Aggiornato al 27.02.2021
Rubrica a cura di Giovanna De Minico
Scheda di Maria Orefice
Premessa
Nel periodo di riferimento considerato (Novembre 2020 – Febbraio 2021) non si registrano provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’).
Il Garante è intervenuto perlopiù con provvedimenti collegiali a carattere particolare rivolti a soggetti determinati (a seguito di richieste di consultazione preventiva, richieste di pareri, reclami, etc.). Oltre a ciò, ha esercitato per la prima volta i poteri straordinari riconosciutigli dall’art. 66 del Regolamento generale sulla protezione dei dati personali 2016/679 (“General Data Protection Regulation - GDPR”) con il provvedimento del 22 gennaio 2021 emesso nei confronti del social network TikTok (di seguito, “TikTok” o “Società”)[1].
Benché questa rubrica sia dedicata all'approfondimento delle principali novità emerse sul piano degli atti normativi, si ritiene di dover dar conto di suddetto provvedimento con il quale il Garante ha attivato la procedura d’urgenza che permette alle Autorità Garanti nazionali, in presenza di circostanze eccezionali e qualora ritengano che sia urgente intervenire per proteggere i diritti e le libertà degli interessati, di derogare ai principi di cooperazione e al meccanismo di coerenza [2] e di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato, non superiore a tre mesi.
Questo provvedimento, pur rimanendo estraneo al sistema delle fonti del diritto, può ritenersi prodromico ad atti normativi binding e per tale motivo assume un particolare rilievo perché anticipatorio di interventi di hard law in avvenire, in particolare relativi agli strumenti adottabili per l’age verification dei minori, con lo scopo di garantire le condizioni richieste per il consenso dei minori in relazione ai servizi della società dell’informazione. In particolare, dal momento che TikTok ha fissato il proprio stabilimento principale in Irlanda sarà in primis l’Autorità Capofila irlandese ad adottare a breve provvedimenti di natura generale che presumibilmente confermeranno le valutazioni del Garante svolte su TikTok sui possibili profili di illiceità di trattamento dei dati e che potrebbero impattare anche sui principali social network, aventi tutti sede in Irlanda (Facebook, Twitter, etc.).
A tal fine, si delineeranno gli aspetti principali del provvedimento rinviando al testo integrale e ai riferimenti normativi ivi presenti, per i dovuti ulteriori approfondimenti.
Il provvedimento del Garante del 22 gennaio 2021
A seguito del decesso di una bambina di 10 anni, successivo alla messa in atto di pratiche emulative nell’ambito di una sfida lanciata su TikTok, il Garante ha adottato immediatamente misure provvisorie intese a produrre effetti giuridici in Italia, vietando a TikTok l’ulteriore trattamento dei dati degli utenti per i quali non vi fosse “assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico” [3].
L’ufficio del Garante con la nota n. 47853 del 15 dicembre 2020 [4] aveva già aperto un formale procedimento nei confronti di TikTok, contestando alla Società la presunta violazione di alcune disposizioni del Regolamento, riguardanti:
- la corretta individuazione della base giuridica applicata al trattamento dei dati personali dei suoi utenti;
- le modalità di rilascio dell’informativa;
- il trasferimento dei dati all’estero;
- il periodo di conservazione dei dati;
- il rispetto dei principi di privacy by design e by default [5];
e, soprattutto,
6. le forme previste per verificare l’età anagrafica degli utenti medesimi con evidente riferimento, in particolare, ai minori.
Per ragioni di spazio ci concentreremo sui punti 1), 2), 5) e 6).
In merito al punto 1) relativo alla corretta individuazione della base giuridica del trattamento, veniva rilevato che TikTok aveva dichiarato nella sua policy di trattare i dati personali di tutti i suoi utenti a partire dai 13 anni sulla base di un contratto, al solo scopo di darvi esecuzione, e quelli degli utenti che le avevano prestato il consenso, per finalità commerciali ulteriori.
Questo comporta che se un minore di 13 anni aderisse a una proposta riservata a un ultratredicenne non si dovrebbe perfezionare nessun valido contratto o quantomeno quello concluso sarebbe un contratto annullabile (cfr. art. art. 1426 c.c.).
La regola civilistica dell’annullabilità del contratto concluso dal minore trova un’unica eccezione nell’ipotesi in cui il contraente abbia con raggiri occultato la sua minore età. Resta salvo che la mera dichiarazione di un’età falsa non è di ostacolo all’impugnazione del contratto. Il minore riceverà una punizione solo nel caso in cui “abbia carpito la buona fede altrui con il raggiro, che deve consistere in una ‘macchinazione efficiente’, in grado di vincere sull’onere dell’altro contraente di assicurarsi della situazione giuridica del soggetto con cui conclude il contratto”[6]. Questo perché nella piena applicazione del principio nemo ignarus esse debet conditionis eius, cum quo contrahit TikTok non può ignorare la condizione del soggetto con cui si trova a “contrattare”.
A ciò si aggiunga che, l’articolo 8, par. 1 del GDPR stabilisce “per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”. Il paragrafo 2 dello stesso articolo ha previsto la facoltà per lo Stato Membro di abbassare l’età, purché non al di sotto dei 13 anni. Il legislatore italiano si è avvalso di questa clausola di salvaguardia e ha infatti abbassato l’età ai 14 anni attraverso l’art. 2-quinquies del Codice Privacy, come modificato dal d. lgs. 101/2018.
Il paragrafo 3 dello stesso art. 8 del GDPR chiarisce che il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto. Da ciò deriva che, il trattamento di dati personali dell’infratredicenne sarebbe privo di ogni base giuridica. E lo stesso accadrebbe anche quando un minore di 14 anni aderisce alla proposta della piattaforma perché questo è il limite di età oggi previsto dalla disciplina italiana in materia di privacy (art. 8, par. 1 e 2 GDPR e art. 2 quinquies).
In riferimento al punto 2) relativo alle modalità di rilascio dell’informativa, è stato rilevato che la stessa non è risultata scritta, come avrebbe voluto la norma, per essere compresa da un bambino e cioè con un linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso eventualmente prestato, quindi in violazione dell’art. 12 GDPR e dell’art. 2 quinquies comma 2 del Decreto Legislativo n. 101/2018.
Con riguardo al punto 5) relativo al rispetto dei principi di privacy by design e by default, la condotta di TikTok non è risultata conforme al principio secondo cui “al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […] volte […] a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del […] regolamento e tutelare i diritti degli interessati” [7]. Alla creazione di un nuovo profilo è risultata associata l’impostazione automatica di una visibilità “pubblica”, in contrasto con il principio di privacy by default. Inoltre, l’accesso ai contenuti di TikTok non è richiesta la registrazione dell’utente che quindi – indifferentemente se giovanissimo o adulto - potrebbe fruire dei brevi video ivi caricati e trasmessi senza un log-in.
Quanto al punto 6) relativo alle forme previste per l’accertamento dell’età, l’esame preliminare condotto dall’Ufficio del Garante aveva evidenziato gravi carenze in ordine alle modalità prescelte dalla Società per accertare l’età anagrafica degli utenti, in quanto il divieto di iscrizione al di sotto dei 13 anni, stabilito dal social network, era risultato facilmente aggirabile mediante la mera dichiarazione di una data di nascita falsa.
In sintesi, la condotta di TikTok è risultata posta in violazione delle disposizioni del GDPR e del Codice Privacy, sia delle misure richieste a tutela dei minori sia del principio di responsabilizzazione che richiede al titolare del trattamento di implementare adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati al fine di soddisfare i requisiti del Regolamento e per proteggere i diritti degli interessati (cfr. considerando 38 e 58 del GDPR; art. 25, par. 1).
Oltretutto, la condotta di TikTok è risultata posta in essere in violazione dei diritti fondamentali dell’UE. Essa non ha tenuto in alcun conto l’interesse superiore del minore che deve essere considerato preminente rispetto agli altri interessi in gioco (cfr. art. 24, par 2 della Carta dei diritti fondamentali dell’Unione europea). Invero, i minori meritano una specifica protezione relativamente ai loro dati personali in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia, nonché dei loro diritti.
Non avendo ricevuto riscontro o rassicurazioni in ordine all’assunzione delle corrette modalità per l’accertamento dell’età anagrafica degli iscritti alla piattaforma, e nelle more degli accertamenti in corso da parte della competente Autorità Giudiziaria, il Garante ha deciso di adottare ogni possibile misura a tutela degli utenti presenti sul territorio italiano.
Pertanto, il complesso delle circostanze emerse nel caso del decesso della bambina di 10 anni ha indotto l’Autorità di protezione dei dati a disporre ai sensi dell’art. 58, par. 2, lett. f) del GDPR nei confronti di Tik Tok la misura della limitazione provvisoria del trattamento, di conseguenza è stato vietato l’ulteriore trattamento dei dati degli utenti ubicati sul territorio italiano, per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico, con effetto immediato dalla data di ricezione del presente provvedimento.
Alcune riflessioni critiche a margine del provvedimento
Il Garante ha ritenuto di dover vietare a TikTok l’ulteriore trattamento dei dati degli utenti per i quali non vi fosse “assoluta certezza dell’età”.
La società, dal suo canto, ha già risposto[8] che valuterà l’uso di sistemi di Intelligenza Artificiale (a seguire, “IA”) [9] per effettuare questa verifica. Un’eventualità però che ci costringe a una riflessione più ampia.
TikTok conta 2 miliardi di utenti a livello globale, di cui buona parte sarebbe costituita da minori. L’utilizzo di sistemi di intelligenza artificiale implicherebbe il conferimento – presumibilmente inconsapevole - da parte del minore di ulteriori dati personali o informazioni che lo riguardano quali, per esempio, quelle contenute in un documento di riconoscimento o peggio di dati di riconoscimento facciale per la previsione approssimativa dell’età anagrafica o dei dati archiviati sul dispositivo (app installate, cronologia di navigazione, e-mail, messaggi, etc.) ed eventualmente della rete utilizzata, dall’analisi dei quali lo strumento di IA sarebbe in grado di assegnare all’utente un’età [10].
È chiaro che un sistema di IA lasciato alle discrezionalità del privato cercherà di estrarre – in violazione del principio di minimizzazione dei dati - tutte le informazioni ottenibili dal dispositivo, che è un prolungamento della persona. Queste analisi sui dati rischiano di generare un’attività di profilazione invasiva per finalità incerte proprio a carico del soggetto che meriterebbe maggiore tutela: il minore.
In tale contesto, non si può lasciare al privato il vantaggio della prima mossa nella determinazione delle misure atte a determinare l’età anagrafica. Il legislatore sovranazionale o le altre Autorità preposte devono dettare regole chiare in tempi rapidi ed evitare iter travagliati come quelli che hanno portato all’adozione del GDPR, che ha visto la luce dopo 4 anni, per essere applicabile dopo ulteriori 2 anni, risultando per certi versi “obsoleto” rispetto all’evolversi della società dell’informazione.
Il rischio è quello di consegnare a questi Big Player privati sempre maggiore potere al punto da elevarli a “New Governors” della Rete e assoggettare i cittadini digitali alla loro giurisdizione [11].
In tale scenario, la mossa del Garante potrebbe condurre a esiti ancora peggiori di quelli temuti.
Considerata la temporaneità della misura adottata e gli effetti limitati al territorio italiano, il Garante ben avrebbe potuto, data l’urgenza di adottare misure definitive richiedere un parere d’urgenza ovvero una decisione vincolante d’urgenza del Comitato, che l’avrebbe adottata entro due settimane a maggioranza semplice dei suoi membri (cfr. art. 66, parr. 2, 3 e 4 del GDPR).
E invece, come direbbero gli inglesi out of the frying pan into the fire.
[1] In www.gpdp.it, doc. web n. 9524194.
[2]Tale meccanismo trova applicazione quando un'autorità di controllo intende adottare una misura intesa a produrre effetti giuridici relativamente ad attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri.
[3] In www.gpdp.it, doc. web n. 9524194.
[4] In https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9508923.
[5] cfr. art. 25 del GDPR.
[6] S. Nardi, Accordo concluso online dal minore d’età, Relazione tenuta dall’autore al convegno in tema di “Requisiti del contratto, tra teoria generale e innovazione tecnologica”, svoltosi nell’Università di Macerata il 30 novembre 2018.
[7] cfr. art. 25 del GDPR.
[8] in https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9533424.
[9] Per una riflessione sulla necessità di regolare il processo decisionale degli algoritmi si rinvia a: D. Brand, Algorithmic decision-making and the Law, in eJournal of eDemocracy and Open Government, 12(1), 114–131, 2020 e G. De Minico, Towards an “Algorithm Constitutional by Design”, in BioLaw Journal, no 1 (2021).
[10] cfr. Per es. soluzione VERIFF in https://www.veriff.com/product/identity-verification.
[11] Sia consentito il rinvio allo scritto dell’autrice M. Orefice, L’app Immuni: salute, privacy e trasparenza, in G. De Minico – M. Villone (a cura di), Stato di diritto - Emergenza – Tecnologia, in Consultaonline, 188, 2020.