TikTok condannata per pratiche di progettazione ingiuste nei confronti dei minorenni

A seguito della decisione di risoluzione delle controversie vincolante dell’EDPB, l’Autorità irlandese per la protezione dei dati (IE DPA) ha emesso una decisione finale, riscontrando in particolare che TikTok Technology Limited (TikTok) ha violato il principio di equità del GDPR nel trattamento dei dati personali relativi ai minori tra i 13 e i 17 anni. La decisione dell’EDPB è stata emessa il 2 agosto 2023 e copre le attività di trattamento di TikTok tra il 31 luglio e il 31 dicembre 2020.

Anu Talus, Presidente dell’EDPB, ha dichiarato: “Le aziende di social media hanno la responsabilità di evitare di presentare scelte agli utenti, specialmente ai minori, in modo ingiusto, in particolare se quella presentazione può spingere le persone a prendere decisioni che violano i loro interessi in materia di privacy. Le opzioni legate alla privacy dovrebbero essere fornite in modo oggettivo e neutrale, evitando qualsiasi tipo di linguaggio o progettazione ingannevoli o manipolativi. Con questa decisione, l’EDPB ribadisce ancora una volta che i giocatori digitali devono essere estremamente attenti e adottare tutte le misure necessarie per tutelare i diritti di protezione dei dati dei minori.”

Nella sua decisione vincolante, l’EDPB ha analizzato le pratiche di progettazione implementate da TikTok nel contesto di due notifiche a comparsa mostrate ai minori tra i 13 e i 17 anni: la Notifica di Registrazione e la Notifica di Pubblicazione dei Video. L’analisi ha rivelato che entrambe le notifiche non hanno presentato opzioni all’utente in modo oggettivo e neutrale.

Nella Notifica di Registrazione, i minori sono stati spinti a optare per un account pubblico scegliendo il pulsante del lato destro denominato “Salta”, il che avrebbe avuto un effetto a cascata sulla privacy del minore sulla piattaforma, ad esempio rendendo accessibili i commenti sui contenuti video creati dai minori.

Nella Notifica di Pubblicazione dei Video, i minori sono stati spinti a fare clic su “Pubblica ora”, presentato in un testo grassetto e più scuro situato sul lato destro, piuttosto che sul pulsante più chiaro per “annullare”. Gli utenti che desideravano rendere privato il proprio post dovevano prima selezionare “annulla” e quindi cercare le impostazioni sulla privacy per passare a un “account privato”. Di conseguenza, agli utenti è stato incoraggiato a optare per impostazioni predefinite pubbliche, con TikTok che rendeva loro più difficile prendere decisioni che favorissero la protezione dei propri dati personali. Inoltre, le conseguenze delle diverse opzioni non erano chiare, soprattutto per i minori. L’EDPB ha confermato che i responsabili del trattamento non dovrebbero rendere difficile agli interessati regolare le proprie impostazioni sulla privacy e limitare il trattamento.

Inoltre, l’EDPB ha rilevato che, a causa delle pratiche in questione, TikTok ha violato il principio di equità previsto dal GDPR. Di conseguenza, l’EDPB ha istruito l’IE DPA a includere, nella sua decisione finale, una constatazione di questa ulteriore violazione e a ordinare a TikTok di conformarsi al GDPR eliminando tali pratiche di progettazione.

L’EDPB ha valutato anche se le misure di verifica dell’età attuate da TikTok tra il 31 luglio e il 31 dicembre 2020 fossero conformi ai requisiti di protezione dei dati per progettazione (Art. 25(1) GDPR). L’EDPB ha espresso seri dubbi sulla efficacia delle misure di verifica dell’età messe in atto da TikTok durante questo periodo, tenendo particolarmente conto della gravità dei rischi per il gran numero di minori coinvolti. Tra le altre cose, l’EDPB ha rilevato che il controllo dell’età attuato da TikTok per impedire ai minori di 13 anni di accedere alla piattaforma poteva essere facilmente eluso e che le misure applicate dopo che gli utenti avevano accesso a TikTok non venivano applicate in modo sufficientemente sistematico.

Sulla base degli elementi disponibili nel contesto di questa procedura di risoluzione delle controversie, l’EDPB ha concluso di non avere informazioni sufficienti, in particolare in relazione allo stato dell’arte, per valutare in modo definitivo la conformità di TikTok all’Art. 25 (1) GDPR durante questo periodo. Tuttavia, considerando i seri dubbi sulla efficacia delle misure scelte da TikTok, l’EDPB ha richiesto all’IE DPA di riflettere su questo nella sua decisione finale.

La decisione finale dell’IE DPA incorpora la valutazione giuridica espressa dall’EDPB nella sua decisione vincolante. Questa decisione è stata adottata sulla base dell’Art. 65(1)(a) GDPR dopo che l’IE DPA, in qualità di autorità di controllo principale (LSA), ha attivato una procedura di risoluzione delle controversie riguardo alle obiezioni sollevate da alcune autorità di controllo interessate (CSA). Queste obiezioni delineavano la portata della decisione dell’EDPB, descritta sopra.

La decisione finale dell’IE DPA include anche una valutazione giuridica che non è stata oggetto di obiezioni da parte delle CSA, come la constatazione che le impostazioni predefinite pubbliche erano contrarie ai principi della protezione dei dati per progettazione e predefinizione,