Il difficile percorso verso la compliance al GDPR dei Social Networks che trattano dati personali dei minori.
È tornato al centro dell’attenzione mediatica, sullo scudo della cronaca più drammatica, il tema del rapporto tra i minori e i Social Networks, e così del diritto alla privacy e di quegli individui che, con una fortunata espressione, possiamo definire nativi digitali.
Leggi anche: COVID -19, il vaccino e la sua possibile obbligatorietà
A scuotere le coscienze degli italiani, questa volta, è stata la morte di una bambina di dieci anni, vittima di quella che pare una “challenge” estrema di soffocamento indetta su TikTok, colosso Social Network cinese, alla quale quest’ultima era iscritta in violazione di quelli che sono i limiti di età fissati, in primis, dal legislatore europeo.
Infatti, con grande lungimiranza, il legislatore europeo è intervenuto nel 2016, per mano del GDPR, con l’obiettivo di arginare i gravi pericoli, all’epoca ancora indefiniti agli occhi di molti, che potevano scaturire dal libero accesso dei minori ad Internet e, dunque, ai Social Networks.
Così, il GDPR dedica diversi articoli alla protezione specifica della privacy e dell’identità digitale dei minori.
In particolare, con riferimento alla cd. “offerta diretta di servizi della società dell’informazione” veniva introdotto all’art. 8, per la prima volta in Europa, un limite specifico al trattamento dei dati personali dei minori da parte del titolare del trattamento (Social Network), fissando un limite di età (sedici anni, ma modificabile da ogni Stato Membro nel rispetto del limite massimo dei tredici anni) entro il quale il consenso prestato dal minore non può fondare una base giuridica per il trattamento dei suoi dati.
Una scelta storica, indubbiamente, che ha costretto i Social Networks più famosi a rispettare tale limite, privandosi, peraltro, di quella che da sempre rappresenta una delle fette di maggior spessore dell’utenza.
O almeno, si presume che tali limiti vengano rispettati. E proprio per tale motivo il caso della bambina palermitana è destinato a segnare un’importante traccia nella lotta che il legislatore europeo sta portando avanti, con grande difficoltà, contro i colossi del web mondiale nella salvaguardia del diritto alla protezione dei dati personali dei suoi cittadini.
Come da procedura, il nuovo collegio dell’Autorità Garante italiana si è infatti tempestivamente attivato per fare chiarezza su tale tragico episodio, disponendo l’immediato blocco dell’uso dei dati degli utenti di TikTok per i quali non è stata accertata l’identità anagrafica, e dunque l’effettiva età.
Il provvedimento emesso dal Garante italiano è destinato a durare fino al 15 febbraio, nella pendenza di una progressiva attività istruttoria e nell’attesa di ricevere il riscontro a tale contestazione da TikTok che, nel frattempo, assume formalmente le distanze dall’evento.
Leggi anche: La Cassazione si pronuncia sulla personalizzazione e sulla liquidazione del danno morale
Quest’episodio sarà dunque destinato a diventare un vero e proprio caso di scuola per i giuristi appassionati di data protection, in vista della prossima riunione plenaria dell’European Data Protection Board, che si terrà a Bruxelles il prossimo 28-29 febbraio, richiesta dal Garante Italiano proprio al fine di confrontarsi con le Autorità Garanti europee e formare una task force atta a esaminare quale responsabilità possa essere ricondotta in capo a TikTok.
La necessaria premessa, come afferma Guido Scorza (membro del Garante) è che “si tratta di un provvedimento cautelare adottato, come è previsto che sia, sulla base di quello che si chiama fumus boni iuris: l’apparente fondatezza del diritto azionato perché, poi, magari, approfondendo la questione nel merito ci si potrebbe accorgere che non è così”.
Il fondamento giuridico della decisione è, però, piuttosto lineare nelle sue linee portanti.
TikTok dichiara che tratta i dati personali di tutti i suoi utenti sulla base di un contratto finalizzato a potervi dare esecuzione e quelli degli utenti che le prestano il consenso, per finalità commerciali ulteriori.
La stessa società identifica il proprio servizio come riservato agli ultra tredicenni e su questa base propone ai soli utenti che abbiano tredici anni di accettare la sua proposta.
Se un infra tredicenne aderisce a una proposta riservata a un ultra tredicenne non si perfeziona nessun valido contratto e, quindi, il conseguente trattamento di dati personali si ritrova privo di ogni base giuridica (art. 8, par. 3 GDPR).
E lo stesso accade quando un infra quattordicenne, perché questo è il limite di età oggi previsto dalla disciplina italiana in materia di privacy, presta un consenso al trattamento dei suoi dati anche per finalità commerciali (art. 8, par. 1 e 2 GDPR e art. 2 quinquies).
Il consenso raccolto da Tik Tok non è un consenso valido.
A nulla rileva, in un caso e nell’altro, che l’utente abbia dichiarato un’età diversa ovvero quella giusta per accettare la proposta di Tik Tok e aderire al contratto.
Il GDPR, infatti, introduce anche un onere preciso di cui si deve far carico il titolare del trattamento, nel rispetto del principio di accountability, ossia quello di verificare l’età effettiva del novello iscritto al Social Network.
Ciò alla luce dell’art. 25 del Regolamento Europeo che impone al titolare del trattamento di disegnare, progettare (privacy by default) e gestire (privacy by design) i propri processi in modo che i trattamenti di dati personali siano leciti e, soprattutto, di essere in grado di provarne sempre la liceità.
Peraltro, si pone un problema a valle del trattamento, estensibile a tutti i Social Network, e che riguarda i contenuti veicolati attraverso tali siti: se infatti TikTok, per sua stessa ammissione, è considerabile un servizio della società dell’informazione diretto ai minori ai sensi dell’art. 8 del GDPR, allora è inconcepibile, da un punto di vista etico ma con importanti riflessi nel mondo giuridico, che possano essere caricati e visionati video così offensivi e dannosi per i minori.
TikTok si potrebbe accodare, così, alla lunga lista di Social Network che dal 2016 in poi hanno subito le pesanti sanzioni pecuniarie previste dal GDPR, che, ricordiamo, prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo).