Qualche esperto di GDPR può risolvere questo mio dubbio.

Twitter sostiene di rispettare la GDPR (https://gdpr.twitter.com).
Twitter does not disclose personally-identifying information to third parties except in accordance with our Privacy Policy.

Twitter spiega nella sua Privacy Policy (https://twitter.com/en/privacy) che usa dati di localizzazione, per
"operate or personalize our services including with more relevant content like local trends, stories, ads, and suggestions for people to follow” (1)
Chi usa il servizio accetta queste condizioni.

La geolocalizzazione dei tweet è tuttavia opzionale (https://help.twitter.com/en/safety-and-security/tweet-location-settings):

Tweet location is off by default, and you will need to opt in to the service.

Comunque chi utilizza le Twitter API riceve anche la posizione:

Tweet location - Available when user shares location at time of Tweet.

Quindi chiunque può ricevere dati di tipo personale che includono la posizione di un soggetto in una certa ora.

Twitter sostiene di rispettare la GDPR sulla base della notifica di cui al punto (1).

Ma la GDPR richiede anche che se un “controller” fornisce dei dati personali ad un “processor”, deve garantire facendo sottoscrivere un contratto ai terzi, che essi stessi rispettano la GDPR.
‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
If a processor acts without the controller’s instructions in such a way that it determines the purpose and means of processing, including to comply with a statutory obligation, it will be a controller in respect of that processing and will have the same liability as a controller.
Processor contracts: you must enter into a binding contract or other legal act with your processors, which must contain a number of compulsory provisions as specified in Article 28(3).

E indica un certo numero di partner con cui collabora: https://privacy.twitter.com/en/subprocessors

Ma chiunque può accedere alla Twitter API senza dover dare nessuna garanzia.

Come si spiega?

— Beppe