerato lecito «soltanto se e
nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità
genitoriale». Ciò implica che un minore infra16enne, senza l’obbligatorio consenso di
un genitore o del tutore, non potrà iscriversi a qualsiasi sito web – inclusi i social media come
social network o piattaforme di condivisione dei contenuti – che raccolga i suoi dati personali.
L’intenzione del legislatore europeo è, indubbiamente, quella di proteggere i giovanissimi dalla raccolta e dal trattamento dei loro dati personali, «in quanto possono essere
meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché
dei loro diritti in relazione al trattamento dei dati personali». (Considerando 38, Gdpr).
Va detto che lo stesso art. 8, comma 1 prevede una deroga al limite minimo di età per poter considerare valido il consenso rilasciato dal minore, precisando che «Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni».
Dunque, in via generale l’età per il consenso digitale «autonomo» è stabilita a 16 anni, ma essa è
riducibile qualora il Paese europeo decida di adottare una legge nazionale per portarla sino a 13
anni.
LE POSSIBILI CONSEGUENZE DI UN AUMENTO DELL’ETÀ MINIMA PER IL CONSENSO DIGITALE
Per rendere il web più sicuro e adatto ai giovani o giovanissimi è utile e necessario fissare
a 16 anni l’età per il consenso digitale? Non proprio. Per tre motivi.
Il primo motivo riguarda l’educazione e la cultura. Tra i 13 e i 15 anni i giovani sentono già l’esigenza di ragionare, dibattere e decidere, in virtù del cd. «pensiero complesso». Per questo, tenderanno a volersi connettere ad Internet e ad aggirare i meccanismi e le policy che escludono i minori di 16 anni dai servizi online. Senza considerare, poi, che si creerebbe un «digital divide europeo» tra gli studenti europei (sprovvisti di una legge nzionale che porti a 13 anni l’età dle consenso digitale) rispetto ai loro coetanei americani o australiani . Questo in termini di accesso alle risorse della rete.
Il secondo motivo riguarda le dinamiche sociali dei minori. Un irrigidimento della legislazione potrebbe incoraggiare gli adolescenti under 16 a mentire sulla propria età in modo da continuare, o iniziare, a utilizzare comunque la rete e le sue piattaforme. Pur di non chiedere il consenso ai genitori.
Il terzo motivo riguarda l’offerta dei contenuti. I contenuti diventerebbero «standard» per la sola fascia di età compresa tra i 16 e i 17 anni, senza più prevedere la loro diversificazione.
Infine, il quarto motivo riguarda la sicurezza dei minori in rete. I fornitori di servizi online dovrebbero riadeguare sostanzialmente i loro strumenti, sviluppando strumenti rivolti anche ai più giovani (13-15 anni) utili alla loro sicurezza personale online. Eppure, formalmente, i provider non sarebbero più tenuti a farlo. Potendo persino decidere di tagliare fuori quella fetta di utenti (ad esempio, per problemi nell’implementazione di sistemi di verifica del consenso genitoriale).
Al contrario, facilitare l’accesso dei minori al web significa incoraggiare le imprese del settore ICT (dall’inglese Information and Communications Technology), ossia le tecnologia dell’informazione e della comunicazione, a tenere alto il livello di tutela. Non solo per una questione di compliance con la legge, ma anche e soprattutto per adempiere alla loro responsabilità sociale.
Se avete paura per i vostri figli sul web, potete leggere questo articolo in cui vi raccontiamo dei pericoli principali e delle soluzioni.