Sulla protezione dei dati dei minori sulla piattaforma di TikTok interviene l’Edpb (European data protection board): in base all’Art. 65 del Gdpr il Garante europeo ha adottato la decisione di risoluzione con cui dirime le controversie insorte tra le autorità della privacy europee.
Il board europeo per la data protection ha ricevuto la richiesta di risoluzione dall’Autorità irlandese per la protezione dei dati (Dpa) relativamente a una sua bozza di decisione su TikTok Technology Limited (Ttl) e sulla quale erano state sollevate obiezioni da altre autorità della privacy europee. La questione era se i protocolli di verifica dell’età di TikTok fossero sufficienti per tenere i bambini di età inferiore ai 13 anni fuori dalla piattaforma.
La decisione dell’Edpb è vincolante.
L’indagine sulle verifiche dell’età su TikTok
La Dpa irlandese agisce come autorità di vigilanza principale (Lsa), nei confronti di TikTok in Union europea.
L’Edpb ha intrapreso l’indagine dopo che la Commissione irlandese per la protezione dei dati ha attivato un meccanismo di risoluzione delle controversie perché “non in grado di risolvere le obiezioni sollevate da altre autorità europee per la protezione dei dati” mentre indagava su TikTok.
L’indagine originale è iniziata nel 2021 dopo che le autorità europee per la protezione dei dati hanno iniziato a indagare se i protocolli di verifica dell’età di TikTok fossero sufficienti per tenere i bambini di età inferiore ai 13 anni fuori dalla piattaforma.
“La Dpa irlandese ha emesso la bozza di decisione a seguito di un’indagine sulla gestione da parte di Ttl dei dati personali degli utenti registrati tra i 13 e i 17 anni, nonché su alcune questioni relative alla gestione da parte di Ttl dei dati personali dei bambini al di sotto dei 13 anni. Poiché non è stato raggiunto un consenso sulle obiezioni presentate dalle Dpa, l’Edpb è stato chiamato a risolvere la controversia”, riferisce il board.
La decisione risolutiva dell’Edpb
Le obiezioni riguardavano, tra le altre cose, se ci fosse stata una violazione della protezione dei dati attraverso la progettazione del sito e le impostazioni predefinite in relazione alla verifica dell’età e se ci fosse stata una violazione del principio di equità riguardo a determinate pratiche di progettazione.
L’Lsa adotterà la sua decisione finale, indirizzata al responsabile del trattamento, sulla base della decisione vincolante dell’Edpb tenendo conto della valutazione legale dell’Edpb, entro un mese dalla notifica della decisione del board. L’Edpb pubblicherà la sua decisione sul suo sito web dopo che l’Lsa avrà notificato la sua decisione nazionale al responsabile del trattamento e, se applicabile, eventuali necessarie rettifiche saranno state apportate alla decisione vincolante dell’Edpb.
Gdpr, essenziale l’applicazione uniforme
Il Gdpr esige che le Supervisory authorities (Sa) nello spazio economico europeo collaborino tra loro – sotto l’ombrello comune dell’Edpb – per assicurare che il Gdpr sia applicato in modo coerente in tutta l’area. Uno dei loro compiti è coordinare le decisioni nei casi relativi alla privacy dei dati che interessano più paesi.
Quando una Lsa emette una bozza di decisione, consulta le Concerned supervisory authorities (Csa), le quali possono esprimere il loro disaccordo con la bozza di decisione presentando obiezioni rilevanti e motivate entro un periodo di quattro settimane. Se l’Lsa non intende revisionare la decisione in base alle obiezioni o pensa che non sia possibile raggiungere un consenso, il caso viene deferito all’Edpb che si attiva nel ruolo di risolutore delle controversie, in base all’Art. 65 del Gdpr.