5 Gennaio 2021• byDLA Piper
Un noto social media dovrà difendersi contro le contestazioni del Garante privacy relative alla violazione del dati personali derivante dalla limitata tutela dei minori adottata.
Il GDPR richiede ai titolari del trattamento una particolare cautela nel raccogliere e trattare i dati personali dei minori, ad esempio all’articolo 8, che, oltre a definire l’età minima per il loro consenso per l’utilizzo dei servizi della società dell’informazione, impone ai titolari un comportamento proattivo “per verificare […] che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili” ove necessario. Questa potrebbe essere una delle norme violate da un noto social media contro cui il Garante privacy ha avviato un procedimento adducendo tra i motivi una scarsa attenzione alla tutela dei minori, la facile elusione da parte dei minori del divieto di iscrizione, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non in linea con gli adempimenti privacy. Tali problematiche sarebbero state riscontrate anche da altre autorità europee, anch’esse coinvolte – nell’ambito del Comitato europeo per la Protezione dei Dati Personali – nell’investigazione delle possibili vulnerabilità che l’App in questione presenterebbe in materia di privacy.
In particolare, fra i trattamenti di dati effettuati dal social network che risulterebbero non conformi al quadro normativo in vigore risultano, anzitutto, le modalità di iscrizione. Il divieto di iscrizione al di sotto dei 13 anni stabilito dal social network presenta due problematiche principali. Innanzitutto, è facilmente aggirabile dai minori, i quali possono, ad esempio, mettere una data di nascita falsa senza che l’app effettui successive verifiche, di fatto svuotando di effettività il divieto di iscrizione ai più piccoli. In secondo luogo, il limite di età stabilito non tiene in considerazione le norme sulla privacy italiane, che per l’iscrizione ai social network prevedono il consenso autorizzato dei genitori o di chi ha la responsabilità genitoriale del minore che non abbia compiuto 14 anni.
Tra le altre possibili violazioni menzionate dal Garante rientrerebbero le carenze dell’informativa privacy rilasciata agli utenti, che, essendo standardizzata, non prende in specifica considerazione – a giudizio del Garante – la situazione dei minori, “mentre sarebbe necessario creare una apposita sezione dedicata ai più piccoli, scritta con un linguaggio più semplice e con meccanismi di alert che segnalino i rischi ai quali si espongono”. Inoltre, i tempi di conservazione dei dati non solo sono indefiniti rispetto alle finalità per i quali vengono raccolti, ma non appaiono indicate le modalità di anonimizzazione che il social network stesso afferma di applicare.
Un’ulteriore problematica riscontrata dal Garante è quella relativa al trasferimento dei dati nei Paesi extra Ue, rispetto ai quali il social network non dà chiarezza, omettendo di specificare gli stati verso i quali la società intende effettuare il trasferimento e la situazione di adeguatezza o meno di alla normativa privacy europea. Questo aspetto è di notevole rilievo perchè – dopo la sanzione del garante svedese – si tratta del secondo intervento di una autorità privacy europea che contesta il trasferimento dei dati al di fuori dello SEE successivamente alla sentenza Schrems II, il che rende ancora più urgente per le aziende la gestione del problema.
Infine, il social network sembrerebbe violare la normativa privacy preimpostando il profilo dell’utente come “pubblico”, mentre di default la scelta se rendere o meno accessibili dati personali ad un numero indefinito di persone. dovrebbe spettare all’utente.
Su un simile argomento, può essere interessante l’articolo: “Il Garante privacy norvegese emette una sanzione nei confronti per illecito trattamento di dati relativi alla salute di minori su una piattaforma di e-learning”.