L’Unione Europea chiede ai suoi dipendenti di disinstallare TikTok: c’è un problema di cyber-security?

È bufera nei confronti di TikTok, il social network più chiacchierato del momento è stato oggetto di numerosi provvedimenti e ban da parte dei governi degli Stati occidentali a causa delle crescenti preoccupazioni in tema di sicurezza nel trattamento dei dati personali.

Più nello specifico, il 23 Febbraio 2023, il Corporate Management Board della Commissione Europea ha rilasciato un comunicato stampa diffondendo la richiesta, fatta ai propri dipendenti, di procedere alla cancellazione dell’app del social network TikTok dai propri smartphone aziendali e da ogni dispositivo su cui siano presenti dati riconducibili all’attività lavorativa. Nei giorni successivi la decisione è stata estesa anche ai dipendenti delle altre istituzioni dell’Unione, il Consiglio Europeo e il Parlamento dell’UE, rimarcando le perplessità relative alla cybersecurity.

Decisioni simili sono state prese anche negli Stati Uniti, dove la Casa Bianca ha disposto un ban della piattaforma da ogni dispositivo informatico utilizzato dalle agenzie governative federali, e dal Canada, che ha definito estremamente pericolosa l’attività di raccolta e trattamento dei dati da parte della compagnia cinese Bytedance (proprietaria dell’app).

In particolare, le autorità che hanno adottato i provvedimenti manifestano preoccupazione per la tutela dei dati personali degli utenti di TikTok e sulla possibilità che questi dati vengano condivisi con la Repubblica Popolare Cinese senza il consenso degli interessati e per scopi di politica internazionale. In quest’ultimo senso si è spesso parlato, negli ultimi anni, del rischio che i dati personali degli utenti possano essere utilizzati come armi all’interno di conflitti internazionali, la cd. Data Weaponization.

La paura degli Stati occidentali ha dunque a che fare con la possibilità che l’azienda cinese possa condividere i dati raccolti dagli utenti europei, americani e canadesi con il governo cinese.

 

Perchè proprio adesso? Quali sono le basi giuridiche del confronto?

Tralasciando momentaneamente le riflessioni geo-politiche che è possibile fare sul tempismo di questi provvedimenti (un generale irrigidimento delle relazioni internazionali tra oriente e occidente), per ciò che riguarda l’Unione Europea ci troviamo nel pieno dell’entrata in vigore del Digital Services Act.
Si tratta del nuovo regolamento europeo sui servizi digitali, una nuova normativa europea approvata il 5 luglio del 2022 e pubblicata il 27 ottobre, che contiene un nuovo sistema di governance interstatale, nuove sanzioni e una serie di norme di trasparenza che le aziende che si occupano di servizi digitali (come le compagnie proprietarie dei social network) dovranno rispettare per poter operare all’interno del mercato europeo.

Secondo la nuova normativa, le aziende che operano nel mercato dei servizi digitali e che contano più di 45 milioni di utenti vengono classificate come piattaforme online di grandi dimensioni.
In ottemperanza all’invito a fornire i propri dati circa il numero di utenti attivi entro il 17 febbraio, Bytedance ha comunicato che TikTok conta una media di 125 milioni di utenti attivi all’interno dell’Unione Europea.

Per quanto riguarda, nello specifico, i dati personali degli utenti, la normativa di riferimento è il GDPR (General Data Protection Regulation) che stabilisce condizioni e limiti dell’attività di trattamento e conservazione dei dati da parte degli operatori economici.
A partire dall’art. 44 della normativa, ad esempio, si parla di obblighi da rispettare per il trasferimento dei dati personali raccolti presso l’utenza.
Ancora, secondo il GDPR i dati personali degli utenti europei devono essere raccolti e ubicati all’interno del territorio degli Stati membri.
In questo senso va letta la decisione di TikTok di aprire dei data center in Europa, due in Irlanda e un terzo in fase di definizione, per rassicurare i regolatori europei sull’ubicazione dei dati.
Il tema del trasferimento dei dati da uno Stato all’altro, inoltre, è cruciale per quanto riguarda le problematiche relative alla giurisdizione degli stessi.

 

Ma quali sono i dati personali? Perché la loro diffusione dovrebbe preoccuparci?

Recuperando la definizione fornita dal Garante per la Protezione dei Dati Personali, i dati personali sono “tutte le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.”.

Se la reazione istintiva quando si parla di dati personali è ancora quella di pensare ai dati anagrafici, è chiaro da tempo che le problematiche riguardanti la condivisone dei propri dati sui social network sono di più ampio respiro. Se pensiamo a uno dei precedenti giudiziari più importanti sul tema, il processo alla società di consulenza Cambridge Analytica (qui maggiori informazioni) la mole di dati personali raccolti e scambiati grazie alle piattaforme social online è impressionante.

I social network raccolgono dati sulle nostre preferenze, sulle nostre abitudini di consumo, sul tempo che impieghiamo per guardare un determinato contenuto e su quali sono i temi con cui entriamo maggiormente in interazione.
Per questo motivo i limiti e le finalità del trattamento (che sia per scopi commerciali piuttosto che per il funzionamento degli algoritmi dei social) dei dati devono essere chiari all’utente e alle autorità.

In conclusione, a fronte dei provvedimenti l’azienda ha rilasciato diverse dichiarazioni manifestando stupore per la mancanza di un confronto sulle misure adottate. Bytedance sostiene di essere in dialogo costante con le autorità degli stati in cui opera e ha ritenuto le misure eccessive. TikTok nega ogni coinvolgimento possibile o effettivo del governo cinese nel trattamento dei dati degli utenti europei. Nelle prossime settimane, sarà interessante capire se e quali altri Stati decideranno di adottare misure simili, a partire dal Governo italiano.

 

Attività

Un precedente storico: il caso Cambridge Analytica
Per comprendere le problematiche legate al trattamento dei dati personali degli utenti, è utilissimo considerare uno dei più importanti precedenti storici sul tema. Sotto la guida del docente, raccogliete delle fonti e rispondete alle seguenti domande:

1. In cosa consistevano le accuse mosse contro la società Cambridge Analytica?
2. In che modo Facebook e il trattamento dei dati personali venne coinvolto in questa vicenda
3. Quali sono state le conseguenze legali e sociali per Cambridge Analytica e Facebook?
4. L’Italia è stata coinvolta nello scandalo del 2018?
5. Secondo te, i nostri dati personali sono sufficientemente tutelati? Che tipo di pericoli intravedi nella condivisione dei tuoi dati su internet?

 

Fonti per approfondire:

• Comunicato istituzionale Commissione Europea: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_1161
• Notizia riportata da Repubblica: https://www.repubblica.it/tecnologia/2023/02/23/news/unione_europea_vieta_tiktok_dipendenti-389154518/

 

Fonti nei testi Zanichelli:

• Monti, Per Questi Motivi, articolazione RIM, Vol.2 – pp. 167-168
• Monti, Per Questi Motivi, Vol. 1 – pp. 70-72
• Ronchetti, Diritto ed economia politica 5ed, vol. 3 – pp. 90-92
• Ronchetti, Diritto e legislazione turistica 5 ed, vol. 1 – pp.30-42

Tag: Commissione europea, Consiglio europeo, dati personali, Parlamento europeo, sicurezza, Social Network, TikTok, Unione europea