Il Comitato che riunisce le Autorità europee, nei primi mesi del 2020, ha avviato un’attività di monitoraggio sulle molteplici problematiche riconducibili a Tik Tok, il social network utilizzato soprattutto da giovanissimi che consente di creare, condividere e commentare brevi video.

Questo non ha fermato il Garante italiano dall’avviare, nel marzo 2020, un’autonoma istruttoria a tutela dei minori italiani, la quale ha messo in luce, infatti, una serie di trattamenti di dati effettuati dal social network che appaiono non conformi al nuovo quadro normativo in materia di protezione dei dati personali.

Le principali violazioni che il Garante per la protezione dei dati personali ha contestato a Tik Tok sono: scarsa attenzione alla tutela dei minori, divieto di iscrizione ai più piccoli facilmente aggirabile, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non rispettose della privacy.

• Il Garante contesta a Tik Tok innanzitutto che le modalità di iscrizione al social network non tutelino adeguatamente i minori. Il divieto di iscrizione al di sotto dei 13 anni, stabilito dal social network, risulta infatti facilmente aggirabile una volta che si utilizzi una data di nascita falsa. Tik Tok di conseguenza non impedisce ai più piccoli di iscriversi né verifica che vengano rispettate le norme sulla privacy italiane, le quali prevedono per l’iscrizione ai social network il consenso autorizzato dei genitori o di chi ha la responsabilità genitoriale del minore che non abbia compiuto 14 anni.
• L’informativa rilasciata agli utenti, evidenzia inoltre il Garante, è standardizzata e non prende in specifica considerazione la situazione dei minori. Sarebbe dunque necessario creare una apposita sezione dedicata ai più piccoli, scritta con un linguaggio più semplice e con meccanismi di alert che segnalino i rischi ai quali si espongono.
• I tempi di conservazione dei dati risultano poi indefiniti rispetto agli scopi per i quali vengono raccolti, non appaiono inoltre indicate le modalità di anonimizzazione che il social network afferma di applicare.
• Vi è poca chiarezza circa il trasferimento dei dati nei Paesi extra Ue, non essendo specificati quelli verso i quali la società intende trasferire i dati, né indicata la situazione di adeguatezza o meno di quei Paesi alla normativa privacy europea.
• Il social network, infine, preimposta il profilo dell’utente come “pubblico”, consentendo la massima visibilità ai contenuti in esso pubblicati. Tale impostazione predefinita si pone in contrasto con la normativa sulla protezione dei dati che stabilisce l’adozione di misure tecniche ed organizzative che garantiscano, di default, la possibilità di scegliere se rendere o meno accessibili dati personali ad un numero indefinito di persone.

Il Garante ha concesso 30 giorni, a far data dal 22 dicembre, alla società per presentare memorie difensive e chiedere eventualmente di essere sentita.