Попытка TikTok изменить правовую основу для таргетинга рекламы на пользователей в Европе, похоже, потерпела неудачу после того, как вмешалась итальянская служба по защите данных и выпустила предупреждение о неадекватности закона всего за несколько дней до запланированного изменения политики конфиденциальности.
Созданная пользователями платформа для обмена видео привлекла внимание от экспертов по конфиденциальности в прошлом месяце, когда он незаметно сообщил о предстоящих изменениях в своих Положениях и условиях для пользователей в Европейской экономической зоне, Великобритании и Швейцарии, которые, по его словам, будут применяться с 13 июля — чтобы перейти от использования согласия на обработку пользовательских данных для запуска « персонализированных» объявлений, заявив о правовом основании, известном как «законные интересы», и заявив, что, таким образом, он перестанет запрашивать у пользователей разрешение на отслеживание целевой рекламы.
Эксперты по конфиденциальности быстро допрошенный пройдет ли коммутатор проверку в органах по защите данных.
Ответ — по крайней мере, в Италии — кажется, нет.
В пресс-релизе, объявляющем о своем «официальном предупреждении» TikTok, итальянские власти, которые заявили, что «немедленно» начали сбор информации о запланированном пересмотре политики конфиденциальности TikTok, пришли к выводу, что запланированное изменение правовой основы несовместимо. с директивой ЕС и с местным законом о защите данных, который трансформировал структуру ЕС.
«В обоих правовых документах прямо указано, что согласие субъектов данных является единственной правовой основой для« хранения информации или получения доступа к уже сохраненной информации в терминальном оборудовании подписчика или пользователя », — предупредил он.
Итальянское DPA также выразило обеспокоенность по поводу рисков, связанных с тем, что TikTok нацелится на детей, если он продолжит внесение изменений, учитывая более ранние опасения по поводу того, сможет ли он выявить несовершеннолетних, использующих свою платформу.
Гаранте заявила, что действует в соответствии с Директивой ЕС по электронной конфиденциальности, которая распространяется на технологии отслеживания и данные, обрабатываемые на терминальном устройстве.
Директива позволяет ему вмешиваться на национальном уровне — вместо того, чтобы передавать проблемы в агентство по защите данных Ирландии, что приводит к жалобам на TikTok, которые подпадают под действие Общего регламента по защите данных (GDPR) в результате так называемого « механизм «одного окна», который предназначен для упрощения соблюдения требований для предприятий (но который, как утверждают критики, позволил технологическим гигантам уклоняться от ответственности за обработку данных, враждебную конфиденциальности, посредством покупок на форумах).
У Комиссии по защите данных Ирландии (DPC) есть два открытых расследования GDPR в отношении деятельности TikTok, которые были начаты еще в сентябре 2021 года (в том числе одно, посвященное обработке данных детей), но ни одно расследование не привело к каким-либо решениям, публичным предупреждениям или распоряжениям. пока.
Таким образом, контраст с итальянским регулирующим органом, который так быстро реагирует на опасения, выглядит заметным.
Помимо официального предупреждения TikTok сегодня, итальянское DPA также заявило, что оставляет за собой право принимать дополнительные меры, включая срочную процедуру, если платформа «не сделает шаг назад».
Статья 66 Общего регламента по защите данных позволяет органам, регулирующим защиту данных, обходить стандартное требование о передаче проблем через ведущего надзорного органа и немедленно принимать временные меры на национальном уровне (которые могут действовать в течение трех месяцев), если они убеждены, что существует срочная необходимость действовать для защиты. права и свободы субъектов данных. Значит есть механизм Гаранте может попытаться быстро действовать в соответствии с GDPR, например, если TikTok не откажется от переключения политики конфиденциальности.
Ранее он использовал этот механизм, чтобы вмешаться в связи с неотложными проблемами, связанными с платформой TikTok, например, предупредив о неадекватных проверках возраста еще в 2020 году, а затем приказав TikTok заблокировать пользователей, которым он не смог проверить возраст.
Через несколько месяцев после этого TikTok удалил более полумиллиона учетных записей в Италии, которые не могли подтвердить, что они не принадлежат несовершеннолетним.
Теперь итальянская служба по надзору за данными заявила, что у нее есть «особая озабоченность» по поводу перехода платформы на неадекватную правовую основу в отношении защиты зарегистрированных пользователей-детей, предупредив: «[T]Трудности, с которыми в настоящее время сталкивается TikTok при установлении соответствия возрастным требованиям для доступа к платформе, не позволяют исключить риск того, что «персонализированная» реклама, включающая неподходящий контент, будет показываться очень молодым пользователям на основании законных интересов компании».
Таким образом, компания TikTok сделала официальное предупреждение о том, что обработка пользовательских данных на основе «законных интересов» будет «противоречить действующей нормативно-правовой базе, по крайней мере, в отношении информации, хранящейся на устройствах пользователей, и будет влечет за собой все соответствующие последствия, в том числе с точки зрения мер воздействия и штрафов», как говорится в нем.
В то время как GDPR ЕС допускает штрафы, которые могут достигать 4% от общего мирового оборота за предыдущий год за подтвержденные нарушения правил, более старая Директива о конфиденциальности уполномочивает компетентные органы государств-членов налагать «эффективные, пропорциональные и сдерживающие» штрафы. (что, в нескольких недавних случаях, привело к некоторым заметным штрафам для технологических гигантов, некоторые из которых превышают 100 миллионов долларов, и даже привело к некоторым заметным переосмыслениям политики — поэтому обеспечение соблюдения правил конфиденциальности ЕС, безусловно, оказывает влияние, даже если требуется гораздо больше )
«Обнаружение нарушения директивы ePrivacy позволило итальянскому SA прямо и срочно вмешаться в отношении TikTok, вне процедуры сотрудничества, изложенной в GPDR, которая потребовала бы, чтобы Ирландская комиссия по защите данных возглавила разбирательство — поскольку TikTok поместил его главное представительство ЕС в Ирландии», Гаранте объясняет в своем пресс-релизе, прежде чем сказать, что не верит, что запланированное изменение политики конфиденциальности TikTok будет законным в соответствии с GDPR, добавив, что поэтому он также проинформировал как Ирландский DPC, так и Европейский совет по защите данных (EDPB), «чтобы они рассмотрели дальнейшие действия, будущее действие”.
Неясно, какие дальнейшие действия могут последовать.
DPC может решить открыть новое расследование (при условии, что TikTok не откажется от своего плана) — хотя сроки, связанные с трансграничной / крупной технической работой ирландского регулятора на сегодняшний день, предполагают, что могут пройти годы, прежде чем он примет решение. и любое правоприменение.
Таким образом, EDPB может сыграть важную роль, если итальянский наблюдательный орган решит приступить к срочной процедуре в соответствии со статьей 66 GDPR и попросит его вмешаться и принять окончательные меры против TikTok.
Хотя Совет отклонил такой запрос DPA Гамбурга в отношении жалобы на обмен данными между WhatsApp и Facebook, в прошлом году он приказал DPC «быстро» провести расследование. А несколько месяцев спустя ирландский регулирующий орган принял окончательное решение по длительному расследованию в отношении WhatsApp, которое привело к штрафу в размере 267 миллионов долларов. (Хотя связь между приказом Правления и заключением DPC о расследовании «по собственному желанию» не совсем ясна.)
С TikTok и ирландским DPC связались для комментариев по поводу Гарантепоследнее вмешательство.
В последние годы платформа для обмена видео также подверглась проверке со стороны региональных регуляторов по защите прав потребителей. Обеспокоенность выразили еще в феврале 2021 года ряд агентств, в том числе по поводу безопасности детей и маркетинга. Эти скоординированные жалобы на защиту прав потребителей привели к «формальному диалогу» под руководством Европейской комиссии, и только в прошлом месяце регулирующие органы приняли ряд обязательств от TikTok по корректировке раскрытия информации о рекламе (на тот момент никаких штрафов не применялось).
Однако опасения по поводу конфиденциальности, связанные с профилированием пользователей TikTok, не были решены в рамках действий по защите прав потребителей, что также может объяснить, почему итальянское DPA решило вмешаться сейчас.