il quadro

Tutela dei minori online, ecco la svolta delle regole

Un quadro delle misure a oggi in vigore per tutelare i minori online e di ciò che si sta cercando di fare per renderle più efficaci. Anche Agcom si sta muovendo. Ma è complicato prevedere con certezza assoluta gli sviluppi futuri

Pubblicato il 07 Feb 2022

Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Zakaria Sichi

Studio Legale Martorana

Il digitale prima della scuola: focus sull’età per costruire il futuro

La tutela dei minorenni che accedono ad internet rappresenta una delle più importanti sfide in tema di sicurezza in rete. La cronaca non manca di fornire esempi delle conseguenze dannose causate dalle lacune nella protezione dei giovanissimi. La vera domanda, però, è cosa si sta facendo per evitarle.

La risposta: sempre di più, per fortuna; ma le regole sono ancora in via di sviluppo. Un tema cruciale di cui si occupa anche quest’anno il Safer Internet Day, domani 8 febbraio.

Tutela dei minori online, la combo di misure tecniche e educazione digitale

La nuova delibera Agcom

Ad esempio, nell’ottica della tutela dei minori in rete qualcosa si sta muovendo, anche in Italia. Con la Delibera n. 16/22/CONS del 4 febbraio, l’Autorità per le garanzie nelle comunicazioni (Agcom) ha indetto una consultazione pubblica finalizzata all’adozione di Linee guida per l’attuazione dell’articolo 7-bis del D.L. 30 aprile 2020, n. 28 dedicato ai “sistemi di protezione dei minori dai rischi del cyberspazio”.

Nello schema di Linee guida allegato alla delibera, si prevede che i fornitori di servizi di accesso a Internet, qualsiasi sia la tecnologia utilizzata per l’erogazione degli stessi, debbano mettere a disposizione degli utenti dei “sistemi di parental control ovvero di filtro di contenuti inappropriati per i minori e di blocco di contenuti riservati ad un pubblico di età superiore agli anni diciotto”. Il filtro per impedire di aggirare i sistemi di controllo parentale dovrebbe risiedere nella concessione della facoltà di disattivarli al solo titolare maggiorenne del contratto, il quale deve essere preventivamente identificato per abilitarlo all’effettuazione delle operazioni. Ciò, presumibilmente, può avvenire mediante SPID, o PIN inviati mediante sms o altri possibili sistemi di identificazione.

Naturalmente, è necessario fondare la gestione di tali meccanismi su principi di chiarezza e trasparenza delle informazioni, nonché di semplicità e intuitività degli stessi, in modo tale da dare a tutti la possibilità di metterli in pratica.

Tutela minori online, come usare il parental control e limitare l’accesso ai social

Dunque, sembra che la prospettiva più immediata per la tutela dei minori in rete nel nostro Paese parta dalla sensibilizzazione dei genitori, il che è sempre un approccio apprezzabile.

Ad ogni modo, le risposte alla consultazione pubblica dovranno essere inviate entro 45 giorni dalla data di pubblicazione della delibera sul sito web dell’AGCOM, e le linee guida saranno adottate entro i successivi 60 giorni. Non appena queste saranno disponibili, sarà più chiara la strategia italiana per la protezione dei più giovani sul web.

Minori online: i rischi

I rischi presenti sulla rete sono molteplici, specialmente quando a subirli sono i minori. Innanzi tutto, c’è la possibilità di essere vittime di veri e propri reati. Un esempio è l’adescamento di minorenni ex art. 609-undecies c.p., il quale può essere commesso mediante sostituzione di persona, a sua volta sanzionata dall’art. 494 c.p. La combinazione delle due fattispecie dà vita alla situazione in cui un soggetto adulto si finge un coetaneo della vittima utilizzando account con nomi falsi e fotografie altrui al fine di ottenere la fiducia del minore. Quest’ultima, poi, può essere sfruttata, ad esempio, per ottenere contenuti multimediali sessualmente espliciti.

I pericoli non si limitano però ai soli comportamenti penalmente rilevanti. In tal senso, fanno scuola i casi di giochi pericolosi messi in pratica da alcuni utenti della rete che vengono poi emulati dai giovanissimi che, in questo modo, provano ad aumentare i propri seguaci per raggiungere il successo. Il caso più diffuso è quello dei c.d. selfie estremi, ossia gli autoscatti fatti in luoghi pericolosi che – secondo uno studio della iO Foundation – hanno causato la morte di quasi 400 persone dal 2008 al 2021. Di recente, invece, il problema dell’accesso dei minori a contenuti non adatti alla loro età si è posto in relazione alla replica nelle scuole italiane dei giochi cruenti della serie tv sudcoreana Squid Game.

Ebbene, come è facile dedurre, ci sono molte buone ragioni per alzare il livello di attenzione e inasprire le regole sulla navigazione dei giovanissimi in rete. Occorre capire allora cosa si è fatto, ma soprattutto cosa si sta facendo e si farà per garantire una maggiore protezione dei minori.

Cosa fanno i giganti del web per tutelare i minori?

Il Regolamento UE 2016/679 (GDPR) stabilisce all’art. 8 che, nell’ambito dei trattamenti effettuati in base al consenso dell’interessato ex art. 6, par. 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ad un minore, il trattamento dei dati dello stesso è lecito “ove il minore abbia almeno 16 anni”. Qualora invece si tratti di un interessato di età inferiore allora è necessario che il consenso venga prestato o autorizzato dal titolare della responsabilità genitoriale.
Il Considerando 38 specifica però che il consenso genitoriale non è necessario per utilizzare i servizi di prevenzione o di consulenza per minori come le chat di supporto; questo essenzialmente perché si tratta di strumenti specificamente pensati per proteggere, e poiché talvolta il pericolo per il quale si chiede aiuto può, purtroppo, derivare da condotte dei genitori, il consenso di questi ultimi non è richiesto.

Ciò premesso, però, il GDPR prevede al contempo, che gli Stati membri possano stabilire per legge un’età del consenso inferiore, purché non si vada mai al di sotto della soglia dei 13 anni. In tal senso, il Codice della Privacy italiano – come novellato dal D. Lgs. 101/2018 – fissa la soglia del consenso digitale del minore a 14 anni (art. 2-quinquies). La stessa norma prevede poi che il titolare del trattamento debba redigere con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.

Il COPPA negli Usa

Negli Stati Uniti, invece, il Children’s Online Privacy Protection Act stabilisce un’età minima di 13 anni.

Ora, posto che negli USA si applica un’età del consenso rispettosa della soglia minima imposta dal GDPR agli Stati membri, occorre capire come i giganti del web applichino le regole per impedire ai più piccoli di accedere ai loro servizi, ed in particolare i social network che rappresentano la “fetta” di internet più frequentata dai minorenni e che negli Stati Uniti hanno sede (fatta eccezione per il cinese TikTok).

In tal senso, la maggior parte dei social fissa l’età del consenso digitale a 13 anni, come nel caso di Facebook e Instagram. Per quest’ultimo occorre però fare una precisazione. Di recente, infatti, il social del gruppo Meta aveva annunciato una misura in base alla quale l’età minima sarebbe stata alzata a 16 anni per allinearla a quella già prevista da WhatsApp, stabilendo che tutti gli account creati da soggetti al di sotto di quella soglia sarebbero stati impostati come “profili privati” di default, ossia non visibili a tutti ma soltanto ai followers dell’utente. Questo aspetto apre il dibattito sull’efficacia delle misure adottate dai gestori. Nel caso di Instagram, infatti, l’utente può cambiare le impostazioni e rendere pubblico l’account in un secondo momento, ricevendo una semplice notifica in cui il social raccomanda di reimpostare il profilo privato.

Pubblicità comportamentale, minorenni a rischio: “bisogna bloccarla”

Ma non è l’unica lacuna. Si pensi ad esempio al caso di TikTok che, a seguito delle vicende di cronaca legate ai decessi per l’emulazione di giochi pericolosi, ha deciso di intensificare la verifica dell’età fissando la soglia minima a 13 anni e chiedendo di reinserire la data di nascita. Senonché, i problemi in questo senso sono di due tipi: il primo riguarda l’accessibilità ai contenuti del social anche da parte dei non iscritti, essendo sufficiente ricevere il link di un video specifico da qualcun altro; il secondo concerne invece la possibilità di mentire sulla propria età.

In casi come questi, quindi, il controllo preventivo è piuttosto fragile, diventando casomai successivo, con la possibilità data agli utenti di segnalare ai gestori tutti gli account che si sospetta essere stati creati da minori al di sotto della soglia prevista dalle condizioni d’uso della piattaforma. Si tratta di una misura che è stata accolta con favore anche dal Garante privacy italiano con un comunicato stampa del 3 febbraio 2021. Dopodiché, gli operatori coadiuvati dalla tecnologia si occupano di effettuare le dovute verifiche analizzando i contenuti e le interazioni.

Ebbene, qui subentra un altro tema: come si possono fare dei controlli più efficaci? L’opinione delle Big Tech sembra andare verso una sola direzione: applicare alla verifica anagrafica le tecnologie di Intelligenza Artificiale, a partire dal riconoscimento facciale fino all’ipotesi della registrazione vocale. Il problema allora si sposta su un piano ben più complesso, ossia il bilanciamento tra la tutela della sicurezza degli utenti e la protezione dei loro dati personali. I timori principali nascono infatti dalla linea sottile tra l’utilizzo degli algoritmi per garantire l’accesso ai servizi ai soli soggetti che superano la soglia di età minima e l’aumento della profilazione degli utenti. Per questo, sarà necessario che i legislatori introducano regola idonee a fissare paletti chiari per l’utilizzo di queste tecnologie, a prescindere dalla nobiltà degli obiettivi.

Prospettive normative: cosa si sta facendo?

In un intervento del 28 gennaio 2021, il Presidente dell’Autorità garante italiana Pasquale Stazione aveva evidenziato le lacune normative in materia di utilizzo dei social network da parte dei minori. In particolare, aveva ravvisato la necessità di adottare misure effettivamente in grado di garantire l’accertamento, in maniera univoca e non eludibile, dell’età dei soggetti che vi accedono, senza però creare, al contempo, una sorta di anagrafe mondiale”.
Peraltro, la constatazione arrivava pochi giorni dopo il Provvedimento n. 20 del 22 gennaio 2021 con il quale il Garante aveva disposto nei confronti di TikTok il blocco immediato di tutti gli account per i quali non vi era assoluta certezza sull’età e del trattamento dei dati ad essi riferiti. Già un mese prima, con un comunicato stampa del 22 dicembre 2020, l’Autorità aveva espresso molti dubbi sulla gestione del controllo anagrafico sui social network e sulla possibilità di ricorrere all’intelligenza artificiale. Quest’ultima soluzione, ad oggi, ancora sembra non convincere tutti.
Pertanto, è lecito chiedersi se ad oggi si stia effettivamente agendo per adottare regole che possano risolvere il problema della tutela dei minori online.

Il Digital Services Act europeo

Il 20 gennaio 2022 il Parlamento europeo ha adottato il suo testo per il Digital Services Act (DSA), la legge sui servizi digitali. Il passo successivo sarà quindi l’interazione con la Commissione e il Consiglio per la redazione del testo definitivo.
Il primo obiettivo della futura normativa sarà quello di rendere più rapida ed efficace la rimozione delle pubblicazioni illecite e dannose, introducendo regole migliori per la moderazione dei contenuti. In particolare, rafforzando il meccanismo di notice and action, i prestatori di servizi di hosting dovrebbero agire senza indebito ritardo, tenendo conto del tipo di contenuto illegale oggetto di notifica e dell’urgenza dell’intervento. Questo dovrebbe essere affiancato dalla creazione di una struttura di vigilanza adeguata sostenuta anche da un nuovo comitato europeo per i servizi digitali.
Il DSA dovrebbe poi intervenire anche sulla pubblicità, con l’obiettivo di dare agli utenti la facoltà di decidere se prestare o meno il proprio consenso a una pubblicità mirata e il diritto a ricevere informazioni chiare e precise sul motivo per cui uno specifico contenuto potrebbe essere di loro gradimento.
Le pubblicità targettizzate verrebbero invece vietate in assoluto nei confronti dei minori.
Infine, il DSA dovrebbe garantire l’introduzione di obblighi di trasparenza più stringenti per termini e condizioni, soprattutto per le piattaforme di grandi dimensioni, al fine prevenire abusi dei loro sistemi realizzando interventi basati sui rischi e tramite audit indipendenti e mirati sulle proprie attività di gestione del rischio.
Il Digital Services Act non sembra quindi intervenire in modo specifico sulle modalità di controllo dell’età di chi accede alle piattaforme, bensì punterebbe maggiormente sulla creazione di un ambiente online sicuro. In altri termini, l’attenzione è focalizzata non tanto su come impedire l’accesso di determinate categorie fragili, quanto semmai come rendere il “luogo” al quale accedono privo di pericoli.

I possibili sviluppi in USA e Regno Unito

Quando si parla di Stati Uniti, occorre distinguere la dimensione federale da quella statale.

Per quanto riguarda quest’ultima, in diversi Stati americani entreranno in vigore a breve delle nuove leggi sulla privacy. Dopo la normativa californiana, probabilmente toccherà anche a Virginia, e Colorado e, secondo gli ultimi annunci, si aggiungeranno altri Stati come la Florida o l’Ohio.

Per quanto riguarda invece il livello federale, si è iniziato a parlare da più parti dell’introduzione di modifiche alla normativa vigente.

Nell’ottobre del 2021, due senatori democratici hanno chiesto l’approvazione progetti di legge volti che limitare ciò che i bambini possono vedere online e l’utilizzo dei loro dati a fini pubblicitari da parte di società come YouTube e Facebook.

Si tratterebbe quindi – nelle intenzioni dei proponenti – di aggiornare il Children’s Online Privacy Protection Act del 1998 con misure di rafforzamento e adattamento, in aggiunta, un aumento dell’età del consenso digitale a 15 anni.

I promotori di una revisione della normativa del 1998 hanno essenzialmente espresso grande preoccupazione per il fatto che a bambini e adolescenti vengono mostrati contenuti che a volte incoraggiano comportamenti pericolosi, disturbi alimentari o altri tipi di autolesionismo. L’auspicio, secondo loro, è soprattutto quello di introdurre negli Stati Uniti regole analoghe a quelle britanniche.

Il Children’s Code nel Regno Unito

Nel Regno Unito, infatti, è in vigore dal 2 settembre 2021 il Children’s Code, una normativa ad hoc per tutti i servizi della società dell’informazione rivolti ai minori di 18 anni o che – seppur rivolti a tutti – verranno presumibilmente utilizzati da minori.

La normativa si fonda sull’assunto che l’elaborazione e la fornitura di contenuti dovrebbero tenere conto dell’interesse del bambino. Questo, secondo il legislatore inglese, può avvenire solo mediante l’applicazione di alcuni principi irrinunciabili, quali la trasparenza e la semplicità delle informative, la minimizzazione dei dati trattati, o il divieto di utilizzo dei servizi di localizzazione e di condivisione delle informazioni del minore salvo esigenze superiori e motivi legittimi.

Il principale aspetto di novità della normativa in questione è però quello di aver introdotto la necessità di predisporre informative e contenuti non sulla base della suddivisione standardizzata tra maggiorenni e minorenni, bensì focalizzandosi sulle specifiche fasce di età a cui è rivolto – o potrebbe essere rivolto – un determinato servizio. Le stesse misure di controllo parentale e le informazioni sul loro funzionamento devono essere adattate all’età. Infine, altro aspetto di grande interesse è dato dall’approccio basato sul rischio introdotto dal Children’s Code, il quale esige di valutare l’impatto sulla protezione dei dati e i rischi per i diritti e le libertà dei minori tenendo ancora una volta conto delle esigenze di tutela rispetto alle varie fasce di età. Anche gli strumenti di controllo anagrafico dovrebbero quindi basarsi sullo stesso principio: meccanismi di verifica semplici per le piattaforme che presentano rischi minori, andando ad incrementare la complessità e la rigidità a seconda dei pericoli che può incontrare il giovane utente.

Conclusioni

Viste le misure ad oggi esistenti per tutelare i minori online e ciò che si sta cercando di fare per renderle più efficaci, è possibile avere un quadro dello stato attuale delle cose, ma è più complicato prevedere con certezza assoluta gli sviluppi futuri. Questo soprattutto alla luce del fatto che le normative più recenti come il Children’s Code britannico sono in vigore da pochissimo tempo, mentre quelle in fase di studio o di approvazione dovranno essere valutate una volta divenute definitive e quando sarà maturato un certo periodo di applicazione.

Ciononostante, ci sono due aspetti che possono essere osservati con una certa convinzione. Innanzi tutto, le intenzioni sembrano chiare. Il legislatore britannico ha adottato una normativa ad oggi convincente nei principi fondanti e nella distinzione degli utenti in base alle fasce di età. È un intervento dal quale è possibile trarre numerosi spunti. Dall’altro lato, è apprezzabile la volontà ferma dell’Unione europea di creare un ambiente di rete il più sicuro possibile.

Detto questo, però, ad oggi la misura principale per la tutela dei minori online è ancora la verifica dell’età, con tutti i suoi pro e contro: se da un lato, infatti, implica un minore trattamento dei dati rispetto ad altri strumenti più complessi ed invasivi, dall’altro non è sempre efficace.

Di recente si è parlato della possibilità di ricorrere a uno SPID anonimo, dove cioè il provider di identità che lo fornisce – come Poste Italiane o Aruba – si limiterebbe ad accertare l’età della persona per poi girare al social network una stringa di testo che indicherebbe al social che quel soggetto può o non può accedere. In altri termini, il gestore della piattaforma saprebbe solo che quella persona non può creare un account, senza ricevere altre informazioni. Tuttavia, in molti hanno sollevato dubbi sull’efficacia effettiva della misura, sul grado di protezione dei dati e sulla facilità di aggirarla tramite tecnologie più o meno complesse.

L’ipotesi Intelligenza Artificiale, come anticipato, nonostante sia quella preferita dai gestori delle principali piattaforme e forse la più performante, è ancora in fase di discussione per i molti dubbi legati ai rischi e alle difficolta applicative nell’ambito di un bilanciamento tra garanzia della sicurezza in rete e tutela rispetto al trattamento dei dati.

In virtù della difficoltà di arrivare ad una soluzione definitiva nell’immediato, in attesa delle future normative che potrebbero arrivare presto e di maggiori dati sull’efficacia di quelle già in vigore, sembra che si debba ancora rimandare pressoché in toto all’aspetto educativo della questione. Per farlo, si può citare il riuscito spot del Garante privacy in collaborazione con Telefono Azzurro per richiamare i genitori a svolgere un ruolo attivo di vigilanza e a prestare particolare attenzione al momento in cui verrà richiesto ai figli di indicare la loro età per accedere ai social. Ma l’invito è anche quello, più generale, di verificare che i più piccoli abbiano l’età per iscriversi.

Il ruolo della famiglia (ma anche della scuola e delle istituzioni) è il primo baluardo per la tutela dei minori dai rischi della rete, e probabilmente non c’è tecnologia che possa sostituirlo completamente. Sotto questo aspetto, l’approccio italiano sintetizzato nella consultazione pubblica ad opera dell’AGCOM è apprezzabile, in quanto mirato all’attribuzione di un ruolo fondamentale – e inevitabile – all’intervento genitoriale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati