Lo scorso 8 giugno, Tik Tok ha annunciato un importante cambio di politica sul targeted advertising: a partire dal 13 luglio p.v., infatti, per tutti gli utenti maggiorenni residenti in uno dei paesi dello Spazio Economico Europeo, in UK e in Svizzera, la base giuridica per il trattamento dei dati personali finalizzato alla promozione di annunci pubblicitari personalizzati non sarà più rappresentata dal consenso dell’interessato ma dal legittimo interesse del data controller.
È una scelta su cui è bene spendere qualche riflessione (e non è detto che non lo facciano anche le competenti Autorità Nazionali per la protezione dei dati personali) sia sul profilo di generale compatibilità con il GDPR, sia su quello, più pragmatico, delle effettive modalità adottate per il concreto esercizio dei diritti da parte degli utenti.
Procediamo con ordine.
In primis, è possibile far riferimento all’art. 6, lett. f) (legittimo interesse) del GDPR in luogo della lettera a) (consenso dell’interessato) per tale tipologia di trattamento? In linea teorica si, purtuttavia con alcune cautele.
Le linee guida EPDB 8/2020, versione 2.0, adottate il 13 aprile 2021, distinguono tre tipologie di dati per quanto concerne l’attività di targeting sui social media: i dati forniti, quelli osservati e quelli desunti (inclusa la loro eventuale combinazione).
I dati forniti sono quelli attivamente messi a disposizione al fornitore di social media e/o al targeter da parte dell’interessato (si pensi all’età indicata nel proprio profilo utente) .
I dati osservati sono quelli forniti dall’interessato in virtù dell’utilizzo della piattaforma (ad esempio i contenuti che l’utente ha condiviso, consultato o dichiarato di apprezzare tramite “mi piace” o pulsanti analoghi).
I “dati desunti” o “dati derivati”, infine, sono quelli creati dal titolare del trattamento sulla base dei dati forniti dall’interessato od osservati dal titolare del trattamento (ad esempio un fornitore di social media o un targeter potrebbe dedurre che una persona è probabilmente interessata a una determinata attività o a un certo prodotto sulla base del suo comportamento di navigazione in internet e/o dei suoi collegamenti di rete).
A quale delle tre categorie di dati si riferisce il cambio di policy di Tik Tok? Qui nasce il primo problema, perché la comunicazione ricevuta tramite app dagli utenti della piattaforma appare contraddittoria: da un lato si dice che “a partire dal 13 luglio ci baseremo sui nostri interessi legittimi anziché sul tuo consenso per mostrarti annunci personalizzati basati sui tuoi dati presenti su Tik Tok”, dunque sembrerebbe far riferimento ai soli dati forniti dall’interessato. Subito dopo, però, si dice “Da quel giorno potresti iniziare a ricevere pubblicità personalizzate sulla base della tua attività su Tik Tok, ad esempio parole chiave che hai cercato, video che hai guardato e account che segui”, per cui appare evidente che vengano inclusi altresì i dati osservati.
L’informativa non sembra, dunque, brillare per chiarezza e, considerata la tendenza dell’utente medio a leggere in modo assai superficiale, presenta finanche profili di decettività: si leggeranno le prime righe, ignorando quelle successive.
Ciò detto, diamo per buono che il legittimo interesse, in luogo del consenso, rappresenti la base giuridica per entrambe le categorie summenzionate, con esclusione della terza (i dati desunti o derivati).
La seconda domanda che dobbiamo porci, allora, è se questa modifica (attualmente la privacy policy di Tik Tok così recita “con il tuo consenso ti mostreremo annunci pubblicitari personalizzati sulla tua attività sulla piattaforma o al di fuori di essa”) sia, in concreto, compatibile con il quadro regolamentare offerto dal GDPR oppure no.
Partiamo dalla fattispecie rappresentata dai dati forniti dall’utente.
Rispetto a questi ultimi, le linee guida EPDB individuano in via generale due possibili basi giuridiche: il consenso dell’interessato oppure gli interessi legittimi, rimettendo al titolare del trattamento la scelta più appropriata nelle circostanze specifiche.
Tuttavia, come chiarito dalla Corte di Giustizia dell’Unione Europea nella sentenza Fashion ID, affinché un trattamento possa basarsi sul legittimo interesse, devono essere soddisfatte tre condizioni cumulative, ossia: i) il perseguimento del legittimo interesse del titolare del trattamento oppure del o dei terzi cui vengono comunicati i dati; ii) la necessità del trattamento dei dati personali per il perseguimento del legittimo interesse; e iii) la condizione che non prevalgano i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati.
Per quanto concerne la “necessarietà”, le linee guida EPDB hanno ben evidenziato come la valutazione debba essere particolarmente accorta “al fine di garantire che il trattamento dei dati basato su legittimi interessi non comporti un’interpretazione indebitamente ampia della necessità di trattare i dati… ciò significa che occorre valutare se esistono altri mezzi meno invasivi per conseguire lo stesso obiettivo”.
Il richiamo al legittimo interesse del titolare non è, altresì, di per sé sufficiente in assenza di un test comparativo volto a determinare se esso prevalga o meno sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.
Nel caso di specie sono proprio la necessità e la proporzionalità ad apparire deficitarie: invero, già oggi la privacy policy di Tik Tok indica diverse tipologie di trattamento dei dati personali la cui base giuridica è costituita dal legittimo interesse del titolare, tra cui la fornitura di pubblicità non personalizzate a tutti gli utenti (“Tipologia di legittimo interesse: Mostriamo pubblicità non-personalizzate per mantenere la nostra Piattaforma gratuita. Trattiamo categorie limitate delle tue informazioni per essere sicuri che il nostro servizio di pubblicità sia utile ai nostri inserzionisti). Come detto in precedenza, per la fornitura di pubblicità personalizzate la base giuridica è, al momento, il consenso.
Orbene, nell’informativa fornita agli utenti non c’è alcuna spiegazione sul perché il cambiamento in vigore dal 13 luglio 2022 sia necessario per la piattaforma e, al contempo, perché il consenso dell’utente rappresenti una modalità non proporzionata all’obiettivo perseguito.
Peraltro, se davvero sussistesse una simile necessità, la conseguenza sul piano logico sarebbe dirompente: in sostanza, Tik Tok affermerebbe che la pubblicità personalizzata è l’unica modalità attraverso la quale può fornire il servizio, mantenendolo al contempo gratuito, evidenziato così in modo estremamente lineare quale valore economico abbiano i dati degli utenti e come la fornitura del servizio rappresenti la controprestazione rispetto al monitoraggio dei comportamenti degli utenti stessi sulla piattaforma.
Fermo restando quanto sopra, sussiste un ulteriore profilo di criticità: anche laddove la strada del legittimo interesse risulti percorribile, le linee guida dell’EDPB ricordano che, “in tal caso, i doveri di trasparenza e il diritto di opposizione richiedono un’attenta considerazione. Gli interessati dovrebbero avere la possibilità di opporsi al trattamento dei loro dati per finalità specifiche prima che il trattamento venga avviato. Gli utenti dovrebbero non soltanto avere la possibilità di opporsi alla visualizzazione di pubblicità mirata quando accedono alla piattaforma, ma anche disporre di controlli che garantiscano che il trattamento sottostante dei loro dati personali per la finalità di targeting non abbia più luogo in seguito alla loro opposizione”.
Nel caso di specie, l’esercizio del diritto di opposizione appare farraginoso e tutt’altro che intuitivo. Seguendo il link fornito nella comunicazione, l’utente viene reindirizzato ad una procedura il cui esisto positivo viene dato come eventuale e con tempistiche niente affatto definite.
Veniamo ora brevemente alla seconda casistica, quella dei dati osservati: in questo caso, oltre alle considerazioni fatte in precedenza, occorre aggiungere che quando la fattispecie concreta comporta l’uso di cookie, si devono prendere in considerazione i requisiti derivanti dall’articolo 5, paragrafo 3, della direttiva e-privacy e dunque la necessità di un consenso libero e informato.
A tal proposito l’EPDB ritiene che “il legittimo interesse non possa costituire un’idonea base giuridica, dato che il targeting si basa sul monitoraggio del comportamento delle persone fisiche attraverso siti web e ubicazioni utilizzando tecnologie di tracciamento”.
Si può concludere dicendo che bene farebbe Tik Tok, melius re perpensa, a rivedere la propria decisione o, quanto meno, a ripensarne le concrete modalità implementative.
