La verifica dell’età del minore per l'accesso ai servizi online

La verifica dell’età del minore per l'accesso ai servizi online
Gli ultimi provvedimenti del Garante per la Protezione dei Dati Personali confermano la necessità di disciplinare in modo definitivo il problema della verifica dell’età del minore che accede ai servizi online, tenendo sempre in considerazione i principi fondamentali del GDPR.
Il trattamento dei dati personali del minore nel GDPR

Il Regolamento (UE) 2016/679 (“GDPR”) sottolinea che minori meritano una specifica protezione, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti in relazione al trattamento dei dati personali.

In relazione ai “servizi della società dell’informazione”, l’articolo 8 ritiene lecito il trattamento dei dati personali basato sul consenso solo se il minore ha almeno 16 anni; ove il minore abbia un’età inferiore a 16 anni tale trattamento sarà lecito se il consenso è prestato, o autorizzato, da un genitore o da un tutore.

Accogliendo l’indicazione prevista nel terzo paragrafo dell’articolo 8, in Italia - con il D.lgs. 101/2018, che ha armonizzato il “vecchio” Codice Privacy (D.lgs. 196/2003) alle norme del GDPR – si è scelto di abbassare a 14 anni l’età minima per rilasciare il consenso al trattamento dei dati personali (art. 2-quinquies Codice Privacy). Per il minore di 14 anni è previsto invece che il consenso sia prestato da chi esercita la responsabilità genitoriale.

Le Linee Guida sul consenso dell’EDPB

Nelle Linee Guida 5/2020, l’European Data Protection Board (“EDPB”) affronta il problema del consenso del minore al punto 7.1, specificando innanzitutto cosa si intenda per “servizi della società dell’informazione”. Tale definizione ricomprende tutti quei servizi che presuppongono la fruizione di un prodotto o un servizio online, come ad esempio i marketplace e i social network.

L’EDPB prende in esame, al punto 7.1.3, il tema della verifica dell’età, chiarendo che il titolare del trattamento deve compiere ogni ragionevole sforzo per verificare che l’utente abbia raggiunto l’età del consenso digitale, e che le misure adottate per tale finalità siano proporzionate alla natura e ai rischi delle attività di trattamento. Sebbene il GDPR non richieda esplicitamente di intraprendere sforzi ragionevoli per la verifica dell’età degli utenti, tale necessità è implicita nel caso del minore, poiché, ove quest’ultimo prestasse il consenso senza avere l’età richiesta dalla legge, il trattamento sarebbe illecito. Pertanto, se l’utente afferma di aver raggiunto l’età stabilita per il consenso digitale (ricordiamo, in Italia è fissata a 14 anni), il titolare del trattamento può effettuare dei controlli appropriati per constatare la veridicità di tale dichiarazione. Il sistema di verifica dell’età scelto dal titolare del trattamento, però, non deve comportare un eccessivo trattamento di dati e, comunque, deve prevedere una valutazione del rischio del trattamento. 

Già nel 2009, con l’Opinion 5/2009, l’EDPB (all’epoca denominato WP29) si era occupato di questa tematica, in relazione all’accesso dei minori ai social network, evidenziando le difficoltà legate ad un’adeguata verifica dell’età e alla prova del consenso informato del minore. Il Board europeo promuoveva pertanto una strategia su più fronti per tutelare i dati dei minori, con iniziative di sensibilizzazione, l’implementazione di tecnologie per tutelare la privacy (PET) – includendovi anche software di verifica dell’età – l’autoregolamentazione dei fornitori (con l’adozione di codici di condotta) e, se necessario, misure legislative ad hoc per scoraggiare pratiche sleali e/o ingannevoli nel contesto dei social network. 

Lo stato dell’arte

Nella relazione finale del Tavolo tecnico sulla tutela dei diritti dei minori nel contesto dei social networks, dei servizi e dei prodotti digitali in rete (costituito da AGCOM, dal Garante per la Protezione dei Dati Personali e dall’Autorità Garante dell’Infanzia e dell’Adolescenza) viene evidenziata la complessità del tema delle tutele dei minorenni nell’ambito dell’universo digitale e viene denunciata l’assenza di certezze sulla verifica dell’età di ingresso dei minori in Rete. Le tre Autorità, al termine del tavolo di lavoro, hanno pertanto proposto l’introduzione di una sorta di SPID per la verifica dell’età dei minori che si basa sulla certificazione dell’identità da parte di terzi, al fine di tutelare il diritto alla privacy. 

È da rilevare che, alcuni Stati membri, compresa l’Italia, stanno valutando di innalzare la soglia minima dell’età stabilita per il consenso digitale: in Francia nei prossimi giorni verrà discussa la proposta di innalzamento dell’età a 15 anni per l’accesso ai social network e anche in Italia si sta discutendo sulla possibilità di tornare alla originaria previsione del GDPR (16 anni). 

Questa soluzione però non sarebbe risolutiva: il limite dell’età può essere facilmente eluso. Secondo un recente studio di Ofcom (Autorità garante per le comunicazioni in Gran Bretagna) un terzo dei minori, di età compresa tra gli 8 e i 17 anni, mente sulla propria età per iscriversi sui social network, esponendosi così al rischio di accedere contenuti potenzialmente dannosi e inadatti per quella fascia d’età. 

Conclusioni

Il Garante per la Protezione dei Dati Personali, ha espresso in più occasioni la necessità di inserire meccanismi di verifica dell’età - non dell’identità - al fine di tutelare i minori che accedono alle piattaforme online più diffuse (es. YouTube, Instagram, TikTok, ecc.).

Nella giornata di ieri 12 aprile, il Garante Privacy e Agcom hanno firmato un protocollo d’intesa con il quale è stato istituito un tavolo di lavoro congiunto al fine di promuovere un codice di condotta proprio per indurre le piattaforme digitali ad adottare sistemi per la verifica dell’età dei minori che accedono ai servizi online.

Di recente, inoltre, anche il Parlamento europeo ha riscontrato diverse criticità nei sistemi di verifica dell’età predisposti dai prestatori di servizi online, evidenziando l’esigenza di adottare un codice di condotta per la tutela dei minori, contenente anche un sistema comune di age verification in linea con la nuova normativa sui servizi digitali (DSA) e il GDPR. Tale codice dovrebbe vedere la luce entro la fine del 2024.

Avv. Sabrina Salmeri

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori