A partire dal mese di giugno 2022, il social network TikTok aveva informato i propri utenti di alcune novità in materia di privacy, annunciando che, a partire dal 13 luglio, gli utenti maggiori di anni 18 sarebbero stati raggiunti da pubblicità “personalizzata”, ovverosia da pubblicità basata sulla profilazione dei comportamenti tenuti nella navigazione sulla piattaforma. Il social network aveva modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma il “legittimo interesse” di cui all’art. 6, par. 1, lett. f) del Regolamento.
Tuttavia, il Garante per la protezione dei dati personali (GPDP), con provvedimento d’urgenza adottato il 7 luglio scorso, ha avvertito la piattaforma TikTok della illiceità della condotta consistente nell’utilizzo dei dati personali archiviati automaticamente nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.
In particolare, il Garante, che aveva aperto un’istruttoria sulla modifica della privacy policy, ha sottolineato, sul piano normativo, che il mutamento della base giuridica (dal consenso degli interessati al “legittimo interesse”) si pone in contrasto con quanto stabilito dalla direttiva europea 2002/58 (c.d. direttiva “ePrivacy”), nonché con l’art. 122 del Codice in materia di protezione dei dati personali, che ne dà attuazione. Tali norme, infatti, prevedono espressamente che la base giuridica “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” sia costituita esclusivamente dal consenso degli interessati.
Secondo il Garante, TikTok propone un rinvio pretestuoso ai “legittimi interessi […] perseguiti dai suoi Utenti” facendoli di fatto coincidere o comunque apparentemente sovrapponendoli con il legittimo interesse del titolare. Tale operazione logico-giuridica appare assai problematica e priva di precedenti: i riferimenti normativi relativi al concetto di legittimo interesse circoscrivono tale definizione a finalità proprie del titolare del trattamento, che non possono essere strumentalmente traslate genericamente sugli interessati.
La direttiva ePrivacy e la normativa di attuazione interna consentono di escludere che il legittimo interesse possa rappresentare una idonea base giuridica almeno per il trattamento, ai fini dell’invio di pubblicità personalizzata, di tutti quei dati personali che, nell’informativa di TikTok, vengono definite “informazioni raccolte automaticamente”.
La violazione della direttiva “ePrivacy” ha consentito al Garante di intervenire direttamente e in via d’urgenza nei confronti di TikTok, senza ricorrere alla procedura di cooperazione prevista dal GDPR, che avrebbe invece richiesto l’esercizio dell’iniziativa da parte dell’Autorità di protezione dati irlandese (in Irlanda, infatti, ha sede lo stabilimento principale di TikTok).
Oltre alla base giuridica inadeguata, il Garante ha sollevato anche un altro profilo di criticità: ha destato particolare preoccupazione l’effettiva tutela dei minori iscritti alla piattaforma. Sottolinea il Garante che le misure di verifica dell’età degli utenti su TikTok non sono state rappresentate neppure in linea generale dalla Società, che si è limitata a richiamare genericamente la circostanza per cui starebbe collaborando con esperti di settore e con l’autorità irlandese. Allo stato attuale, i risultati prodotti dai meccanismi di TikTok per la verifica dell’età dell’utente non paiono in grado di escludere che la pubblicità personalizzata possa essere rivolta a minori di anni 18, e persino ai minori di anni 14, che notoriamente sono tra i maggiori fruitori del social network.
Tale circostanza non consente di escludere il rischio che la pubblicità “personalizzata”, basata sul legittimo interesse, raggiunga i minori con contenuti non appropriati.
Il Garante, pertanto, avvalendosi di uno dei poteri previsti dal Regolamento Ue, ha inviato un avvertimento formale alla Società del social network TIkTok, avvisando che, con riferimento alle informazioni archiviate sui dispositivi degli utenti, il trattamento delle c.d. “informazioni raccolte automaticamente” effettuato sulla base giuridica del “legittimo interesse” si porrebbe al di fuori della cornice normativa in vigore, in quanto contrastante con l’art. 5, par. 3 della della Direttiva e-Privacy e l’art. 122 del Codice.
TikTok ha poi reso noto di aver sospeso il passaggio al legittimo interesse come base giuridica per la pubblicità “personalizzata” per le persone maggiori di 18 anni, adeguandosi, dunque, alle indicazioni dell’Autorità garante.