Military Cyber Intelligence
2 Maggio 2018
Il data manager: la vera necessità del GDPR
4 Maggio 2018

Minori e social network alle soglie del Regolamento privacy europeo: i nuovi strumenti di Facebook per la verifica del consenso genitoriale

Di ritorno dall’EMEA Child Safety Summit, tenutosi a Dublino il 18 e 19 aprile, sono sicuramente molti gli spunti da portare a casa e di cui discutere. Uno dei temi più interessanti, però, vista l’imminenza del 25 maggio che porterà con sé l’applicabilità del Regolamento privacy europeo, è quello relativo all’età del consenso digitale dei minori e di come Facebook abbia modificato le proprie impostazioni così da rispettare le disposizioni di cui all’art. 8 del GDPR.

Come ricordavo in un precedente articolo sul tema (https://www.ictsecuritymagazine.com/articoli/eta-del-consenso-digitale-delicato-rapporto-minori-sicurezza-online/)  l’art. 8.1 introduce la regola generale per cui il cd. “consenso digitale” applicato alla fornitura di servizi online per ragazzi under 18 sarà lecito solo laddove il minore “abbia almeno 16 anni”. Nel caso in cui, invece, l’interessato abbia un’età inferiore, il trattamento dei dati verrà considerato lecito “soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”, ferma restando la possibilità degli Stati membri di stabilire con legge nazionale “un’età inferiore a tali fini purché non inferiore ai 13 anni”. In sostanza, se la legge nazionale dovesse fissare il limite a 15 anni, tutti i minori tra i 13 anni e i 15 anni meno un giorno, dovranno ottenere il consenso del genitore per iscriversi ai social o ad altre piattaforme digitali. Questo consenso genitoriale, peraltro, dovrà essere verificato attivamente dal titolare del trattamento (il social network, ad esempio) “in ogni modo ragionevole”.

Proprio nel corso del Summit a Dublino, Facebook ha presentato in anteprima i suoi strumenti per rendere effettiva l’applicazione delle disposizioni citate.

Ma prima qualche precisazione interessante, a beneficio di tutti i genitori che leggono questo articolo, su cosa avviene ai profili di ragazzi compresi tra i 13 anni e i 18:

– innanzitutto, non vi è possibilità di indicizzazione del profilo del minore da parte dei motori di ricerca, che invece è un’opzione presente per i maggiorenni. Tale possibilità si sblocca solo al compimento dei 18 anni, pertanto il minore iscritto a Facebook non può in alcun modo comparire ad esempio su Google;

– l’impostazione di default quando un minore si iscrive a Facebook è quella di condividere i post (foto, status, video ecc.) “solo con amici”;

– le informazioni del profilo del minore (compleanno, città, scuola, familiari) non sono visibili a coloro che non hanno stretto amicizia con il ragazzo/la ragazza;

– ad ogni richiesta di amicizia ricevuta da soggetti maggiorenni, il minore riceve un pop-up che lo invita a riflettere prima di accettare richieste dagli sconosciuti;

– non è possibile attivare il riconoscimento facciale, introdotto in Italia da qualche giorno come strumento facoltativo, dedicato solo agli adulti (qui per approfondire https://www.ictsecuritymagazine.com/articoli/riconoscimento-facciale-la-tutela-della-privacy-rapporto-interpersonale/).

Ciò detto, torniamo al tema degli strumenti che Facebook (e Instagram) hanno realizzato così da capire come funzionerà, dal 25 maggio 2018, l’iscrizione al social da parte di minorenni di età compresa tra i 13 e i 18 anni.

Le premesse, ricordiamo, sono tre: a) ciascuno stato europeo potrebbe decidere di rimanere con un limite fissato a 16 anni o abbassarlo fino ai 13, impostandolo anche a 14 o 15 anni; b) per i minori al di sotto dell’età minima fissata (fascia che ragionevolmente andrà dai 13 ai 15 anni a seconda della legge nazionale) è necessario il consenso del genitore; c) il consenso del genitore deve essere verificato dal social network (o dal provider di servizi) “in ogni modo ragionevole”. A queste premesse se ne aggiunge un’altra, ovvero il fatto che il consenso di cui si parla all’art. 8 del GDPR non influisce sugli obblighi contrattuali stabiliti negli Stati membri. In Italia il contratto con un minore può essere sottoscritto con il consenso del genitore che lo stipula per conto del figlio, tuttavia qualora fosse il minore a sottoscrivere il contratto, questo sarà annullabile (dal genitore, ricorrendo in giudizio) ma non verrà considerato nullo a priori. Ogni contratto concluso dal minore, infatti, è sempre annullabile, rimanendo valido e vincolante fino al suo annullamento. Ma su questo torneremo più avanti.

Così, dal 25 maggio le cose andranno come segue.

Mario ha 14 anni ed è già iscritto a Facebook da quando ne ha 13, ma nel suo Stato viene introdotta una legge che fissa il limite minimo per il consenso digitale a 15 anni. Cosa succede allora?

Innanzitutto, Facebook mostra un avviso (che molti di noi adulti hanno già ricevuto) sugli aggiornamenti dei termini di servizio che Mario deve leggere e accettare, avendo la possibilità anche di rivedere e modificare i dati che ha fornito sino a quel momento, cambiando o rimuovendo le informazioni su di sé.

Terminata questa fase, dal momento che Mario ha dichiarato la sua data di nascita un anno fa, quando aveva 13 anni e si è iscritto a Facebook (l’inserimento della data di nascita è obbligatorio all’atto di registrazione) gli viene segnalato che è necessario ottenere il consenso del genitore poiché non ha ancora compiuto 15 anni, come prevede la neo-introdotta legge dello Stato in cui risiede. Ma il consenso per cosa? Torniamo alla questione della validità del contratto stipulato con il minore. Mario, in quanto minore, ha la possibilità di “stipulare un contratto” con Facebook accettando i termini di servizio per iscriversi al social network, contratto che ricordiamo, può essere annullato in un secondo momento, ma non è considerato nullo di per sé, solo perché sottoscritto senza il consenso del genitore. Così, la base di legittimità del trattamento dei dati comuni di Mario (nome, cognome, data di nascita, città, email ecc.) sarà quella dell’esecuzione del contratto stesso (per gli esperti, stiamo parlando dell’art. 6(1)(b) del GDPR). Tuttavia, i dati sensibili di Mario e la profilazione del ragazzo tramite dati di navigazione sono sottoposti al consenso del genitore, consenso che non solo permetterà al figlio di vedere le inserzioni, ma anche di includere nel profilo informazioni sensibili (orientamento sessuale, religione, convinzioni politiche…) e personalizzare ulteriormente l’account.

Pausa. Introduciamo anche Maria, che ha 13 anni, risiede nello stesso Paese di Mario, non ha mai avuto Facebook, ma il 26 maggio 2018 decide di iscriversi, perché la mamma e il papà sono d’accordo.

Due domande sorgono spontanee:

  1. Come fa Facebook a sapere in quale stato vivono Mario e Maria e, quindi, a sapere se c’è necessità del consenso del genitore?
  2. Come fa Facebook a verificare il consenso del genitore di Mario e Maria?

Innanzitutto, come si anticipava, ogni Stato membro potrebbe decidere di porre un limite diverso all’età del consenso digitale e, per questo, oltre all’età, Facebook deve anche sapere dove risiedono Mario e Maria. Stavolta, però, a differenza dell’età (che è autodichiarata all’atto di iscrizione) la localizzazione del minore non si basa su una dichiarazione autonoma bensì sul match di due fattori: la lingua selezionata e la provenienza dell’indirizzo IP.

Quindi, presumendo (e qui il consiglio è nuovamente quello di leggere il precedente articolo https://www.ictsecuritymagazine.com/articoli/eta-del-consenso-digitale-delicato-rapporto-minori-sicurezza-online/) che l’età di Mario e Maria sia quella dichiarata, Facebook sa quanti anni ha Mario e quanti ne ha Maria e sa anche se, in virtù della loro appartenenza geografica, rientrano o meno nella fascia che richiede il consenso genitoriale.

Così, a Mario e Maria, che hanno età diverse e posizioni di partenza diverse (lui aveva già Facebook, lei si è iscritta dopo il 25 maggio) Facebook chiede il consenso del genitore per mantenere o aprire il loro profilo. Come? In due modi. Innanzitutto, Mario e Maria possono indicare il nome del genitore (se è iscritto a Facebook, peraltro senza bisogno che sia amico del figlio/della figlia) e inviargli direttamente la richiesta tramite il social.

Altrimenti, Mario e Maria possono inserire una mail valida del genitore cui inviare la richiesta di consenso.

A quel punto, i due giovani potranno vedere se il genitore ha approvato la richiesta, ferma restando la possibilità per l’adulto di modificare prima le informazioni sensibili condivise dal figlio e le preferenze sulle inserzioni e poi accettare la richiesta di consenso. Nel caso in cui il genitore sia contrario al mantenimento o all’apertura del profilo del minore (e finché comunque il genitore non avrà risposto alla richiesta di consenso), Facebook darà a Mario e Maria la possibilità di mantenere un profilo ma riducendo largamente la personalizzazione dello stesso, compresa la possibilità di condividere informazioni personali sensibili nonché di essere oggetto di pubblicità targettizzata.

Questi gli strumenti tecnici, dunque. Ma possiamo già sentire l’eco di domande che rimbombano nella testa di ciascun lettore: “Può bastare l’autodichiarazione dell’età del minore? Perché consentirgli di essere su Facebook anche se con i soli dati comuni? Come fa Facebook ad essere sicuro che quello che acconsente sia veramente il genitore? Perché non introdurre un meccanismo di controllo più stringente sul rapporto di parentela stretta con il minore e sull’effettiva età del ragazzo?”. A tal proposito, è bene ricordare le parole di Antonello Soro, Garante Privacy italiano, che ben si sposano con questi interrogativi: “Negli ultimi tempi viene riproposto il bisogno di regole capaci di rendere inaccessibili alcuni siti ai minori. In generale temo che l’idea di fissare una soglia di età nel mondo digitale per proteggere i minori dai pericoli della rete rischi di essere una soluzione puramente convenzionale: non solo per la difficoltà di stabilire presuntivamente una rigida correlazione tra età e consapevolezza digitale, ma soprattutto per la facilità di eludere simili criteri di accesso. […] Maggiori criticità emergono rispetto a metodi di accertamento documentale dell’età, certamente più efficaci, ma che implicherebbero, se generalizzati, una raccolta di dati massiva, peraltro in un contesto in cui, al contrario, essa dovrebbe essere ridotta al minimo necessario. L’idea di poter rendere il web un’area ad accesso “limitato”, cui concedere l’ingresso ai soli maggiorenni provandone l’età con un documento di identità si tradurrebbe quindi in una schedatura di massa. Schedatura peraltro effettuata da soggetti privati che finirebbero per aumentare ulteriormente il loro potere, detenendo una sorta di anagrafe della popolazione mondiale, in palese controtendenza rispetto alla filosofia che permea il nuovo Regolamento europeo in materia di protezione dati […] E, infine, vorrei ricordare che, come in tutte le strategie proibizioniste, il rischio ulteriore consiste nel fatto che all’oggetto proibito si acceda comunque per altra via, o eludendo i controlli con furti di identità o muovendosi nel ben più pericoloso deep web, dove le insidie sono di certo maggiori”.

Purtroppo il bilanciamento tra minimizzazione della raccolta dei dati personali e la verifica dell’età del minore nonché del consenso genitoriale si scontrano, generando un trade off tra sicurezza del minore e controllo sistematico da parte dei social.

Non è semplice decidere a cosa rinunciare, se a una parte della privacy degli utenti dando ai provider la possibilità di accedere a centinaia di migliaia di generalità (ad es. tramite la scansione documenti) per espletare le verifiche necessarie o se, invece, quell’espressione introdotta dal Regolamento privacy europeo “in ogni modo ragionevole” non sia proprio da interpretare come necessità di fare quanto possibile, nella consapevolezza che per realizzare un meccanismo di verifica perfetta si andrebbe incontro alla mutilazione del diritto alla privacy.

Parimenti, la potestà genitoriale si scontra con la digitalizzazione della società, andando a cercare soluzioni nei divieti di accesso, spesso inutili e comunque facilmente aggirabili.

Aumentare le conoscenze degli utenti, responsabilizzare i ragazzi e le loro famiglie è il primo passo, nonché il più importante, per garantire un corretto uso dei social, a prescindere da quale sia la normativa nazionale che ne regola l’utilizzo. Dopotutto, anche un tredicenne che ha ottenuto il consenso pieno del genitore, se non viene guidato, aiutato e agevolato dai genitori e dalla scuola, potrebbe incappare in qualsivoglia pericolo che prescinde dall’accettazione preliminare del genitore all’uso del social stesso.

L’invito, allora, è quello di evitare giudizi affrettati, condividendo possibili soluzioni e discutendo insieme su come calibrare gli strumenti non dimenticando i principi, ma soprattutto abbandonando la tanto facile quanto inutile scappatoia del “basta non far accedere i minori alla rete Internet”.

A cura di: Camilla Bistolfi

Specializzata cum laude in Scienze di governo e della comunicazione pubblica alla LUISS Guido Carli. Attualmente ricopre la posizione di Associate nel dipartimento TMT presso lo studio legale Hogan Lovells ed è Privacy Officer e Consulente della Privacy certificato dal TÜV.

Dopo un tirocinio presso il Garante Privacy (Dipartimento attivià ispettive e sanzioni), ha ottenuto nel 2014 l’incarico di Research Fellow dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati – di cui è diventata nel 2017 componente del Consiglio di Amministrazione – e per il quale ha seguito progetti di advocacy nazionali ed europei nonché quelli di ricerca e innovazione Horizon2020, finanziati dalla Commissione Europea.

Camilla ha fondato e diretto il Centro Nazionale Anti-Cyberbullismo (CNAC) sino a dicembre 2018 e continua a occuparsi delle tematiche relative a minori e genitorialità digitale.

È coautrice nella raccolta “Privacy Technologies and Policies” (Springer, 2016) di uno studio in tema di IoT e 3D privacy e di una pubblicazione su pseudonimizzazione, privacy e Big Data sulla Computer Law & Security Review. Ha scritto, in questi anni, anche di social network, minori e abusi online, digital parenting, identità digitali e portabilità dei dati.

È autrice con Luca Bolognini ed Enrico Pelino del volume “Il Regolamento Privacy Europeo”, il primo commentario italiano sulla materia pubblicato nel 2016 da Giuffrè.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy