Il caso Tik Tok: la base giuridica del consenso al trattamento del dato
Il Garante per la protezione dei dati personali, con un provvedimento d’urgenza adottato il 7 luglio, come si legge sul proprio sito istituzionale, ha avvertito la piattaforma TIK TOK, che è “illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.”
Tutto nasce dalla notifica alla clientela inviata dalla famosa piattaforma social con la quale si
Informava che “a partire dal 13 luglio, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti nella navigazione su TikTok.” La mutazione avrebbe comportato l’immediata modifica della privacy policy della piattaforma in conformità ad una variazione della base giuridica del trattamento dei dati non più basata sul consenso degli interessati ma su una serie, non meglio precisata, di legittimi interessi dello stesso network.
Il Garante della Privacy, come si legge nel proprio comunicato aveva ammonito Tik Tok affermando che “in assenza di un esplicito consenso, l’utilizzo dei dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata sarebbe stato illecito.” motivando la propria decisione con la circostanza che “tale attività sarebbe stata in contrasto con la direttiva “ePrivacy” del 2002 e con il Codice in materia di protezione dei dati personali. L’archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell'apparecchiatura terminale di un abbonato o utente prevedono espressamente come base giuridica l’esclusivo consenso degli interessati.”
Il timore paventato dal Garante era anche individuato nella cronica difficoltà, per queste piattaforme social di identificare l’età dei propri utenti con il rischio che tale attività di profilazione potesse interessare anche minori “indifesi”.
LA BASE GIURIDICA DEL TRATTAMENTO DEI DATI
Il caso TIk Tok pone centrale l’argomento sull’origine della base giuridica che rende legittimo ogni trattamento. È importante specificare che per base giuridica si intende il presupposto che rispondendo al cosiddetto principio di liceità, autorizza legalmente il trattamento che altrimenti sarebbe illecito.
In questo senso spetta al titolare del trattamento prevedere quale possa essere la presunzione giuridica alla base della liceità del trattamento così come indicato nell’art. 6 del Regolamento Europeo in materia di Privacy (GDPR).
Come premesso l’art. 6 del Regolamento europeo enumera tali casi, affermando che il trattamento è lecito solo se e nella misura in cui ricorra almeno una delle seguenti condizioni:
1. CONSENSO
“a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”;
2. ESECUZIONE DI UN CONTRATTO
“b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso”;
3. ADEMPIMENTO DI UN OBBLIGO LEGALE
“c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”;
4. SALVAGUARDIA DI INTERESSI VITALI
“d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica”;
5. ESECUZIONE DI UN COMPITO DI INTERESSE PUBBLICO
“e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento”;
6. PERSEGUIMENTO DEL LEGITTIMO INTERESSE DEL TITOLARE
“f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.” Tale possibilità è inapplicabile al caso in cui il trattamento del dato sia effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Il comma 4 dell’art. 6 del GDPR specifica ulteriormente che, nei casi in cui la base giuridica non è ravvisabile nel “consenso” dell’interessato o su un atto legislativo dell’Unione o degli Stati membri, il titolare del trattamento per individuare “la finalità per la quale i dati personali sono stati inizialmente raccolti” dovrà considerare:
“a) ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
b) contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
c) dnatura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
d) possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;”.
CONCLUSIONI
È facile concludere che il lavoro dell’interprete e dei vari soggetti in causa nel dirimere le varie finalità del trattamento del dato è veramente difficoltoso. Il Garante, in questo senso, ha delineato, per ultimo nel caso TIK TOK, i confini di liceità che definiscono la base giuridica del trattamento del dato. È importante per il potenziale titolare del trattamento comprendere quale possa essere la natura giuridica del dato che si trova a trattare prima di aver dato inizio al trattamento stesso cercando di collimare i propri interessi a quelli insindacabili dell’interessato.
Articolo del: