A seguito delle ultime vicende di cronaca che hanno coinvolto il social network Tik-Tok, il Garante per la protezione dei dati personali ha disposto nei confronti della piattaforma della società cinese Bytedance, la misura della limitazione provvisoria del trattamento relativamente ai dati personali degli utenti sul territorio italiano per il quale non vi sia la possibilità di verificare con assoluta certezza l’età dell’utente. Tale misura avrà efficacia fino al prossimo 15 febbraio e dovrebbe implicare un vero e proprio blocco nei confronti di Tik- Tok al trattamento di dati personali degli iscritti alla piattaforma, stante l’impossibilità per la piattaforma dimostrare con sicurezza l’età di ciascun utente.
Il provvedimento disposto dall’Autorità nasce dall’istruttoria già avviata lo scorso dicembre nei confronti di Tik Tok, in cui il Garante aveva sollevato alla società le sue perplessità su presunte violazioni di alcune disposizioni principali del GDPR (tra cui base giuridica del trattamento, trasferimento dati personali extra UE, periodo di conservazione), rinvenendo soprattutto gravi lacune alle forme previste per verificare l’età anagrafica degli utenti minorenni. Difatti, il Garante ha preso atto come la piattaforma raccolga – alla stregua di altre realtà del mercato dei social network – esclusivamente una dichiarazione dell’utente con riguardo alla sua età, senza adottare ulteriori misure di controllo. Allo stato attuale, pare che la società Cinese abbia disposto preventivamente il blocco di qualsiasi registrazione al social network sul territorio italiano nonostante non siano giunte ai mezzi di stampa dichiarazioni da parte di Tik-Tok sul provvedimento del Garante. Ovviamente tale misura risulta essere insufficiente per la piena conformità al provvedimento dell’Autorità, che si prospetta pertanto essere oggetto di impugnazione nei prossimi giorni da Tik-Tok.
L’atto emanato dall’Autorità Italiana si configura come un provvedimento di estrema urgenza volto a proteggere i diritti e le libertà degli interessati – soprattutto i minori – essendo lo stesso stato disposto ai sensi dell’art. 66 del GDPR, che prevede per l’appunto come un’autorità di controllo possa adottare misure provvisorie intese a produrre effetti giuridici sul proprio territorio in deroga al meccanismo di coerenza. Tale meccanismo si configura invece in un’azione condivisa dei garanti europei attraverso il ruolo di coordinamento dell’autorità capofila. Dal momento che la società cinese Bytedance ha individuato il suo stabilimento principale in Irlanda, spetterà all’Autorità Irlandese disporre un’attività istruttoria nei confronti del social network oltre che attivare in via ordinaria tutti i poteri previsti dall’art. 56 del GDPR.
Detto ciò, è importante notare come il provvedimento emanato dalla nostra Autorità possa essere considerato un monito agli altri social network – tra tutti facebook e instagram – a rispettare i principi del GDPR, tra tutti quello di privacy by design e default oltre che il rispetto dell’art. 8 del GDPR che concerne il consenso acquisito nell’ambito dei servizi della società dell’informazione dei minori.
È altresì rilevante indicare come tutti i principali social network abbiano individuato in Irlanda il proprio stabilimento principale e, pertanto, ci si aspetta nelle prossime settimane che l’Autorità Capofila possa adottare provvedimenti di natura generale che possano per l’appunto valutare possibili profili di illiceità da parte dei social network negli strumenti adottati per l’age verification.