Cum a încălcat TikTok prevederile GDPR?

Article Amenda TikTok pentru incalcarea GDPR

 

TikTok se confruntă în prezent cu o amendă de 345 de milioane de euro din cauza unei încălcări clare a Regulamentului general privind protecția datelor (GDPR), în special în ceea ce privește gestionarea conturilor copiilor. Investigația privind gestiunea datelor copiilor de către Tik Tok atrage unele similitudini cu practicile investigate anterior de DPC în ceea ce privește breșa meta și lipsa măsurilor de protecție a datelor copiilor a Instagram.

Aspectul care stă la baza ambelor încălcări menționate este lipsa de considerație pentru protecția suplimentară a datelor cu caracter personal acordată copiilor de GDPR și, mai precis, lipsa asigurării protecției datelor începând cu momentul conceperii și în mod implicit.

Investigația DPC privind practicile TikTok privind datele

Comisia irlandeză pentru protecția datelor (DPC) a lansat o anchetă asupra TikTok Technology Limited, concentrându-se asupra modului în care au gestionat datele referitoare la copii între 31 iulie și 31 decembrie 2020. Scopul principal a fost de a determina dacă TikTok a respectat reglementările GDPR în timp ce gestionează datele personale ale tinerilor utilizatori pe platforma lor.

Aceste aspecte-cheie verificate de DPC au scos la iveală unele practici îngrijorătoare și, după cum s-a menționat anterior, o lipsă evidentă de considerație pentru viața privată și protecția datelor cu caracter personal ale minorilor. Unele dintre cele mai de impact constatări au fost:

"Funcția de Family pairing"

Posibilitatea unui utilizator adult de a avea contul asociat cu cel al utilizatorului copil pentru a putea gestiona anumite privilegii ale contului minorului a fost oferită de Tik Tok sub forma "Family pairing”. Chiar dacă la prima vedere opțiunea pare să adauge valoare protecției vieții private a copiilor și interacțiunii generale pe platformă cu persoanele nedorite, o privire rapidă asupra detaliilor ne dovedește contrariul.

Opțiunea ar permite, de fapt, "utilizatorului adult" să se conecteze la contul "utilizatorului non-adult" prin asocierea familială, fără a avea, de fapt, nicio posibilitate sau măsuri de verificare a identității tutorelui sau părintelui la care ar trebui să se ofere accesul, permițând astfel practic oricărui utilizator să aibă acces la această asociere de conturi. În plus, după ce asocierea a fost finalizată cu succes, contul adult asociat al presupusului tutore sau părinte a avut posibilitatea de a activa mesajele directe pe platformă pentru copil.

Mesajele directe pentru copii pe o platformă cu o varietate de utilizatori a căror identitate este verificată în mod nesigur este egală cu o expunere semnificativă a copilului la riscuri, lipsă de confidențialitate și interacțiuni nedorite printr-o trecere cu vederea a opțiunilor proprii a platformei oferite utilizatorilor.

"Lipsa confidențialității în mod implicit"

Chiar dacă legea menționează în mod specific la articolul 25 din GDPR că numai datele necesare și cantitatea necesară de date vor fi prelucrate pentru a atinge un anumit scop, opțiunile cele mai puțin intruzive fiind setate implicit pe platforma sau aplicația dată, Tik Tok și-a asumat să facă exact opusul unui grup de persoane vizate care sunt în mod natural mai vulnerabile.

Conturile copiilor realizate pe Tik Tok au fost setate implicit la setarea "publică", expunând astfel copilul, având în vedere că, în acest sens, orice utilizator, fie pe sau în afara Tik Tok, ar putea vizualiza și interacționa cu conținutul postat de copil, încălcând astfel regulile de confidențialitate în mod implicit.

"Lipsa informațiilor furnizate utilizatorilor."

DPC a identificat, de asemenea, încălcări grave ale obligațiilor de transparență stabilite de GDPR la articolele 12-13. Ancheta a constatat mai multe lacune în ceea ce privește informațiile furnizate utilizatorilor copii, atât în ceea ce privește comunicarea generală de informare a utilizatorilor, cât și notificările "just-in-time" furnizate.

Tik Tok a activat mai multe straturi de informații care urmează să fie furnizate utilizatorului, astfel încât acesta să își îndeplinească în cele din urmă obligațiile de informare. Cu toate acestea, s-a constatat că informațiile furnizate nu cuprindeau toate aspectele necesare. De exemplu, în timp ce contul copiilor era public în mod implicit, un pop-up cu o notificare "just-in-time" ar informa utilizatorul copil că conținutul publicat ca atare ar fi vizibil pentru toată lumea, fără a specifica dacă destinatarii meniți ca "toată lumea" includ și persoane din afara Tik Tok sau neînregistrate pe platformă.

În această privință, o mare parte din amenda emisă de DPC se referă la deficiențele constatate în ceea ce privește livrarea și conținutul creat în scopul îndeplinirii obligațiilor de informare.

"Tactici manipulative”

În timp ce majoritatea autorităților de supraveghere în cauză au fost de acord cu constatările DPC, autoritățile italiene și de la Berlin au ridicat obiecții. Berlinul a contestat necesitatea de a adăuga o altă încălcare legată de principiul GDPR al corectitudinii în ceea ce privește "dark patterns". Italia nu a fost de acord cu concluzia DPC potrivit căreia TikTok a respectat articolul 25 din RGPD privind verificarea vârstei în perioada relevantă.

Ca răspuns, chestiunea a fost înaintată Comitetului european pentru protecția datelor (CEPD) pentru soluționare în temeiul mecanismului de soluționare a litigiilor prevăzut la articolul 65 din RGPD. În timpul analizei lor, EDPB a constatat că au fost puse în aplicare mai multe tehnici menite să împingă utilizatorul către anumite opțiuni, atât folosind tactici vizuale, cât și un limbaj special conceput pentru a banaliza anumite chestiuni. De exemplu, în timp ce i se oferă opțiunea de a alege setarea privată a contului, numărul de copii fie apasă butonul "Go Private", fie "Skip", cu diferențe clare în culorile butoanelor, apăsând "Skip" contul ar merge implicit la setarea publică, având anumite ferestre pop-up care oferă informații vagi despre destinatarii datelor care ar putea fi "toată lumea". EDPB a constatat că, având în vedere diferența de putere dintre utilizatori, în special dintre minori, tacticile vagi și opace de a da un ghiont utilizatorului sunt inacceptabile și că operatorul are datoria de a furniza informațiile utilizatorului într-un mod neutru și complet.

Ca atare, DPB a emis o decizie obligatorie, solicitând DPC să își revizuiască draftul deciziei pentru a include o încălcare suplimentară legată de principiul echității prevăzut de RGPD, astfel cum a sugerat autoritatea de la Berlin.

Verdictul final al DPC și implicațiile sale

Decizia finală a DPC, din 1 septembrie 2023, a confirmat încălcările menționate mai sus. Pentru a remedia aceste probleme, DPC a emis o mustrare către TikTok și un ordin prin care a instruit TikTok să rectifice practicile sale de prelucrare a datelor în termen de 3 luni de la data la care decizia este notificată către Tik Tok.

Implicațiile operaționale ale rectificării tuturor constatărilor sancționate din investigație într-o period de 3 luni nu ar trebui subestimate și ar trebui să servească ca orientare întrucât efortul financiar total de soluționare a problemelor GDPR identificate într-o investigație a autorității nu este cuantificat exclusiv prin valoarea amenzii, ci poate atinge costuri comparabile în ceea ce privește conformitatea operațională din cauza urgenței situației.

Recomandări pentru îmbunătățirea conformității

Rezultatul acestei investigații cuprinzătoare privind practicile TikTok de gestionare a datelor servește ca un indice al importanței critice a prioritizării protecției datelor utilizatorilor, în special atunci când se referă la minori. Deficiențele identificate în abordarea TikTok subliniază nevoia urgentă ca toți operatorii de date să își îmbunătățească strategiile de conformitate, aliniindu-se la liniile directoare GDPR.

Iată recomandările esențiale pentru operatori pentru a-și consolida mecanismele de protecție a datelor:

1. Prioritizați confidențialitatea prin design și implicit:

Operatorii trebuie să se asigure că platformele lor acordă prioritate confidențialității încă de la început. Setările implicite ar trebui să se alinieze la cele mai înalte standarde de confidențialitate, în special pentru conturile care implică minori, solicitând utilizatorilor să opteze în mod conștient pentru o vizibilitate sporită.

2. Verificare îmbunătățită pentru opțiuni de tipul “Family pairing”:

Atunci când implementează funcții precum "Family pairing", operatorii trebuie să includă măsuri de verificare solide pentru a stabili adevărata identitate a tutorelui sau a părintelui care se conectează la contul unui minor. Acest lucru împiedică accesul utilizatorilor neautorizați și sporește siguranța minorilor online.

3. Furnizarea de informații clare și cuprinzătoare:

Operatorii ar trebui să furnizeze cu diligență informații clare, complete și ușor de înțeles utilizatorilor, inclusiv minorilor. Toate aspectele legate de prelucrarea datelor și setările de confidențialitate ar trebui comunicate în mod transparent pentru a asigura luarea deciziilor în cunoștință de cauză de către utilizatori.

4. Evitarea tacticilor manipulative:

Pentru a adera la principiul corectitudinii GDPR și pentru a preveni alegerile înșelătoare ale utilizatorilor, operatorii trebuie să se abțină de la utilizarea modelelor întunecate. Utilizatorilor ar trebui să li se prezinte informații clare și neutre, în special minorilor, pentru a se asigura că aceștia pot face alegeri în interesul lor, fără nicio manipulare sau ambiguitate.

5. Audituri periodice de conformitate și instruire:

Operatorii ar trebui să efectueze audituri de rutină ale practicilor lor de prelucrare a datelor pentru a asigura conformitatea continuă cu GDPR și cu reglementările conexe. În plus, instruirea periodică a personalului care se ocupă de datele și de aspectele legate de confidențialitate este crucială pentru a menține o cultură a conformității și a conștientizării în cadrul organizației.

Prin adoptarea și aplicarea acestor recomandări, operatorii de date pot contribui la un peisaj digital mai sigur, respectând confidențialitatea și drepturile tuturor utilizatorilor, în special ale minorilor. Este imperativ ca organizațiile să acorde prioritate și să investească în strategii solide de protecție a datelor pentru a atenua riscurile, a susține confidențialitatea și a menține încrederea utilizatorilor lor.

 

Pentru informații despre conformarea cu prevederile GDPR ne puteți scrie la office@decalex.ro 

Alexandru BORLAN 

 

Senior Privacy & Data Protection Consultant la Decalex

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI