L’Autorità irlandese per la protezione dei dati ha imposto una sanzione a TikTok Technology Limited per le sue pratiche di trattamento dei dati personali dei bambini in violazione del Regolamento generale sulla protezione dei dati. A seguito di una decisione vincolante del Comitato europeo per la protezione dei dati, l’Irlanda ha ordinato a TikTok di correggere entro tre mesi le soluzioni di design ingannevoli rivolte ai bambini.
Nella sua indagine d’iniziativa, il DPA irlandese ha esaminato le pratiche di TikTok in relazione al trattamento dei dati personali di bambini di età compresa tra 13 e 17 anni per il periodo dal 31 luglio al 31 dicembre 2020. L’indagine si è concentrata in particolare sulle impostazioni della privacy degli account utente e dei video dei bambini nell’app.
L’indagine è stata condotta dall’Autorità irlandese per la protezione dei dati, poiché la sede centrale di TikTok nell’UE si trova in Irlanda. Anche l’Ufficio del Commissario per la protezione dei dati è stato coinvolto nel caso.
L’autorità irlandese per la protezione dei dati ha riscontrato che TikTok ha violato diverse disposizioni del Regolamento generale sulla protezione dei dati nel trattamento dei dati personali dei minori. Ad esempio, gli account degli utenti minori erano stati resi pubblici per impostazione predefinita, rendendo i post visibili a tutti. Ciò violava, tra l’altro, il principio di minimizzazione e la protezione dei dati per progettazione e per impostazione predefinita.
TikTok non ha inoltre informato i suoi utenti minorenni in modo sufficientemente chiaro sul trattamento dei dati personali. Sono stati individuati rischi per i bambini anche nelle impostazioni familiari di TikTok.
A TikTok è stato ordinato di interrompere l’utilizzo di soluzioni di design fuorvianti.
La sentenza dell’Irlanda fa seguito a una decisione vincolante di risoluzione delle controversie adottata in agosto dal Comitato europeo per la protezione dei dati. La procedura di risoluzione delle controversie ha affrontato specificamente la questione se alcune soluzioni di design di TikTok violassero il principio di correttezza del regolamento sulla protezione dei dati. Le autorità di controllo hanno concordato sulle altre violazioni individuate dall’Irlanda.
Nella sua decisione sulla controversia, la commissione ha valutato due notifiche pop-up di TikTok nel contesto della registrazione e della pubblicazione di video. Nei pop-up, l’utente veniva indirizzato (o “spinto”) da alcune soluzioni di design a selezionare impostazioni sulla privacy che rendevano automaticamente pubblico il profilo o il video. TikTok ha quindi reso più difficile effettuare scelte che favorissero la protezione dei dati personali. Inoltre, le conseguenze delle diverse opzioni non erano chiare, soprattutto per gli utenti minori.
“Le opzioni per le impostazioni sulla privacy dei social media devono essere presentate in modo neutrale, in modo che il linguaggio o il design non siano fuorvianti per l’utente”, afferma Anu Talus, presidente del Comitato europeo per la protezione dei dati. “Gli operatori digitali devono prestare particolare attenzione e adottare tutte le misure necessarie per salvaguardare i diritti di protezione dei dati dei minori”, afferma Talus.
Il GEPD ha invitato l’Irlanda a ordinare a TikTok di smettere di utilizzare soluzioni di design che violano il regolamento sulla protezione dei dati. Il Consiglio ha inoltre espresso dubbi sull’efficacia delle misure di verifica dell’età di TikTok tra il 31 luglio e il 31 dicembre 2020. La questione non ha potuto essere ulteriormente valutata sulla base delle informazioni disponibili nella procedura di risoluzione delle controversie. Tuttavia, il Consiglio ha richiesto alla DPA irlandese di prendere in considerazione la questione nella sua decisione finale.
La decisione finale irlandese è pubblicata nel registro sul sito web del Consiglio, che fornisce un link a un altro sito web contenente le decisioni delle autorità di vigilanza sui casi trattati nella procedura di risoluzione delle controversie.