L’implementazione di un sistema di age verification rappresenta una sfida per tutti gli operatori che trattano dati di minori e sono, dunque, tenuti a verificare l’età degli utenti per controllare l’accesso a determinati contenuti.
Indice degli argomenti
Le sfide dell’age verification: un panorama normativo complesso
La principale difficoltà risiede nell’esistenza di diverse normative che, pur rivolte a regolamentare aspetti differenti – dalla tutela dei dati personali al controllo dei contenuti online all’accesso a determinate piattaforme e così via – finiscono per creare un reticolo di disposizioni che si intersecano fra loro.
Sicurezza informatica: difendi la tua PMI con strategie su misura!
Gli operatori devono dunque individuare le disposizioni a loro applicabili e in che modo conciliarle, considerando che il legislatore non si è premurato, almeno sinora, di offrire un criterio di raccordo tra loro.
Il quadro di incertezza appena descritto porta gli operatori, nella maggior parte dei casi, a limitare al minimo gli interventi, sapendo quanto sia complesso raggiungere i livelli di conformità richiesti dalle normative.
Non si intende ovviamente trovare giustificazioni per codesti operatori che, più o meno scientemente, decidono di violare la legge: tuttavia, si ritiene che un’eccessiva regolamentazione e molta confusione in merito alla sua applicazione ottengono il risultato contrario a quel che si dovrebbe perseguire.
È necessario che il legislatore e le Autorità chiamate ad interpretare le normative rivedano il proprio ruolo, passando da un atteggiamento impositivo ad un ruolo di coordinamento.
Purtroppo, almeno in Europa, dall’introduzione del GDPR si è assistito ad un irrigidirsi delle normative e della loro interpretazione, spesso con l’intento di proteggere gli interessi di utenti – consumatori, con nessun riguardo o quasi per gli interessi della industry. Nessuno nega che, per definizione, utenti – consumatori siano una categoria che necessita di maggiore protezione ma sacrificare del tutto le necessità del mercato porta soltanto a soffocare le imprese, con conseguenze deleterie: tra le tante, proprio che non si tenta neppure di tenersi al passo con le disposizioni normative, se sono troppo irragionevoli e vaghe.
Fatta questa premessa, nel capitolo che segue si cerca di individuare le attività principali da svolgere, quando si intende implementare un sistema di age verification, prediligendo un approccio pratico e che tenga conto delle difficoltà operative di un business.
Come si implementa un sistema di age verification: cinque regole di base
Come accennato in introduzione, vi sono molteplici normative che hanno implicazioni rilevanti sui minori.
Identificare la normativa applicabile: il quadro Gdpr
Dato che alcune di queste dipendono dall’area di business cui appartiene un’impresa, è necessaria una valutazione caso per caso. In questo contributo, ci si concentra su quelle che vengono in rilievo più frequentemente, per verificare che tipo di impatto hanno rispetto ai minori.
Il GDPR (Regolamento (UE) 2016/679) è la normativa che trova la più frequente applicazione, dato che il trattamento di dati personali è il presupposto fondamentale per offrire contenuti ai minori.
L’articolo 8 GDPR dispone che, a fronte del consenso del minore, “per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”. Il limite di 16 anni potrebbe essere variato dalle normative statali, fino ad un minimo di 13 anni (in Italia è stato fissato a 14 anni).
Tale disposizione viene di frequente, frettolosamente, applicata ad ogni trattamento in cui sia coinvolto il minore. In verità, l’articolo 8 GDPR è legato ad alcuni presupposti, che vanno compresi per verificare gli scenari in cui è applicabile. Al di fuori di tali scenari, è poi necessario indagare la “regola generale” da applicare.
La verifica dell’ambito di applicazione dell’articolo 8 GDPR è complessa, così come l’individuazione di quale tipo di regolamentazione debba trovare applicazione se non ricorre la sua applicazione. I chiarimenti principali sono offerti dallo European Data Protection Board nelle proprie Guidelines 05/2020 on consent under Regulation 2016/679.
Affinché trovi applicazione, l’articolo 8 GDPR richiede che:
- il trattamento sia basato su consenso: dunque i casi in cui un trattamento si basa su esecuzione del contratto con l’utente oppure invocando un legittimo interesse del titolare, risulterebbero già esclusi dall’ambito di applicazione della previsione normativa. Non è un elemento di poco conto, dato che le aziende tendono, laddove possibile, a ricorrere a basi giuridiche diverse dal consenso, che espone all’incertezza di come si comporterà l’utente, che può essere revocato, che richiede di rispettare requisiti stringenti di completezza per essere valido etc. Si possono prendere ad esempio i trattamenti in ambito marketing / AdTech, che sono un ambito considerato a rischio per i minori dallo stesso GDPR (si veda il considerando 38). Questi trattamenti sono spesso riferiti a basi giuridiche diverse dal consenso, sebbene cio’ incontri la ritrosia delle Autorità competenti. La stessa Meta è passata a ricorrere al legittimo interesse – dato che l’iniziale giustificazione di esecuzione del contratto era stata considerata infondata – e poi al consenso (seppur tramite paywall) per sostenere il trattamento dei dati degli utenti in modo da finanziare i propri servizi. Ancora da capire se il paywall sia un consenso valido secondo i criteri del GDPR ma questa è un’altra storia.
- Il trattamento deve essere reso nell’ambito di un’offerta di servizi della società dell’informazione: vi rientrano i servizi che sono offerti solitamente dietro corrispettivo, a distanza, tramite mezzi elettronici e a richiesta dell’utente (e.g. accesso ai social network).
- L’offerta deve essere diretta ai minori: si ritengono minori i soggetti con età inferiore ai 18 anni (come ricorda anche la UN Convention on the Protection of the Child, si veda UN, Risoluzione 44/25 dell’Assemblea Generale, novembre 1989) e si ritiene che sia un servizio “rivolto a” a seconda di come viene presentato e del contesto (e.g. il suo contenuto o come viene promozionato). Si tratta di un profilo di grande, grandissima rilevanza poiché è frequente che i primi due requisiti siano integrati mentre risulta difficoltoso verificare se il servizio possa dirsi “rivolto a” minore; le aziende dovrebbero tenere a mente di adattare anche la propria comunicazione sul servizio offerto di conseguenza, onde rafforzare l’idea che il servizio non sia per i minori (se questo è il caso).
Una volta appurata la ricorrenza dei requisiti di cui all’articolo 8 GDPR, è opportuno domandarsi in che modo trattare i dati dei minori che sono soggetti a trattamenti che non sono compresi nel suo ambito di applicazione.
L’articolo 8 GDPR precisa che il suddetto requisito di età “non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore”. Deve quindi ritenersi che – al di fuori dell’ambito di applicazione “eccezionale” imposto da questa previsione specifica, debbano essere osservate le disposizioni di legge generalmente applicabili per ritenere che un consenso / autorizzazione / dichiarazione di volontà sia valida.
Considerando la frammentarietà delle disposizioni normative che disciplinano il diritto, è piuttosto complicato valutare quale sia il limite di età applicabile alle diverse casistiche. Ciò che appare chiaro, comunque, è che occorrerà verificare la base giuridica applicabile al trattamento dati dei minori e, a seconda di questa, considerare quale sia il limite di età rilevante (eventualmente richiedendo il consenso di chi esercita la potestà genitoriale).
Oltre al GDPR, un ambito di regolamentazione che ricorre di frequente per gli operatori online è la normativa ePrivacy. Come noto, la normativa è abbastanza datata e ci si aspettava un aggiornamento a stretto giro, che però non è avvenuto (e, stando a quanto dichiarato nel febbraio 2025 dalla Commissione EU, non avverrà a breve dato che la proposta di legge è stata revocata dall’iter normativo, a causa di una inconciliabile divergenza negli interessi degli operatori coinvolti). In ogni caso, volendosi soffermare sulle attuali disposizioni, è importante ricordare che i requisiti per un consenso valido come imposti dalla Direttiva ePrivacy sono i medesimi di quelli imposti dal GDPR. Ne consegue che sia ragionevole applicare il medesimo approccio quando si tratta di determinare anche il limite di età per ritenere valido un consenso.
Inoltre, si ricorda che la normativa Digital Services Act (DSA) – finalizzata a regolamentare i contenuti online – impone un limite di età per rivolgere contenuti di marketing profilato agli utenti. L’articolo 28, in particolare, stabilisce che le piattaforme online devono garantire trasparenza nelle loro attività, vietando il marketing basato sulla profilazione degli utenti minorenni. Le aziende soggette al DSA devono quindi adottare misure adeguate per verificare l’età degli utenti, assicurandosi che i loro contenuti pubblicitari e di marketing siano conformi alle normative. Questo implica un controllo più rigoroso nella gestione dei destinatari delle comunicazioni commerciali, evitando pratiche mirate su minori o categorie vulnerabili.
Infine, per quanto abbia un ambito di applicazione limitato a certe categorie di operatori (i cd. gatekeeper), il DMA ricorda che la “protection of children online is an important objective of the Union and should be reflected in the relevant Union law. In this context, due regard should be given to a Regulation on a single market for digital services. Nothing in this Regulation exempts gatekeepers from the obligation to protect children laid down in applicable Union law”.
Costruire un sistema di age verification che tenga conto dell’esperienza utente
Si consiglia una mappatura dei servizi in essere, per individuare le modalità con cui viene raccolto il consenso degli utenti. Dato che, spesso, i sistemi non sono configurati per tenere conto della raccolta dell’età (e per adattare i contenuti a questa), è necessario mappare quanto è in corso al momento dell’analisi e, successivamente, modificarlo per rispondere all’esigenza di controllo contenuti.
Scegliere il meccanismo di age verification che risponde meglio al tipo di servizio
È importante bilanciare l’esigenza di minimizzare i dati personali raccolti con l’esigenza di poter fare affidamento sulla verifica dell’età. Scegliere un meccanismo di controllo dell’età che non comporti un trattamento di dati eccessivo puo’ rivelarsi arduo: tuttavia, è uno sforzo inevitabile, dato che viene richiesto dal GDPR ma anche dal DSA e dall’interpretazione comunemente adottata dalle Autorità competenti.
Ci sono diversi meccanismi di verifica dell’età e la loro rilevanza / adattabilità dipende dal contesto. Viene comunque raccomandato un approccio cd waterfall (cioè una combinazione di meccanismi di verifica, partendo dall’applicare quello meno intrusivo e fino ad arrivare a casi in cui siano molto intrusivi, se ciò è necessario per il tipo di dati trattati o di rischio associato).
Si considerano come possibili meccanismi di verifica principalmente adottati:
- Conferma dell’età da parte dell’utente. Ovviamente il trattamento di dati è minimo ma l’affidabilità sulla correttezza dell’informazione è pressoché inesistente. Spesso i minori mentono, poiché sono per natura inconsapevoli dei pericoli da cui il controllo della loro età vorrebbe proteggerli. Per tale motivo – anche l’EDPB con il contributo già citato sopra – ricorda l’importanza di valutare quale meccanismo di verifica dell’età adottare in base al contesto (e.g. tipo di servizio, livello di rischio associato, etc).
- Controlli biometrici. La facile obiezione è che il trattamento di dati biometrici è comunemente considerato di elevato rischio. Tuttavia, se si adottano meccanismi di minimizzazione e di zero archiviazione, per cui la fisionomia viene solo “letta” ma non archiviata dall’operatore, si garantisce il diritto all’utente di obiettare, si adottano misure di sicurezza adeguate per proteggere l’iter di collazione dei dati, pare una soluzione decisamente convincente. Vi rientrano diversi approcci, ad esempio i cd remote biometric, che include anche la capacità di un sistema di “leggere” la fisionomia degli utenti in tempo reale, magari anche confrontandola con la foto di un documento identificativo, e di fornire un certo risultato.
- Verifica di mezzo di pagamento. Consiste nella verifica dell’atto di disporre una transazione economica, così potendosi assumere che sia un utente maggiorenne. Considerando che è alquanto semplice per un figlio appropriarsi di una carta di identità, in verità, e considerando che si richiederebbe un trattamento piuttosto invasivo, anche legato a dati bancari, sono in molti ad esprimersi contrariamente a questo meccanismo.
Implementare un sistema di controllo del consenso parentale
Un ulteriore aspetto per nulla chiarito dal legislatore – e ben poco dalle Autorità e dai commentatori – è in che modo sia necessario raccogliere un consenso parentale “valido”. Sembra opportuno poter evidenziare che le aziende devono considerare di:
- verificare che chi presta il consenso parentale abbia effettivamente il diritto di farlo (il che richiederà una minima verifica dell’identità);
- conservare il consenso fino alla maggiore età del minore (onde poter dimostrare la base giuridica per il trattamento fino a quel momento, specialmente poichè il minore potrebbe essere interessato a comprendere i termini del trattamento posto in essere fino a che assume pieno controllo dell’utilizzo dei propri dati), informando il neo maggiorenne di poter esprimere una diversa opinione in merito all’uso dei propri dati personali;
- garantire al minore la possibilità di rivedere e aggiornare il proprio consenso al conseguimento della maggiore età (che come detto sarà diversa, a seconda che si applichi o meno l’articolo 8 GDPR);
- limitare la raccolta dei dati allo stretto necessario (a seconda del livello di rischio associato e, quindi, dell’esigenza di verifica dell’attendibilità del consenso prestato);
- cancellare i dati del titolare della responsabilità genitoriale e il consenso prestato una volta raggiunta la maggiore età dell’utente (anche se sarebbe più corretto valutare il tempo di prescrizione dell’azione di reclamo eventualmente esercitabile dallo stesso / minore).
Adottare misure di sicurezza per assicurare che il sistema di age verification sia efficace
La verifica delle misure di sicurezza presuppone una collaborazione con appositi professionisti che presentino un background tecnico. In ogni caso, le più frequenti e comuni raccomandazioni delle Autorità competenti sono di:
- verificare che i profili dei minori siano privati di default (pare sia già operativa come misura introdotta, ad esempio, su Instagram);
- evitare che i profili dei minori ricevano pubblicità profilata;
- proteggere i profili dei minori dalla ricezione di determinati contenuti, come nel caso di contenuti che promuovono il gioco d’azzardo o le armi;
- consentire il controllo da parte di chi esercita la potestà genitoriale sugli account dei minori (pur tenendo questi ultimi al corrente di tale evenienza);
- impedire ai maggiorenni di prendere contatto con i minori, salvo siano questi ultimi ad approcciarli.
Conclusioni: bilanciare normativa, interessi commerciali ed esperienza utente
L’implementazione di un sistema di age verification richiede un approccio bilanciato tra il rispetto delle normative vigenti, la tutela degli interessi anche commerciali degli operatori e il mantenimento di una buona ’esperienza utente.
Appare chiaro che la frammentaria situazione normativa non agevola gli operatori, poiché non consente loro di agire in un contesto di certezza del diritto. La difformità peraltro nell’interpretazione delle disposizioni normative, a seconda della posizione delle Autorità nazionali ma anche a livello internazionale pone un ulteriore elemento di complessità.
Si può solo auspicare che le Autorità si facciano carico della problematica e che inizino a fornire chiarimenti, possibilmente in modo congiunto.
Il contributo riflette opinioni personali dell’autrice, che non rappresentano necessariamente la posizione della realtà professionale di appartenenza. Il contributo non è da considerarsi un parere legale né una descrizione esaustiva della tematica in oggetto.
Implementazione della Direttiva NIS2: sfide e soluzioni per la sicurezza informatica