Il 2021 sta diventando un palcoscenico inedito per il rafforzamento della tutela dei dati personali degli utenti italiani, e non solo.
Dopo il caso “WhatsApp”, solo qualche giorno fa il Garante Privacy italiano, Pasquale Stanzione, è intervenuto anche sulla celebre piattaforma “TikTok”, intimando in via di urgenza il blocco temporaneo del trattamento dei dati personali di tutti quegli utenti che si trovano in territorio italiano per il quali non vi sia “assoluta certezza dell’età” anagrafica.
Il social network cinese era finito nel mirino delle Autorità Garanti – non solo quella italiana – già da molto tempo.
Soffermandoci sull’ambito nazionale, era il Gennaio 2020 quando l’allora Garante, Antonello Soro, aveva fatto scattare l’allerta a livello internazionale, chiedendo ed ottenendo dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) l’istituzione di una task force di esperti per far luce sull’operato di TikTok e sui rischi sottesi ai dati personali degli utenti.
Mentre era in corso l’indagine a livello europeo, nel Dicembre scorso l’attuale Garante aveva avviato un’istruttoria formale nei confronti del social network per via delle “forti criticità” riscontrate nel trattamento dei dati personali degli utenti iscritti alla piattaforma, puntando il dito contro la scarsa attenzione riservata da TikTok alla protezione dei soggetti più vulnerabili, l’estrema facilità nell’eludere il divieto di iscrizione per i più piccoli e l’incertezza sulle modalità di verifica dell’età anagrafica degli utenti.
“TikTok (…) non impedisce ai più piccoli di iscriversi né verifica che vengano rispettate le norme sulla privacy italiane, le quali prevedono per l’iscrizione ai social network il consenso autorizzato dei genitori o di chi ha la responsabilità genitoriale del minore che non abbia compiuto 14 anni” – si legge nella comunicazione di avvio dell’istruttoria dei 22 Dicembre– e proprio la tutela prioritaria degli interessi dei minori è stato il fattore determinante dell’intervento del 22 Gennaio 2021.
La soglia di allerta ha raggiunto il suo apice, legittimando il Garante a bypassare le procedure ordinarie che richiederebbero di rispettare il meccanismo di coerenza e quindi la previa consultazione delle altre Autorità di controllo europee, con la tragica vicenda della bambina italiana di 10 anni, morta appena qualche giorno fa – si ipotizza – proprio mentre partecipava con il suo smartphone ad una challenge sull’app TikTok.
La notizia, certamente di forte impatto mediatico, ha spinto il Garante a ricorrere – per la prima volta in assoluto dall’entrata in vigore del GDPR – alla procedura d’urgenza prevista dall’articolo 66 del GDPR, che consente alle Autorità di controllo nazionali, in ipotesi eccezionali, di applicare misure provvisorie della durata massima di tre mesi, con effetti territorialmente limitati all’ambito locale.
La misura prescelta è stata quella della limitazione temporanea del trattamento dei dati, prevista all’articolo 58, par. 2, lett. f) del Regolamento Europeo.
La Società destinataria è stata la “TikTok Technology Limited” o “TikTok Ireland”, Società con sede legale a Dublino che offre i servizi agli utenti che si trovano all’interno dello Spazio Economico Europeo (SEE) e in Svizzera – come chiarito nelle Condizioni di Servizio liberamente accessibili dal sito web di TikTok – soggetta all’applicazione del GDPR in quanto stabilimento principale del social network cinese in Europa ai sensi dell’articolo 4, par. 16, del Regolamento.
Il cuore del provvedimento, come detto, è l’impossibilità di garantire con certezza che gli utenti che si iscrivono alla piattaforma abbiamo l’età minima per usufruire del servizio.
L’Informativa Privacy di TikTok, aggiornata al Luglio 2020, all’articolo 9 (“Informazioni relative ai bambini”) recita espressamente che “TikTok non è destinato ad utenti di età inferiore ai 13 anni” ma sul punto è necessario qualche considerazione.
Ai soggetti vulnerabili, quali i minori, il Regolamento Europeo riserva un regime speciale di protezione, in ragione del fatto che – come specifica il Considerando 38 – possono essere meno consapevoli dei rischi, delle conseguenze, delle misure di salvaguardia e dei loro diritti, soprattutto quando, come nel caso di specie, la raccolta dei dati personali dei minori avviene all’atto dell’utilizzo di servizi forniti direttamente a questi ultimi.
Particolare attenzione merita il tema del cd. “consenso digitale” dei minori, che il GDPR disciplina all’articolo 8.
Per il legislatore europeo, quando il trattamento ha ad oggetto dati comuni (diversi da quelli appartenenti a categorie particolari, quali i dati sensibili, genetici o giudiziari) e riguarda l’“offerta diretta di servizi della società dell’informazione ai minori” (quindi iscrizione ai social network e ai servizi di messaggistica), il minore, pur non avendo la maggiore età, può esprimere validamente un consenso al trattamento se ha almeno 16 anni. Al di fuori di questo ambito oggettivo, ovvero anche al suo interno se si tratta di un infrasedicenne, torna ad operare la regola generale secondo cui, se non ha la maggiore età, è necessario il consenso di chi esercita su di lui la potestà genitoriale.
Tuttavia, sempre e solo con riferimento ai servizi online, il GDPR accorda ai singoli Stati Membri la facoltà di stabilire per legge un’età diversa, purché non inferiore a 13 anni (articolo 8, par. 8, ult. inc.).
L’Italia, con il D. Lgs. n. 101/2018, ha fissato in 14 anni l’età minima per poter prestare validamente consenso ai servizi web. Lo stabilisce l’articolo 2-quinquies, co. 1, del Codice della Privacy, che nella versione aggiornata e vigente, recita: “In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”.
Ciò significa, tornando al caso TikTok, che affinché un minore che si trova in Italia possa acconsentire validamente al trattamento dei dati da parte della piattaforma deve avere almeno 14 anni. Diversamente, il trattamento sarebbe illecito perché sprovvista di una valida base giuridica.
La fattispecie – si basi bene – non è quella di un contratto invalido perché il Regolamento Europeo, all’ultimo paragrafo dell’articolo 8, è chiaro nello specificare che il “paragrafo 1”, ove è stabilita la deroga sotto il profilo oggettivo (tipologia di servizio) e soggettivo (limite di età) per il corretto esercizio della capacità di agire in ordine alla manifestazione del consenso, “non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore”.
La norma citata assume un rilievo fondamentale nell’analisi che si sta conducendo in quanto appalesa la natura non contrattuale della prestazione del consenso, dal momento che stabilisce requisiti diversi per la capacità di agire ai fini del compimento dell’atto di consenso al trattamento dei dati personali e la capacità di agire ai fini della manifestazione del consenso di natura contrattuale.
Tanto chiarito, il nodo che lascia aperto il provvedimento è pratico e non giuridico e riguarda le modalità con le quali TikTok – ma il discorso è chiaramente estendibile anche ad altri social network – può sincerarsi concretamente che chi si iscrive alla piattaforma abbia effettivamente almeno 14 anni e non dichiari un’età diversa da quella che realmente ha.
Tra le soluzioni che sono state proposte vi è stata anche quella di richiedere agli utenti la carta d’identità, ma non sembrerebbe una strada percorribile perché non coerente con il principio della minimizzazione dei dati: in altre parole, si fornirebbe alla Società TikTok Ireland, Titolare del trattamento, una quantità di dati sproporzionati rispetto alla finalità del trattamento che – lo ha ricordato l’Avvocato Guido Scorza, relatore del provvedimento cautelare – è quella di “verificare l’età” e non “l’identità”.
In alternativa, è stata riproposta la soluzione indiretta della transazione bancaria a costo zero o prossimo alla zero, che già era stata avanzata come metodo per accertare la prestazione del consenso per conto del minore da parte dell’esercente la potestà genitoriale. In altre parole, il Titolare potrebbe chiedere ad un genitore di effettuare, attraverso una transazione bancaria (mai come oggi a costo zero) un pagamento anche solo di un centesimo e scrivere in causale che chi ha effettuato l’operazione ha la responsabilità genitoriale nei confronti del minore.
Una soluzione (almeno temporanea) alla “age verification” potremmo in realtà averla già sotto gli occhi: un’identificazione algoritmica utilizzando gli stessi strumenti già impiegati per la profilazione degli utenti del web a scopo commerciale. “La sintesi è nemica dell’analisi ma distinguere un bimbo di 10 anni da un ragazzino di 13, magari con un margine di errore, credo sia un risultato ormai accessibile per chi sa di noi più di noi stessi” – ha twittato il relatore del provvedimento Guido Scorza – ed è forse dall’onestà intellettuale di queste parole che si potrebbe partire per ammettere che i colossi hi-tech potrebbero utilizzare quegli stessi algoritmi di elaborazione automatica delle informazioni con cui ricavano i big data per orientare le nostre preferenze commerciali, anche per distinguere un bambino di 10 anni da uno di 15.
Più che pensare alla mancata soluzione – di cui non deve farsi carico il Garante, vieppiù in un ordine di natura cautelare, urgente e temporaneo – bisognerebbe forse apprezzare la missione civica di cui, di fronte ad una tragedia come quella maturata a Palermo, si è fatto carico la nostra Autorità e che – ci sia consentito dirlo – travalica di molto i confini della protezione dei dati personali.
L’insegnamento di una cultura digitale non potrà mai passare da una sanzione esemplare o dalla chiusura di un social network. Nemmeno l’attento e continuo aggiornamento legislativo potrà mai dare al bambino le coordinate per districarsi in un ambiente insidioso come quello del web. Al Garante va solo il plauso di essersi messo sulle spalle il macigno di un ruolo educativo che la televisione e la politica hanno ormai perso da tempo.
Elena Massignani
Trainee Lawyer, Studio Legale Napoletano & Partners