La protezione dei minori nel mondo digitale è un argomento fortemente dibattuto, al quale il legislatore europeo ha voluto riservare una particolare attenzione già in sede di redazione del GDPR.
In particolare, per garantire tutele specifiche all’interno degli ambienti delle piattaforme social, è necessario che vi sia un accertamento dell’età del soggetto che si iscrive e accede agli stessi.
La selezione e valutazione degli strumenti di “age verification” è un obbligo che ricade sui gestori delle piattaforme, per una differenziazione dell’offerta e la proposta di contenuti diversi a seconda della minore età o meno dei partecipanti.
Tutto ciò comporta, in modo altrettanto inevitabile, un’attività di monitoraggio automatizzato che, oltre a richiamare le tutele previste dell’art. 22 GDPR, deve essere oggetto di particolari attenzioni in ragione dell’estensione, profondità e persistenza dell’attività, e del relativo rischio intrinseco nei confronti degli interessati.
Tutela dei minori online: l’importanza di agire in sinergia
Le strategie per proteggere i minori online – in parte attuate, in parte ancora da studiare – non possono essere territorialmente limitate ad un unico Paese, e devono occupare un livello necessariamente più alto, e ricercare accordi e condivisioni.
Plasmare il web secondo quell’immagine desiderata che sappia integrare, tutelare e promuovere in modo efficace i diritti fondamentali è un’azione che richiede una serie di interventi sinergici su più livelli: culturale, educativo, sociale e politico.
Sebbene la normazione non sia l’unico strumento con cui intervenire, questa assume un ruolo cruciale nel definire il tracciato essenziale di quel percorso che può consentire l’evoluzione dell’ecosistema digitale.
L’Unione Europea, avendo già attenzionato la tematica dei minori nell’accesso ai servizi digitali e alle piattaforme social in sede di redazione del GDPR – e più recentemente all’interno del Data Act – propone un modello basato fondamentalmente su due cardini: la responsabilizzazione dei gestori e la promozione di un approccio basato sul rischio.
In questo modo è possibile bilanciare delle esigenze apparentemente contrapposte: assicurare l’accesso al minore a servizi e contenuti delle piattaforme, e rispondere all’esigenza di fornire una protezione rafforzata, vista la sua posizione di particolare vulnerabilità.
Certamente si tratta di un equilibrio non semplice da realizzare (e a volte da individuare), per cui è necessaria un’azione di sorveglianza e una continua applicazione di correttivi.
A questo proposito, basta citare il provvedimento del Garante della privacy relativo a TikTok, come esempio.
I sistemi di “age verification” per assicurare la sicurezza dei minori online
Il principio di proporzionalità, richiamato nel considerando 4 del GDPR, consente l’attuazione efficace e sinergica di diritti e tutele, senza che uno debba recedere o che l’altro si ponga in modo tirannico.
Nell’ambito della “age verification” occorrerà pertanto valutare in concreto i sistemi, tenendo conto della loro efficacia e dell’impatto che possono causare, sia per effetto del trattamento di dati personali svolto, che per la limitazione della capacità di movimento del minore all’interno degli spazi digitali.
L’obiettivo da raggiungere – e di cui tenere conto in sede di conduzione di una valutazione d’impatto privacy – sarà avere dei sistemi al contempo non facilmente aggirabili e non eccessivamente invadenti.
Al momento, i sistemi più diffusi impiegati per il controllo dell’età consistono in:
- Convalida della carta di credito
- Analisi biometrica del viso
- Analisi dei documenti di identità
- Collegamento a ID provider pubblici
- Segnalazione da parte degli altri utenti
Sistemi di “age verification”: il parere della CNIL
Nell’analisi dei principali sistemi di “age verification”, la CNIL (l’omologo francese del nostro Garante della privacy) ha dichiarato che le esigenze di protezione dei minori e i vantaggi derivanti da un modello di internet come rete aperta e liberamente accessibile esprimono un dilemma eufemisticamente definito come un “argomento complesso con notevoli rischi per la privacy”.
Infatti, non si può che constatare la natura inevitabilmente imperfetta di tali sistemi, e la crescente necessità di agevolare e prevedere informazione, sensibilizzazione e controllo dell’utente sui dispositivi.
Trovandosi di fronte ad alcuni obblighi legali di verifica dell’età, relativamente a prodotti, servizi o contenuti, i gestori dei servizi digitali non possono che ricorrere ai sistemi di “age verification”, prevedendo l’acquisizione di ulteriori dati dell’utente, e includendo due principali passaggi: comprovare l’età e autorizzare (o meno) l’accesso al contenuto richiesto.
Entrambi prevedono l’applicazione dei principi di “privacy by design” e “privacy by default”, anzitutto nella ricerca di soluzioni che acquisiscano la minore quantità di informazioni possibili, tenendo conto però di adottare criteri di verifica efficaci e non facilmente aggirabili.
Tutte le informazioni acquisite a questo scopo – e che possono poi essere collegate all’attività dell’utente – devono in ogni caso essere trattate in sicurezza, ricorrendo ad esempio a protocolli crittografici, soprattutto nelle ipotesi in cui vengano coinvolti terzi verificatori indipendenti, come suggeriscono le “best practices” citate in tale ambito.
Da un’analisi delle soluzioni esistenti, l’autorità di controllo francese non ne ha riscontrata alcuna in grado di soddisfarle a pieno, e dunque ha invitato attori pubblici e privati a sviluppare nuove soluzioni conformi alle raccomandazioni indicate.
Le linee guida dell’AGCOM
Oltre ai sopra citati sistemi di “age verification”, proprio al fine di tutelare i minori dai pericoli della rete, all’interno del nostro ordinamento esiste l’art. 7-bis del D.L. n. 28/2020, che sancisce l’obbligo per diversi soggetti di attivare sistemi di controllo parentale o di filtro di contenuti inappropriati per i minori, e di blocco di contenuti riservati a un pubblico di età superiore a diciotto anni.
Per dare concreta attuazione a tale norma, con la delibera 9/23, entrata in vigore il 21 novembre 2023, l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha adottato delle Linee Guida, che rappresentano un decalogo per gli ISP (“Internet Services Provider”, in italiano “fornitori di servizi di accesso ad internet”), per implementare correttamente i sistemi di “parental control” o di filtro per i contenuti inappropriati.
Tra i passaggi più importanti della delibera vi è l’individuazione delle categorie di siti web che gli ISP devono impegnarsi a filtrare, basandosi sui contenuti disponibili.
Nella lista sono compresi ad esempio i siti aventi contenuti pornografici, o quelli che promuovono il gioco d’azzardo, o ancora quelli che incitano alla violenza, all’odio e alla discriminazione.
Qualora non sia possibile effettuare un filtro a livello del singolo contenuto, lo stesso si dovrà applicare all’intero sito web.
Passaggio chiave delle Linee Guida è quello che prevede che i sistemi di “parental control” debbano essere inclusi e attivati nelle offerte dedicate ai minori.
Potranno eseguire le operazioni di disattivazione, riattivazione e configurazione del sistema di filtro esclusivamente i maggiorenni titolari del controllo, e coloro che esercitano la responsabilità genitoriale.
Infine, viene chiarito che i contenuti oggetto di filtro sono in ogni caso configurabili dal titolare del contratto, con la possibilità di personalizzare almeno le categorie di contenuti oggetto del “parental control”.
Il ruolo del DPO
Il Data Protection Officer svolge un ruolo di primaria importanza, a partire dalla progettazione dei servizi e dalla definizione delle modalità di controllo di accesso agli stessi, come vuole il principio di “privacy by design”.
I compiti di consulenza e informazione del DPO possono trovare in quest’ambito un ampio margine di svolgimento, dal momento che non esiste una soluzione univoca e la ricerca di equilibri deve essere svolta con particolare cura, stante la compresenza dei diritti fondamentali in gioco.
Occorre perciò analizzare attentamente il contesto, individuare quali presidi e garanzie possono essere predisposti, e tracciare una soglia minima di tutela.
Bisogna però tenere conto anche della compressione inevitabile dei diritti di chi si troverà soggetto a un’attività di controllo.
Dal momento che tale verifica è condizione di accesso o permanenza, l’utente non può decidere di sottrarsi alla stessa.
E dunque, la creazione di un determinato ambiente digitale “protetto” comporta per sua natura non solo delle restrizioni all’accesso, ma anche un costo, che si concretizza per l’interessato nel doversi assoggettare a un’attività di sorveglianza.
L’efficacia del controllo assume un ruolo determinante per la protezione dei minori, per cui il sistema di verifica non può svolgersi in modo meramente dichiarativo, altrimenti sarebbe svilita una garanzia di protezione fondamentale e ineliminabile.
Lo strumento migliore per conseguire l’obiettivo altro non può essere che lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che va promossa dal DPO con riferimento ai sistemi di “age verification”, e che deve essere attentamente sorvegliata affinché includa tutti i diritti e le libertà in gioco, con un’opera di attento bilanciamento.
Tutela dei minori online: quale soluzione?
In quanto tutori e supervisori della sicurezza dei propri figli, anche insegnanti e genitori sono determinanti per proteggere i bambini e gli adolescenti dai pericoli della rete.
Lo strumento attraverso cui possono farlo è senza dubbio l’educazione digitale.
Così come insegnano la buona educazione e il rispetto dei diritti della collettività, allo stesso modo insegnanti e genitori hanno il compito di educare i ragazzi al corretto utilizzo delle nuove tecnologie.
L’isolamento digitale non è senz’altro una soluzione.
Mai come nel periodo della pandemia è nata la necessità di dotarsi di una forte identità digitale, e di una rete di relazioni sociali che semplifichi le interazioni con il mondo esterno.
Occorre, invece, costruire.
Creare una solida rete formativa e informativa, nel contesto scolastico e in quello famigliare, sull’utilizzo intelligente delle nuove tecnologie, sulla conoscenza basilare delle norme di legalità dentro e fuori dalla rete, e sulla tutela dei minori dalle insidie concrete del cyberspazio.
L’educazione digitale dovrebbe permettere a bambini e ragazzi di muovere i primi passi nel mondo del web e dei social network.
Un po’ come quando, da piccoli, si insegna loro a camminare.
Prima muovendosi piano e tenendoli per mano, perché imparino a stare in equilibrio, poi allentando la presa, e consentendogli di essere autonomi, liberi e sicuri di andare dove vogliono.