g-docweb-display Portlet

Tik Tok: Altolà del Garante Privacy alla pubblicità “personalizzata” basata sul legittimo interesse. Base giuridica inadeguata e rischi che la pubblicità arrivi anche ai minori

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

 

- VEDI ANCHE COMUNICATO STAMPA DEL 12 LUGLIO 2022


- English version

 

Tik Tok: Altolà del Garante Privacy alla pubblicità “personalizzata” basata sul legittimo interesse
Base giuridica inadeguata e rischi che la pubblicità arrivi anche ai minori


Il Garante per la protezione dei dati personali manda un segnale forte a Tik Tok. L’Autorità, con un provvedimento d’urgenza adottato il 7 luglio, ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.

Nelle scorse settimane il social network aveva informato i propri utenti che, a partire dal 13 luglio, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti nella navigazione su TikTok.  E aveva modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma non meglio precisati “legittimi interessi” di Tik Tok e dei suoi partner.

Il Garante aveva immediatamente avviato un’istruttoria sulla modifica della privacy policy e chiesto informazioni al social network.

Sulla base degli elementi forniti dalla Società, l’Autorità ha ora concluso che tale mutamento della base giuridica  risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy” , e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione), norme che prevedono espressamente come base giuridica “per l'archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell'apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.

Oltre alla base giuridica inadeguata, il Garante ha messo in luce un aspetto che desta particolare preoccupazione e che riguarda la tutela dei minori iscritti alla piattaforma. Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma - ha osservato l’Autorità - non consentono infatti di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati.

L’Autorità italiana, avvalendosi di uno dei poteri previsti dal Regolamento Ue, ha pertanto inviato un “avvertimento” formale alla Società, avvisando che un trattamento effettuato sulla base giuridica del “legittimo interesse”, almeno in relazione alle informazioni archiviate sui dispositivi degli utenti, si porrebbe al di fuori della cornice normativa in vigore, con le evidenti conseguenze, anche di carattere sanzionatorio. 

L’Autorità si è pertanto riservata l’adozione di eventuali provvedimenti anche di urgenza qualora TikTok non recedesse dal proprio proposito.

La violazione della direttiva “ePrivacy” ha consentito al Garante di intervenire direttamente e in via d’urgenza nei confronti di Tik Tok, al di fuori della procedura di cooperazione prevista dal Gdpr, che avrebbe visto l’esercizio dell’iniziativa da parte dell’Autorità di protezione dati irlandese, Paese ove Tik Tok ha fissato il proprio stabilimento principale. 

In ogni caso, poiché anche il trattamento di informazioni diverse rispetto a quelle archiviate sui dispositivi degli utenti sulla base del legittimo interesse appare incompatibile con la disciplina europea in materia di protezione dei dati personali - in questo caso quella dettata dal Gdpr - il Garante ha contestualmente informato il Comitato europeo delle autorità di protezione dei dati personali e l’Autorità irlandese, perché valutino le ulteriori iniziative da intraprendere. 

Roma, 11 luglio 2022

 

 

___________

Tik Tok: Italian SA warns against ‘personalised’ ads based on legitimate interest
The legal basis is inadequate and there is the risk for the ads to also target children

The Italian SA (Garante per la protezione dei dati personali) sent a clear message to TikTok. Through an urgent decision adopted on 7 July, the Italian SA warned the platform that the personal data stored in users’ devices may not be used to profile those users and send personalised ads without their explicit consent.

Over the past weeks, Tik Tok had informed users that people aged above 18 would receive ‘personalised’ ads – i.e., based on profiling users’ behaviour during their visits to TikTok – starting from the 13th of July. The platform had modified its privacy policy by stating that the processing of personal data would be based no longer on consent, but on vaguely defined ‘legitimate interests’ by Tik Tok and partners.

The Italian SA had immediately started a fact-finding exercise regarding the changed privacy policy and requested information from the social network.

Following the information made available by the company, the Italian SA drew the conclusion that the change in legal basis was incompatible with EU directive 2002/58, i.e., the so-called ePrivacy directive, as well as with Section 122 of the Italian personal data protection law (the ‘Code’) which transposed that directive. Both legal instruments set out explicitly that the data subjects’ consent is the only legal basis for ‘the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user’.

In addition to the inadequate legal basis, an issue was of special concern to the Italian SA as related to the protection of child users that are registered with the platform. According to the Italian SA, the difficulties currently encountered by TikTok in order to establish compliance with the age requirements to access the platform do not allow ruling out the risk that ‘personalised’ ads including unsuitable contents will be served to very young users based on the company’s legitimate interest.

Therefore, the Italian SA relied on the powers conferred on it by the GDPR and sent a formal ‘warning’ to TikTok that processing data on the basis of its ‘legitimate interest’ would be in conflict with the current regulatory framework, at least with regard to the information stored in users’ devices,  and would entail all the relevant consequences also in terms of  corrective measures and fines.

The Italian SA reserved its right to take additional measures, including urgent measures, if TikTok does not take a step back.

The finding of an infringement of the ePrivacy directive allowed the Italian SA to step in directly and urgently regarding TikTok, outside the cooperation procedure as set out in the GPDR which would have required the Irish Data Protection Commission to lead the proceeding - since TikTok placed its main EU establishment in Ireland.

At all events, relying on the controller’s legitimate interest to process information that is not stored in users’ devices does not appear to be in line with the European data protection law in general– i.e., with the GDPR – either. This is why the Italian SA informed the European Data Protection Board and the Irish Data Protection Commission of its decision in order for them to consider further action. 


Rome, 11 July 2022