Smart generation e maturità digitale

Smart generation e maturità digitale

di Giovanni Marra - Privacy e cybersecurity

La diffusione dei social network e più in generale dell’offerta di servizi on line rivolta ai giovanissimi sollecita l’esigenza della definizione di best practices che siano idonee a garantire la sicurezza e la tutela di chi è in età preadolescenziale e, contemporaneamente, siano in grado di conferire certezza all’operato dei fornitori dei servizi digitali al fine di offrire un’offerta adeguata e coerente con le regole comunitarie.

L’affermarsi della app economy che come noto spesso si rivolge al pubblico dei giovanissimi, cioè quella che ormai viene definita la smart generation, impone di dedicare la massima attenzione alla protezione della privacy dei minori e far sì che l’utilizzo di tali strumenti sia consapevole e controllato anche grazie all’intervento dei genitori.

I vari social network esistenti sul mercato sotto forma di applicazioni interagiscono con i dispositivi mobili accedendo a dati condivisibili  (rubrica, foto e video) fino ad arrivare anche alla geolocalizzazione. A ciò si aggiunge che le abitudini e le preferenze possono essere oggetto di attività di marketing profilato, processi decisionali automatizzati, con ripercussioni sui diritti e le libertà di soggetti particolarmente vulnerabili come i minori.

Come affrontano tale problema le diverse legislazioni al fine di eliminare o arginare gli effetti negativi legati all’utilizzo dei social network da parte di minori?

Gli Stati Uniti si sono dimostrati particolarmente sensibili a questa tematica e infatti esiste negli USA una legge federale e cioè la Children’s Online Privacy Protection (COPPA) la quale impone limiti ben definiti nell’offerta di servizi interamente digitali ai minori di 13 anni stabilendo misure restrittive quali il preavviso di trattamento ai genitori nonché il consenso degli stessi, il divieto di richiedere dati non necessari al trattamento e l’obbligo di adottare misure di sicurezza.

Le rigide misure previste dal COPPA sono state disattese dai big della digital economy come YouTube e TikTok i quali sono stati condannati al pagamento di esose sanzioni pecuniarie comminate dalla Federal Trade Commission, l’autorità garante statunitense, per non aver informato con trasparenza e non aver richiesto il consenso preventivo ai genitori dei minori di 13 anni di età.

Anche il legislatore europeo ha riposto particolare attenzione alla tutela della privacy del minore.
Il Regolamento (UE) 2016/679 noto come GDPR enuncia una serie di principi in cui si afferma l’esigenza di garantire particolare protezione al trattamento dei dati dei minori in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali.
Il GDPR riconnette la specifica esigenza di tutela verso il minore con particolar riguardo alle attività di marketing, di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore.
Il GDPR inoltre richiama l’attenzione in merito all’utilizzo di un linguaggio semplice e chiaro che un minore possa capire facilmente.

Chiarito ciò ci si chiede se ai sensi della normativa europea il minore può prestare il consenso al trattamento dei dati personali.
Il legislatore europeo ha fissato nel limite dei 16 anni la c.d. maturità digitale stabilendo all’art. 8 che in tutte quelle volte in cui è necessario esprimere un consenso al trattamento dei dati personali tale consenso è legittimamente rilasciato se l’interessato abbia compiuto almeno i 16 anni.
Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Chiarito quindi che al compimento dei 16 anni si presume che ci sia la maturità di esprimere un consenso al trattamento dei dati, il Regolamento europeo rimanda alle singole legislazioni nazionali la possibilità di prevedere un limite anagrafico differente con il rispetto del limite inderogabile dei 13 anni.
L’Italia ha aderito a tale invito e con il d.lgs. n. 101/2018 che ha novellato il d.lgs n. 196/2003 (codice della privacy) all’art. 2 quinquies ha stabilito che il minore che ha compiuto i quattordici anni può esprimere lecitamente il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione.
In Italia, pertanto, si raggiunge la maturità digitale sotto il profilo della privacy al raggiungimento dei 14 anni di età; ciò è in perfetta linea con la strada tracciata dal Garante della Privacy il quale ha espresso parere favorevole all’abbassamento dell’età anagrafica per potere legittimamente manifestare il consenso al trattamento dei dati personali in quanto, precisa il Garante, misura coerente con alcune facoltà già concesse al minore di 14 anni come il dare pieno assenso alla sua adozione o esercitare i diritti posti a propria tutela contro atti di cyberbullismo.

Come però osservato dalla dall’Autorità Garante per l’Infanzia e l’Adolescenza tutto ciò deve essere adeguatamente compensato e accompagnato da programmi formativi specifici, rivolti ai minorenni, che ne assicurino una sufficiente consapevolezza digitale.

A questo punto è lecito porsi un problema di ordine pratico che si riflette in merito al rispetto delle disposizioni appena descritte e cioè quali sono gli strumenti per verificare che il consenso, nel caso di minore di 14 anni, provenga effettivamente dal genitore?

Il Regolamento europeo prescrive sempre all’art. 8 che il titolare del trattamento si adopera in ogni modo ragionevole per verificare che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

Il rinvio operato dalla norma è generico e rimanda al fornitore del servizio tecnologico l’obbligo di approntare idonee procedure pe la verifica del consenso da parte del genitore del minore di 14 anni.

Quindi allo stato mancano vere e proprie procedure ufficiali che siano in grado di verificare efficacemente la provenienza del consenso espresso dal genitore del fanciullo.

La citata legge federale degli Stati Uniti ovvero la Children’s Online Privacy Protection potrebbe venire in soccorso e suggerire alcune importanti tecniche di verifica del consenso del genitore in un’apposita sezione che elenca i Methods for verifiable parental consent. e cioè tecniche che si avvalgono di un sistema di verifica in grado di fornire idonee garanzie in merito alla provenienza del consenso da parte del responsabile del minore.

I criteri richiamati possono essere così sintetizzati:

  • i) fornitura di un modulo di consenso che deve essere firmato dal genitore e restituito all’operatore tramite posta ordinaria, fax o scansione elettronica;
  • ii) richiesta ad un genitore, in relazione a una transazione monetaria, di utilizzare una carta di credito, una carta di debito o un altro sistema di pagamento online che fornisca la notifica di ciascuna transazione in modo discreto al titolare del conto principale;
  • iii) far chiamare un genitore da un numero telefonico gratuito composto da personale qualificato;
  • iv) far contattare un genitore da parte di personale addestrato tramite videoconferenza;
  • v) verifica dell’identità di un genitore mediante data base rilasciati dal governo in cui l’identificazione del genitore viene eliminata dall’operatore dai suoi archivi tempestivamente al termine di tale verifica;
  • vi) l’invio di un’e-mail di conferma al genitore a seguito della ricezione del consenso o l’ottenimento di un indirizzo postale o di un numero di telefono dal genitore e la conferma del consenso del genitore tramite lettera o telefonata.

Seppur è sostenibile che le tecniche evidenziate possano costituire un valido strumento di verifica della provenienza del consenso va comunque evidenziato l’esistenza di criticità connesse alla mancanza, in alcuni casi, di assoluta certezza circa l’esistenza della potestà genitoriale in capo al soggetto contatto mediante tali tecniche. E’ altresì vero che il GDPR non impone l’obbligo in capo al titolare del trattamento di verificare con assoluta certezza l’identità del genitore. Pertanto è sufficiente che il sistema messo in atto possa ritenersi ragionevolmente idoneo allo scopo richiesto tenuto conto anche della tecnologia utilizzata

Il tema è sicuramente delicato ed è necessario che tutti i players facciano la loro parte al fine di potere individuare un sistema di regole ben definito che possa costituire un efficace presidio a tutela dei più giovani e, allo stesso tempo, conferire regole certe ai titolari del trattamento

A livello europeo è quindi auspicabile un intervento dell’European Data Protection Board con apposite linee guida al quale possa aggiungersi l’adozione di codici di condotta che lo stesso GDPR incentiva in riferimento al tema della protezione del minore e alle modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore.

Torna in cima