TikTok viola la privacy dei minori: sanzione record da 345 milioni di euro

La piattaforma TikTok, con la propria sede Europea a Dublino (Irlanda), si è vista infliggere una sanzione pecuniaria di 345 milioni di euro a causa di presunte violazioni della normativa UE sulla protezione dei dati personali relative alle informazioni concernenti i minori. Secondo quanto reso noto dalla Commissione irlandese per la protezione dei dati (Irish Data Protection Commission), un’attenta indagine ha rilevato numerose problematiche legate alla privacy dei giovani utenti. Parallelamente all’imposizione della notevole sanzione finanziaria, TikTok Technology Limited è stata obbligata a conformarsi alle direttive impartite entro un termine di tre mesi.

La vicenda risale al mese di settembre 2021, quando l’autorità di vigilanza irlandese ha avviato un’indagine dettagliata su TikTok, un’applicazione di social media di ampia diffusione con oltre 150 milioni di utenti negli Stati Uniti e 134 milioni nell’Unione Europea. In particolare, le violazioni oggetto di contestazione risalgono al periodo compreso tra il 31 luglio e il 31 dicembre 2020 in relazione agli utenti di età compresa tra i 13 e i 17 anni.  L’irregolarità rilevata e contestata fa riferimento al processo di creazione degli  account, questi infatti, in sede di configurazione iniziale venivano automaticamente impostati con profilo privacy  pubblico, consentendo a qualsiasi individuo di accedere ai contenuti presenti e condivisi.

L’autorità ha poi indagato sull’implementazione della funzione di “connessione familiare” su TikTok, che consente ai genitori di associare il proprio account a quelli dei figli adolescenti. Su tale aspetto è emerso che TikTok non ha eseguito una verifica accurata per assicurare che l’utente associato fosse effettivamente il genitore o il tutore legale, generando quindi un deficit di controllo che metteva in pericolo la privacy dei minori.

Per il periodo considerato, TikTok ha quindi violato il principio di correttezza del Regolamento Generale sulla Protezione dei Dati (GDPR) in relazione al trattamento dei dati personali dei suoi utenti minorenni. Inoltre, non ha effettuato un’attenta e adeguata valutazione dei rischi nell’impostare automaticamente i profili degli utenti minorenni come pubblici né ha monitorato il controllo dei genitori sui loro profili.

Nella decisione presa dalla Commissione irlandese per la protezione dei dati, si sono inoltre evidenziate problematiche connesse all’utilizzo di alcune finestre pop-up per la registrazione e la pubblicazione dei video sulla piattaforma. In entrambe le circostanze, è stato constatato che i minori venivano “indotti” a compiere scelte che compromettevano la loro privacy. Ad esempio, nel caso del pop-up di registrazione, venivano spinti a selezionare l’opzione di account pubblico, esponendo di conseguenza i loro video a una platea più estesa. Nel caso del pop-up per la pubblicazione dei video invece, venivano incoraggiati a cliccare tempestivamente su “Pubblica ora”, rendendo i loro contenuti accessibili a chiunque in modo più visibile rispetto all’alternativa “Annulla”, che permetteva loro di impostare un account privato. Questi artifici volti a “pilotare” le impostazioni sulla privacy, con conseguente limitazione dell’autonomia nel trattamento dei dati, hanno fatto sì che il Titolare del trattamento, TikTok per l’appunto, contravvenisse ai principi di correttezza sanciti dall’articolo 5 GDPR, nonché ai principi di “privacy by design” e “privacy by default” contemplati dall’articolo 25 GDPR. Inoltre, tali azioni hanno comportato la violazione dei principi di trasparenza previsti dagli articoli 12 e 13 GDPR, poiché gli utenti non sono stati previamente informati in modo esaustivo sulle specifiche modalità di trattamento dei propri dati.

Nonostante ciò, TikTok ha replicato a quanto contestato dichiarando che molte delle problematiche sollevate dall’autorità irlandese erano già state affrontate e risolte tre anni fa. L’azienda ha enfatizzato di aver modificato l’impostazione predefinita dei profili degli utenti di età inferiore ai 16 anni, configurandoli automaticamente come privati, per garantire il rispetto delle normative. Inoltre, la Piattaforma ha manifestato la sua disapprovazione riguardo l’ammontare della sanzione, ritenendo che fosse sproporzionato rispetto alle violazioni contestate. Ciononostante, TikTok Technology Limited è ora tenuta a conformarsi alle prescrizioni imposte entro un termine di tre mesi a partire dalla decisione emessa dalla Commissione irlandese per la protezione dei dati.

Questa sanzione rappresenta uno dei casi recenti più significativi nell’ambito della protezione dei dati personali nell’Unione Europea e sottolinea l’importanza di garantire la sicurezza e la privacy, soprattutto dei giovani utenti online. TikTok, insieme ad altre piattaforme di social media, dovrà continuare a lavorare per assicurare il rispetto delle normative e la tutela dei diritti dei minori in un’era digitale in rapida evoluzione.

Fonti: Federprivacy, Garante Privacy