TikTok: responsabilità e indagini in Austria dopo due denunce su tracciamento utenti

Tracciamento illegale delle app

Nel corso di un riesame dei dati personali forniti da TikTok, è emerso che la piattaforma monitorava attività compiute anche su applicazioni esterne, tra cui servizi di dating e di e‑commerce, configurando un tracciamento che estende il profilo utente oltre l’utilizzo diretto dell’app. Le evidenze mostrano che informazioni relative all’uso di app come quella per incontri sono state collezionate e correlate con il comportamento su TikTok, consentendo al servizio di modellare raccomandazioni e contenuti in funzione anche di preferenze sensibili. Questo tipo di raccolta e correlazione supera la normale telemetria funzionale e porta all’elaborazione di categorie di dati che dovrebbero beneficiare di protezioni più stringenti.

▷ Lo sai che da oggi puoi MONETIZZARE FACILMENTE I TUOI ASSET TOKENIZZANDOLI SUBITO? Contatto per approfondire: CLICCA QUI

Un utente che ha esercitato il diritto di accesso ha ricevuto, dopo ripetute richieste, dati che rivelano la presenza di tracciamenti provenienti da fonti terze. Le informazioni documentano non solo eventi generici — come l’apertura di pagine o l’aggiunta di prodotti a carrelli su siti di shopping — ma anche segnali inerenti a preferenze personali raccolte da app di terze parti e riconducibili a orientamenti o abitudini intime. Il risultato è un profilo sovramisurato che va oltre quanto necessario per il funzionamento dell’app TikTok.

Tale pratica permette alla piattaforma di ottimizzare l’algoritmo di raccomandazione su basi di dati che dovrebbero essere trattate con livelli di tutela superiori. La trasmissione e l’integrazione di questi dati in un unico cruscotto informativo rendono possibile suggerire contenuti mirati in relazione a informazioni sensibili, aprendo profili di rischio non solo per la privacy, ma anche per possibili discriminazioni o stigmatizzazione degli utenti monitorati.

GUADAGNA & RISPARMIA con i nostri Coupon & Referral Code: CLICCA QUI ORA!

Violazione dei diritti degli interessati

Il mancato rispetto dei diritti riconosciuti dal GDPR emerge con chiarezza nei comportamenti contestati a TikTok. Gli articoli 12 e 15 del regolamento impongono trasparenza, accesso completo e tempestivo ai dati personali: le informazioni fornite all’interessato risultano incomplete, difettose e ottenute solo dopo numerose richieste. Questa condotta impedisce all’utente di esercitare pienamente i propri diritti di controllo sulle informazioni che lo riguardano, ostacolando verifiche essenziali sul trattamento e sulla liceità delle finalità perseguitE.

L’accesso a dati riconducibili all’uso di applicazioni di terze parti rappresenta un’intrusione nella sfera privata dell’interessato, in particolare quando tali dati consentono inferenze su caratteristiche sensibili. Il GDPR vieta il trattamento di categorie particolari di dati senza una base giuridica idonea: ricevere informazioni che suggeriscono orientamento sessuale o abitudini intime, integrate nei profili di targeting, configura una compressione dei diritti fondamentali alla riservatezza e alla dignità della persona.

SUPER SCONTI OUTLET SU AMAZON: CLICCA SUBITO QUI!

In termini procedurali, la persistente incompletezza delle risposte fornite da TikTok solleva profili di non conformità rispetto agli obblighi di informazione e di accesso. Il ritardo e la parzialità delle comunicazioni non solo ledono il diritto dell’interessato a ottenere una copia integrale dei dati, ma pregiudicano anche la possibilità di chiedere rettifiche, cancellazioni o limitazioni del trattamento in modo consapevole e tempestivo.

La ricezione di dati riferibili ad attività su app esterne senza adeguata giustificazione contravviene al principio di minimizzazione: sono raccolte e conservate informazioni non necessarie per l’erogazione del servizio principale. Ciò determina un ampliamento ingiustificato del perimetro informativo dell’utente, con conseguenze pratiche sulla sua autonomia decisionale e sulla capacità di opporsi a trattamenti profilanti invasivi.

Infine, la situazione evidenziata integra elementi per ritenere violati anche gli obblighi di responsabilità del titolare del trattamento, che deve garantire misure organizzative e tecniche idonee a prevenire trattamenti illeciti e a fornire risposte esaustive alle richieste degli interessati. La reiterata inadeguatezza delle comunicazioni agli utenti costituisce dunque un indice di vulnerabilità nelle prassi di governance dei dati adottate dalla piattaforma.

FAQ

  • Che diritto tutela l’art. 15 del GDPR? L’articolo 15 garantisce all’interessato il diritto di ottenere la conferma sull’esistenza di un trattamento e una copia dei dati personali oggetto del trattamento.
  • Cosa comporta una risposta incompleta a una richiesta di accesso? Una risposta parziale ostacola l’esercizio dei diritti dell’interessato e può configurare una violazione formale del GDPR, con possibili sanzioni per il titolare del trattamento.
  • Perché è rilevante il tracciamento di app di dating? Perché può rivelare informazioni sensibili, come orientamento sessuale, la cui raccolta e condivisione richiedono basi giuridiche rafforzate e specifiche misure di protezione.
  • Qual è il principio della minimizzazione? È il principio secondo cui i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità dichiarate.
  • Come può un interessato far valere i propri diritti? Può presentare una richiesta di accesso al titolare del trattamento, segnalare il problema all’autorità di controllo nazionale e, se necessario, adire le vie legali.
  • Quando la condivisione con terze parti diventa problematica? Quando avviene senza una base giuridica valida, senza trasparenza verso l’interessato o quando comporta la circolazione di dati sensibili senza adeguate garanzie.

Ruolo di AppsFlyer e terze parti

La catena di trasferimento dei dati evidenzia un ruolo centrale di intermediari tecnologici nella raccolta e nel reindirizzamento delle informazioni degli utenti verso piattaforme come TikTok. Dalle evidenze emerse risulta che metadati e segnali di utilizzo provenienti da app di terze parti sono stati aggregati e resi disponibili tramite fornitori di servizi di marketing e analytics, consentendo a soggetti terzi di arricchire profili individuali con dettagli sull’attività in app di shopping e dating. Questo modello operativo affida a broker di dati la capacità di collegare eventi sparsi su più servizi, creando flussi informativi difficilmente controllabili dall’interessato.

La responsabilità condivisa tra l’operatore della piattaforma e i fornitori esterni assume rilievo giuridico: la semplice affermazione di ottenere i dati per finalità tecniche non esonera dalla verifica della liceità delle condivisioni. Le aziende che raccolgono informazioni dall’app di origine devono garantire una base giuridica adeguata per ogni trasferimento e informare chiaramente gli utenti circa le categorie di dati cedute e i soggetti coinvolti nel trattamento.

Nel caso in esame, la presenza di un broker in posizione intermedia è cruciale perché facilita una correlazione diretta tra comportamenti su app esterne e gli algoritmi di raccomandazione. Tale correlazione, se non supportata da consenso esplicito o altra base giuridica valida, comporta rischi specifici: oltre alla perdita di controllo da parte dell’interessato, si configura un arricchimento informativo che può coinvolgere dati sensibili e amplificare il potenziale impatto discriminatorio o di stigmatizzazione.

Da un punto di vista operativo, la trasmissione di eventi (click, acquisti, aperture di schermate) attraverso SDK e pixel integrati nelle app semplifica il tracciamento cross‑app. Chi fornisce questi strumenti tecnici diventa quindi punto di snodo: custodisce log, identifica utenti mediante identificatori persistenti e può mettere a disposizione tali informazioni a piattaforme di profilazione. È imprescindibile che tali fornitori applichino misure di governance che limitino gli scopi e la durata del trattamento, nonché che garantiscano la pseudonimizzazione o la minimizzazione dove possibile.

Infine, la condivisione tra operatori implica obblighi di responsabilità solidale quando non è definita una base giuridica distinta per ciascun trasferimento. L’assenza di trasparenza sui flussi informativi e sulla natura delle relazioni contrattuali tra titolari e responsabili del trattamento rende complessa la verifica della conformità e ostacola l’esercizio dei diritti da parte degli interessati, aumentando il bisogno di interventi ispettivi da parte delle autorità competenti.

FAQ

  • Chi è AppsFlyer e quale ruolo può svolgere? AppsFlyer è un fornitore di analytics e attribuzione che raccoglie eventi dalle app e può trasferire metriche e identificatori a piattaforme di marketing per consentire la profilazione e il monitoraggio delle conversioni.
  • Cosa si intende per broker di dati? Un broker di dati è un intermediario che acquisisce, arricchisce e rivende dati su utenti provenienti da più sorgenti, creando profili aggregati o individuali per finalità commerciali.
  • Quando terze parti diventano responsabili del trattamento? Quando elaborano dati per conto del titolare oppure quando determinano finalità e mezzi del trattamento; la qualificazione dipende dagli accordi contrattuali e dal grado di controllo sul trattamento.
  • Quali rischi comporta l’integrazione cross‑app dei dati? Rischi di profilazione invasiva, esposizione di informazioni sensibili, uso improprio dei dati e difficoltà per gli interessati a conoscere e limitare tali trattamenti.
  • Quali obblighi hanno i fornitori di SDK e pixel? Devono implementare misure tecniche e organizzative adeguate, limitare la raccolta ai dati necessari, e rispettare le istruzioni del titolare del trattamento, assicurando la trasparenza verso gli utenti.
  • Come può un’autorità verificare la conformità dei flussi con terze parti? Tramite ispezioni tecniche, richieste di log e contratti, audit delle pratiche di governance dei dati e verifiche sul rispetto dei principi di liceità, minimizzazione e trasparenza.

Richieste all’autorità e sanzioni future

Le istanze avanzate da noyb sollecitano l’intervento dell’autorità di controllo austriaca con richieste puntuali volte a bloccare e sanzionare i trattamenti ritenuti illegittimi. L’organizzazione ha chiesto che l’Autorità per la protezione dei dati avvii immediatamente accertamenti formali, disponga misure cautelari per interrompere i flussi di dati verso TikTok e i relativi broker, e applichi sanzioni proporzionate per scoraggiare comportamenti analoghi in futuro. Nell’istanza sono indicate violazioni specifiche degli articoli 12, 15 e 9 del GDPR, corredate dalla documentazione delle risposte incomplete fornite agli interessati.

La richiesta di blocco del trattamento mira a interrompere processi di profilazione basati su dati provenienti da app esterne fino a quando non sarà dimostrata una base giuridica valida e trasparente. Tale misura cautelare è prevista per prevenire danni ulteriori alla sfera privata degli utenti e per preservare l’efficacia dell’eventuale provvedimento sanzionatorio. Il blocco può riguardare specifiche categorie di dati, strumenti tecnici (SDK, pixel) o singoli flussi verso terze parti identificate nelle evidenze.

Oltre al blocco, la richiesta include l’imposizione di obblighi di conformità: revisioni dei processi di data sharing, audit indipendenti, limitazioni all’uso di identificatori persistenti e obblighi di cancellazione dei dati raccolti senza valida base giuridica. Noyb pretende che qualsiasi ripresa dei trattamenti avvenga solo previa valutazione d’impatto sulla protezione dei dati e con l’adozione di garanzie adeguate per i dati sensibili implicati.

La prospettata sanzione economica deve riflettere la gravità delle violazioni contestate e la necessità di dissuadere comportamenti sistemici. Nel caso europeo recente, TikTok è già stata multata per trasferimenti illeciti di dati verso la Cina; le nuove contestazioni, se confermate, possono aggravare il quadro sanzionatorio e portare a misure complementari quali limitazioni operative sul territorio austriaco o comunitario.

Infine, le istanze pongono l’accento sulla necessità di interventi strutturali da parte dell’autorità: linee guida chiare sul trattamento cross‑app, indicazioni sui limiti all’uso di dati provenienti da SDK di terze parti e criteri stringenti per la gestione di categorie speciali di dati. Un’azione regolatoria decisa servirebbe a chiarire responsabilità, soglie di rischio e obblighi informativi, riducendo l’incertezza normativa per operatori e utenti.

FAQ

  • Quale autorità può intervenire su questi casi? L’autorità di controllo nazionale competente, in questo caso quella austriaca, ha il potere di avviare indagini, imporre misure cautelari e sanzioni ai sensi del GDPR.
  • Cosa significa disporre il blocco del trattamento? Implica la sospensione temporanea di specifici processi di raccolta, condivisione o utilizzo dei dati fino a chiarimento della liceità del trattamento.
  • Quali misure può ordinare l’autorità oltre alla multa? Revisioni operative, audit indipendenti, obblighi di cancellazione, limitazioni tecniche all’uso di SDK e divieti temporanei di determinati trattamenti.
  • Perché è utile una valutazione d’impatto prima della ripresa dei trattamenti? La DPIA consente di identificare rischi specifici per i diritti degli interessati e di definire misure mitigative adeguate per procedere in conformità al GDPR.
  • Una sanzione può impedire operazioni in un paese? Sì: oltre a multe, l’autorità può adottare misure restrittive che limitano o proibiscono attività sul territorio se persistono violazioni gravi.
  • Come possono gli utenti influire sull’azione dell’autorità? Presentando reclami formali, fornendo documentazione delle pratiche contestate e cooperando con le indagini per dimostrare l’impatto sui diritti individuali.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

AFFILIATION + AI IMAGE & TEXT

I contenuti pubblicati su Assodigitale.it possono contenere link di affiliazione al Programma Amazon EU.
In qualità di affiliato Amazon, il sito percepisce una commissione sugli acquisti idonei effettuati tramite i link presenti nelle pagine, senza alcun costo aggiuntivo per l’utente.
Alcune immagini e testi presenti su questo sito web sono generate tramite sistemi di intelligenza artificiale (IA) e hanno finalità esclusivamente illustrative.
Tali immagini non rappresentano persone reali, né vanno intese come fotografie autentiche dei soggetti.
Per chiarimenti, segnalazioni o istanze formali è possibile contattare la redazione.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.