Protezione dati e privacy: l’EDPB in prima linea a tutela dei minori
Nella riunione plenaria di febbraio 2025, il Comitato europeo per la protezione dei dati (EDPB) ha adottato lo Statement 1/2025 on Age Assurance, dichiarazione che, nel rispetto dei principi di protezione dei dati, mira a proteggere i minori ed evitare che accedano a contenuti non adeguati alla loro età. I dati personali dei bambini devono essere protetti ma il metodo per verificare l’età deve essere il meno intrusivo possibile
12 Marzo 2025
Patrizia Cardillo
Esperta di Protezione dati personali
Foto di Ben Wicks su Unsplash - https://unsplash.com/it/foto/quattro-bambini-in-piedi-sulla-terra-durante-il-giorno-iDCtsz-INHI
- 1 I principi
- 1.1 Pieno ed effettivo godimento dei diritti e delle libertà
- 1.2 Prevenzione dei rischi per la protezione dei dati
- 1.3 Limitazione delle finalità e minimizzazione dei dati
- 1.4 Efficacia della garanzia dell'età
- 1.5 Legalità, correttezza e trasparenza
- 1.6 Protezione dei dati fin dalla progettazione e per impostazione predefinita
- 1.7 Sicurezza dell'assicurazione sull'età
- 1.8 Responsabilità
- 2 Prospettive
L’EDPB torna a sottolineare l’esigenza di una maggiore protezione dei bambini nell’ambiente digitale. Preoccupazione presente nel GDPR che introduce requisiti di età minima per il consenso nel contesto dei servizi della società dell’informazione, nella direttiva sui servizi di media audiovisivi[1] con la possibilità di implementare misure di verifica dell’età, nel Digital Services Act[2] che fa riferimento alla verifica dell’età come misura di mitigazione del rischio. Esigenze che ritroviamo anche nelle legislazioni nazionali laddove sono stati introdotti requisiti di età minima per l’esecuzione di atti giuridici, l’esercizio di determinati diritti o l’accesso a determinati beni e servizi.
I principi
Pieno ed effettivo godimento dei diritti e delle libertà
La garanzia dell’età deve assicurare il pieno ed effettivo godimento di tutti i diritti e delle libertà fondamentali delle persone fisiche fisiche[3] e il superiore interesse del bambino dovrebbe essere una preoccupazione primaria per tutte le parti coinvolte nel processo.
Occorre infatti tenere conto di tutti i loro diritti: quello alla protezione dei dati personali, ma anche alla protezione dalla violenza e dalle altre forme di sfruttamento, all’accesso a tutte le informazioni e anche ad assicurare che le loro opinioni siano tenute in debita considerazione.
Anche la garanzia dell’età deve essere implementata con un approccio basato sul rischio proporzionato e compatibile, già nella fase di progettazione dei servizi oltre che nella loro gestione.
Garanzia dell’età che, in molti casi, evidenzia alti rischi per i diritti e le libertà degli interessati e quindi richiede lo svolgimento di una valutazione di impatto sulla protezione dei dati (DPIA) che dovrebbe contenere una valutazione della necessità e della proporzionalità[4] del trattamento, oltre a identificare i rischi e contenere misure per mitigarli.
Prevenzione dei rischi per la protezione dei dati
Tutti, fornitori di servizi e qualsiasi terza parte coinvolta[5] nella garanzia dell’età, devono implementare misure e tutele efficaci per impedire che questo processo causi rischi inutili per la protezione dei dati, come quelli derivanti dall’identificazione, localizzazione, profilazione o tracciamento di persone fisiche. Il trattamento dei dati personali per la garanzia dell’età non dovrebbe pertanto fornire mezzi aggiuntivi per soddisfare scopi estranei alla garanzia dell’età stessa[6].
Limitazione delle finalità e minimizzazione dei dati
I fornitori di servizi e qualsiasi terza parte coinvolta nella garanzia dell’età dovrebbero elaborare solo le informazioni correlate all’età strettamente necessarie, adeguate e pertinenti per le finalità che si intendono legittimamente perseguire.
Come ben sappiamo, infatti, la minimizzazione dei dati oltre a già essere una misura di sicurezza, aiuta a convalidare e rendere operativi i principi di necessità e proporzionalità.
Nella maggior parte dei casi, lo scopo insito nella garanzia dell’età è quello di introdurre controlli all’accesso correlate all’età, prevenire danni online per i bambini o offrire un design o un’esperienza più appropriati.
Una volta raccolti, quei dati personali non devono essere ulteriormente elaborati o combinati con dati aggiuntivi per finalità incompatibile con lo scopo primario. Occorre introdurre adeguate misure di sicurezza, tecniche ed organizzative (es. obblighi contrattuali) che limitino la possibilità di riutilizzare i dati personali.
Efficacia della garanzia dell’età
Gli strumenti con cui viene assicurata la garanzia dell’età devono essere adeguati a raggiungere lo scopo del trattamento. La loro efficacia deve essere considerata precondizione per soddisfare i principi di necessità e proporzionalità proporzionalità[7] e deve essere dimostrata dai fornitori di servizi che implementano tale garanzia.
L’efficacia della garanzia dell’età deve essere valutata sotto diversi aspetti, quali accessibilità, affidabilità e solidità. Devono essere assicurati meccanismi di ricorso rafforzati, in presenza di processi decisionali automatizzati o quando i loro attributi correlati all’età non sono stati correttamente stabiliti.
Legalità, correttezza e trasparenza
I fornitori di servizi e qualsiasi terza parte coinvolta nella garanzia dell’età devono garantire che il trattamento di qualsiasi dato personale sia lecito, corretto e trasparente per gli utenti e sia sempre assicurato l’esercizio dei diritti.
Protezione dei dati fin dalla progettazione e per impostazione predefinita
La garanzia dell’età dovrebbe essere progettata, implementata e valutata tenendo conto di più metodi e tecnologie disponibili per preservare la privacy ancor prima di iniziare il trattamento e per impostazione predefinita, al fine di tutelare efficacemente i diritti degli interessati durante tutto il ciclo di vita.
Considerando la diversità e la gravità dei rischi associati ai sistemi di assicurazione dell’età, occorre prestare la massima attenzione per evitare qualsiasi accesso non necessario, elaborazione, condivisione e archiviazione dei dati personali. Ma soprattutto il sistema deve essere costantemente monitorato, rivisto e aggiornato anche per tenere conto della rapida evoluzione delle tecnologie (lo “stato dell’arte”) di miglioramento della privacy nel campo della gestione dell’identità digitale.
Sicurezza dell’assicurazione sull’età
I fornitori di servizi e qualsiasi terza parte coinvolta nella garanzia dell’età dovrebbero attuare misure tecniche e organizzative adeguate a garantire un livello di sicurezza correlato al rischio, in considerazione della natura, sensibilità e volume di dati personali che possono essere coinvolti nella verifica dell’età ed evidenziano i potenziali effetti negativi, conseguenza che potrebbero verificarsi a seguito di una violazione dei dati. Allo stesso modo occorre garantire la resilienza del sistema favorendo anche meccanismi alternativi.
Responsabilità
Infine, anche la garanzia dell’età deve operare nell’ambito di un chiaro quadro di governance, con ruoli e responsabilità definite, garantire che tutti i processi e i sistemi siano progettati, implementati, rivisti, documentati, valutati, utilizzati, mantenuti, testati o controllati in modo tale da soddisfare le norme sulla protezione dei dati e altri requisiti legali.
Prospettive
L’attenzione su questo fronte dell’EDPB è anche testimoniata dalla prosecuzione della collaborazione con la Commissione europea nel contesto del gruppo di lavoro sulla legge sui servizi digitali.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.
[1] Cfr. Art. 8 Direttiva (UE) 2018/1808 del Parlamento europeo e del Consiglio, del 14 novembre 2018, che modifica la direttiva 2010/13/UE sul coordinamento di determinate disposizioni legislative, regolamentari e amministrative degli Stati membri concernenti la fornitura di servizi di media audiovisivi (direttiva sui servizi di media audiovisivi) alla luce delle mutevoli realtà del mercato.
[2] Cfr. Art. 35 Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico per i servizi digitali e che modifica la direttiva 2000/31/CE (legge sui servizi digitali).
[3] In particolare, la Dichiarazione universale dei diritti umani, la Convenzione europea sui diritti dell’uomo, la Carta dei diritti fondamentali dell’Unione europea e la Convenzione ONU sui diritti del fanciullo.
[4] Ad esempio, un fornitore di servizi che elabora dati personali per verificare l’età di tutti i propri utenti quando accedono a tutti i propri contenuti o servizi, anche quando i contenuti o i servizi sono adatti a tutti i pubblici e privi di rischi, non supererebbe i test di necessità e proporzionalità.
[5] Le terze parti coinvolte devono supportare i fornitori di servizi nel rispetto dei loro obblighi, non introducendo rischi inutili per la protezione dei dati e notificando tempestivamente eventuali modifiche rilevanti alle loro politiche, progetti, servizi, ecc.
[6] Quale strumento per determinare la identità o l’esatta posizione geografica o per monitorare, valutare o dedurre aspetti personali della propria identità o profilazione degli utenti, anche per scopi sia commerciali (ad es. pubblicità personalizzate) e targeting dannoso (ad esempio adescamento, bullismo, stalking o molestie).
[7] Linee guida per valutare la proporzionalità delle misure che limitano i diritti fondamentali alla privacy e alla protezione dei dati personali.
