El intento de TikTok de cambiar la base legal para dirigir la publicidad a los usuarios en Europa parece estar en problemas después de que el organismo de control de protección de datos de Italia interviniera y emitiera una advertencia de inadecuación legal solo unos días antes del cambio de política de privacidad planificado.
La plataforma para compartir videos generados por los usuarios atrajo atención de expertos en privacidad el mes pasado cuando silenciosamente revelado un cambio entrante en sus T&C para los usuarios del Espacio Económico Europeo, el Reino Unido y Suiza, que dijo que se aplicaría a partir del 13 de julio: pasar de depender del consentimiento para procesar los datos del usuario para publicar anuncios “personalizados” a reclamar una base legal conocida como ‘intereses legítimos’ y diciendo que, por lo tanto, dejaría de pedir a los usuarios su permiso para realizar un seguimiento de los anuncios dirigidos.
Expertos en privacidad rápidamente cuestionado si el cambio pasaría la prueba con los reguladores de protección de datos.
4/ me parece que no tendrá elección sobre el uso de sus datos de comportamiento en TikTok con fines de publicidad personalizada, a menos que TikTok respete el derecho a oponerse al procesamiento de datos personales bajo la base legal de “intereses legítimos”. ‘.
¿lo hará?
— Asuntos de privacidad 🇬🇧🇮🇪🇪🇺🌻 (@PrivacyMatters) 19 de junio de 2022
La respuesta, al menos en Italia, parece ser no.
escribiendo en un presione soltar Al anunciar su “advertencia formal” a TikTok, la autoridad italiana, que dijo que “inmediatamente” comenzó un ejercicio de investigación al enterarse de la revisión planificada de la política de privacidad de TikTok, concluyó que el cambio planeado de la base legal es incompatible con la directiva de la UE y con la ley local de protección de datos que transpuso el marco de la UE.
“Ambos instrumentos legales establecen explícitamente que el consentimiento de los interesados es la única base legal para ‘el almacenamiento de información, o el acceso a información ya almacenada, en el equipo terminal de un suscriptor o usuario’”, advirtió.
La DPA de Italia también expresó su preocupación sobre los riesgos de que TikTok se dirija a los niños si sigue adelante con los cambios, dadas las preocupaciones anteriores sobre si puede identificar el uso de su plataforma por parte de menores.
The Garante dijo que está actuando bajo la Directiva de privacidad electrónica de la UE que cubre las tecnologías de seguimiento y los datos procesados en un dispositivo terminal.
La directiva le permite intervenir a nivel nacional, en lugar de tener que remitir las inquietudes a la agencia de protección de datos de Irlanda, que genera quejas contra TikTok que se rigen por el Reglamento general de protección de datos (GDPR) como resultado del llamado “ mecanismo de ventanilla única” que pretende simplificar el cumplimiento para las empresas (pero que, según los críticos, ha permitido a los gigantes tecnológicos evadir la responsabilidad por el procesamiento de datos hostil a la privacidad a través de la compra de foros).
La Comisión de Protección de Datos (DPC) de Irlanda tiene dos investigaciones de GDPR abiertas sobre las actividades de TikTok, que se iniciaron en septiembre de 2021 (incluida una centrada en el procesamiento de datos de niños), pero ninguna investigación ha resultado en ninguna decisión, advertencia pública u orden. todavía.
Así que parece marcado el contraste con la actuación tan rápida del regulador italiano en respuesta a una preocupación.
Además de dar hoy a TikTok una advertencia formal, la DPA de Italia también dijo que se reserva el derecho de tomar medidas adicionales, incluido un procedimiento de urgencia, si la plataforma “no da un paso atrás”.
El artículo 66 del RGPD permite a los reguladores de protección de datos eludir el requisito estándar de canalizar las inquietudes a través de un supervisor principal, e inmediatamente adoptar medidas provisionales a nivel nacional (que pueden durar tres meses), si están convencidos de que existe una necesidad urgente de actuar para proteger los derechos y libertades de los interesados. Por lo tanto, hay un mecanismo que Garante podría usar para actuar rápidamente bajo el RGPD, es decir, si TikTok no retrocede en el cambio de política de privacidad.
Ha utilizado este mecanismo para intervenir antes sobre preocupaciones urgentes relacionadas con la plataforma de TikTok: advertir sobre controles de edad inadecuados en 2020, por ejemplo, y luego ordenar a TikTok que bloquee a los usuarios cuya edad no pudo verificar.
Unos meses después, TikTok eliminó más de medio millón de cuentas en Italia que no pudo confirmar que no pertenecieran a menores.
Ahora, el organismo de control de datos de Italia dijo que tiene una “preocupación especial” por el cambio de la plataforma a una base legal inadecuada en relación con la protección de los usuarios infantiles registrados, advirtiendo: “[T]Las dificultades con las que se encuentra actualmente TikTok para establecer el cumplimiento de los requisitos de edad para acceder a la plataforma no permiten descartar el riesgo de que se sirvan anuncios ‘personalizados’ con contenidos inadecuados a usuarios muy jóvenes en base al interés legítimo de la compañía”.
De ahí que se haya dado el paso de emitir una advertencia formal a TikTok de que procesar los datos de los usuarios sobre la base del ‘interés legítimo’ estaría “en conflicto con el marco regulatorio actual, al menos con respecto a la información almacenada en los dispositivos de los usuarios, y acarrear todas las consecuencias pertinentes también en términos de medidas correctoras y multas”, según expresa.
Si bien el RGPD de la UE permite multas que pueden escalar hasta el 4% de la facturación global total en el año anterior por infracciones confirmadas de las reglas, la Directiva de privacidad electrónica más antigua faculta a las agencias competentes de los Estados miembros para emitir sanciones “efectivas, proporcionadas y disuasorias”. (lo que, en algunos casos recientes, ha dado lugar a algunas multas notables para los gigantes tecnológicos, algunas de las cuales superan los 100 millones de dólares, e incluso generó algunos replanteamientos de políticas notables, por lo que la aplicación de la regulación de privacidad de la UE sin duda está teniendo un impacto, incluso si se necesita mucho más ).
“El hallazgo de una infracción de la directiva ePrivacy permitió a la SA italiana intervenir directa y urgentemente con respecto a TikTok, fuera del procedimiento de cooperación establecido en el RGPD que habría requerido que la Comisión de Protección de Datos de Irlanda liderara el procedimiento, ya que TikTok colocó su establecimiento principal de la UE en Irlanda”, explica Garante en su comunicado de prensa, antes de decir que tampoco cree que el cambio de política de privacidad planeado de TikTok sea legal bajo GDPR, y agrega que, por lo tanto, también informó tanto al DPC irlandés como a la Junta Europea de Protección de Datos. (EDPB) “para que consideren la adopción de nuevas medidas”.
No está claro qué acción adicional podría resultar.
El DPC podría decidir abrir una nueva investigación (suponiendo que TikTok no abandone su plan), aunque los plazos involucrados en el trabajo de casos transfronterizos/de gran tecnología del regulador irlandés hasta la fecha sugieren que podrían pasar años antes de que llegue a una decisión. y cualquier ejecución.
Por lo tanto, el EDPB podría tener un papel importante que desempeñar, si el organismo de control italiano decide seguir adelante con un procedimiento de urgencia del Artículo 66 del RGPD y le pide que intervenga y adopte medidas finales contra TikTok.
Si bien la Junta rechazó una solicitud de este tipo del DPA de Hamburgo, con respecto a una queja contra el intercambio de datos de WhatsApp-Facebook, el año pasado ordenó al DPC que investigara “rápidamente”. Y, unos meses más tarde, hubo una decisión final del regulador irlandés en una investigación de transparencia de larga duración en WhatsApp que resultó en una multa de $ 267 millones. (Aunque el vínculo entre la orden de la Junta y la conclusión del DPC de que la investigación de ‘voluntad propia’ no está del todo claro).
Se contactó a TikTok y al DPC irlandés para comentar sobre la última intervención de Garante.
En los últimos años, la plataforma para compartir videos también se ha enfrentado al escrutinio regional de los reguladores de protección al consumidor. Varias agencias plantearon preocupaciones en febrero de 2021, incluso en torno a la seguridad infantil y el marketing. Esas quejas coordinadas de protección del consumidor dieron lugar a un “diálogo formal” encabezado por la Comisión Europea y, apenas el mes pasado, los reguladores aceptaron una serie de compromisos de TikTok para modificar sus divulgaciones publicitarias (sin sanciones emitidas en ese momento).
Sin embargo, las preocupaciones de privacidad sobre los perfiles de los usuarios de TikTok no se resolvieron como parte de la acción de protección del consumidor, lo que también puede explicar por qué la DPA de Italia decidió hacer su propia intervención ahora.