IP, IT e Data protection

Social e minori: TikTok multato nel Regno Unito

La piattaforma cinese di video sharing pesantemente sanzionata dall’Information Commissioner’s Office (ICO) britannico per violazione della privacy dei ragazzini

Lanciata nel 2016 dalla società ByteDance, l’app di video sharing TikTok è salita alla ribalta negli ultimi anni diventando di fatto il social network del momento soprattutto tra i più giovani.

Non appena la sua diffusione ha incominciato a crescere, però, sono emerse le prime problematiche legate alla tutela della privacy dei minori.

Nel 2019 la Federal Trade Commission statunitense ha multato l’applicazione con una sanzione da 5,7 milioni di dollari per la mancata tutela dei dati dei minori di 13 anni.

Addirittura, nel 2020 il Segretario di Stato americano Mike Pompeo aveva ipotizzato di vietare l’app sul territorio del Paese, per poi tornare sui propri passi dopo che gli esperti avevano rilevato che un divieto assoluto della piattaforma avrebbe potuto creare un precedente pericoloso.

Nel 2021, invece, il Garante per la protezione dei dati personali italiano ha disposto nei confronti di TikTok il blocco immediato dell'uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l'età anagrafica.

Negli anni TikTok ha più volte promesso di implementare i meccanismi di age verification per evitare l’uso dell’applicazione da parte di minori di 13 anni. Ciononostante, le violazioni passate continuano a creare problemi al colosso cinese, recentemente sanzionato dal Regno Uniti per la cifra record di 12,7 milioni di sterline.

La tutela della privacy dei minori nel Regno Unito

Dal 1° gennaio 2022, il Regolamento UE 2016/679 sulla tutela delle persone fisiche rispetto ai trattamenti dei loro dati personali (GDPR) ha cessato di avere effetto diretto nel Regno Unito. Tuttavia, dato l'accordo commerciale con l’UE, il Regno Unito si è impegnato a mantenere un regime di protezione dei dati equivalente.

Per questo motivo, una versione britannica del GDPR è entrata in vigore dal 1° gennaio 2022, il c.d. cosiddetto "UK-GDPR", che rispecchia in gran parte l'esistente GDPR dell'UE e si applica come una legge a sé stante.

Ai sensi dell’Articolo 8 della nuova legge britannica - coerentemente a quanto previsto dal Regolamento europeo - il trattamento dei dati personali di un minore è lecito se questi ha almeno 13 anni. Ove il minore abbia un'età inferiore ai 13 anni, tale trattamento è lecito solo se e nella misura in cui il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale sul minore.

Pertanto, il titolare del trattamento deve compiere ogni ragionevole sforzo per verificare, in tali casi, che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, tenendo conto della tecnologia disponibile per l’accertamento di tali requisiti.

Dal 2 settembre 2021, invece, nel Regno Unito è applicabile anche un altro documento, il Children’s Code, un vero e proprio codice di condotta rivolto a tutti i servizi della società dell’informazione destinati ai minori di 18 anni o che sonopresumibilmente utilizzati da minori, ossia quei servizi per tutti gli utenti ma molto popolari fra i più giovani, come i social.
La normativa si fonda sul principio per cui la fornitura di servizi in rete deve tenere conto dell’interesse primario del bambino, applicando alcuni principi e cautele quali la trasparenza e la semplicità delle informative, la minimizzazione dei dati trattati, il divieto di utilizzo dei servizi di localizzazione e di condivisione delle informazioni del minore.

Il Children’s Code si caratterizza soprattutto per il fatto di parametrare gli obblighi in capo ai titolari in base a diverse fasce di età dei minori, ivi comprese la garanzia del controllo parentale, la valutazione d’impatto sulla protezione dei dati e i rischi per i diritti e le libertà e la predisposizione degli strumenti di controllo anagrafico.

GDPR e Normativa Privacy Commentario, A cura di: Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale (d.lgs. n. 101/2018).
Scarica gratuitamente l'estratto

Pesante sanzione a carico di TikTok

Come visto fino a qui, il Regno Unito prevede importanti tutele nei confronti dei giovani che utilizzano i servizi del web, ed in particolare l’obbligo di ottenere il consenso dei genitori o di chi esercita la responsabilità genitoriale ai fini del trattamento dei dati dei minori di 13 anni.

Ebbene, secondo le indagini dell’Information Commissioner’s Office (ICO) britannico, tra il 2018 e il 2020 TikTok ha consentito a circa 1,4 milioni di bambini di età inferiore ai 13 anni di utilizzare la sua piattaforma, nonostante le sue stesse regole lo vietino.

Non solo, il social network cinese avrebbe anche trattato ed utilizzato i dati dei bambini senza il consenso dei genitori, senza effettuare alcuna verifica sull’età degli utenti e senza, di conseguenza, provvedere alla cancellazione degli account creati in violazione delle regole. Tutto questo nonostante le perplessità e le segnalazioni sollevate - naturalmente ignorate - da diversi dipendenti dell’azienda.

L’ICO avrebbe inoltre rilevato numerose lacune informative. Secondo l’autorità, infatti, TikTok non ha fornito informazioni adeguate e comprensibili agli utenti della piattaforma su come i loro dati vengono raccolti, utilizzati e condivisi in un modo che sia di facile comprensione per loro. Senza tali informazioni, infatti, è assai improbabile che gli utenti minorenni siano in grado di fare scelte consapevoli.

Tutto ciò premesso, quindi, l’ICO ha deciso di sanzionare TikTok con una pesante multa pari a 12,7 milioni di sterline - quasi 15 milioni di euro - per aver violato le norme britanniche poste a tutela della privacy dei minori in rete.

TikTok, quindi, finisce nuovamente per condotte compiute in violazione dei diritti dei minori, e le promesse di rafforzamento delle misure di sicurezza (come, da ultimo, la limitazione dell’utilizzo dell’app ad una sola ora al giorno per i minori) sembrano non avere alcuna influenza positiva sulla fiducia delle autorità.

IN COLLABORAZIONE CON

Assodata e Isdifog

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!

Codici e Ebook Altalex Gratuiti

Vedi tutti