TikTok Technology Limited (TikTok), la società basata in Irlanda dal social network cinese, dovrà pagare una multa sanzione amministrativa da 345 milioni di Euro per aver trattato in modo contrario ai principi del GDPR i dati personali di utenti europei di età compresa tra i 13 e i 17 anni nel periodo intercorrente tra il 31 luglio e il 31 dicembre 2020.

L’Autorità irlandese per la protezione dei dati (Data Protection Commission – DPC) aveva avviato l’indagine nel settembre 2021 operando, nell’ambito dei meccanismi di cooperazione e coerenza introdotti del GDPR, in qualità di autorità capofila avendo TikTok radicata a Dublino la propria sede UE (Ndr – Molti altri colossi della digital economy hanno scelto l’Irlanda come propria base europea, il che rende l’isola di smeraldo un collo di bottiglia nella protezione dati e il ruolo della DPC molto delicato come già abbiamo illustrato in questo focus). All’esito della propria istruttoria, la DPC aveva sottoposto il suo progetto di decisione alle Data Protection Authority (DPA) degli altri Stati Membri senza però ottenerne l’unanime consenso (tra i dissenzienti, il nostro Garante Privacy che ha richiesto un ampiamento delle violazioni contestate). Sempre in base ai meccanismi GDPR, la palla è passata al European Data Protection Board (EDPB) per che l’agosto scorso ha emanato la propria decisione vincolante per la risoluzione delle controversie in base alla quale la DPC ha potuto emettere la propria decisione definitiva con un provvedimento di 126 pagine pubblicato il 15 settembre 2023.

La decisione ha dunque sancito che TikTok ha violato, per il periodo considerato, il principio di correttezza del GDPR nel trattamento dei dati personali concernenti utenti minorenni. Gli utenti più giovani hanno visto i loro account essere impostati di default come pubblici, senza che ci fosse una adeguata valutazione dei rischi che questo comporta e senza un monitoraggio del controllo dei genitori sui loro profili.

Oggetto di particolare contestazione le le pratiche di progettazione implementate da TikTok riguardo due notifiche pop-up mostrate a ragazzi di età compresa tra i 13 e i 17 anni: il Pop-Up di registrazione e il Pop-Up di pubblicazione di video. L’analisi ha rilevato che entrambi i pop-up non presentavano le opzioni all’utente in modo obiettivo e neutrale.

Nel pop-up di registrazione, i ragazzini sono stati indotti a scegliere un account pubblico scegliendo il pulsante a destra “Salta”, che avrebbe poi avuto un effetto a cascata sulla gestione della loro privacy nella piattaforma, ad esempio rendendo accessibili i commenti sui contenuti video da loro creati.

Nel pop-up per la pubblicazione di video, i minori sono stati indotti a cliccare su “Pubblica ora”, presentato con un testo in grassetto e più scuro situato sul lato destro, piuttosto che sul pulsante più chiaro per “annullare”. Gli utenti che desideravano rendere privato il proprio post dovevano prima selezionare “annulla” e poi cercare le impostazioni sulla privacy per passare a un “account privato”. Pertanto, gli utenti sono stati incoraggiati a optare per le impostazioni pubbliche di default, e TikTok ha reso più difficile per loro fare scelte che favorissero la protezione dei loro dati personali. Inoltre, le conseguenze delle diverse opzioni non erano chiare, soprattutto per gli utenti minori. Rendendo difficile agli interessati la regolazione delle impostazioni sulla privacy e la limitazione del trattamento, il titolare ha così violato i principi di correttezza di cui all’art. 5 GDPR nonché quelli di privacy by design e by default di cui all’art. 25 GDPR. Così facendo, il social network ha anche infranto i principi di trasparenza di cui agli artt. 12 e 13 del GDPR non avendo previamente informato gli utenti sulle esatte caratteristiche del trattamento dei loro dati.

L’autorità ha inoltre riscontrato che l’age gate messo in atto da TikTok per impedire l’accesso alla piattaforma agli utenti minori di 13 anni poteva essere facilmente aggirato e che le misure applicate dopo che gli utenti avevano ottenuto l’accesso a TikTok non erano applicate in modo sufficientemente sistematico.

Oltre che pagare la multa, TikTok dovrà cessare tutte le pratiche contestate. Il colosso cinese precisa di averle già interrotte da mesi: “Pur rispettando l’autorità della Dpc, non siamo d’accordo sulla decisione, in particolare sull’importo della sanzione. Le criticità sollevate dall’autorità irlandese si concentrano su alcune impostazioni e funzionalità presenti in app tre anni fa e che abbiamo modificato ben prima dell’avvio dell’indagine, come l’impostazione dei profili degli utenti sotto i 16 anni privati di default”.

Per più ampie considerazioni sulle diverse criticità legate a TikTok rimandiamo a questo nostro approfondimento.