
Lo scorso 12 febbraio il Comitato europeo per la protezione dei dati (EDPB) ha adottato una dichiarazione sulla garanzia dell’età, sottolineando l’importanza di proteggere il benessere dei minori e l’integrità dei loro dati personali esposti in rete ed anche a mezzo della creazione di una task force sull’applicazione dell’AI.
Lo scenario dell’Age Verification
L’introduzione di sistemi di verifica dell’età ha assunto una posizione di indiscussa centralità in un’epoca che sta assistendo sempre di più all’avanzamento di sistemi di intelligenza artificiale. La questione alla base è se sia possibile garantire che ad avere accesso a contenuti online inappropriati per un minore siano effettivamente e senza alcun dubbio coloro che hanno l’età legale per farlo. Come ha dichiarato Anu Talus, Chair del EDPB “La garanzia dell'età è essenziale per garantire che i minori non accedano a contenuti non adeguati alla loro età. Allo stesso tempo, il metodo per verificare l'età deve essere il meno intrusivo possibile e i dati personali dei bambini devono essere protetti. I principi proposti dall'EDPB aiuteranno l'industria a valutare l'età di una persona in modo conforme ai principi di protezione dei dati, tutelando nel contempo il benessere dei minori.”.
Sono questi, infatti, i motivi che hanno indotto l’Unione Europea già a partire dall’anno scorso, a dare mandato in particolare all’Autorità spagnola di elaborare delle linee guida per la verifica dell'età dell’utente all’accesso dei contenuti online,
La dichiarazione in commento si colloca in un quadro di preoccupazione ove il minore è considerato soggetto debole, ancora privo di concreta protezione. In effetti non mancano menzioni del tema in questione all’interno di normative rilevanti a riguardo; si pensi al Reg. UE 2016/679, ”GDPR” che stabilisce delle tutele per il minore, ponendo come lecito il rilascio del suo consenso se questi ha compiuto almeno 16 anni di età (che per l’Italia è stato stabilito a 14 anni) e solo per i servizi all’informazione a lui strettamente dedicati, Da considerare, nel medesimo perimetro di tutela, il dettato della c.d. direttiva “AVMSD” che contiene disposizioni a base dei sistemi di verifica dell’età considerandoli necessari per le piattaforme di condivisione video contenenti servizi che possano nuocere allo sviluppo fisico mentale o morale del minore. In ultimo e a completamento del quadro di riferimento si deve considerare anche il Reg. UE/2022/2065, meglio conosciuto come “DSA”. Quest’ultimo impone ai fornitori l’adozione di misure proporzionate a garantire la tutela della vita privata, la sicurezza e protezione dei minori che hanno accesso alle loro piattaforme...
È proprio in questo scenario, con ogni probabilità eccessivamente generico e pertanto poco garantista, che si sono inseritele linee guida dell’EDPB in commento e che elencano dieci principi il cui rispetto risulta necessario al fine di porre in essere un trattamento dei dati personali utili a determinare l’età o la fascia di età di una persona che sia conforme a legge.
La dichiarazione dell’EDPB
La dichiarazione evidenzia che la garanzia dell'età comporta rischi specifici per la protezione dei dati, con potenziali effetti negativi non solo sul diritto al corretto trattamento dei dati personali delle persone fisiche ma anche sui diritti e le libertà, quali il diritto alla non discriminazione, il diritto all'integrità della persona, il diritto alla libertà e alla sicurezza, nonché il diritto alla libertà di espressione e di pensiero È qui che risiede la necessità dell’adozione da parte del Titolare di un framework relativo alla governance con idonea documentazione, sistemi di controllo a mezzo di audit che costituiscono i presupposti indefettibili per rispondere ai requisiti di trasparenza e accoutability in merito alla natura e al funzionamento del sistema di verifica .
Come si vedrà tra i principi posti dall’EDPB nella recente dichiarazione non risultano delle “novità”, bensì si pone in maggior rilievo la corretta applicazione di principi stabiliti in materia dal GDPR, quali – solo a titolo esemplificativo – il principio di minimizzazione dei dati, di privacy by design e quello di trasparenza.
Quello della minimizzazione è indubbiamente un principio fondamentale che risulta dalla dichiarazione: è necessario, infatti, che qualsiasi sistema di verifica dell’età deve avere l’obbligo di raccogliere unicamente i dati pertinenti ad accertare l’età, ignorando tutti gli altri dati identificativi dell’utente. Trasparenza e responsabilità sono invece principi che vanno di pari passo: gli utenti devono essere sempre informati sulla finalità e le modalità di raccolta e trattamento dei propri dati, specie in casi come quelli ove il trattamento potrebbe comportare la configurazione di ipotesi di esclusione di un utente dalla fruizione di un determinato servizio. Per questo le piattaforme devono essere in grado di dimostrare che l’age verification è conforme al GDPR, utilizzando anche processi auditabili e sempre controllabili.
Nel corso della dichiarazione l’EDPB stabilisce inoltre che la verifica dell’età deve essere valutata in base a tre diversi aspetti: accessibilità a tutti gli utenti indipendentemente dalle loro condizioni socioeconomiche, tecnologiche o fisiche, senza comportare l’esclusione di alcun individuo; affidabilità in ossequio al principio di accuratezza previsto dal GDPR ed infine robustezza del sistema (pertanto resistente a tentativi di frodi).
Principi per progettare una garanzia di età conforme al GDPR
Vediamo quindi i principi enucleati dall’EDPB.
- Pieno ed effettivo godimento dei diritti e delle libertà: La garanzia dell'età deve essere conforme a tutti i diritti e alle libertà fondamentali della persona fisica, non limitandosi esclusivamente al diritto alla protezione dei dati personali. Nel caso dei minori, il loro superiore interesse, in quanto soggetti vulnerabili, deve costituire una considerazione primaria per tutte le parti coinvolte nella garanzia dell'età. Si sottolinea, inoltre, l'assenza di una gerarchia nella valutazione del superiore interesse del minore, rendendo necessario da parte del Titolare un approccio che tenga conto di tutti i diritti a esso riconosciuti.
- Valutazione basata sul rischio della proporzionalità dell'assicurazione dell’età: L’implementazione della verifica dell'età deve basarsi su un approccio fondato sul rischio e proporzionato. L'adozione di misure di sicurezza, inclusa la verifica dell'età, deve essere giustificata in termini di necessità e proporzionalità, tenendo conto dei rischi connessi. I fornitori di servizi sono tenuti a garantire il rispetto dei diritti e delle libertà degli utenti, bilanciandoli con l'esigenza di adottare misure di sicurezza. Tali misure devono essere sempre efficaci e rappresentare l'opzione meno invasiva tra quelle disponibili.
- Prevenzione dei rischi per la protezione dei dati: L'attuazione della garanzia dell'età non deve comportare rischi superflui per la tutela dei dati personali degli individui. I fornitori di servizi, nonché eventuali terze parti coinvolte nel processo, sono tenuti ad adottare misure e salvaguardie efficaci al fine di prevenire qualsiasi rischio inutile per la protezione dei dati, in particolare quelli derivanti da attività di identificazione, localizzazione, profilazione o tracciamento delle persone fisiche.
- Limitazione dello scopo e minimizzazione dei dati: Devono essere trattati esclusivamente i dati relativi all'età che risultano strettamente necessari per il perseguimento di uno scopo specifico, esplicito e legittimo. È obbligatorio adottare misure tecniche, quali le Privacy Enhancing Technologies, al fine di ridurre il rischio di riutilizzo dei dati personali. Inoltre, devono essere implementate adeguate misure organizzative, tra cui policy e obblighi contrattuali, volte a limitare l'ulteriore utilizzo dei dati personali.
- Efficacia della garanzia dell'età: La verifica dell'età deve dimostrare un livello di efficacia adeguato al fine per cui è implementata. I metodi di verifica dell'età devono essere accessibili, affidabili e robusti, garantendo il raggiungimento dello scopo previsto. In particolare, l'EDPB sottolinea che l'autodichiarazione di un attributo legato all'età difficilmente può essere considerata un metodo solido, in quanto la sua affidabilità dipende principalmente dalla buona fede dell'utente.
- Legalità, correttezza e trasparenza: I fornitori di servizi e le terze parti coinvolte nella verifica dell’età sono tenuti a garantire che il trattamento dei dati personali per tale finalità avvenga in modo lecito, corretto e trasparente nei confronti degli utenti. Inoltre, i fornitori di servizi devono assicurare che le informazioni relative alla trasparenza siano comunicate ai minori, ove coinvolti, in una forma chiara e facilmente comprensibile.
- Decisioni automatizzate: Qualsiasi utilizzo di sistemi decisionali automatizzati nel contesto della verifica dell'età deve essere conforme alle disposizioni del GDPR. Ove applicabile, i fornitori di servizi e le terze parti coinvolte sono tenuti a predisporre misure adeguate a tutelare i diritti e le libertà delle persone fisiche, nonché i loro legittimi interessi. Inoltre, i fornitori di servizi e le terze parti coinvolte nella verifica dell'età devono garantire l'accesso a rimedi efficaci e a meccanismi di ricorso appropriati per gli utenti nel caso in cui l'attribuzione dell'età risulti inesatta.
- Protezione dei dati by design e by default: La verifica dell'età deve essere progettata, implementata e valutata adottando le metodologie e le tecnologie più rispettose della privacy disponibili, al fine di garantire la conformità al GDPR e la tutela dei diritti degli interessati. Tale verifica deve essere sottoposta a revisioni periodiche e aggiornata, se necessario. Data la varietà e la gravità dei rischi connessi ai sistemi di verifica dell'età, in particolare quando comportano il trattamento di documenti di identità o di categorie particolari di dati personali, come i dati biometrici, è fondamentale adottare ogni misura precauzionale per prevenire l’accesso, il trattamento, la condivisione e la conservazione non necessari dei dati personali.
- Sicurezza dell'assicurazione dell'età: i fornitori di servizi e qualsiasi terza parte coinvolta nell'assicurazione dell'età devono implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio. La natura, la sensibilità e il volume dei dati personali che possono essere coinvolti nell'assicurazione dell'età evidenziano il potenziale effetto negativo che una violazione dei dati potrebbe comportare.
- Responsabilità: I fornitori di servizi e le terze parti coinvolte nei processi di verifica dell'età devono adottare adeguati meccanismi di governance che garantiscano la responsabilità del loro approccio alla verifica stessa, nonché la dimostrabilità della conformità alle normative in materia di protezione dei dati e ad altri requisiti giuridici applicabili. La verifica dell'età deve essere gestita all'interno di un quadro di governance strutturato, assicurando che tutti i processi e i sistemi siano progettati, implementati, monitorati, documentati, valutati, utilizzati, mantenuti, testati e verificati in modo conforme alle normative sulla protezione dei dati e agli obblighi legali pertinenti.
Conclusioni:
La dichiarazione dell'EDPB fornisce indicazioni utili per le imprese che potrebbero dover adottare misure di verifica dell'età, chiarendo le aspettative nei loro confronti e ciò che dovrà essere in grado di dimostrare per garantire la conformità al GDPR. Tuttavia, essa non esprime alcun parere circa ciò che, nello specifico, deve essere considerato "necessario" o "proporzionato" per assicurare la conformità all'AVMSD, al DSA o ad altre normative che impongono forme di garanzia dell'età, che si tratti di stima dell'età, verifica, autodichiarazione o altre modalità. Resta da stabilire se la Commissione Europea fornirà ulteriori chiarimenti su questo aspetto nelle sue prossime linee guida.
Avv. Diletta Simonetti e Dott.ssa Silvia Mazzarella