È passato molto tempo, ma alla fine è stato riscontrato che TikTok viola il regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea in relazione al trattamento dei dati dei bambini. Secondo la decisione emessa oggi dalla Commissione irlandese per la protezione dei dati (DPC), la piattaforma di condivisione video è stata ammonita e multata di 345 milioni di euro (~ 379 milioni di dollari). Le è stato inoltre ordinato di conformarsi al trattamento dei dati illeciti entro tre mesi.
In totale, è stato riscontrato che TikTok ha violato i seguenti otto articoli del GDPR: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); e 13, comma 1, lettera e), c.d. violazioni della liceità, correttezza e trasparenza del trattamento dei dati; minimizzazione dei dati; la sicurezza dei dati; responsabilità dell'équipe di trattamento; protezione dei dati fin dalla progettazione e per impostazione predefinita; e il diritto dell'interessato (compresi i minori) a ricevere comunicazioni chiare sul trattamento dei dati; e ricevere informazioni sui destinatari dei tuoi dati personali. Quindi è una lunga lista di fallimenti.
La decisione non ha riscontrato alcuna violazione in relazione ai metodi utilizzati da TikTok per la verifica dell'età, che sono stati un punto critico per diversi regolatori regionali, ma il watchdog irlandese rileva che la decisione registra una violazione dell'articolo 24 (1) del il GDPR, in quanto ha riscontrato che TikTok non ha adottato misure tecniche e organizzative adeguate, in quanto non ha adeguatamente considerato alcuni rischi posti ai minori di 13 anni che hanno avuto accesso alla piattaforma, in quanto le impostazioni predefinite dell’account consentivano che chiunque (all’interno o al di fuori di TikTok) potrebbe vedere i social network e i contenuti multimediali pubblicati da tali utenti.
Si è scoperto che le impostazioni implementate da TikTok all'epoca consentivano agli utenti bambini di avanzare nel processo di registrazione in modo tale che i loro account fossero impostati come pubblici per impostazione predefinita. "Ciò significava anche che, ad esempio, i video pubblicati sugli account utente minori erano pubblici per impostazione predefinita, i commenti erano abilitati pubblicamente per impostazione predefinita così come le funzionalità "Duetto" e "Stitch"", osserva il DPC.
L'account di un bambino potrebbe anche essere "abbinato" a un utente non bambino non verificato, tramite una funzione chiamata "Family Matching", ma TikTok non ha verificato se l'utente era effettivamente il genitore o il tutore dell'utente bambino. L'utente non minorenne potrebbe utilizzare la funzione per abilitare i messaggi diretti per gli utenti minori di età superiore ai 16 anni, "rendendo così questa funzionalità meno severa per l'utente minorenne", secondo i risultati del DPC.
In risposta alla decisione, un portavoce di TikTok ha inviato questa dichiarazione: “Siamo rispettosamente in disaccordo con la decisione, in particolare con l’entità della multa inflitta. La critica del DPC si concentra su funzionalità e impostazioni che erano in vigore tre anni fa e su cui abbiamo apportato modifiche molto prima dell'inizio dell'indagine, come impostare come privati per impostazione predefinita tutti gli account di età inferiore a 16 anni.
TikTok ha anche affermato che sta valutando i prossimi passi alla luce della sanzione. Quindi la piattaforma potrebbe provare a presentare ricorso legale in Irlanda.
In una risposta più lunga pubblicata sul suo sito web, Elaine Fox, responsabile della privacy di TikTok in Europa, ha spiegato i passi che secondo lei l'azienda ha intrapreso per affrontare i problemi di sicurezza prima dell'inizio dell'indagine del DPC, come la creazione di account privati di utenti tra i 13 e i 15 anni vecchio per impostazione predefinita.
Ha inoltre affermato che nel 2021 TikTok è diventata la prima (“e rimarrà l’unica”) grande piattaforma a rivelare pubblicamente il numero di account minorenni sospetti che elimina. “Lo abbiamo pubblicato nel nostro rapporto trimestrale rispetto delle linee guida comunitarie e durante i primi tre mesi del 2023 eliminiamo quasi 17 milioni di conti di questo tipo a livello globale", ha scritto, aggiungendo: "La garanzia dell'età è una sfida a livello di settore. “Continueremo a collaborare con le autorità di regolamentazione e altri esperti per identificare nuove soluzioni che migliorino ulteriormente i nostri sforzi per tenere gli utenti minorenni lontani dalla piattaforma”.
Secondo il post sul blog, TikTok ha più di 134 milioni Utenti attivi mensili in tutta l'Unione Europea.
Insicuro per impostazione predefinita
L'indagine del DPC su TikTok sui dati dei bambini si è concentrata su un periodo di cinque mesi (dal 31 luglio 2020 al 31 dicembre 2020), esaminando se TikTok ha rispettato i suoi obblighi ai sensi del GDPR in relazione al trattamento dei dati personali relativi agli utenti minori di la piattaforma nel contesto di determinate impostazioni della piattaforma (comprese le impostazioni pubbliche predefinite e le impostazioni associate alla suddetta funzionalità "Family Matching"), nonché esaminando la verifica dell'età come parte del processo di registrazione.
Il DPC ha inoltre esaminato “alcuni” obblighi di trasparenza, compreso il modo in cui le informazioni venivano fornite agli utenti minorenni in relazione alle impostazioni predefinite.
I risultati preliminari hanno rilevato un numero di violazioni del GDPR leggermente inferiore a quello confermato nella decisione finale di oggi. Ma altre due autorità, la DPA italiana e l'autorità di regolamentazione di Berlino, hanno sollevato obiezioni al suo progetto di decisione e il disaccordo è stato approvato dal Comitato europeo per la protezione dei dati (EDPB) per prendere una decisione vincolante, che ha convenuto che dovesse esserci anche una constatazione di violazione del principio di equità del GDPR. Il Consiglio ha inoltre ordinato all'Irlanda di ampliare la portata dell'ordine di rendere il trattamento conforme per fare riferimento alle attività correttive necessarie per affrontare la violazione dell'equità.
La decisione finale del DPC è stata adottata il 1 settembre 2023, suggerendo che TikTok ha tempo fino all'inizio di dicembre per rettificare la propria conformità al GDPR o rischiare ulteriori sanzioni.
Anche se la società sostiene di aver già risolto la maggior parte dei problemi per i quali oggi viene sanzionata, da qui la sua "particolare" obiezione all'entità della sanzione.
L'autorità di regolamentazione della privacy del Regno Unito, l'ICO, ha emesso una sanzione nei confronti di TikTok all'inizio di quest'anno, anche in relazione al trattamento dei dati dei bambini, imponendo una multa di 15,7 milioni di dollari per aver violato il regime di protezione dei dati provenienti dal Regno Unito tra maggio 2018 e luglio 2020, anche per non aver impedito l’accesso alla sua piattaforma a circa 1,4 milioni di utenti minorenni.
Lo scorso anno nell’UE è stata inflitta una sanzione GDPR più elevata a Instagram di proprietà di Meta, anche in relazione alle violazioni della protezione dei dati che riguardano i bambini. In quel caso, il colosso della tecnologia è stato multato di 405 milioni di euro al termine di un’indagine del DPC iniziata nell’ottobre 2020.
Le sanzioni legate alle preoccupazioni relative alla protezione dei minori continuano a rappresentare alcune delle più grandi sanzioni imposte dalle autorità europee di regolamentazione della privacy negli ultimi anni. Anche se le somme in questione sono ancora lontane dalla sanzione più grande del GDPR fino ad oggi: una multa di 1.200 miliardi di euro per trasferimenti illegali di metadati.
Tuttavia, questo potrebbe non essere di grande conforto per TikTok, dato che le sue stesse esportazioni di dati rimangono sotto indagine nell’UE. Il vice commissario del DPC Graham Doyle ha dichiarato che spera di poter presentare un progetto di decisione su questa seconda indagine di TikTok, incentrata sui trasferimenti di dati, ad altre autorità regionali per la protezione dei dati per la revisione entro la fine dell'anno. Una decisione finale dovrebbe quindi arrivare nel 2024, con la tempistica esatta che dipenderà dal fatto che altre autorità non siano d'accordo con le conclusioni preliminari dell'Irlanda.
L’EDPB è stato chiamato a prendere decisioni vincolanti su una serie di indagini GDPR condotte dall’Irlanda sulle Big Tech da quando il regolamento è entrato in vigore. In tutti i casi, le sanzioni che ne sono derivate sono state inasprite attraverso l'intervento del Collegio, talvolta in modo sostanziale e spesso sia in termini di entità delle sanzioni pecuniarie irrogate che di portata degli accertamenti di violazione.
Pressione per agire
L'autorità di regolamentazione irlandese ha aperto due anni fa le due suddette indagini su TikTok, sui trasferimenti di dati e quella relativa alla decisione odierna sul trattamento dei dati dei minori. La mossa è arrivata dopo le pressioni di altre autorità di protezione dei dati dell’UE e di gruppi di protezione dei consumatori che avevano espresso preoccupazioni su come la piattaforma gestisce i dati degli utenti in generale e le informazioni sui bambini in particolare.
All'inizio dello stesso anno il Garante italiano per la protezione dei dati personali ha adottato misure di emergenza contro TikTok per motivi di sicurezza dei bambini. I loro interventi hanno portato la piattaforma a verificare nuovamente l’età di tutti gli utenti nel Paese e a cancellare più di mezzo milione di account che non è stato possibile verificare che non appartenessero a bambini di età inferiore a 13 anni.
In questo periodo, anche le autorità europee per la tutela dei consumatori hanno sollevato una serie di segnali d’allarme riguardo alle preoccupazioni sulla privacy e sulla sicurezza dei bambini. Ma passarono ancora diversi mesi prima che l’autorità di regolamentazione irlandese annunciasse la sua indagine.
La lenta risposta alle preoccupazioni sulla sicurezza dei bambini derivanti dall’uso di TikTok da parte dei bambini ha contribuito a far sì che la commissaria del DPC Helen Dixon fosse sottoposta ad alcune domande ostili da parte degli eurodeputati durante un’audizione al Parlamento europeo all’inizio di quest’anno. I legislatori dell’UE hanno anche sollevato preoccupazioni più ampie sull’approccio del regolatore, chiedendosi se il regolatore irlandese sia all’altezza del compito di far rispettare il GDPR sulle principali piattaforme tecnologiche.
Dixon ha risposto con una forte difesa di ciò che sostiene essere “un’intensa applicazione del GDPR” da parte delle autorità irlandesi. Nello specifico su TikTok ha precisato che il DPC sta lavorando con la massima celerità vista la grande mole di materiale al vaglio.
