Con una lettera aperta rivolta a Google, Facebook, Apple, Amazon e Microsoft, una eterogena platea di firmatari (tra cui accademici, avvocati, attivisti) ha chiesto alle cinque big tech di bloccare il behavioural advertising, la c.d. pubblicità comportamentale, nei confronti dei minori di 18 anni.
Blocco alla pubblicità comportamentale ai bambini
La richiesta di ban si basa tanto su argomenti legati alla protezione dei dati personali e al rispetto della relativa normativa («The fact that ad-tech companies hold 72 million data points on a child by the time they turn 13 shows the extent of disregard for these laws, and the extraordinary surveillance to which children are subjected») quanto su aspetti concernenti la maggiore esposizione dei più giovani alle attività di marketing («Children of all ages are more susceptible to the pressures of marketing, less likely to recognise paid-for content, and less likely to understand how and what kinds of data are used for these purposes than adults»). A coordinare l’intervento l’organizzazione Global Action Plan, impegnata nella campagna “Stop Targeted Advertising to Kids”, il cui position paper offre un inquadramento del fenomeno oltre ad alcuni dati utili a comprenderlo (solo per fare un esempio: «In this report we conservatively estimate that many 14-years-olds are seeing up to 1,260 adverts a day on social media alone – ten to twenty times the number of ads children saw on TV at the turn of the century»).
L’appello è di particolare interesse poiché, da un lato, prende in considerazione una specifica porzione di popolazione, i minori, ormai sempre più presenti online, mentre dall’altro guarda alle implicazioni di una forma di marketing ampiamente diffusa. E non può che emergere chiaramente la centralità che in un tale discorso assume la raccolta e più in generale il trattamento di dati personali.
Per riflettere sul significato e le possibili implicazioni della richiesta avanzata nei confronti dei cinque top player tecnologici sarà allora utile, una volta ricostruito il contesto con qualche statistica, analizzare con una certa attenzione anche il quadro normativo e regolamentare di riferimento.
Adolescenti online: dati alla mano
Secondo i dati Istat, nel 2019 il 62,5% dei bambini tra i 6 e i 10 anni ha utilizzato internet (la percentuale di chi lo usato quotidianamente è del 27,4 %), con la frequenza di utilizzazione che sale poi nettamente nelle fasce 11-14 anni (90%, di cui 68,3% ogni giorno) e 15-17 anni (94,7%, di cui 83,7% ogni giorno). Nelle metriche relative alle attività svolte in Rete spiccano quelle legate a giochi, musica, immagini e film, la consultazione di wiki e la partecipazione a un social network. Proprio con riferimento alla presenza sui social nel 2019, il 16° Rapporto Censis sulla comunicazione indica la preferenza della classe più giovane (14-29 anni) rispetto a quella più adulta (30-44 anni) per YouTube (76,1% contro 73,1%), Instagram (65,6% contro 46,4%) e Snapchat (11,5% contro 6,7%), mentre la tendenza si inverte per Facebook (60,3% contro 75,8%). Il tutto senza considerare il fenomeno del momento TikTok, specialmente rivolto ai minori; in rapida ascesa e con numeri elevatissimi.
Particolarmente interessanti appaiono, infine, i risultati dalla ricerca realizzata dal consorzio MIUR Generazioni Connesse e, in particolare, dall’Università degli Studi di Firenze, dall’Università degli Studi “Sapienza” di Roma e dal portale Skuola.net su un campione di 5942 adolescenti tra gli 11 e i 19 anni intervistati nel gennaio 2019: è emerso che 7 giovani su 10 si sono iscritti ad un social network prima dei 14 anni, il 15 % tra i 14 e i 15 anni e il 5% tra i 16 e i 19 anni, mentre il 6,4% ha dichiarato di non essere iscritto ad alcun social. Come si vedrà a breve, il dato relativo alle presenze degli infra quattordicenni assume una specifica importanza se letto alla luce di quanto previsto dalle leggi sulla privacy.
Perché gli algoritmi pubblicitari sono pericolosi per i minori
Il dibattito sui pericoli della pubblicità personalizzata – o, più in generale, gli algoritmi di raccomandazione – per i minorenni e soprattutto i bambini è ancora piuttosto recente. Ha pochi anni e si inserisce in quel filone di disillusione che sta attraversando le piattaforme online (social in primis, ma non solo) in un crescendo soprattutto a partire dalle elezioni Trump del 2016 (e a seguire lo scandalo Cambridge Analytica).
Un numero crescente di sociologi, psicologi sta avvisando dei rischi connessi per le nuove generazioni, più facilmente influenzabili e plasmabili dalla forza di algoritmi in grado di colpirli con pubblicità e contenuti basati su specifiche caratteristiche e interessi individuali, sfruttandone i dati personali.
Stiamo forse creando una generazione di persone più facilmente manipolabili dal marketing commerciale e politico; più incapace di un pensiero non allineato?
La privacy è importante perché baluardo delle nostre libertà fondamentali, compresa quella di auto-determinazione. Concetto che si applica anche su questo fronte. Ma a occuparsi dei diritti dei minori, nei confronti dello strapotere degli algoritmi pubblicitari, sono anche altre autorità e organizzazioni. Da qui il forte limite che è venuto alle pubblicità personalizzate su Youtube per i minori di 13 anni.
Il toolkit Unicef
Menzione particolare merita il toolkit 2018 di Unicef. Si legge: “quando l’intento commerciale della pubblicità è oscurato
dai bambini – sia attraverso l’uso della furtività o mezzi sociali, o perché i bambini non sono adeguatamente dotati delle capacità cognitive o alfabetizzazione mediatica per identificare la pubblicità – le ramificazioni per i diritti dei bambini possono essere gravi. Alcune forme innovative di pubblicità mirano a influenza subliminale i bambini, anche quando
sono impegnati in giochi o apprendimento, alla volta quando le loro facoltà critiche e il processo decisionale
i processi sono compromessi. Quando tali pratiche sono sostenute da una raccolta dati segreta ascopo di profilare i consumatori bambini, questo li pone a ulteriore rischio”.
Il toolkit era pensato per “elaborare ruoli e responsabilità” di tutti gli attori.
Responsabilità e regole
Responsabilità è la parola chiave. Certo condizione necessaria è sviluppare una responsabilità condivisa, di tutti gli attori – le piattaforme, ma anche gli sponsor e i creatori di contenuti, fino ad arrivare ai genitori, insegnanti – a tutela dei soggetti deboli. Una tutela da anni garantita dalla deontologia dei media tradizionali ma ancora nuova e in costruzione sui nuovi strumenti, pure dotati di maggiore capacità teorica di influenza “algoritmica”; oltre che ovviamente di reach proprio sui soggetti più influenzabili.
Non è chiaro – è anzi questo il tema del momento – se l’auto-regolamentazione sia sufficiente; quando debba essere forte il ruolo dello Stato o di organizzazioni internazionali per meglio direzionare un fenomeno che è per sua natura globale (e manovrato a volte da soggetti collegati a Stati non democratici, come nel caso di TikTok, certo molto poco interessati alla salvaguardia dei minori occidentali).
La questione della tutela minore è parte di un problema più ampio, che comprende anche la diffusione della disinformazione, dell’hate speech e della manipolazione politica sui social. Pacifico affermare che il mondo non ha ancora capito quale sia la via migliore per affrontare il fenomeno. Le sue implicazioni sui minori sono però probabilmente le più urgenti. E questa urgenza ci può fornire un laboratorio utile per testare soluzioni valide più in generale.
In fondo, il livello di democrazia e civiltà di un Paese è facilmente misurabile dalla sua capacità di tutelare i soggetti più deboli.
Alessandro Longo
La normativa di riferimento: la privacy dei più piccoli
La protezione che la normativa appresta a bambini ed adolescenti in Rete è ampia, diversificata e stratificata. Si tratta di una regolamentazione che cerca di prevenire e affrontare le molteplici intemperie in cui la fascia di popolazione più fragile rischia ogni giorno di imbattersi.
Se si tratta di dati personali e pubblicità online è chiaro che l’attenzione deve essere prestata al regime di tutele previste dalle norme in materia di data protection. Già la Convenzione sui diritti dell’infanzia e dell’adolescenza del 1989, all’articolo 16 («(1) Nessun fanciullo sarà oggetto di interferenze arbitrarie o illegali nella sua vita privata, nella sua famiglia, nel suo domicilio o nella sua corrispondenza, e neppure di affronti illegali al suo onore e alla sua reputazione. (2) Il fanciullo ha diritto alla protezione della legge contro tali interferenze o tali affronti»), riconosceva espressamente in capo ai più giovani quel sommo diritto al rispetto della propria vita privata e familiare sancito per ogni persona dall’articolo 8 della Convenzione Europea dei Diritti dell’Uomo e dell’articolo 7 della Carta dei diritti fondamentali dell’Unione Europea (quest’ultimo da leggere congiuntamente al successivo articolo 8 che afferma il diritto di ogni persona alla protezione dei dati di carattere personale).
A tali statuizioni di principio è seguita la normativa di settore, oggi rappresentata dal Regolamento UE 2016/679 (il “GDPR”), recepito in Italia dal D.Lgs. 101/2018, che ha modificato il nostro Codice Privacy (D.Lgs. 196/2003), ma già il Working Party Article 29 aveva dedicato l’Opinion 2/2009 alla protezione dei dati personali dei minori.
Proprio il nuovo Regolamento generale sulla protezione dei dati ha destinato particolare attenzione ai minori. Il considerando 38, in tale prospettiva, risulta emblematico:
“I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”.
Da questo principio discende il regime speciale dettato in tema di consenso dei minori dall’articolo 8: «[…] per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale». La norma – da leggere anche tenendo conto di quanto previsto dalle Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 adottate dall’allora Article 29 Working Party e di recente aggiornate dalle Linee guida 5/2020 sul consenso ai sensi del Regolamento 2016/679 dell’EDPB – ha lasciato un margine di intervento ai singoli Stati Membri per la definizione di un’età inferiore («Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni»). E così il legislatore italiano ha inserito nel Codice Privacy l’articolo 2-quinquies, fissando il limite minimo a quattordici anni.
Il GDPR ha guardato alle peculiarità del minore anche in tema di trasparenza: vedasi il considerando 58 («[…] Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente») e il successivo articolo 12 («Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori»).
Come appena mostrato, la protezione della riservatezza del minore passa anche attraverso quanto previsto a livello di singolo Paese appartenente all’Unione Europea. Dunque, per quanto riguarda l’Italia, si potranno in aggiunta citare le disposizione specifiche dettate per il settore giornalistico dalla Carta di Treviso e dalle (oggi) Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica (art. 7).
Un ultimo cenno va fatto in prospettiva comparatistica e sovranazionale. Potranno a tal proposito richiamarsi il Children’s Online Privacy Protection Rule (il c.d. “COPPA”), la legge federale degli Stati Uniti, in vigore dal 2000, che regolamenta la raccolta di informazioni personali online di bambini infra tredicenni, così come l’iniziativa di autoregolamentazione “Alliance to better protect minors online” lanciata nel 2017 seguendo l’invito della Commissione europea da aziende ICT e media, ONG e UNICEF, così come si può far menzione dell’Age Appropriate Design Code (anche detto Children’s Code), un code of practice recentemente adottato dall’ICO e rivolto ai fornitori di servizi della società dell’informazione (questi riferimenti sono stati tra l’altro oggetto di un approfondimento su Agendadigitale.eu).
Behavioural advertising tra norme e autoregolamentazione
La definizione di pubblicità comportamentale più consona nel contesto di questo contributo è sicuramente quella fornita dal Parere 2/2010 sulla pubblicità comportamentale online (WP 171), adottato dal WP29 il 22 giugno 2010, dove si specifica che «La pubblicità comportamentale prevede il tracciamento degli utenti durante la navigazione in rete e, nel tempo, la creazione di profili che vengono successivamente utilizzati per fornire agli utenti contenuti pubblicitari che rispondono ai loro interessi».
Tale descrizione è ulteriormente utile in quanto identifica due elementi delle tecniche di behavioural advertising che suggeriscono l’intreccio delle due normative che richiedono di essere rispettate. Il “tracciamento” richiama infatti l’impiego dei cookie, e quindi la Direttiva ePrivacy (presto Regolamento), mentre la “creazione di profili” accende una spia sul concetto di profilazione come regolato dal GDPR. A tale ultimo riguardo, sempre il Working Party Article 29 ha indirizzato un apposito approfondimento ai minori nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679.
Va da ultimo citato anche Parere 02/2013 sulle applicazioni per dispositivi intelligenti (WP 202), adottato il 27 febbraio 2013, dove è stato dettagliato che «i titolari del trattamento del trattamento non dovrebbero trattare dati di minori, direttamente o indirettamente, a fini di pubblicità comportamentale, poiché è al di fuori della portata della comprensione di un minore e pertanto supera i limiti del trattamento lecito».
Per completare il quadro relativo alla disciplina potenzialmente applicabile al behavioural advertising occorre fare perlomeno cenno anche ad alcune delle esperienze di autoregolamentazione portate avanti nel corso degli anni. Documento a tal riguardo rilevanti è, ad esempio, il IAB Europe EU Framework for Online Behavioural Advertising, sul quale si è fondato il successivo Best Practice Recommendation on Online Behavioural Advertising dell’European Advertising Standards Alliance (su cui in passato è intervento anche il WP29). Un altro interessante esempio di autoregolamentazione è quello dell’ICC Advertising and Marketing Communications Code a cura dell’International Chamber of Commerce.
Conclusioni
Qual è dunque il valore attribuibile alla petizione che vuole mettere al bando la pubblicità comportamentale online per i minori di 18 anni? Iniziative come questa sicuramente permettono di soffermare la lente di ingrandimento su fenomeni ormai comuni ma le cui implicazioni rischiano spesso di passare inosservate.
Anche in questa sede si tratterà allora di soffermarsi sul tema dell’enforcement. Se infatti, come sostenuto nella lettera, effettivamente le compagnie tecnologiche detengono una grande quantità di dati di infra tredicenni, violando così le leggi sulle privacy («The fact that ad-tech companies hold 72 million data points on a child by the time they turn 13 shows the extent of disregard for these laws») è chiaro che la vigilanza e l’intervento sanzionatorio delle autorità costituiscono le prime e maggiori tutele (e sempre la BBC ha riportato la notizia di una causa intentata contro YouTube proprio con riferimento ai dati di minori di 13 anni).
Nondimeno un ulteriore profilo potrebbe essere vagliato. I già citati dati Istat indicano anche i livelli di competenze digitali nei più giovani (14-17 anni) e rilevano che nel 2019 il 30,2 %, vale a dire meno di uno su tre, ha alte competenze digitali. Questo dato richiede di aprire una decisa riflessione sull’importanza dell’educazione digitale, strumento indispensabile per garantire fin dalla più giovane età consapevolezza, capacità critiche e di autodeterminazione, anche online. In definitiva, apprendere fin dalla prima adolescenza adeguate skills digitali può rappresentare un importante baluardo anche per la protezione dei propri dati personali in Rete.