Negli ultimi anni l’Italia ha tentato di affrontare la questione della tutela dei minori online attraverso un significativo incremento di iniziative politiche e legislative volte a limitare l’accesso a determinati contenuti da parte degli utenti di minore età. Sulla scia del dibattito politico e legislativo, spesso a sua volta alimentato da notizie di stampa allarmanti riguardanti condotte di minori nel contesto di Internet (dangerous social media challenges, revenge porn, fenomeni di violenza divenuti virali, ecc.), le più importanti autorità indipendenti si sono anch’esse interessate alla tematica, adottando provvedimenti in ultima istanza improntati a una significativa riduzione della facilità di accesso ad alcuni contenuti online.
Il Decreto Caivano
Le disposizioni adottate in via d’urgenza nel Consiglio dei Ministri del 7 settembre 2023 dedicato alla tutela dei minori – il cui dettato normativo non è ancora noto, benché anticipato nei contenuti in un comunicato stampa del Governo – confermano l’impostazione volta a limitare l’accesso dei minori a determinati contenuti e lasciano intravedere una significativa accelerazione di tale fenomeno nei prossimi mesi. In particolare, le disposizioni adottate dal Governo, le quali dovranno peraltro superare il vaglio parlamentare nell’ambito dell’iter di conversione, prevedono l’obbligo per i “fornitori dei servizi di comunicazione elettronica” di assicurare la disponibilità delle applicazioni di controllo parentale nell’ambito dei contratti di fornitura di tali servizi. Inoltre, tali disposizioni prevedono a regime l’obbligo per i produttori di dispositivi di telefonia mobile e simili di assicurare l’installazione di default di tali applicazioni nei nuovi dispositivi immessi sul mercato.
Obblighi per le telco?
Le informazioni del comunicato stampa lasciano intendere l’introduzione di un obbligo rivolto alle telco, sebbene non chiarisca ove tale applicazione potrebbe essere installata dall’operatore, fatto salvo il caso in cui l’operatore fornisca anche i terminali per la connessione (il cd. modem). Si auspica che tali dubbi interpretativi possano essere risolti tenore del testo normativo che sarà presentato al Parlamento per la conversione in legge dell’annunciato decreto-legge.
Alla luce della accesa sensibilità sulla tematica della protezione dei minori in rete, obiettivo di questo contributo è fornire un quadro delle misure esistenti, delle misure auspicate dal Tavolo tecnico istituito dal Ministero della Giustizia sulla questione, nonché delle misure adottate dalle più importanti autorità indipendenti in materia, il Garante per la protezione dei dati personali e l’Autorità per le garanzie nelle comunicazioni (Agcom).
Il tavolo tecnico
Con decreto del Ministro della Giustizia del 21 giugno 2021 dell’allora Ministra Marta Cartabia è stato istituito a livello interistituzionale un Tavolo tecnico sulla tutela dei minori nel contesto dei social network, dei servizi e dei prodotti digitali in rete, cui fanno parte il Ministero della giustizia, l’Autorità garante per l’infanzia e l’adolescenza, il Garante per la protezione dei dati personali e l’Agcom. Ad esito dei lavori, che hanno visto la partecipazione di esperti, accademici, associazioni e fornitori stessi dei servizi online come Google, Meta, TikTok, nel maggio 2022 il Ministero della Giustizia ha pubblicato una approfondita relazione sulle tematiche concernenti le principali sfide connesse al tema e altresì promosso la costituzione – presso lo stesso Ministero – di una Unità di coordinamento quale organo di monitoraggio e di impulso in materia di tutela dei minori online.
Nel complesso lavoro di ricerca di bilanciamento tra diritti che ha guidato il lavoro del Tavolo tecnico è stato affrontato, insieme ad altri temi rilevanti (quali lo sharenting, i baby influencer, le disposizioni del Digital Services Act e le altre norme a tutela dei minori online), il tema dell’age verification e dell’uso consapevole delle nuove tecnologie online. Secondo alcuni dei soggetti istituzionali che hanno partecipato al tavolo, vi sarebbe un crescente problema di consumo precoce di pornografia online, coinvolgendo il 30% dei bambini tra gli 11 e i 12 anni a livello globale e il 44% dei ragazzi tra i 14 e i 17 anni in Italia. Inoltre, il lavoro svolto ha evidenziato un abbassamento dell’età di accesso a Internet, spesso senza la supervisione dei genitori, e il ritardo delle istituzioni educative nell’affrontare queste sfide, nonostante siano in corso iniziative governative come l’istituzione di un osservatorio per il contrasto della pedofilia e della pornografia minorile.
Le 4 aree di intervento
Partendo dunque dalla necessità di affrontare il mondo online e le sue rapide evoluzioni attraverso iniziative idonee a proteggere i minori, il Tavolo tecnico ha infine individuato quattro possibili aree di intervento, e nello specifico:
- age verification
- lotta al fenomeno dei baby influencer
- promozione di campagne di comunicazione e sensibilizzazione sul corretto uso delle risorse online da parte dei minori e del rapporto tra genitori e minori
- nuova governance per il coordinamento degli attori istituzionali aventi finalità di protezione dei minori, con istituzione di una unità di coordinamento interistituzionale sulla tematica
Age verification
Con specifico riferimento all’age verification, la relazione osserva come, da un lato, l’ambiente digitale sia in costante evoluzione (con lo sviluppo di nuove modalità e dispositivi di interazione tra utenti) e, dall’altro, quanto sia necessaria una piena consapevolezza delle conseguenze e dei rischi dell’ambiente digitale. Questa consapevolezza è ritenuta particolarmente importante quando si tratta di utenti vulnerabili, come i minori, i quali potrebbero essere vittime di manipolazioni o abusi a causa della loro limitata esperienza o comunque essere intaccati nello sviluppo della loro personalità. Conseguentemente, le istituzioni riunite al Tavolo hanno sottolineato la necessità di una verifica efficace dell’età come parte integrante di un accesso consapevole e appropriato ai servizi digitali, evidenziando come le attuali pratiche di verifica basate su mere autodichiarazioni non fornirebbero garanzie sufficienti, potendosi prestare facilmente a false dichiarazioni. Dall’altro lato, il tavolo di coordinamento ammette come l’autenticazione tramite documenti di identità potrebbe sollevare preoccupazioni in merito alla garanzia dell’anonimato online e alla minimizzazione dei dati. Benchè l’Italia abbia fissato a 14 anni l’età valida ai fini del consenso per i servizi della società dell’informazione, riconoscendo l’accesso precoce ai servizi digitali in Italia, i soggetti istituzionali hanno espresso perplessità rispetto alle esistenti procedure di verifica dell’età, ritenute insufficienti.
Partendo da tali premesse, e richiamando la normativa inglese, il Tavolo ha posto l’attenzione su tre modalità di verifica dell’età alternative: autodichiarazione dell’utente, certificazione dell’età tramite servizi di identificazione offerti da terzi (ad es. SPID o altri sistemi) o anche, infine, stima dell’età attraverso sistemi di intelligenza artificiale.
Con riferimento alla modalità auto-dichiarativa, in seno al Tavolo interistituzionale è maturata la convinzione che tale meccanismo sia atteggi quale strumento idoneo solo nel contesto di quelle piattaforme che offrono contenuti a basso rischio per i minori, come i siti specializzati legati all’attività professionale di una specifica cerchia di utenti (es. siti per professionisti sanitari, ecc.). In tali casi, infatti, il rischio di esposizione dei contenuti al minore rimarrebbe nei limiti del sopportabile, non dovendosi ritenere necessario uno sforzo ulteriore del provider.
Quanto alla seconda modalità di verifica dell’età, ovvero la certificazione tramite un provider terzo, la relazione, pur riconoscendone il maggior grado di efficacia, dà altresì voce alle perplessità relative alla tutela dell’anonimato in rete e alle difficoltà tecniche di conciliazione di un simile meccanismo con i principi di privacy-by-default e minimizzazione del trattamento. Simili impostazioni, infatti, implicano necessariamente la raccolta di informazioni ultronee rispetto al mero dato anagrafico e, in alcuni casi, prevedono di default la conservazione dei log di accesso, il ché esporrebbe i dati dell’utente anche a un trattamento prolungato ed a rischi di sicurezza.
Infine, la relazione del Tavolo tecnico evidenzia i profili peculiari della terza modalità citata, ovvero il ricorso all’intelligenza artificiale. Tale modalità, alla luce delle considerazioni emerse, appare in verità, almeno agli occhi degli esperti, la più problematica. In particolare, le perplessità espresse in sede interistituzionali concernono tre aspetti sostanziali: con tale approccio, l’eventuale verifica negativa dell’età avverrebbe in un momento successivo all’accesso alla piattaforma; in secondo luogo, il titolare del trattamento sarebbe così costretto ad effettuare un trattamento supplementare di dati (per di più di un minore e in forma automatizzata), e, infine, allo stato dell’arte un sistema di intelligenza artificiale richiederebbe in ogni caso un significativo costo in termini di risorse umane a livello di back-office.
Lungi dall’esprimere una posizione netta sugli obblighi di questa o quella categoria, la relazione del Tavolo tecnico suggerisce, in linea con il principio di accountability di cui al Gdpr, di lasciare al fornitore del servizio la valutazione dell’individuazione del metodo di verifica più adeguato, tenuto conto del tipo di contenuti ospitati e dei rischi associati, eventualmente anche combinando più metodi.
La disciplina per l’accesso dei minori ai servizi online ai sensi del Gdpr
Il Regolamento (UE) 2016/679 sulla protezione dei dati personali (Gdpr) riserva talune disposizioni specifiche concernenti la protezione dei dati dei minori. Se da un lato il Regolamento riconosce la meritevolezza di una specifica tutela, dall’altro prevede altresì un regime di favore per quelli che sono i servizi della società dell’informazione laddove stabilisce che, nei casi in cui il trattamento si fondi sul consenso, lo stesso sia validamente espresso se il minore abbia almeno 16 anni.
Al tempo stesso il Regolamento prevede anche una clausola di sussidiarietà a favore degli Stati Membri, includendo la possibilità per essi di stabilire soglie più basse fino ad un massimo di 13 anni. Al di sotto della soglia stabilita, invece, il Regolamento richiede una autorizzazione parentale per legittimare il trattamento.
Sulla scorta di tale quadro unionale, il legislatore italiano ha esercitato la facoltà ad esso riconosciuta, prevedendo nel Codice Privacy modificato a seguito del Regolamento la liceità del consenso del minore a partire dai 14 anni di età, limitatamente ai contratti relativi alla fornitura di servizi della società dell’informazione.
Ciò nonostante, come emerge dalla stessa relazione del Tavolo tecnico sopra citato, nell’ultimo anno è emerso un numero sempre più ampio di contestazioni del Garante relativamente alla possibilità, per un minore, in generale, di esprimere un consenso, sulla scorta delle disposizioni del Codice civile, data l’insussistenza di una piena capacità di agire. Secondo la tesi più conservativa, infatti, il minore non deterrebbe alcuna capacità di agire ai fini della conclusione di un contratto per adesione (quale quello di social network), posto che implica una determinazione del minore stesso in relazione al trattamento ai propri dati e dunque una autorizzazione ad altri a sfruttare un aspetto fondamentale della propria identità come unanimemente sono considerati i dati personali. Di conseguenza, non potrebbe neppure ravvisarsi un’altra base giuridica per il trattamento dei dati del minore, quale ad esempio quella del rapporto contrattuale, posto che incontrerebbe lo stesso limite prospettato. La rigidità di tale approccio, specialmente in seno al Garante, è emersa, nel corso degli ultimi mesi, nei casi concernenti TikTok, Replika, ChatGpt e, da ultimo, PornHub.
Filtri al traffico e parental control nella disciplina Agcom
L’articolo 7-bis del d.l. 28/2020 aveva in verità introdotto già in tempi non sospetti un obbligo per gli operatori di telecomunicazione di implementare sistemi di controllo parentale. Questi sistemi, non ancora implementati, dovrebbero prevedere un filtro per contenuti inappropriati per i minori e la possibilità di bloccare contenuti destinati a un pubblico maggiorenne. I sistemi, inoltre, dovrebbero essere pre-attivati all’instaurazione del rapporto contrattuale, essere gratuiti e disattivati solo su richiesta del contraente.
Successivamente alla conclusione dell’iter di conversione in legge, l’Agcom ha avviato una consultazione pubblica coinvolgendo operatori e associazioni per discutere soluzioni tecniche e definire i contenuti oggetto della nuova disciplina. L’Autorità ha così emanato delle linee guide finalizzate all’attuazione di tale obbligo con delibera 9/23/Cons. Gli operatori dovranno adeguarsi a tali linee guida entro il 21 novembre 2023, adottando le soluzioni più adatte al proprio business (alternativamente, l’installazione di una applicazione di parental control nei dispositivi in uso al contraente oppure il filtraggio dei contenuti a livello di trasporto o applicativo, ad esempio tramite controllo sul Dns), benché permangano questioni aperte e, su tutte, i criteri di individuazione dei contenuti soggetti a limitazione,
In questo senso, le disposizioni adottate dal Governo in via d’urgenza sembrano riproporre il medesimo schema già coperto dal d.l. 28/2020, sebbene trasportato in capo ai produttori di dispositivi, senza tuttavia fornire ulteriori spunti rispetto all’individuazione dei contenuti e alle tempistiche effettive di attuazione delle nuove misure.
Considerazioni finali
Alla luce del quadro delineato, è evidente come vada sempre più delineandosi – anche con ricorso alla decretazione d’urgenza – un rigido e stratificato quadro normativo, caratterizzato, sui vari livelli, da filtri al traffico imposti agli operatori di telecomunicazione, meccanismi di age gating imposti ai fornitori di siti web e, in ultima istanza, sistemi di parental control imposti ai produttori dei dispositivi.
Un esempio di ciò è dato da una delle misure che sarebbero state adottate dal Consiglio dei Ministri del 7 settembre e sarebbero contenute nel Decreto Minori. Secondo il comunicato stampa dello stesso Governo, questo prevederebbe che il Questore possa proporre all’Autorità giudiziaria di vietare, a determinati soggetti di età superiore ai 14 anni, di possedere o utilizzare telefoni cellulari e altri dispositivi per le comunicazioni dati e voce quando il loro uso è servito per la realizzazione o la divulgazione delle condotte giudicate illecite. In attesa di poter leggere l’esatto enunciato normativo, appare bizzarra una misura il cui giudice sequestra il telefonino ad un minore perché è stato “cattivo”… Ed in ogni caso, non ci vuole un grande sforzo a realizzare che una misura del genere sarebbe inutile perché senza dubbio il minore si procurerebbe con molta facilità un altro dispositivo – magari con scheda anonima, entrando così in contatto con il mondo dell’illegalità e del contrabbando contiguo all’area grigia della clandestinità morale e culturale.
L’estrema complessità del tema relativo alla tutela dei minori online suggerirebbe, tuttavia, l’adozione di approcci e misure coordinate e di ampio respiro. Lungi dal portare agli effetti sperati, infatti, vi è il concreto rischio che limitazioni troppo stringenti e obblighi di controllo di difficile attuazione, portino esattamente alla conseguenza opposta di quella che si vuole ottenere: emersione di servizi clandestini; moltiplicazione della produzione di dati personali e della circolazione degli stessi; aumento di attività “clandestine online”; intensificazione delle truffe online e delle false dichiarazioni. A ciò si aggiunga un sostanziale svuotamento del regime di safe harbor previsto dalla legislazione attuale a favore dei provider di servizi della società dell’informazione i quali rischiano – in violazione al diritto unionale – di essere costretti ad un monitoraggio costante dei propri utenti, all’imposizione di sistemi di controllo capillare o di filtri che inevitabilmente vanno ad incidere con la libertà di informazione che è stato sempre il driver della legislazione europea in materia.
Dinanzi a un simile rischio, e non volendo affatto negare l’esistenza di una questione generazionale legata al fenomeno di Internet, è auspicabile una riflessione più ampia che coinvolga la scuola e le famiglie, basata sulla creazione di una “educazione telematica” dei minori. A fronte di famiglie spesso non in grado di fungere da punto di riferimento per i minori, il ruolo pedagogico della scuola è fondamentale e decisivo. Non basta vietare l’uso del telefonino, anzi forse è controproducente. Occorre elaborare una nuova didattica che educhi a un uso sano dei social media e metta al corrente i ragazzi dei rischi e dei pericoli che vi possono essere, senza alcun tipo di tabù. Occorre procedere ad un salto di qualità verso una maggiore consapevolezza perché i nostri figli già lo hanno fatto e attendono di essere aiutati.
