LA PROTEZIONE DEI DATI PERSONALI DEI MINORI: VERSO UN CODICE DI CONDOTTA? L’ESEMPIO DELL’INFORMATION COMMISSIONER’S OFFICE
PREMESSA
In questo periodo di sospensione temporanea dalle attività quotidiane, la larga maggioranza dei cittadini è tenuta a trascorrere il proprio tempo tra le mura domestiche e l’uso di pc, tablet e telefoni cellulari è divenuto imprescindibile. A questa circostanza non sono esenti i minori, che utilizzano tali strumenti non solo per diletto, ma anche per ragioni correlate, ad esempio, alla didattica a distanza, attivata nel periodo di chiusura delle scuole per l’emergenza COVID-19.
Pertanto, ogni giorno – e, in questo periodo, più che mai – i minori si avvalgono di servizi digitali che raccolgono e conservano i loro dati personali: i dati del minore, infatti, vengono raccolti dal momento stesso in cui accede ad una app, partecipa ad un gioco online o carica un sito web. Fin qui, nulla di sorprendente. Ma se si considera che la commistione dei dati può arrivare ad identificare chi sta usufruendo del servizio, come lo sta usando, quanto frequentemente, da dove e da quale dispositivo, allora è necessario porsi il problema di come tutelare i dati del minore.
Il GDPR, al considerando 38, riconosce ai minori “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” e detta specifica protezione dovrebbe riguardare “l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”.
In Italia, inoltre, il d.lgs. 101/2018 ha integrato il d.lgs. 196/2003 con l’art. 2 quinquies, abbassando a 14 anni l’età minima per esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione.
Tuttavia, pare doveroso porsi la seguente domanda: è davvero sufficiente una disciplina di tale portata per garantire una protezione globale della privacy del minore?
L’ESEMPIO DELLA ICO INGLESE.
In tale contesto, un passo avanti è stato mosso dall’Information Commissioner’s Office, la quale ha predisposto un modello di codice di condotta volto a tutelare i dati personali del minore che si affaccia alla realtà digitale. L’entrata in vigore del codice è prevista per l’autunno del 2021, una volta che il Parlamento l’avrà approvato.
Al di là di quello che sarà il destino del Regno Unito a seguito della Brexit (e, in ogni caso, si sta già elaborando l’idea di redigere una normativa privacy inglese sul modello GDPR), a chi scrive pare utile affrontarne la disamina, da cui poter trarre spunti di riflessione significativi.
Il codice in esame – la cui bozza è stata pubblicata lo scorso aprile 2019 – è il risultato di un processo di consultazione, includendo colloqui con genitori, minori, scuole, sviluppatori, compagnie tech e provider di servizi online. L’idea di base della ICO è che il codice sia achievable – appunto, attuabile – definendo degli standard ed esplicando come il GDPR si applichi nel contesto in cui siano i minori a fare uso dei servizi digitali.
LA STRUTTURA.
È composto da 15 norme flessibili, non mandatorie – ma che le compagnie che implementano ed offrono i servizi online dovrebbero auspicabilmente da seguire – che stabiliscono una protezione integrata che permetta ai giovani di esplorare, imparare e giocare online assicurando la tutela dei superiori interessi del minore. Esempi di servizi online contemplati sono le app, le piattaforme social, i giochi online, i siti web educativi e i servizi streaming. Nel dettaglio:
1. Interesse superiore del minore (best interests for the child): l’interesse del minore deve occupare il primo posto quando si progettano e sviluppano servizi online che hanno probabilità di essere visitati da un minore;
2. Data protection impact assessment: è necessario redigere una DPIA prima di intraprendere qualsivoglia trattamento, al fine di valutare e mitigare i rischi ai diritti e alle libertà del minore che accede ai servizi che scaturiscono dal relativo trattamento dei dati. Sarà quindi necessario prendere in considerazione le differenti età, capacità e bisogni, ed assicurare che la DPIA venga svolta in conformità con il codice;
3. Richiesta di un’età adeguata: si richiede un approccio basato sul rischio per riconoscere l’età dei singoli utenti ed assicurare che il servizio applichi effettivamente gli standard del codice agli utenti minori;
4. Trasparenza: l’informativa privacy stabilita per gli utenti, e gli altri termini, policy e condizioni devono essere concisi, autorevoli e con un linguaggio chiaro, che tenga in considerazione l’età del minore. È necessario stabilire ulteriori e specifiche informative relative all’uso dei dati personali una volta che il servizio sia attivato;
5. Uso dannoso dei dati: non usare i dati dei minori in modi che possano risultare dannosi al loro benessere;
6. Policy e community standard: supportare ed aggiornare i termini, le policy e le community standard (incluse, ma non solo, le privacy policy, le restrizioni di età, regole di comportamento e la policy dei contenuti);
7. Impostazioni di default: le impostazioni relative alla privacy devono essere “elevate” di default (a meno che non si possa dimostrare, per ragioni legittime, la necessità di differenti impostazioni di default, tenendo conto dell’interesse del minore);
8. Minimizzazione dei dati: raccogliere e conservare solo i dati personali di cui si necessita per fornire tutti gli elementi del sevizio dove il minore è attivamente e consapevolmente coinvolto;
9. Condivisione dei dati: non rendere pubblici i dati dei minori a meno che non si dimostri una ragione legittima per farlo, tenendo conto degli interessi dei minori;
10. Geolocalizzazione: disattivare di default le opzioni di geolocalizzazione. Segnalare in maniera chiara al minore quando la localizzazione è attiva. Inoltre, le opzioni che permettono di rendere visibile la localizzazione del minore ad altri deve essere disattivata di default;
11. Controllo parentale: se il servizio prevede il controllo parentale, dare al minore informazioni appropriate sul punto. Se il servizio permette al genitore o al supervisore di monitorare l’attività online del minore o tracciare la sua posizione, segnalarlo al minore quando viene monitorato;
12. Profilazione: disattivare di default le opzioni relative alla profilazione (a meno che non si dimostri una ragione convincente per farlo, tenendo conto degli interessi dei minori). Permettere la profilazione solo se si hanno misure appropriate per proteggere il minore da effetti dannosi;
13. Nudge techniques: non servirsi di tecniche particolari volte ad indurre o incoraggiare il minore a fornire dati personali non necessari, o indebolire o disattivare la tutela in ambito privacy;
14. Giochi o dispositivi connessi: se il servizio fornito coinvolge giochi o dispositivi connessi ad internet, assicurarsi che vengano inclusi tutti gli strumenti effettivi che garantiscano conformità al codice;
15. Online tools: stabilire strumenti accessibili che aiutino i minori ad esercitare i diritti correlati alla protezione dei loro dati personali e segnalare imprevisti.
CONCLUSIONI.
Il codice di condotta sopra esaminato è stato valutato come un investimento finalizzato ad un cambiamento significativo nonché a garantire un mondo digitale più sicuro. Sulla base di esso – ed in vista di un’effettiva applicazione – le società dovranno dimostrare, in ottica di accountability, che i loro servizi raccolgono e conservano i dati dei minori in conformità con la legge sul trattamento dei dati.
Il codice è stato positivamente accolto dalla stessa Facebook, la quale, affermando che la sicurezza dei giovani è elemento centrale del loro processo decisionale, ha progettato e sviluppato nuovi strumenti e funzioni che aiutano ad avere sulle loro piattaforme un’esperienza sicura e positiva, inclusi, ad esempio, i recenti aggiornamenti delle impostazioni privacy relative ai Direct Message su Instagram.
La presente disamina del codice di condotta proposto dalla realtà inglese ci induce a riflettere sul fatto che il minore, che con sempre più facilità si affaccia alla realtà digitale, necessita di una tutela più pregnante. Il codice, infatti, costituisce un valido esempio di come la protezione del minore e dei suoi dati personali non possa limitarsi alla mera compilazione di una serie di autorizzazioni che, nella realtà, raramente vengono lette nel dettaglio. È quindi necessario che siano proprio le società che offrono dei servizi online ad attivarsi, impostando di default quegli accorgimenti (ad es. attinenti la geolocalizzazione) essenziali non solo per garantire un navigazione sicura, ma anche al fine di dimostrare la conformità del proprio operato alle norme del GDPR.
avv. Valeria Quadranti
