L’offerta dei servizi digitali nei confronti dei minori presenta rischi specifici che devono essere affrontati e gestiti sin dal momento della progettazione, per cui l’intervento del Data Protection Officer è fondamentale.
L’offerta dei servizi digitali verso i minori
Nel disciplinare l’offerta dei servizi digitali verso i minori, il GDPR focalizza l’attenzione su due elementi principali: la soglia di età stabilità per il consenso digitale, nonché le modalità di informazione. Entrambi, regolano l’accesso dei minori ai servizi della società dell’informazione e dunque occorre svolgere un attento bilanciamento in ossequio proprio alla ragion d’essere del Regolamento: proteggere le persone fisiche con riguardo al trattamento dei dati personali e garantire la libera circolazione degli stessi[1].
Nel caso dei trattamenti di dati personali di minori vengono infatti poste ulteriori esigenze di provvedere a una specifica protezione derivante proprio da una minore consapevolezza di tale categoria di soggetti interessati relativamente ai rischi, alle conseguenze, alle misure di salvaguardia e ai diritti esercitabili[2].
Ciò comporta, di conseguenza, una parziale quanto mai inevitabile e proporzionata compressione dell’utilizzabilità di detti dati personali da parte del titolare in favore dell’aumentata tutela cui godono gli interessati. Il minore infraquattordicenne può lecitamente esercitare, ai sensi della normativa nazionale[3], un consenso valido per la propria adesione diretta all’offerta diretta dei servizi della società dell’informazione.
E dunque, per converso, i gestori di tali servizi possono – anzi: devono – tenere conto di questa evenienza salvo non vogliano operare la scelta di escludere tali destinatari.
La valutazione di sistemi di age gate
Quale che sia l’ipotesi che si sceglie di percorrere, in ogni caso è inevitabile la valutazione di sistemi di age gate al fine di escludere l’interessato che si pone al di sotto della soglia d’età o prescritta dalla legge o altrimenti indicata da Termini e Condizioni d’uso del servizio. Di conseguenza, in ossequio al principio di privacy by design e privacy by default, andranno preimpostate anche le tutele relative ai minori nonché si dovrà tenere conto di limitazioni specifiche derivanti da norme cogenti.
Ultima ma non in ordine di rilevanza, quella del Digital Services Act. In questo caso esemplificativo, le prescrizioni riguardanti la tutela dei minori riguardano principalmente la comprensibilità di termini e condizioni[4], le garanzie specifiche di un elevato livello di tutela della vita privata, di sicurezza e di protezione[5], nonché come fattori di cui tenere conto nella gestione dei rischi sia sotto l’aspetto della valutazione[6] che dell’attenuazione[7].
È chiaro che di conseguenza un corretto approccio progettuale, che parta già dalla predisposizione e configurazione dei servizi digitali che o sono indirizzati a minori o che altrimenti devono considerare l’esclusione degli stessi, debba sempre quanto meno coinvolgere il DPO e contemplare lo svolgimento di una DPIA.
Il ruolo del DPO nella gestione di alcuni rischi specifici
Nell’ambito dei servizi digitali dei minori il DPO ha la funzione di rafforzare le garanzie per tale categoria di interessati emblematicamente fragili svolgendo principalmente il proprio ruolo consulenziale, di informazione e di sorveglianza. Certamente, l’adozione dei sistemi di age gate deve seguire un criterio di efficacia ma occorre che valuti anche un contemperamento dei rischi nel rispetto di principi quali, emblematicamente, la limitazione della finalità e minimizzazione. La gestione delle operazioni di age verification deve riguardare ovviamente anche tutti gli aspetti di sicurezza correlati, già a partire già dalla selezione del provider del servizio e nello stabilire quali informazioni scambiare. Il fornitore dovrà essere inquadrato correttamente nel proprio ruolo di autonomo titolare o altrimenti responsabile ai sensi della normativa in materia di protezione dei dati personali, così come andrà selezionato anche per il livello di sicurezza che può essere in grado di garantire anche a seconda delle modalità operative di funzionamento del servizio.
Il DPO e la trasparenza informativa
Un ulteriore presidio che il DPO rappresenta riguarda ovviamente la trasparenza informativa dal momento che lo stesso GDPR prescrive particolare attenzione nelle informazioni destinate ai minori[8] e di conseguenza un rafforzamento di tutti quei criteri già noti di forma e linguaggio in una declinazione ancor più tutelante nei confronti degli interessati. Inoltre, transitando nel campo della liceità dell’acquisizione del consenso anche il controllo dei dark pattern deve essere svolto tenendo conto delle peculiarità degli utenti-tipo. Anche perché nelle modalità di acquisizione del consenso non si può prescindere dal valutarne gli elementi costitutivi fondamentali fra cui emerge la libera prestazione dello stesso e l’assenza di condizionamenti.
Un ulteriore compito fondamentale che il DPO è chiamato a svolgere in questo contesto non può che consistere nella promozione e sorveglianza della conduzione della DPIA, con indicazione degli elementi da attenzionare maggiormente proprio avendo conto della categoria di interessati coinvolti.
Conduzione della DPIA nell’offerta dei servizi digitali verso i minori
Nello svolgimento della DPIA nell’ambito di un’offerta di servizi digitali nei confronti di minori, il presupposto ineliminabile è la valutazione di quelle particolari e specifiche tutele e garanzie cui il titolare del trattamento deve provvedere. In una fase preliminare devono essere ovviamente mappate le norme e i vincoli che le stesse pongono nell’offerta dei servizi verso i minori, in modo tale da individuare il campo di liceità in cui può operare l’offerta dei servizi che il titolare intenderà presentare.
Fatto ciò, una volta individuati i ruoli dei soggetti che a vario titolo possono intervenire nelle attività di trattamento, nonché dei trasferimenti operati sui dati, uno dei punti più importanti riguarda l’interazione del minore con il servizio. E qui non si parla solamente dell’aspetto di UX, ma anche dei possibili impatti che la fruizione del servizio può avere nei suoi confronti, così da valutare un rischio intrinseco d’impiego e stabilire delle garanzie ove non siano già determinate dalla norma (ad es. i limiti della pubblicità profilata).
Per quanto riguarda invece l’aspetto di UI, non è infrequente che si vadano a predisporre alcune interfacce per agevolare l’esercizio dei diritti andando a rafforzare soprattutto l’aspetto informativo riguardante gli stessi, così da consentirne un impiego maggiormente diffuso e accessibile.
Anche la predisposizione delle misure di sicurezza, svolta attraverso un giudizio prognostico preventivo, deve saper considerare gli impatti che tali categorie di interessati vulnerabili potrebbero avere in caso di violazione di dati, e dunque andare a valutare concretamente quali sono i pericoli specifici cui sarebbero esposti tenendo conto proprio della cognizione dei rischi che potrebbero avere gli stessi. In questi casi si rivela particolarmente utile un’azione informativa anticipata che possa aumentare la consapevolezza circa il valore dei dati personali, le possibili minacce e i pericoli.
Dall’analisi dei rischi alla responsabilizzazione
Un processo di analisi dei rischi che riguardi l’offerta di servizi destinati ai minori inevitabilmente deve contemplare l’intervento di professionalità diverse in grado di tenere conto delle distorsioni cognitive e delle peculiarità legate all’età, altrimenti ogni migliore intento di tutela dettato dalla norma rischia di giacere su carta. E soprattutto l’accountability stessa verrebbe invertita nella propria ragion d’essere: non più individuare rischi e garanzie, bensì compilazione di checklist dettate dalla norma. E questa è già una china pericolosa verso cui sta indirizzando la micronormazione che si compone di obblighi specifici, in cui spesso si dimentica l’illustrazione dei principi e degli obiettivi di tutela che sono – come dovrebbero essere – i parametri da tenere in considerazione per una valutazione di efficacia delle misure da adottare.
Conclusioni
La responsabilizzazione dei soggetti gestori dei servizi digitali diretti ai minori rappresenta infatti la vera chiave di volta per l’effettività delle tutele. Adeguarsi tanto ai rischi emergenti quanto allo stato dell’arte è infatti un obbligo che richiede un monitoraggio continuo, nonché la sinergia d’azione con le funzioni svolte dai professionisti della data protection, emblematicamente: Privacy Officer e Data Protection Officer. I quali devono essere coinvolti e partecipi all’interno dei tavoli di lavoro per indicare non solo la specifica norma da rispettare ma soprattutto i principi che devono essere seguiti suggerendone le declinazioni più coerenti con il business model dell’organizzazione.
Note
[1] Art. 1 GDPR.
[2] Così, il considerando n. 38 GDPR.
[3] Art. 2-quinquies Cod. Privacy.
[4] Art. 14 par. 3 DSA: “Se un servizio intermediario è principalmente destinato a minori o è utilizzato in prevalenza da questi, il prestatore di tale servizio intermediario spiega in modo comprensibile per i minori le condizioni e le restrizioni che si applicano all’utilizzo del servizio.”.
[5] Art. 28 par. 1 DSA: “I fornitori di piattaforme online accessibili ai minori adottano misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio.”
[6] Art. 34 DSA.
[7] Art. 35 DSA.
[8] Art. 12 par. 1 GDPR.
