Breaking news

 

 

 

Ammonimento del Garante a TikTok per profilazione basata sul legittimo interesse

Con un provvedimento d’urgenza adottato il 7 luglio u.s., il Garante ha, per ora, avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.

Nelle scorse settimane, il social network aveva informato i propri utenti che, a partire dal 13 luglio, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti nella navigazione su TikTok.  E aveva modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma non meglio precisati “legittimi interessi” di TikTok e dei suoi partner.

Il Garante aveva immediatamente avviato un’istruttoria sulla modifica della privacy policy e chiesto informazioni al social network.

Sulla base degli elementi forniti dalla Società, l’autorità di controllo ha ora concluso che tale mutamento della base giuridica risulta incompatibile con la Direttiva europea 2002/58 (“ePrivacy”), e con l’art. 122 del d. lgs 19/2003 e s.m.i. (che ne dà attuazione), norme che prevedono espressamente come base giuridica per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente esclusivamente il consenso degli interessati.

Oltre alla base giuridica inadeguata, il Garante ha messo in luce un aspetto che desta particolare preoccupazione e che riguarda la tutela dei minori iscritti alla piattaforma. Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma non consentono di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati.

Avvalendosi di uno dei poteri previsti dal GDPR, ha inviato un “avvertimento” formale a TikTok, il Garante ha avvisato che un trattamento effettuato sulla base giuridica del “legittimo interesse”, almeno in relazione alle informazioni archiviate sui dispositivi degli utenti, si porrebbe al di fuori della cornice normativa in vigore, con le evidenti conseguenze, anche di carattere sanzionatorio.

Si è pertanto riservato l’adozione di eventuali provvedimenti anche di urgenza qualora TikTok non recedesse dal proprio proposito.

La violazione della direttiva “ePrivacy” ha consentito al Garante di intervenire direttamente e in via d’urgenza nei confronti di TikTok, al di fuori della procedura di cooperazione prevista dal GDPR, che avrebbe visto l’esercizio dell’iniziativa da parte dell’Autorità di protezione dati irlandese, Paese ove TikTok ha fissato il proprio stabilimento principale.

In ogni caso, poiché anche il trattamento di informazioni diverse rispetto a quelle archiviate sui dispositivi degli utenti sulla base del legittimo interesse appare incompatibile con la disciplina europea in materia di protezione dei dati personali – in questo caso quella dettata dal GDPR – il Garante ha contestualmente informato il Comitato europeo delle autorità di protezione dei dati personali e l’autorità irlandese, perché valutino le ulteriori iniziative da intraprendere.

 

Attenzione ai Google Analytics: ammonimento nei confronti di un gestore web

Il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal GDPR, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti, se non sono messe in atto le prescrizioni previste per il trasferimento di dati personali verso Paesi terzi (Capo V del GDPR).

Lo ha affermato il Garante a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità di controllo europee. Dall’indagine è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookies, informazioni sulle interazioni degli utenti con i già menzionati siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso (es.: se l’utente accede al proprio account Google).

All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media srl che gestisce un sito web, ingiungendo alla stessa di conformarsi al GDPR entro n. 90 (novanta) giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite degli analitici di Google, verso gli Stati Uniti.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di Intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, ad oggi, un livello adeguato di protezione dei dati personali degli utenti.

Con l’occasione è stata richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo al Garante che invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookies e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di n. 90 (novanta) giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al GDPR dei trasferimenti di dati effettuati dai titolari del trattamento.

Importante, dunque, usare sicuramente il tool messo a disposizione da Google per anonimizzare l’indirizzo IP (“IP-Anonymization”), agire con trasparenza verso gli utenti (informazioni sul trattamento dei dati e avvertenza della funzionalità di Google Analytics) e acquisire il consenso (condizione che rende lecito il trasferimento verso Paesi terzi) degli utenti. Ma ancora di più proporsi di utilizzare provider localizzati in SEE (Spazio Economico Europeo) che forniscono maggiori garanzie, essendo disciplinati dal GDPR. D’altro canto, lo stesso Google sta meditando seriamente di riallocare i propri servers in area europea, con conseguente innalzamento delle tutele a salvaguardia della riservatezza e sicurezza degli utenti.

Altra possibile azione è avvalersi di analoghi servizi messi a disposizione da providers anche a titolo gratuito, quali quelli consigliati dalla CNIL (autorità di controllo francese) e riconducibili, esemplificativamente, a Matomo, Plausible Analytics che sono ospitati in Europa.

 

Consultazione pubblica per armonizzare le sanzioni per le violazioni GDPR

Società private, enti pubblici, associazioni e tutte le persone interessate avranno tempo fino a lunedì 27 giugno 2022 per inviare i loro commenti e proposte di modifica alle nuove linee guide, adottate in via provvisoria dall’EDPB (European Data Protection Board), sulle sanzioni comminate per le violazioni del GDPR.

Le nuove regole proposte a livello UE hanno l’obiettivo di armonizzare le modalità di calcolo delle sanzioni amministrative, per evitare disparità di trattamento tra un Paese europeo e l’altro.

I Garanti europei hanno proposto un aggiornamento delle metodologie adottate, suddividendo le modalità di calcolo in cinque fasi.

1. Prima fase: si stabilisce se il caso in questione riguarda uno o più casi di condotta sanzionabile e se la condotta abbia portato a una o più violazioni.

2. Seconda fase: si individua un punto di partenza (quantificabile) per il calcolo della sanzione, tenendo in considerazione la classificazione delle violazioni in base alla loro natura, la gravità della violazione e il fatturato dell’impresa.

3. Terza fase: sono valutati i fattori aggravanti o attenuanti che possono aumentare o diminuire l’importo della sanzione pecuniaria, sulla base di criteri interpretativi armonizzati.

4. Quarta fase: è definito il valore massimo della sanzione, in base alle disposizioni del GDPR, in modo da garantire che tali importi non vengano superati.

5. Quinta fase: è analizzato se l’importo ipotizzato per la sanzione soddisfa i requisiti di efficacia, dissuasività e proporzionalità previsti dal GDPR. Ad esempio, se la sanzione comminata a una grande multinazionale fosse di valore troppo basso, uguale a quella proposta per una piccola impresa, l’effetto deterrente della sanzione stessa verrebbe vanificato dalla sua scarsa capacità di incidere sul bilancio aziendale. Al tempo stesso, è necessario distinguere i soggetti che hanno commesso un solo errore da quelli che invece continuano imperterriti a violare le norme di data protection, come a volte accade nel telemarketing o in altri settori.

La versione finale delle nuove “Linee guida sul calcolo delle sanzioni amministrative” sarà definita al termine della consultazione pubblica, tenendo conto dei riscontri inviati dagli stakeholders per uniformare le modalità applicative del GDPR in tutta Europa.

 

Per saperne di più, contattami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635