Da Wired.it :
Il relatore del provvedimento adottato dal Garante della privacy spiega le motivazioni del blocco imposto alla piattaforma
* Guido Scorza è componente del collegio del Garante per la protezione dei dati personali e relatore del provvedimento contro TikTok.
Ho accettato volentieri l’invito di Wired a aprire un dibattito a margine del provvedimento d’urgenza con il quale il Garante per la protezione dei dati personali ha ordinato a Tik Tok il blocco del trattamento dei dati personali degli utenti dei quali non sia in grado di verificare l’età.
Sono, infatti, convinto che il provvedimento in questione ovviamente rappresenti solo un primo piccolo tassello – più o meno condivisibile, fondato, utile o opportuno – lungo la strada della soluzione a un problema planetario tanto complesso quanto importante. E niente più del dialogo e del confronto tra addetti ai lavori in aree e discipline diverse può essere utile allo scopo.
Il problema
La protezione dei dati personali rappresenta solo uno degli angoli di visuale di un problema che è, naturalmente più ampio e può essere riassunto come l’esigenza di fare in modo che un servizio destinato – a detta dello stesso fornitore – a un pubblico che abbia almeno raggiunto una certa età sia frequentato anche da utenti con un’età inferiore. La ragione alla base di tale preoccupazione credo sia intuitiva: se su un’attrazione riservata a un pubblico di persone alte più di un metro in un parco dei divertimenti entra un utente più basso, probabilmente, corre dei rischi per la sua salute e/o magari anche per quella altrui.
In una prospettiva più rigorosamente di protezione dei dati personali il problema è quello di scongiurare il rischio che un titolare del trattamento – TikTok nel caso del nostro provvedimento – tratti i dati personali di utenti che non sono in grado di autorizzarlo (lo dico qui in maniera a tecnica e lo spiego tra un istante) consapevolmente a procedere in tal senso.
Nello specifico, per stare a TikTok – ma il problema è probabilmente comune anche a altre piattaforme – la società, nella propria informativa per la privacy, dichiara che il trattamento di base dei dati dei suoi utenti è basato sul contratto da questi “firmato” accettando i termini d’uso e il trattamento per finalità commerciali è basato sul consenso degli interessati.
Alla base di entrambi i trattamenti, dunque, vi è una manifestazione di volontà: nel primo caso quella al perfezionamento del contratto, nel secondo caso quella al consenso al trattamento dei dati personali. Ogni vizio dell’una o dell’altra manifestazione di volontà, inesorabilmente, incide sulla legittimità del trattamento.
Il dubbio alla base del provvedimento
E il dubbio che, nel caso specifico, entrambe le manifestazioni di volontà siano viziate, nel caso specifico, è elevato. Innanzitutto, infatti, Tik Tok, contrariamente a quanto previsto dalla disciplina della materia – pur dovendo essere a conoscenza di rivolgersi a un pubblico anche e soprattutto di minorenni – non propone ai suoi utenti un’informativa a portata di adolescente in termini di accessibilità, intellegibilità, sintesi e chiarezza. La scarsa chiarezza dell’informativa sembra, già di per sé, un elemento potenzialmente idoneo a inficiare l’efficacia delle successive manifestazioni di volontà degli utenti della piattaforma.
A prescindere, tuttavia, da tale aspetto ci sono due ulteriori distinti profili che sembrano condurre alla stessa conclusione. La disciplina europea della materia stabilisce che i fornitori dei servizi della società dell’informazione – categoria alla quale TikTok appartiene – non possono raccogliere consensi al trattamento dei dati particolari da utenti che non abbiano compiuto almeno il sedicesimo anno di età o che abbiano almeno l’età minima – fino a tredici anni – stabilita dal legislatore nazionale. In tale età è stata fissata in quattordici anni. TikTok, dunque, non può, comunque, chiedere a utenti infraquattordicenni il consenso al trattamento dei loro dati personali per finalità commerciali.
Per ottemperare a tale previsione, pertanto, TikTok dovrebbe necessariamente verificare – ed essere in grado di provare – che gli utenti che le prestano, nell’ambito del processo di registrazione il consenso al trattamento dei dati personali siano ultraquattordicenni. In caso contrario, infatti, TikTok rischia – ed è probabilmente quanto sta accadendo – di trattare per finalità commerciali i dati di utenti che non abbiano prestato un valido consenso al trattamento non avendo ancora raggiunto l’età richiesta dalla disciplina vigente. Né sembra sufficiente obiettare, per superare tale eccezione, che gli utenti in questione hanno dichiarato, all’atto dell’accesso al servizio, di avere più di quattordici anni.
Il ruolo del Gdpr
In una logica di accountability – quella alla quale si ispira l’applicazione dell’intero Gdpr – infatti, TikTok non può non sapere che la sua piattaforma è largamente frequentata da infratredicenni e non può, dunque, omettere di implementare una serie di controlli per verificare la legittimazione degli interessati a fornirle il consenso al trattamento di dati personali per finalità commerciali.
Il Gdpr impone al titolare del trattamento di disegnare, progettare e gestire i propri processi in modo che i trattamenti di dati personali siano leciti e, soprattutto, di essere in grado di provarne sempre la liceità (articolo 25). In assenza di adeguati controlli sull’età di chi accetta la propria proposta contrattuale e di chi presta il consenso a ulteriori trattamenti per scopi commerciali sembra lecito dubitare che TikTok stia rispettando le regole della disciplina europea in materia di privacy.
E, a ben vedere, un ragionamento analogo appare possibile anche in relazione ai dati personali trattati in esecuzione del contratto che TikTok dichiara di aver concluso con gli utenti. La stessa società, infatti, identifica il proprio servizio come riservato agli ultratredicenni e su questa base propone ai soli utenti che abbiano tredici anni di accettare la sua proposta.Se un infratredicenne aderisce a una proposta riservata a un ultratredicenne non si perfeziona nessun valido contratto e, quindi, il conseguente trattamento di dati personali si ritrova privo di ogni base giuridica (articolo 8, paragrafo 3). E anche in questa ipotesi vale lo stesso principio già visto per la prestazione del consenso da parte di infraquattordicenni: TikTok non può limitarsi a sostenere che i suoi utenti le dichiarano di avere almeno tredici anni senza porre in essere alcuna verifica.
Le possibili soluzioni
Ma, a prescindere dalla condivisibilità o meno di questo ragionamento, uno dei punti centrali della discussione per evitare che si risolva in una disquisizione puramente teorica è cosa possa fare TikTok – al pari di ogni altro fornitore di servizi che si trovi in una situazione analoga – per verificare l’età dei suoi utenti ed esser dunque ragionevolmente sicura che essi siano in condizione di manifestare consapevolmente la volontà che viene loro chiesto di manifestare al perfezionamento del contratto prima e al trattamento dei dati per finalità commerciali poi.
Innanzitutto, è bene chiarire una volta di più che stiamo parlando di verificare l’età e non di verificare l’identità. Le due cose, specie nella dimensione digitale, non sono necessariamente collegate e la seconda non sembra la strada giusta da percorrere perché, almeno a percorrerla con poca perizia, si correrebbe il rischio di consegnare ai gestori delle piattaforme ancora più dati e dati ancora più preziosi rispetto a quelli che già anno.
L’identificazione della soluzione tecnologica necessaria alla soluzione del problema appartiene naturalmente al titolare del trattamento e rientra nella sua accountability. Chi, però, investe così tanto in ricerca e sviluppo proprio in soluzioni algoritmiche e basate sui big data per la profilazione degli utenti per scopi commerciali, probabilmente, potrebbe fare altrettanto per piegare le stesse soluzioni a distinguere un bambino di dieci anni da uno di tredici o di quattordici. Magari dai contenuti che guardano, dal modo in cui usano il dispositivo, dalla maniera con la quale interagiscono con l’interfaccia.
Queste soluzioni non consentiranno di pervenire a risultati infallibili ma, in una logica di accountability – quella alla base del Gdpr – una cosa è fare il massimo per evitare di raccogliere un consenso da parte di un utente che non ha l’età per prestarlo o iniziare un trattamento sulla base di un contratto con un utente che non ha l’età per perfezionarlo, e una cosa è limitarsi a chiedere a un ragazzino che sebbene non possa vuole usare un servizio di dichiarare la sua età. Non credo che la targettizzazione commerciale si basi esclusivamente sulle dichiarazioni degli utenti. È ampiamente basata sul modo in cui interagiamo con contenuti, interfacce e dispositivi. Perché non fare altrettanto a tutela dei bambini?
Ovviamente trattandosi di un approccio che presuppone un trattamento importante di dati personali, nel procedervi, il gestore della piattaforma dovrebbe rispettare i principi di proporzionalità e necessità del trattamento in modo da scongiurare il rischio che la medicina risulti peggiore del male che si vuol curare. Siamo alla prima applicazione della disciplina dettata dal Gdpr sui provvedimenti d’urgenza e davanti a un problema di dimensioni planetarie, non si può non dichiarare dubbi e perplessità circa il fatto che queste considerazioni siano giuste, fondate, condivisibili e dichiararsi ben lieti di ricevere commenti, osservazioni, critiche e nuove idee.
Potrebbe interessarti anche