A seguito alla Dichiarazione di Vienna del 28 aprile 2022 sulla cooperazione nell’applicazione delle norme, il Comitato Europeo per la Protezione dei Dati personali ha designato il caso relativo alle Smart TV come “Strategic Case”.Il caso è stato proposto dall’Autorità di controllo privacy olandese (NL SA) a cui hanno aderito rispettivamente le Autorità privacy di Ungheria (HU SA), Italia (IT SA) e Liechtenstein (LI SA).
L’obiettivo dell’indagine è comprendere quali dati personali vengono trattati durante l’uso ordinario e la prima installazione delle Smart TV connesse a internet nonché in caso di nuovi aggiornamenti. Si è proposto di adottare un approccio pratico per scoprire i flussi di dati che normalmente rimangono occulti per il consumatore. Ambito e metodologia di indagine L’Indagine ha coinvolto tre diversi dispositivi, selezionati tra i modelli più diffusi dei produttori con le maggiori quote di mercato nell’UE e nello SEE. Dal punto di vista legale, l’analisi si è focalizzata sui principi di trasparenza e minimizzazione dei dati . Le quattro Autorità di controllo privacy hanno eseguito indagini tecniche coordinate nell’agosto 2023 con metodologia uniforme per tutti i marchi indagati. L’Indagine si è incentrata sul traffico internet durante quattro momenti specifici: prima installazione; stand-by (tempo di inattività); uso ordinario del dispositivo; quando il dispositivo è spento (“off”). Rilevamento di flussi dati significativi L’ispezione tecnica ha rilevato flussi di dati significativi in tutti i dispositivi selezionati. La generazione di flussi di dati verso molteplici domini si verifica durante l’installazione, lo stand-by e l’uso ordinario. I flussi di dati sono stati rilevati persino quando il dispositivo risultava spento. I dati trattati sono considerati dati personali ai sensi del GDPR ed includono l’ indirizzo IP privato del consumatore , processato in combinazione con numerosi altri dati. Tra questi figurano l’ID del dispositivo, l’ID account, l’ID pubblicitario, stato, la versione del firmware, i dati sull’uso del telecomando e le impostazioni TV. Le finalità principali di questo insieme combinato di dati sono: fornire il servizio al singolo dispositivo; identificare il dispositivo e l’utente durante il funzionamento della TV; raccogliere informazioni sull’utilizzo della TV; fornire informazioni personalizzate, come raccomandazioni e pubblicità al consumatore. Destinatari dei flussi di dati L’analisi dei flussi ha identificato quattro categorie di destinatari dei dati. Produttore : in alcuni casi il produttore della TV fornisce anche il Sistema Operativo (OS). Pertanto, i flussi dati vengono considerati come flussi di dati del sistema operativo. Fornitore OS : flussi di dati verso i domini connessi al fornitore del sistema operativo installato nella TV. Fornitori di servizi di streaming : flussi dati verso terze parti che forniscono servizi come YouTube, Netflix, Amazon Prime Video o Disney Plus. Terze Parti : organizzazioni che possono eseguire analisi, tracciamenti o fornire pubblicità personalizzata, a prescindere dal ruolo privacy che assumono. Dati rilevati per fase Durante l’installazione, quasi tutti i flussi di dati sono risultati correlati al sistema operativo , ma erano presenti anche flussi verso streaming, produttori e terze parti. Durante lo stand-by , la maggioranza dei flussi è indirizzata al fornitore del sistema operativo. Nelle 24 ore in cui la TV è stata spenta, si sono registrati flussi verso tutte e quattro le categorie, con prevalenza verso il fornitore del sistema operativo. Durante l’ uso ordinario , la maggioranza dei flussi dati rientra nella categoria “streaming”. Opacità dell’ecosistema L’ecosistema delle Smart TV è complesso e opaco. L’indagine ha rivelato un ecosistema avanzato di diverse tipologie di soggetti , tra gli altri, produttori di dispositivi, fornitori del sistema operativo, sviluppatori di app di terze parti, reti pubblicitarie e commercianti di dati di visualizzazione (c.d. viewing data traders ). I flussi di entrate identificati rivelano che i produttori di dispositivi ottengono reddito non solo dalla vendita dei dispositivi ma anche da contratti con content service providers e dalla commercializzazione dei dati di visualizzazione della TV. Sfide nell’identificazione del titolare del trattamento L’ecosistema frammentato rende difficile designare quale parte sia il titolare del trattamento dei dati personali. I produttori di dispositivi tendono a non adottare un ruolo di titolare del trattamento per i dati trattati dai loro fornitori terze parti. Essi limitano la propria funzione di titolare ai servizi che offrono direttamente . I produttori sembrano riluttanti ad assumere il ruolo di titolare per l’intera attività di trattamento innescata dall’uso del dispositivo immesso sul mercato. Pertanto, i soggetti interessati si ritrovano a dover leggere diverse privacy policy di diversi operatori. Contitolarità e altre considerazioni sul ruolo di titolare Quando un produttore stipula un accordo con un partner, può configurarsi una partecipazione congiunta nella determinazione di scopi e mezzi (c.d. contitolarità). La decisione del produttore, in qualità di fornitore del sistema operativo o solo di produttore del dispositivo, di stipulare un accordo per app preinstallate determina il trattamento dei dati da parte di terzi. Senza tale decisione, il trattamento non avverrebbe. Come già evidenziato sopra, generalmente i produttori si considerano titolari solo in relazione ad una porzione di trattamento dei dati degli utenti delle smart tv mentre indicano i partner commerciali che forniscono servizi aggiuntivi come autonomi titolari del trattamento. Tuttavia, la documentazione acquisita dimostra che i rapporti contrattuali stabiliscono formalmente obblighi di trattamento dei dati e ruoli . Solo in pochi casi, le terze parti (spesso per servizi di supporto o pubblicitari) agiscono come responsabili del trattamento, con accordi ai sensi dell’articolo 28 GDPR. Posizione del soggetto interessato e applicazioni preinstallate Consenso obbligatorio e trasparenza : i soggetti interessati (consumatori) si trovano in situazioni in cui l’unica opzione realistica è l’accettazione di politiche sulla privacy estese per utilizzare il dispositivo. Per accedere alle funzioni internet o persino al sistema operativo, può essere richiesto un account obbligatorio. L’accettazione di tale account implica l’applicazione di tutte le politiche sulla privacy del fornitore di servizi. Il consumatore è esposto a numerose aziende e deve leggere diverse politiche sulla privacy di molteplici soggetti per comprendere il destino dei propri dati prima di poter utilizzare la TV. Difatti, l’interessato non è solo un consumatore del dispositivo, ma anche una fonte di reddito attraverso i dati che genera. Applicazioni preinstallate e minimizzazione : tutte le Smart TV indagate presentavano applicazioni preinstallate. Queste app, installate prima o durante la prima configurazione, trattano dati anche se l’utente non le usa. La collocazione di queste app avviene in base a contratti tra il produttore e i fornitori di servizi di contenuto. In alcuni casi, queste applicazioni non potevano essere eliminate dal dispositivo. È stato riscontrato che l’installazione di app di terze parti può avvenire automaticamente, senza che gli utenti vengano informati o possano scegliere quali app installare. Ciò solleva serie preoccupazioni in merito al principio di minimizzazione dei dati e all’effettivo esercizio dei diritti degli interessati. Conclusioni Il fatto che i produttori indirizzino le autorità di controllo privacy verso altre entità limita le capacità di indagine, rendendo l’intero processo opaco sia per le autorità di controllo che per gli interessati. Si osserva inoltre che tutti i titolari del trattamento indagati sono localizzati al di fuori dello SEE , escludendoli dal meccanismo di cooperazione (c.d. one-stop-shop o sportello unico) previsto dall’Articolo 60 GDPR. Le autorità di controllo privacy potrebbero proseguire le loro indagini anche dopo la conclusione dell’operazione congiunta. Considerando che, al momento della stesura della presente relazione, alcune delle indagini sono ancora in corso, le autorità di protezione dei dati hanno deciso di fornire solo osservazioni generali, senza fare riferimento alle specifiche entità oggetto delle indagini.
Smart TV Strategic Case - Final Report