Minori e social network alle soglie del Regolamento privacy europeo: i nuovi strumenti di Facebook per la verifica del consenso genitoriale

A cura di:Camilla Bistolfi Ore

Di ritorno dall’EMEA Child Safety Summit, tenutosi a Dublino il 18 e 19 aprile, sono sicuramente molti gli spunti da portare a casa e di cui discutere. Uno dei temi più interessanti, però, vista l’imminenza del 25 maggio che porterà con sé l’applicabilità del Regolamento privacy europeo, è quello relativo all’età del consenso digitale dei minori e di come Facebook abbia modificato le proprie impostazioni così da rispettare le disposizioni di cui all’art. 8 del GDPR.

Come ricordavo in un precedente articolo sul tema (https://www.ictsecuritymagazine.com/articoli/eta-del-consenso-digitale-delicato-rapporto-minori-sicurezza-online/)  l’art. 8.1 introduce la regola generale per cui il cd. “consenso digitale” applicato alla fornitura di servizi online per ragazzi under 18 sarà lecito solo laddove il minore “abbia almeno 16 anni”. Nel caso in cui, invece, l’interessato abbia un’età inferiore, il trattamento dei dati verrà considerato lecito “soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”, ferma restando la possibilità degli Stati membri di stabilire con legge nazionale “un’età inferiore a tali fini purché non inferiore ai 13 anni”. In sostanza, se la legge nazionale dovesse fissare il limite a 15 anni, tutti i minori tra i 13 anni e i 15 anni meno un giorno, dovranno ottenere il consenso del genitore per iscriversi ai social o ad altre piattaforme digitali. Questo consenso genitoriale, peraltro, dovrà essere verificato attivamente dal titolare del trattamento (il social network, ad esempio) “in ogni modo ragionevole”.

Proprio nel corso del Summit a Dublino, Facebook ha presentato in anteprima i suoi strumenti per rendere effettiva l’applicazione delle disposizioni citate.

Ma prima qualche precisazione interessante, a beneficio di tutti i genitori che leggono questo articolo, su cosa avviene ai profili di ragazzi compresi tra i 13 anni e i 18:

– innanzitutto, non vi è possibilità di indicizzazione del profilo del minore da parte dei motori di ricerca, che invece è un’opzione presente per i maggiorenni. Tale possibilità si sblocca solo al compimento dei 18 anni, pertanto il minore iscritto a Facebook non può in alcun modo comparire ad esempio su Google;

– l’impostazione di default quando un minore si iscrive a Facebook è quella di condividere i post (foto, status, video ecc.) “solo con amici”;

– le informazioni del profilo del minore (compleanno, città, scuola, familiari) non sono visibili a coloro che non hanno stretto amicizia con il ragazzo/la ragazza;

– ad ogni richiesta di amicizia ricevuta da soggetti maggiorenni, il minore riceve un pop-up che lo invita a riflettere prima di accettare richieste dagli sconosciuti;

– non è possibile attivare il riconoscimento facciale, introdotto in Italia da qualche giorno come strumento facoltativo, dedicato solo agli adulti (qui per approfondire https://www.ictsecuritymagazine.com/articoli/riconoscimento-facciale-la-tutela-della-privacy-rapporto-interpersonale/).

Ciò detto, torniamo al tema degli strumenti che Facebook (e Instagram) hanno realizzato così da capire come funzionerà, dal 25 maggio 2018, l’iscrizione al social da parte di minorenni di età compresa tra i 13 e i 18 anni.

Le premesse, ricordiamo, sono tre: a) ciascuno stato europeo potrebbe decidere di rimanere con un limite fissato a 16 anni o abbassarlo fino ai 13, impostandolo anche a 14 o 15 anni; b) per i minori al di sotto dell’età minima fissata (fascia che ragionevolmente andrà dai 13 ai 15 anni a seconda della legge nazionale) è necessario il consenso del genitore; c) il consenso del genitore deve essere verificato dal social network (o dal provider di servizi) “in ogni modo ragionevole”. A queste premesse se ne aggiunge un’altra, ovvero il fatto che il consenso di cui si parla all’art. 8 del GDPR non influisce sugli obblighi contrattuali stabiliti negli Stati membri. In Italia il contratto con un minore può essere sottoscritto con il consenso del genitore che lo stipula per conto del figlio, tuttavia qualora fosse il minore a sottoscrivere il contratto, questo sarà annullabile (dal genitore, ricorrendo in giudizio) ma non verrà considerato nullo a priori. Ogni contratto concluso dal minore, infatti, è sempre annullabile, rimanendo valido e vincolante fino al suo annullamento. Ma su questo torneremo più avanti.

Così, dal 25 maggio le cose andranno come segue.

Mario ha 14 anni ed è già iscritto a Facebook da quando ne ha 13, ma nel suo Stato viene introdotta una legge che fissa il limite minimo per il consenso digitale a 15 anni. Cosa succede allora?

Innanzitutto, Facebook mostra un avviso (che molti di noi adulti hanno già ricevuto) sugli aggiornamenti dei termini di servizio che Mario deve leggere e accettare, avendo la possibilità anche di rivedere e modificare i dati che ha fornito sino a quel momento, cambiando o rimuovendo le informazioni su di sé.

Terminata questa fase, dal momento che Mario ha dichiarato la sua data di nascita un anno fa, quando aveva 13 anni e si è iscritto a Facebook (l’inserimento della data di nascita è obbligatorio all’atto di registrazione) gli viene segnalato che è necessario ottenere il consenso del genitore poiché non ha ancora compiuto 15 anni, come prevede la neo-introdotta legge dello Stato in cui risiede. Ma il consenso per cosa? Torniamo alla questione della validità del contratto stipulato con il minore. Mario, in quanto minore, ha la possibilità di “stipulare un contratto” con Facebook accettando i termini di servizio per iscriversi al social network, contratto che ricordiamo, può essere annullato in un secondo momento, ma non è considerato nullo di per sé, solo perché sottoscritto senza il consenso del genitore. Così, la base di legittimità del trattamento dei dati comuni di Mario (nome, cognome, data di nascita, città, email ecc.) sarà quella dell’esecuzione del contratto stesso (per gli esperti, stiamo parlando dell’art. 6(1)(b) del GDPR). Tuttavia, i dati sensibili di Mario e la profilazione del ragazzo tramite dati di navigazione sono sottoposti al consenso del genitore, consenso che non solo permetterà al figlio di vedere le inserzioni, ma anche di includere nel profilo informazioni sensibili (orientamento sessuale, religione, convinzioni politiche…) e personalizzare ulteriormente l’account.

Pausa. Introduciamo anche Maria, che ha 13 anni, risiede nello stesso Paese di Mario, non ha mai avuto Facebook, ma il 26 maggio 2018 decide di iscriversi, perché la mamma e il papà sono d’accordo.

Due domande sorgono spontanee:

  1. Come fa Facebook a sapere in quale stato vivono Mario e Maria e, quindi, a sapere se c’è necessità del consenso del genitore?
  2. Come fa Facebook a verificare il consenso del genitore di Mario e Maria?

Innanzitutto, come si anticipava, ogni Stato membro potrebbe decidere di porre un limite diverso all’età del consenso digitale e, per questo, oltre all’età, Facebook deve anche sapere dove risiedono Mario e Maria. Stavolta, però, a differenza dell’età (che è autodichiarata all’atto di iscrizione) la localizzazione del minore non si basa su una dichiarazione autonoma bensì sul match di due fattori: la lingua selezionata e la provenienza dell’indirizzo IP.

Quindi, presumendo (e qui il consiglio è nuovamente quello di leggere il precedente articolo https://www.ictsecuritymagazine.com/articoli/eta-del-consenso-digitale-delicato-rapporto-minori-sicurezza-online/) che l’età di Mario e Maria sia quella dichiarata, Facebook sa quanti anni ha Mario e quanti ne ha Maria e sa anche se, in virtù della loro appartenenza geografica, rientrano o meno nella fascia che richiede il consenso genitoriale.

Così, a Mario e Maria, che hanno età diverse e posizioni di partenza diverse (lui aveva già Facebook, lei si è iscritta dopo il 25 maggio) Facebook chiede il consenso del genitore per mantenere o aprire il loro profilo. Come? In due modi. Innanzitutto, Mario e Maria possono indicare il nome del genitore (se è iscritto a Facebook, peraltro senza bisogno che sia amico del figlio/della figlia) e inviargli direttamente la richiesta tramite il social.

Altrimenti, Mario e Maria possono inserire una mail valida del genitore cui inviare la richiesta di consenso.

A quel punto, i due giovani potranno vedere se il genitore ha approvato la richiesta, ferma restando la possibilità per l’adulto di modificare prima le informazioni sensibili condivise dal figlio e le preferenze sulle inserzioni e poi accettare la richiesta di consenso. Nel caso in cui il genitore sia contrario al mantenimento o all’apertura del profilo del minore (e finché comunque il genitore non avrà risposto alla richiesta di consenso), Facebook darà a Mario e Maria la possibilità di mantenere un profilo ma riducendo largamente la personalizzazione dello stesso, compresa la possibilità di condividere informazioni personali sensibili nonché di essere oggetto di pubblicità targettizzata.

Questi gli strumenti tecnici, dunque. Ma possiamo già sentire l’eco di domande che rimbombano nella testa di ciascun lettore: “Può bastare l’autodichiarazione dell’età del minore? Perché consentirgli di essere su Facebook anche se con i soli dati comuni? Come fa Facebook ad essere sicuro che quello che acconsente sia veramente il genitore? Perché non introdurre un meccanismo di controllo più stringente sul rapporto di parentela stretta con il minore e sull’effettiva età del ragazzo?”. A tal proposito, è bene ricordare le parole di Antonello Soro, Garante Privacy italiano, che ben si sposano con questi interrogativi: “Negli ultimi tempi viene riproposto il bisogno di regole capaci di rendere inaccessibili alcuni siti ai minori. In generale temo che l’idea di fissare una soglia di età nel mondo digitale per proteggere i minori dai pericoli della rete rischi di essere una soluzione puramente convenzionale: non solo per la difficoltà di stabilire presuntivamente una rigida correlazione tra età e consapevolezza digitale, ma soprattutto per la facilità di eludere simili criteri di accesso. […] Maggiori criticità emergono rispetto a metodi di accertamento documentale dell’età, certamente più efficaci, ma che implicherebbero, se generalizzati, una raccolta di dati massiva, peraltro in un contesto in cui, al contrario, essa dovrebbe essere ridotta al minimo necessario. L’idea di poter rendere il web un’area ad accesso “limitato”, cui concedere l’ingresso ai soli maggiorenni provandone l’età con un documento di identità si tradurrebbe quindi in una schedatura di massa. Schedatura peraltro effettuata da soggetti privati che finirebbero per aumentare ulteriormente il loro potere, detenendo una sorta di anagrafe della popolazione mondiale, in palese controtendenza rispetto alla filosofia che permea il nuovo Regolamento europeo in materia di protezione dati […] E, infine, vorrei ricordare che, come in tutte le strategie proibizioniste, il rischio ulteriore consiste nel fatto che all’oggetto proibito si acceda comunque per altra via, o eludendo i controlli con furti di identità o muovendosi nel ben più pericoloso deep web, dove le insidie sono di certo maggiori”.

Purtroppo il bilanciamento tra minimizzazione della raccolta dei dati personali e la verifica dell’età del minore nonché del consenso genitoriale si scontrano, generando un trade off tra sicurezza del minore e controllo sistematico da parte dei social.

Non è semplice decidere a cosa rinunciare, se a una parte della privacy degli utenti dando ai provider la possibilità di accedere a centinaia di migliaia di generalità (ad es. tramite la scansione documenti) per espletare le verifiche necessarie o se, invece, quell’espressione introdotta dal Regolamento privacy europeo “in ogni modo ragionevole” non sia proprio da interpretare come necessità di fare quanto possibile, nella consapevolezza che per realizzare un meccanismo di verifica perfetta si andrebbe incontro alla mutilazione del diritto alla privacy.

Parimenti, la potestà genitoriale si scontra con la digitalizzazione della società, andando a cercare soluzioni nei divieti di accesso, spesso inutili e comunque facilmente aggirabili.

Aumentare le conoscenze degli utenti, responsabilizzare i ragazzi e le loro famiglie è il primo passo, nonché il più importante, per garantire un corretto uso dei social, a prescindere da quale sia la normativa nazionale che ne regola l’utilizzo. Dopotutto, anche un tredicenne che ha ottenuto il consenso pieno del genitore, se non viene guidato, aiutato e agevolato dai genitori e dalla scuola, potrebbe incappare in qualsivoglia pericolo che prescinde dall’accettazione preliminare del genitore all’uso del social stesso.

L’invito, allora, è quello di evitare giudizi affrettati, condividendo possibili soluzioni e discutendo insieme su come calibrare gli strumenti non dimenticando i principi, ma soprattutto abbandonando la tanto facile quanto inutile scappatoia del “basta non far accedere i minori alla rete Internet”.

A cura di: Camilla Bistolfi

Profilo Autore
Camilla Bistolfi

Specializzata cum laude in Scienze di governo e della comunicazione pubblica alla LUISS Guido Carli. Attualmente ricopre la posizione di Associate nel dipartimento TMT presso lo studio legale Hogan Lovells ed è Privacy Officer e Consulente della Privacy certificato dal TÜV.
Dopo un tirocinio presso il Garante Privacy (Dipartimento attivià ispettive e sanzioni), ha ottenuto nel 2014 l’incarico di Research Fellow dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati – di cui è diventata nel 2017 componente del Consiglio di Amministrazione – e per il quale ha seguito progetti di advocacy nazionali ed europei nonché quelli di ricerca e innovazione Horizon2020, finanziati dalla Commissione Europea.
Camilla ha fondato e diretto il Centro Nazionale Anti-Cyberbullismo (CNAC) sino a dicembre 2018 e continua a occuparsi delle tematiche relative a minori e genitorialità digitale.
È coautrice nella raccolta “Privacy Technologies and Policies” (Springer, 2016) di uno studio in tema di IoT e 3D privacy e di una pubblicazione su pseudonimizzazione, privacy e Big Data sulla Computer Law & Security Review. Ha scritto, in questi anni, anche di social network, minori e abusi online, digital parenting, identità digitali e portabilità dei dati.
È autrice con Luca Bolognini ed Enrico Pelino del volume “Il Regolamento Privacy Europeo”, il primo commentario italiano sulla materia pubblicato nel 2016 da Giuffrè.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Il Phishing Assessment per la Sicurezza Aziendale

Il Phishing Assessment per la Sicurezza Aziendale

A cura di:Sergio Caruso Ore Pubblicato il

Il phishing è uno dei metodi di attacco più comune, sfrutta come tecnica principale il Social Engineering e viene utilizzato per compromettere le credenziali e rubare dati sensibili. Attraverso il phishing, gli aggressori inviano messaggi di posta elettronica che sembrano essere legittimi e possono contenere nomi, indirizzi e-mail e loghi di organizzazioni fidate (es. Banche,…

Dell Technologies e VMware | Cyber Attack vs Cyber Recovery: il tuo piano d’azione per il successo

Dell Technologies e VMware | Cyber Attack vs Cyber Recovery: il tuo piano d’azione per il successo

A cura di:Redazione Ore Pubblicato il

Nel mondo di oggi, estremamente interconnesso e dove molta forza lavoro opera in contesti esterni al perimetro aziendale classico, basti pensare agli operatori che si muovono sul territorio o agli smart worker, ogni azienda è esposta agli attacchi informatici, che diventano ogni giorno sempre più sofisticati. Un cyber attacco ben riuscito porta alla perdita parziale…

Il perimetro del GDPR

Il perimetro del GDPR

A cura di:Francesco Maldera Ore Pubblicato il

L’art. 3 del GDPR L’art. 3 del Regolamento Europeo 2016/679, meglio noto come GDPR, delinea i confini della sua applicazione. Si tratta di confini fisici ma non solo. Ad una prima lettura, il testo appare chiarissimo: in sintesi, si potrebbe dire che devono adeguarsi al GDPR tutti i titolari ed i responsabili che hanno sede (principale o…

Sicurezza e Razionalizzazione dei Data Center Pubblici

Sicurezza e Razionalizzazione dei Data Center Pubblici

A cura di:Agostino Agrillo Ore Pubblicato il

Nelle scorse settimane oltre ad essermi dedicato alla rilettura del piano triennale 2017-2019 per il digitale, realizzato da Agid in collaborazione con il Team di Diego Piacentini per la “digital transformation”, ho letto alcune interviste a Diego Piacentini da parte di alcuni quotidiani italiani. In queste interviste, dopo un anno di mandato come Commissario Straordinario…

Previsioni e trend 2018 – Le novità in ambito cybersecurity

Previsioni e trend 2018 – Le novità in ambito cybersecurity

A cura di:Redazione Ore Pubblicato il

A dicembre è tempo di bilanci e il mondo della cybersecurity non fa eccezione: come di consueto, all’avvicinarsi della fine dell’anno arrivano le valutazioni sui dodici mesi appena trascorsi, unitamente alle previsioni su quelli a venire. Le principali organizzazioni di settore, infatti, proprio in questi giorni diffondono i propri “oroscopi” in materia di sicurezza informatica…

La strategia italiana in materia di cyber-security

La strategia italiana in materia di cyber-security

A cura di:Redazione Ore Pubblicato il

Il processo di rinnovamento che, dall’emanazione della Legge n. 124 del 2007 sta vedendo come protagonista il comparto dell’intelligence italiana, ha vissuto nel 2013 una notevole fase di accelerazione su più fronti. Numerose, infatti, sono state le linee strategiche che hanno registrato un significativo progresso, come la sempre maggiore apertura verso i cittadini e il…