IL GARANTE PRIVACY: STOP ALLA PUBBLICITÀ PERSONALIZZATA SU TIKTOK BASATA SUL LEGITTIMO INTERESSE

Il Garante Privacy in queste settimane è sempre al centro dell’attenzione.
Questa volta, i provvedimenti e le decisioni hanno investito il social media “Tik Tok” utilizzato dai giovanissimi.

1. TIKTOK E LA PUBBLICITÀ PERSONALIZZATA, IL CASO

Il Garante Privacy, con un provvedimento d’urgenza adottato il 7 luglio, ha avvertito la piattaforma TikTok che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.

 

Nelle scorse settimane TikTok aveva informato i propri utenti che, a partire dal 13 luglio, sarebbero state modificare le privacy policy, e che le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti nella navigazione su TikTok; di conseguenza, prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma non meglio precisati “legittimi interessi”.

 

Allora, il Garante Privacy ha chiesto informazioni a TikTok, concludendo che tale mutamento della base giuridica risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy”, e con l’art. 122 del Codice in materia di protezione dei dati personali, norme che prevedono espressamente come base giuridica “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.

 

Oltre alla base giuridica inadeguata, il Garante Privacy ha messo in luce un aspetto che desta particolare preoccupazione e che riguarda la tutela dei minori iscritti su TikTok.

 

Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma non consentono infatti di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati.

 

L’Autorità italiana ha pertanto inviato un “avvertimento” formale alla Società, avvisando che un trattamento effettuato sulla base giuridica del “legittimo interesse” si porrebbe al di fuori della cornice normativa in vigore, con le evidenti conseguenze, anche di carattere sanzionatorio.

 

La violazione della direttiva “ePrivacy” ha consentito al Garante privacy di intervenire direttamente e in via d’urgenza nei confronti di TikTok, al di fuori della procedura di cooperazione prevista dal GDPR, che avrebbe visto l’esercizio dell’iniziativa da parte dell’Autorità di protezione dati irlandese, Paese ove TikTok ha fissato il proprio stabilimento principale.

2. INTERESSE LEGITTIMO, COSA È?

I legittimi interessi (es. commerciale, sicurezza dei beni aziendali, ecc…) del titolare del trattamento possono costituire la base giuridica del trattamento dei dati, purché siano bilanciati con i diritti e le libertà dell’interessato.

 

Con la normativa precedente al GDPR, il bilanciamento tra i diritti delle parti era demandato all’Autorità per la protezione dei dati personali.

 

L’art. 24, lettera g), del Codice della privacy prevedeva la possibilità di trattare dati, con esclusione della diffusione nei casi individuati dal Garante privacy per perseguire un legittimo interesse di un titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.

 

Nell’ambito del nuovo principio di responsabilizzazione compete ai titolari effettuare tale bilanciamento, consentendone un’applicazione generalizzata, fermo restando la possibilità di verifica successiva da parte del Garante Privacy.

 

Il titolare dovrà determinare se le sue azioni sono in linea con le ragionevoli aspettative dell’utente.

 

Si tratta, purtroppo, di termini vaghi che potrebbero consentire abusi nel trattamento dei dati.

 

Il bilanciamento degli interessi contrapposti, infatti, è un’operazione complessa.

 

Concedere ai privati la possibilità di ricorrere ad una valutazione discrezionale dei contrapposti interessi, potrebbe condurre ad un’incertezza applicativa in grado di alimentare controversie e diseguaglianze.

 

L’utilizzo dei legittimi interessi del titolare soggiace ad alcuni requisiti:

  • il titolare del trattamento deve avere la necessità di elaborare il dato per fini propri o di terzi;
  • occorre bilanciare gli interessi del titolare con quelli dell’interessato (balancing test), e quindi il trattamento appare ingiustificato se ha degli effetti pregiudizievoli sui diritti e le libertà, o interessi legittimi, del singolo, tenendo conto delle ragionevoli aspettative degli interessati;
  • il trattamento delle informazioni deve essere equo e rispettare i principi di protezione dei dati.

3. POSSIBILE SOLUZIONE AL PROBLEMA

In attesa di una replica, il Garante Privacy conferma il suo altolà verso TikTok: “Poiché anche il trattamento di informazioni diverse rispetto a quelle archiviate sui dispositivi degli utenti sulla base del legittimo interesse appare incompatibile con la disciplina europea in materia di protezione dei dati personale, il Garante ha contestualmente informato il Comitato europeo delle autorità di protezione dei dati personali e l’Autorità irlandese, perché valutino le ulteriori iniziative da intraprendere”.

 

Questa Soluzione, anche se drastica, risulta essere una conseguenza di quanto è stato detto fino a questo momento: infatti, se il trattamento è basato sui legittimi interessi non occorre il consenso dell’interessato, purché non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento (come viene anche specificato al Considerando 47 del Reg. Eu).

 

Occorre però informare l’interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi, senza però che sia necessario spiegare come il titolare opera il bilanciamento tra i diritti.

 

Nel concreto il titolare, prima di iniziare qualsiasi trattamento dei dati sulla base dei legittimi interessi, deve:

  • valutare se ha correttamente preso in considerazione tutti i rischi in gioco, e quindi tutte le possibili conseguenze sugli interessati (eventualmente svolgendo una DPIA);
  • raccogliere elementi sufficienti per essere in grado di dimostrare che gli interessi relativi sono stati ben bilanciati tra loro;
  • i titolari dovrebbero mantenere un registro delle valutazioni in tema di legittimi interessi al fine di provare il corretto bilanciamento dei diritti;
  • compilare una data strategy per verificare i consensi prestati

4. TIKTOK RINUNCIA ALLA PUBBLICITÀ PROFILATA (PER ORA)

Dopo una settimana dalla richiesta del Garante della Privacy è giunta la comunicazione dalla piattaforma TikTok: “i termini delle condizioni di servizio basati sul legittimo interesse non saranno più modificati”. Almeno per ora.

 

Il Garante Privacy ha così commentato: “L’Autorità Garante per la protezione dei dati personali prende atto della decisione responsabile del social network e si dichiara aperta a un dialogo finalizzato alla ricerca del bilanciamento tra interessi economici e diritti degli utenti“.

 

I nostri esperti sono pronti a fornirti la migliore soluzione per adeguare le tue attività online alle disposizioni del Garante Privacy ed al GDPR, mettendoti al riparo da possibili sanzioni.

 

Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.