La decisione dell’autorità garante per la protezione dei dati personali ha fatto discutere. Il dibattito si è diviso fra chi ritiene il provvedimento giusto e chi esprime perplessità circa la sua efficacia. Probabilmente, però, la vera questione ruota attorno a un problema più grande: l’inadeguatezza delle norme attuali per identificare la responsabilità dei Social network.
Il tragico episodio di cronaca avvenuto recentemente a Palermo ha convinto il Garante privacy a disporre un provvedimento d’urgenza nei confronti del social cinese TikTok. I giornali hanno riportato la notizia dell’intervento parlando di un “blocco”. Il termine lascerebbe intendere che il social venga reso inaccessibile, ma non è così. In verità, il provvedimento non limita le attività del social cinese, per il semplice motivo che non può farlo. Analizziamo più nel dettaglio la vicenda.
Il complicato rapporto fra il Garante e Tik Tok: le pregresse violazioni del social cinese.
Già lo scorso dicembre, il Garante aveva contestato a Tik Tok una serie di violazioni, molte delle quali inerenti alla scarsa attenzione alla tutela dei minori, per cui il GDPR, il regolamento europeo di riferimento in materia di protezione di dati personali, prevede un trattamento più meticoloso. Si rimproverava, innanzitutto, la facilità con la quale è aggirabile il divieto, previsto dalla stessa piattaforma, di iscriversi al social per chi non abbia almeno 13 anni. È infatti possibile inserire una data di nascita conforme ai termini di servizio, ma non reale, in quanto non vi sono strumenti che permettano al social di verificare la correttezza del dato anagrafico. Questa situazione contrasta palesemente con la disciplina della manifestazione e validità del consenso espressa nella normativa italiana. Il decreto che recepisce il GDPR in Italia, infatti, prevede per l’iscrizione ai social network il consenso autorizzato dei genitori o di chi abbia la responsabilità genitoriale del minore non ancora 14enne. Inoltre, si ammoniva l’illiceità della impostazione predefinita del profilo dell’utente come “pubblico”, che permette la massima visibilità ai contenuti in esso pubblicati. Previsione contrastante con l’art. 25 GDPR che stabilisce l’adozione di misure tecniche ed organizzative che garantiscano, di default, la possibilità di scegliere se rendere o meno accessibili dati personali ad un numero indefinito di persone.
Oltre a queste violazioni, il Garante criticava l’informativa standardizzata rilasciata agli utenti e senza una sezione dedicata ai minori scritta con un linguaggio più semplice. Un comportamento, questo, poco trasparente e certamente poco attento e sicuro nei confronti dei soggetti più piccoli che, tra l’altro, rappresentano la parte quantitativamente più rilevante dell’utenza. Tik Tok, aveva aumentato le limitazioni degli account dei minori di 16 anni, seguendo alcune indicazioni del Garante. Tuttavia, non si era dotata di un nuovo meccanismo di verifica dell’età dell’utente, vanificando l’efficacia di qualsiasi altra misura.
Il provvedimento adottato lo scorso 22 gennaio.
L’auspicio del Garante è che il social network trovi il modo di accertarsi dell’età dei suoi utenti. Così, nel provvedimento, ha imposto a Tik Tok una limitazione provvisoria del trattamento dei dati degli utenti per i quali non vi sia assoluta certezza dell’età. Interrompendo, concretamente, agli utenti di cui non sia stata verificata l’età, la possibilità di pubblicare nuovi contenuti fino al 15 febbraio, data in cui l’Autorità giungerà a nuove decisioni. Tik Tok, dal canto suo, non ha ancora adempiuto a questo obbligo e l’attività sul social media continua inalterata.
Perché Tik Tok non si è ancora conformato al provvedimento?
Il social potrebbe aprire un negoziato e risolvere la situazione trovando un accordo. Oppure potrebbe impugnare il provvedimento, come ipotizzato anche da Guido Scorza, il membro dell’autorità Garante che ha redatto il provvedimento, o ancora, potrebbe semplicemente decidere di ignorarlo. Il cavillo normativo che permette a Tik Tok di non adeguarsi immediatamente al disposto del provvedimento si rinviene nel GDPR stesso. Il regolamento europeo, infatti, conferisce all’autorità Garante il potere di infliggere una sanzione a chi vìoli gli articoli del testo, ma non da solo: occorre infatti la compartecipazione del Garante Irlandese, dove è ubicata la sede di Tik Tok. La multa sarebbe certamente salatissima, avendo il regolamento europeo un regime sanzionatorio molto severo, atto a disincentivare le violazioni. Per provvedimenti più drastici sulla piattaforma social, è dunque necessario l’intervento del Garante Irlandese (come previsto dall’art 57 GDPR che circoscrive i poteri di ogni autorità ai confini dello Stato in cui risiede).
Un altro aspetto ricorrente:
L’episodio drammatico di Palermo, riporta in auge una tematica di cui periodicamente si discute: la responsabilità dei social. In termini tecnici si parla di “responsabilità del provider” e, fra gli studiosi, è riconosciuto il problema dell’inadeguatezza del quadro normativo attuale. La disciplina di riferimento è la Direttiva europea 31/2000, antecedente cioè persino al più diffuso dei social network: Facebook, nato nel 2004. Nella direttiva non compare una definizione di social network e questa lacuna è divenuta ormai intollerabile. Per tale motivo i giudici hanno fornito interpretazioni circa il predetto termine sulla base delle nozioni della direttiva, allargando e restringendo le maglie della responsabilità in relazione alla condotta più o meno attiva della piattaforma. L’interpretazione giurisprudenziale è arrivata a creare la categoria dell’“Internet Service Provider ATTIVO”, non presente in alcun testo normativo. All’interno di
questa specie, sembra possano ricomprendersi i social network ai quali non si applicano i regimi di favore riservati ad altri providers. La direttiva, infatti, prevede un generale esonero di responsabilità per il provider che svolga attività di semplice trasporto di informazioni (c.d. mere conduit, art. 14), di memorizzazione temporanea ed automatica delle informazioni (c.d. caching, art. 15), di memorizzazione di informazioni fornite dal destinatario del servizio (c.d. hosting, art. 16), a patto che non svolga un comportamento attivo e che, una volta venuto a conoscenza di un illecito, allerti l’autorità competente. Come anticipato, per quanto riguarda i social, sono stati i giudici ad aver sanzionato i comportamenti che di volta in volta ritenevano illeciti. Questa pratica, ovviamente, non è sostenibile nel lungo periodo, essendo auspicabile un intervento del legislatore che, finalmente, qualifichi il social network e preveda una disciplina rigorosa sulla sua responsabilità.
Daniele Dhoor Singh