L’Italia avverte TikTok di cambiare la politica sulla privacy

Crediti immagine: foto di Nur / Immagini Getty

Il tentativo di TikTok di cambiare la base legale per indirizzare gli annunci agli utenti in Europa sembra essere nei guai dopo che il cane da guardia italiano per la protezione dei dati è intervenuto e ha emesso un avviso di inadeguatezza legale pochi giorni prima di una modifica pianificata della politica sulla privacy.

La piattaforma di condivisione video generata dall’utente ha attratto Attenzione Dagli esperti di privacy il mese scorso, quando era in silenzio una dichiarazione Una modifica dei termini e delle condizioni per gli utenti nello Spazio economico europeo, nel Regno Unito e in Svizzera, che si dice si applicherà dal 13 luglio, per passare dal fare affidamento sul consenso al trattamento dei dati degli utenti per pubblicare annunci “su misura” alla rivendicazione una base legale nota come “interessi legittimi” e dire che si fermerà Ciò si traduce nel chiedere agli utenti il ​​permesso di tracciare annunci mirati.

Esperti di privacy rapidamente domanda Se il passaggio passerà all’esame delle autorità di regolamentazione della protezione dei dati.

La risposta – almeno in Italia – sembra essere no.

scrivi in ​​a comunicato stampa Nell’annunciare il suo “avvertimento ufficiale” a TikTok, l’autorità italiana – che ha affermato di aver avviato “immediatamente” un esercizio di accertamento dei fatti dopo aver ascoltato la prevista revisione della politica sulla privacy di TikTok – ha concluso che il previsto passaggio alla base giuridica era incoerente con la direttiva UE e con la legge locale sulla protezione dei dati che ha spostato il quadro dell’UE.

“Entrambi gli strumenti giuridici affermano espressamente che il consenso degli interessati è l’unica base giuridica per ‘archiviare informazioni o ottenere l’accesso a informazioni già archiviate, nei terminali degli abbonati o degli utenti'”, avverte la dichiarazione.

La DPA in Italia ha anche sollevato preoccupazioni sui rischi che TikTok prende di mira i bambini se procedesse con i cambiamenti, date le precedenti preoccupazioni sulla possibilità di identificare l’uso della sua piattaforma da parte dei minori.

IL Sicurezza Ha affermato di operare ai sensi della direttiva e-Privacy dell’Unione europea che copre le tecnologie di tracciamento e i dati elaborati su un dispositivo terminale.

La direttiva le consente di intervenire a livello nazionale, piuttosto che dover riferire le preoccupazioni all’Agenzia irlandese per la protezione dei dati, il che porta a denunce contro TikTok che rientrano nel Regolamento generale sulla protezione dei dati (GDPR) a seguito di un cosiddetto “singolo meccanismo di finestra” inteso a semplificare la conformità per le aziende. (Ma i critici sostengono che ha permesso ai giganti della tecnologia di eludere la responsabilità per l’elaborazione dei dati anti-privacy facendo acquisti nel forum.)

La Commissione irlandese per la protezione dei dati (DPC) ha due indagini GDPR aperte sulle attività di TikTok, avviate nel settembre 2021 (inclusa una incentrata sulla gestione dei dati dei minori), ma nessuna delle due indagini ha portato a decisioni, avvertimenti o ordini generali. .

Quindi il contrasto con il regolatore italiano che agisce così rapidamente in risposta alla preoccupazione sembra evidente.

Oltre a dare un avvertimento ufficiale a TikTok oggi, il DPA italiano ha anche affermato di riservarsi il diritto di adottare ulteriori misure, comprese azioni urgenti, se la piattaforma “non si tira indietro”.

L’articolo 66 del regolamento generale sulla protezione dei dati (GDPR) consente alle autorità di regolamentazione della protezione dei dati di eludere il requisito standard di incanalare le preoccupazioni attraverso un supervisore principale – e adottare immediatamente misure temporanee a livello nazionale (che possono durare tre mesi) – se sono soddisfatte è urgente lavorare per la tutela dei diritti e delle libertà degli interessati. Quindi c’è un meccanismo Sicurezza Potrebbe cercare di usarlo per lavorare rapidamente ai sensi del regolamento generale sulla protezione dei dati, ovvero se TikTok non fa marcia indietro sul cambio di politica sulla privacy.

Ho utilizzato questo meccanismo per intervenire in precedenza su problemi urgenti associati alla piattaforma TikTok, ad esempio avvertendo di controlli dell’età insufficienti nel 2020 e ordinando a TikTok di vietare gli utenti che non potevano verificare l’età.

Pochi mesi dopo, TikTok ha eliminato più di mezzo milione di account in Italia che non poteva confermare non appartenessero a minori.

Ora, l’Osservatorio dei dati italiano ha dichiarato di avere una “particolare preoccupazione” per il fatto che la piattaforma diventi una base giuridica inadeguata anche in termini di protezione degli utenti minorenni registrati, avvertendo: “[T]Le difficoltà che attualmente TikTok sta affrontando per dimostrare il rispetto dei requisiti di età per l’accesso alla piattaforma non consentono di escludere il rischio di mostrare ad utenti molto giovani annunci “su misura” con contenuti inappropriati sulla base del legittimo interesse dell’azienda.

Pertanto, ha compiuto il passo di emettere un avviso ufficiale a TikTok secondo cui il trattamento dei dati degli utenti sulla base di un “interesse legittimo” sarebbe “incoerente con l’attuale quadro normativo, almeno per quanto riguarda le informazioni memorizzate nei dispositivi degli utenti, e avrebbe tutte le conseguenze rilevanti anche in termini di azioni correttive.” Multe”, ha detto.

Mentre il regolamento generale sulla protezione dei dati dell’UE consente multe fino al 4% delle vendite globali totali dell’anno precedente per violazioni confermate delle regole, la vecchia direttiva ePrivacy consente alle agenzie competenti negli Stati membri di emettere sanzioni “effettive, proporzionate e dissuasive” ( Ordine che, in una manciata di casi recenti, ha portato ad alcune notevoli multe per i giganti della tecnologia, alcune superiori a $ 100 milioni, e ha persino portato a un notevole ripensamento della politica, quindi l’applicazione delle leggi sulla privacy dell’UE ha sicuramente un impatto, anche se Altro è necessario).

“La scoperta di una violazione della direttiva sulla privacy elettronica ha consentito alla SA italiana di intervenire direttamente e urgentemente nei confronti di TikTok, al di fuori di una procedura di cooperazione prevista dal GPDR che avrebbe richiesto alla Commissione irlandese per la protezione dei dati di guidare la procedura, dal momento che TikTok ha collocato la sua principale organizzazione dell’UE in Irlanda Sicurezza Spiega nel suo comunicato stampa, prima di dire che non pensa che la modifica della politica sulla privacy pianificata di TikTok sarebbe legale nemmeno ai sensi del GDPR – aggiungendo che ha quindi anche informato sia il DPC irlandese che il Comitato europeo per la protezione dei dati (EDPB) “in modo che loro di considerare ulteriormente il lavoro”.

Non è chiaro quale ulteriore azione potrebbe comportare.

Il DPC potrebbe decidere di aprire una nuova indagine (supponendo che TikTok non abbandoni il suo piano) – sebbene i tempi coinvolti nel caso transfrontaliero/big tech del regolatore irlandese suggeriscano finora che potrebbero passare anni prima che raggiunga una decisione e qualsiasi rinforzo.

Pertanto, l’EDPB potrebbe svolgere un ruolo importante – se l’organismo di vigilanza italiano decidesse di procedere con una procedura d’urgenza all’articolo 66 del Regolamento generale sulla protezione dei dati (GDPR) e chiedergli di intervenire e adottare misure definitive contro TikTok.

Mentre il consiglio ha respinto tale richiesta del dipartimento per gli affari politici di Amburgo, in relazione a un reclamo contro la condivisione dei dati WhatsApp-Facebook, l’anno scorso ha ordinato al DPC di indagare “rapidamente”. Pochi mesi dopo, c’è stata una decisione finale da parte del regolatore irlandese in una lunga indagine sulla trasparenza di WhatsApp che ha portato a una multa di 267 milioni di dollari. (Anche se il legame tra l’ordine del Consiglio e la conclusione del DPC secondo cui l’indagine era “volontaria” non è del tutto chiaro.)

TikTok e il DPC irlandese sono stati contattati per un commento Sicurezzaultimo intervento.

aggiornare: Un portavoce di TikTok ha ora inviato questa dichiarazione:

“In TikTok, ci sforziamo di creare un’esperienza personalizzata per la nostra comunità e allo stesso tempo ci impegniamo a rispettare la privacy dei nostri utenti, a essere trasparenti sulle nostre pratiche sulla privacy e ad operare in conformità con tutte le normative pertinenti. Mentre la nostra valutazione della recente notifica del Garante per la protezione dei dati personali è ancora in corso, non siamo in grado di commentare di più”.

Negli ultimi anni, la piattaforma di condivisione video ha anche affrontato il controllo regionale da parte delle autorità di regolamentazione della protezione dei consumatori. Le preoccupazioni sono state sollevate nel febbraio 2021 da una serie di agenzie, anche in relazione alla sicurezza dei bambini e al marketing. Questi reclami coordinati sulla protezione dei consumatori hanno portato a un “dialogo formale” guidato dalla Commissione europea e, proprio il mese scorso, le autorità di regolamentazione hanno accettato una serie di impegni da parte di TikTok per modificare le divulgazioni pubblicitarie (senza sanzioni a quel punto).

Tuttavia, i problemi di privacy relativi alla profilazione degli utenti su TikTok come parte delle misure di protezione dei consumatori devono ancora essere risolti, il che potrebbe anche spiegare perché l’autorità di protezione dei dati italiana abbia deciso di intervenire ora.

Aggiornamento 2: DPC ha anche inviato una dichiarazione, che ha rifiutato di commentare SicurezzaLa valutazione pianificata di TikTok in un legittimo interesse viola l’attuazione locale della Direttiva e-Privacy.

Ha affermato che le sue due indagini aperte su TikTok sono “a buon punto”, suggerendo che l’indagine sulla gestione dei dati dei bambini raggiungerà la fase di progetto di decisione e sarà inviata ad altre agenzie DPA dell’UE per la revisione il mese prossimo.

Questa è la dichiarazione completa:

Il DPC rileva che il Garante considera la proposta di affidamento di interessi legittimi di TikTok per violare il trasferimento italiano della direttiva sulla privacy elettronica. DPC non può commentare se questo è il caso.

“Per quanto riguarda la conformità al GDPR con le modifiche annunciate da TikTok, DPC ha richiesto informazioni dettagliate a TikTok sulle modifiche annunciate che hanno immediatamente consultato tutte le altre autorità di vigilanza sulla protezione dei dati dell’UE e durante il completamento della propria analisi. Ad oggi, DPC non ha ricevuto alcuna risposta da qualsiasi altro SA in UE diverso dal commento contenuto nel comunicato stampa del Garante DPC completerà la sua analisi a breve.

DPC ha due indagini TikTok ben avanzate. DPC ha aperto un’indagine per esaminare i trasferimenti di TikTok in Cina lo scorso settembre. Questa inchiesta è in corso con una dichiarazione dei problemi inviata a TikTok il 7 luglio. Al momento siamo in attesa delle loro candidature”.

Inoltre, abbiamo anche un’altra indagine aperta su TikTok per quanto riguarda la gestione dei dati dei bambini (anch’essa aperta lo scorso settembre) e prevediamo di presentare un progetto di decisione in questa inchiesta alle altre autorità di protezione dei dati dell’UE il mese prossimo.