Privacy​

Che fine fanno i nostri dati? I data broker e le conseguenze della profilazione su TikTok

foto di Razmik Vardanian
AUTORE: Razmik Vardanian
r.vardanian@studiolegally.com
icona di linkedin

Forse non ce ne rendiamo conto, ma tutto ciò che si fa online viene monitorato. Ogni volta che si naviga in rete, che si effettua uno scroll dallo smartphone o si guarda un’immagine o un video, sostando su un determinato contenuto, si cede un piccolo pezzo di sé stessi oltre che alle piattaforme social anche a soggetti terzi in modo totalmente inconsapevole.

Ciò è quanto è stato dimostrato da Pierguido Iezzi (partner di Swascan), Andrea Rossetti (Professore presso la UNIMIB) e Stefano Rossetti (Avvocato presso noyb.ue), mediante un esperimento condotto su TikTok. Questo consisteva nel creare, con due smartphone, diversi account TikTok e nell’utilizzare la relativa applicazione, connettendosi alla stessa rete Wi-Fi, compiendo tre test. Lo scopo era quello di dimostrare come le informazioni raccolte da TikTok, così come anche dagli altri social network, vengano inviate ai cosiddetti data broker. Questi ultimi sono delle imprese specializzate nella raccolta di dati personali online da fonti pubbliche e private (come nel caso di TikTok), nella loro analisi e raggruppamento al fine di creare dei modelli (o meglio, dei profili) in cui classificare gli utenti della rete in base alle loro preferenze ed interessi.

L’esperimento

Con il primo test, è stato utilizzato un primo smartphone nuovo e mai usato (per semplicità chiamato ‘A’) per seguire, su TikTok, una serie di marchi tra i più noti e seguiti. Ebbene, successivamente, sul profilo Instagram presente nel secondo smartphone (per semplicità chiamato ‘B’), dove non è stata eseguita nessuna ricerca, compare la pubblicità degli stessi brand seguiti dall’account TikTok. Ciò conferma che TikTok ha condiviso ai data broker almeno tre informazioni principali, ossia l’indirizzo IP della rete Wi-Fi, la geolocalizzazione dei dispositivi e i marchi visualizzati.

Nuovamente, con il secondo test, con lo smartphone ‘A’ si è andati sul sito web di un noto produttore di accessori elettronici ‘accettando’ tutti i cookie. In un secondo tempo, sull’account TikTok del medesimo smartphone, compare la pubblicità proprio dello stesso produttore. Ciò perché quest’ultimo ha trasmesso le informazioni di traffico ad un data broker per poi reindirizzarle in TikTok in forma di pubblicità mirata.

Infine, col terzo test, a seguito di una ricerca in rete di un videogame, e di alcuni ‘click’ sui diversi risultanti, nell’account TikTok dello smartphone ‘B’ vengono visualizzati degli annunci pubblicitari del medesimo videogame del quale si sono precedentemente ricercate le informazioni. Ogni passaggio sulla rete viene, quindi, registrato e diventa possibile seguire l’intera vita di un utente (per una più compiuta descrizione v. Dataroom, Corriere della Sera dd. 13.09.23, 20).

La profilazione su TikTok

Ognuno di questi test è partito dall’analisi dei termini e condizioni d’uso e dell’informativa privacy di TikTok, i quali prevedono che l’utente, pur non pagando l’uso della Piattaforma, è comunque tenuto ad autorizzare la raccolta di tutti i dati derivanti dai contenuti che crea: fotografie, video, registrazioni audio, livestream, commenti, hashtag, feedback, nonché i relativi metadati (quanto, dove e da chi è stato creato il contenuto, l’ora in cui è stato pubblicato). Inoltre, vengono raccolte tutta una serie di informazioni tecniche: modello utilizzato per accedere alla piattaforma (le caratteristiche tecniche di quest’ultimo, il sistema operativo utilizzato, l’indirizzo MAC e IP), i ritmi di battitura, i contenuti visualizzati e la durata dello ‘stallo’ su quest’ultimo, la frequenza di utilizzo. La raccolta di questa immensa quantità di dati è finalizzata al loro scambio verso i data broker e a soggetti terzi, i quali pagano le Piattaforme (fra cui TikTok) affinché possano pubblicizzare o vendere prodotti sulla base delle informazioni degli utenti raccolte.

Il fine è sempre quello della creazione di campagne pubblicitarie migliori, efficienti e più personalizzate, basate sulla profilazione di massa degli utenti della rete. Per dare un’idea del grado di dettaglio con cui questo sistema opera, i data broker (e di conseguenza le imprese pubblicitarie) possono conoscere la frequenza di utilizzo dello smartphone, la tendenza a comprare determinati articoli su e-commerce (come medicinali, vestiti, etc), l’appartenenza ad una determinata ‘etnia’ o ‘classe’, la situazione finanziaria, l’età, il grado di istruzione, le opinioni politiche o lo stato di salute. La raccolta di tali informazioni, che si stratificano nel tempo, rappresenta un rischio per l’utente non solo per il possibile telemarketing selvaggio – il quale, nonostante gli innumerevoli interventi del Garante della privacy verso diversi operatori, continua indisturbato a perdurare – ma, soprattutto, per l’utilizzo di queste in ulteriori ambiti maggiormente sensibili: ad esempio, per valutare il merito creditizio, nella ricerca del personale e per il microtargeting politico.

Oltre alla possibile lesione dei diritti e libertà degli utenti dei social network, la prestazione del consenso nell’ammettere questo trattamento massivo comporta altresì come conseguenza l’indelebile lesione del diritto dell’interessato al controllo dei propri dati personali. TikTok, infatti, cede i dati raccolti a ben 16 data broker, rendendo praticamente impossibile ricostruire cosa accade dopo il data sharing, anche perché le piattaforme schermano il flusso dei dati condivisi.

Le conseguenze sulla protezione dei dati personali e le possibili ‘garanzie’

Di conseguenza, la profilazione di massa da parte dei social network non solo comporta una rilevante intrusione nella riservatezza degli utenti, ma tutti i principali diritti conferiti dal GDPR verrebbero lesi:

  • il diritto di accesso ai propri dati e a conoscere i destinatari verso cui sono stati comunicati, non potrebbe essere soddisfatto in quanto non sarebbe ragionevolmente possibile identificare i soggetti verso cui i data broker e le Piattaforme abbiano condiviso i dati;
  • il diritto di rettifica non potrebbe essere legittimamente garantito, proprio a fronte degli innumerevoli attori coinvolti e nell’inquadramento degli interessati in diversi profili. Il principio di esattezza dei dati acquista, dunque, una nuova importanza perché la raccolta di dati inesatti o scorretti comporterebbe l’inserimento dell’interessato in un profilo o modello errato, con la conseguenza che sarebbe bersagliato da pubblicità a lui non inerente;
  • del pari, anche il diritto all’oblio non potrebbe essere assicurato, data la diffusione dei dati tra diversi titolari del trattamento (ossia la Piattaforma, i data broker, etc). Ovviamente la giurisprudenza ha, a più riprese, ripetuto che, a tutela della propria immagine sociale, chiunque ha diritto alla cancellazione delle informazioni che lo riguardano.

A conclusione, quali possono essere le tutele più efficaci per l’utente della rete che si trova ad interfacciarsi con TikTok e data broker?

Sarebbe banale e al quanto utopico, dire che l’interessato, per tutelarsi, non dovrebbe iscriversi a queste piattaforme per scongiurare la propria profilazione e l’advertising sui social. Perciò, l’unico strumento di tutela non può che essere riscontrato nel consenso stesso degli utenti interessati rispetto a questo tipo, così invasivo, di trattamento dei dati. Un consenso specifico e separato da qualsiasi altro consenso o accettazione dei termini e condizioni della piattaforma; libero, quindi totalmente facoltativo rispetto all’utilizzo della piattaforma; e informato, tale che l’utente possa comprendere in modo efficace e rappresentativo ciò che la piattaforma social farà dei propri dati e alla possibilità della condivisione degli stessi a data broker. Consenso che, ovviamente, dovrà essere prestato non solo per la raccolta dei dati dal social network, ma anche dal data broker che, mediante la condivisione dei dati dell’interessato, si ritroverà a trattarne i dati per la creazione di modelli in cui categorizzare tutti i vari utenti della rete. Ciò è stato evidenziato anche dalla Corte di Giustizia dell’Unione europea nella causa C‑252/21 contro Meta Platforms Inc.

 

 

Leggi gli altri articoli
AI e Privacy. Il GDPR rallenta l’innovazione? Il caso del Garante Privacy Italiano contro ChatGPT.
Il contratto d’appalto e le sue tipologie: l’appalto a corpo, l’appalto a misura e l’appalto a computo estimativo
Videogiochi ed E-Sport in UE
Le sfide giuridiche della contrattualizzazione degli e-sports pro-players
Lavoro e privacy: riconoscimento facciale dei dipendenti e controllo dell’attività lavorativa

Ti serve qualche informazione in più sull'articolo? Scrivici a info@studiolegally.com