Con un provvedimento giunto a sorpresa la sera di venerdì 22 gennaio 2021, l’Autorità Garante per la protezione dei dati personali italiana ha ordinato a TikTok di limitare il trattamento dei dati degli utenti italiani per i quali non vi sia assoluta certezza dell’età, ed in particolare dei minori.

Come si legge nel comunicato stampa diffuso dall’Autorità, il provvedimento contro TikTok è stato adottato sull’onda dell’indignazione generata dal caso della bambina di dieci anni che, a Palermo, ha perso la vita nel tentativo di girare un video estremo per partecipare ad una delle “sfide” organizzate tra gli utenti della piattaforma.

Il provvedimento del Garante, adottato in via d’urgenza, potrebbe potenzialmente portare ad un blocco del social network in Italia non solo per i minori, ma per tutti gli utenti. Infatti, il suo contenuto obbliga TikTok a limitare ogni trattamento dei dati di tutti gli utenti dei quali il gestore della piattaforma non sia in grado di accertare “con assoluta certezza” l’età.

Il servizio, tuttavia, non prevede dei meccanismi di accertamento dell’età che permettano di identificare con “assoluta certezza” l’età degli utenti. Per ottemperare alla prescrizione del Garante, TikTok potrebbe dunque vedersi costretto a sospendere provvisoriamente tutti gli utenti localizzati nel territorio italiano ed introdurre meccanismi in grado di accertare con precisione l’identità dell’utente e la sua età.

Si tratta però di un meccanismo tutt’altro che facile da implementare.

Cosa dice la legge sul consenso dei minori?

In generale, i minori di età sono privi della capacità d’agire e non possono dunque manifestare un consenso valido per quanto riguarda la conclusione di contratti o di altri atti giuridicamente rilevanti.

Vi sono però alcune eccezioni previste dalla legge e, in generale, dalla giurisprudenza e dagli studiosi del diritto. Si ritiene, infatti, che, maturata una certa consapevolezza ed autonomia, i ragazzi siano in grado di esprimere un consenso giuridicamente valido per alcuni contratti ed atti giuridici minori (ad esempio, per fare piccoli acquisti in un negozio o per svolgere certe attività).

Anche per il trattamento dei loro dati personali, è previsto che i minori possano esprimere un consenso al loro trattamento raggiunta una certa età.

Per i servizi della società dell’informazione (tra i quali vi sono i social network come TikTok, o WhatsApp), l’art. 2-quinquies del Codice della privacy italiano (d.lgs. n. 196/2003) ha previsto che l’età minima per esprimere il consenso al trattamento dei dati sia di quattordici anni. Al di sotto di questa età (o per servizi diversi da quelli della società dell’informazione) il consenso deve essere prestato dai genitori o da coloro che esercitano la responsabilità genitoriale.

Se TikTok o qualsiasi altro social network o servizio della società dell’informazione trattano i dati di un minore di quattordici anni senza un valido consenso, compiono un trattamento illecito di dati e sono esposti alle sanzioni previste dalla legge.

Anche se la legge riconosce ai minori la possibilità di prestare il consenso al trattamento dei dati personali, ciò non toglie che siano considerati soggetti “deboli” e meritevoli di essere protetti. Il Titolare del trattamento deve dunque valutare con estrema attenzione le potenziali ripercussioni sui minori dei trattamenti dei loro dati.

Come può TikTok ottemperare alle prescrizioni del Garante a tutela dei minori?

Il provvedimento del Garante nei confronti di TikTok ha efficacia immediata e sarà valido almeno fino al 15 febbraio 2021. TikTok dovrà dunque adeguarsi introducendo adeguate misure di verifica dell’età degli utenti italiani.

Ma quali strumenti potrà in concreto adottare?

L’adeguamento al provvedimento richiede infatti che la piattaforma adotti un sistema in grado di accertare “con assoluta certezza” l’identità della persona (il che contribuirebbe anche a combattere il pericolo di furto del profilo social), mentre non sembra richiesto che proceda alla sua identificazione. L’identificazione dell’utente non è dunque necessaria, ma può essere in certi casi collegata all’accertamento della sua età.

La certezza sull’identità e sull’età dell’utente potrebbe essere data soltanto utilizzando un sistema di identità digitale, come SPID o la carta di identità elettronica (CIE) o la Carta Nazionale dei Servizi (CNS). Il problema, però, che in Italia soltanto un numero ridotto di persone sono in possesso di questi strumenti, che potrebbero dunque non essere adeguati.

Un altro sistema potrebbe essere quello di attivare un servizio di video identificazione, che, attraverso una videochiamata o la registrazione di un breve video, siano in grado di identificare la persona e attestarne l’identità sulla base di un documento di identità. Anche questo sistema, però, richiede dei tempi tecnici che potrebbero impedire agli utenti di utilizzare la piattaforma per un lungo periodo.

Un terzo sistema potrebbe essere quello di richiedere agli utenti di associare al loro account un numero di carta di credito. Questo sistema, però, non consente di identificare con certezza l’utente ma solo di stabilire che è in possesso di uno strumento di pagamento che viene rilasciato ai maggiori di età.

Il possibile utilizzo dei dati di profilazione

Infine, si potrebbe pensare di utilizzare i dati di profilazione ricavati mediante l’elaborazione dei dati personali dell’utente e delle sue abitudini di navigazione, che hanno raggiunto un livello di precisione particolarmente sofisticato e che verosimilmente sarebbero in grado di classificare tutti gli utenti per fasce d’età e distinguere i minori. Rispetto a questo metodo, però, è dubbio che possa portare ad un risultato di “assoluta certezza”. Inoltre, un uso di questo strumento per queste finalità sarebbe particolarmente innovativo e potenzialmente impattante sui diritti e le libertà degli interessati e dovrebbe dunque essere preceduto da una adeguata valutazione di impatto o da una consultazione preventiva del Garante.

Quest’ultimo metodo sembra quello suggerito dallo stesso Garante, secondo l’opinione espressa in un’intervista rilasciata al quotidiano “La Stampa” da Guido Scorza,  componente dell’Autorità e relatore del provvedimento:

“credo che i gestori di queste grandi piattaforme planetarie – perché il problema, naturalmente, non riguarda solo Tik Tok – dispongano di una quantità tale di informazioni sui loro utenti che attraverso soluzioni di big data e intelligenza artificiale potrebbero essere in grado se non di dire se un utente ha 13 o 14 anni, certamente di dire se ne ha 10 o 14, 10 o 50. Insomma, onestamente, credo che chi sa su di noi, talvolta più di noi stessi, con un po’ di impegno può far meglio di quanto faccia oggi per fare in modo che un servizio che esso stesso definisce riservato ai soli maggiori di tredici anni, non sia utilizzato da chi 13 anni non li ha. Penso semplicemente al fatto che un utente di dieci anni fruisce in maniera più ricorrente di contenuti diversi da quelli di un utente che ne ha 14 o 15, interagisce con lo smartphone, con lo schermo e con le interfacce in maniera a sua volta diversa, fa tap sullo schermo in modo differente o si sofferma di più su questo o quel particolare”

Quali criticità?

Questa soluzione, sebbene affascinante, presenta però due aspetti critici.

Il primo è che la profilazione degli utenti secondo il modo in cui usano la piattaforma costituisce di per sé un trattamento di dati personali di quegli utenti.  Il Garante ha però vietato a TikTok di effettuare trattamenti diversi dalla conservazione sui dati degli utenti di cui non conosca l’età, allo scopo di tutelare i minori. Così che il social network non potrebbe svolgere questa attività senza violare l’ordine del Garante.

Il secondo è che, se davvero TikTok avesse già a disposizione uno strumento che gli consente di indurre l’età dei propri utenti e ciononostante avesse continuato a trattare i dati di persone che sapeva essere minori di 14 anni, avrebbe coscientemente violato le previsioni della legge. Dichiarando di disporre di questo strumento, dunque, aggraverebbe la propria posizione nel procedimento che il Garante ha aperto a dicembre nei suoi confronti e che ha per oggetto, tra l’altro, il modo in cui TikTok tratta i dati dei minori.

E se TikTok impugnasse il provvedimento del Garante?

Alla mattina del 25 gennaio 2021 TikTok non ha ottemperato al provvedimento del Garante per la protezione dei dati personali. Anche se il provvedimento ha carattere d’urgenza ed è immediatamente esecutivo, la piattaforma potrebbe optare per un ricorso al TAR del Lazio, con il quale potrebbe richiedere anche un provvedimento cautelare del Giudice amministrativo che sospenda l’efficacia del provvedimento del Garante.

Le prossime ore saranno decisive per comprendere quale sarà la strategia di TikTok.

Gli effetti del provvedimento del Garante per gli altri social network

Il principio affermato dal provvedimento del Garante nei confronti di TikTok per proteggere i minori è particolarmente importante. Esso, infatti, riguarda potenzialmente tutti i social network, che potrebbero essere costretti ad implementare sistemi di identificazione dei minori.

Con questo provvedimento il Garante Italiano per la Protezione dei Dati punta il dito su un fatto ancora poco considerato: i sistemi di identificazione degli utenti su internet sono ancora rari e poco efficaci. L’inefficienza di questi sistemi può permettere ai minori ed ai soggetti deboli di essere esposti a contenuti non adatti, con impatti potenzialmente devastanti sulla loro integrità fisica e psicologica.

Si tratta dunque di un precedente che potrebbe portare a risvolti fondamentali per la sicurezza della rete.