Conoscere la privacy: GDPR e minori. YOUTUBE

Qualunque organizzazione, deve valutare il tipo di pubblico di cui acquisisce dati personali, nel caso si tratti di minorenni, deve attenersi a quanto specificato all’articolo 8 del Regolamento europeo sulla protezione dei dati personali.
In merito all’offerta diretta di servizi della società dell’informazione ai minori, l’art. 8, paragrafo 1, GDPR stabilisce che, laddove la base giuridica è il consenso dell’interessato, quest’ultimo è validamente prestato qualora il minore abbia almeno 16 anni.
Per i minori di 16 anni il trattamento è lecito soltanto se e nella misura in cui il consenso è prestato sia autorizzato dal titolare della responsabilità genitoriale, salva la possibilità degli Stati membri di derogare il limite fino a 13 anni. Di conseguenza, mediante adozione di apposita normativa nazionale, ciascuno Stato membro può prevedere un limite di età di 15, 14 o 13 anni.
Con particolare riferimento alla normativa italiana, l’art. 2-quinquies del D.lgs. 101/2018 stabilisce che il limite di età per il consenso valido non potrà essere inferiore ai 14 anni.
Le ragioni di una tutela privilegiata nei confronti dei minori sono indicate chiaramente dallo stesso legislatore comunitario nel Considerando 38 del GDPR ove è previsto che :

•  I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali.
• Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. […]

È opportuno premettere che l’art. 8 GDPR non riguarda qualunque trattamento online di dati che si riferiscano ai minori, né qualunque servizio della rete digitale, al quale i minori possano accedere, bensì si applica solo ai servizi oggetto di offerta diretta e il cui legittimo trattamento sia basato sul consenso informato dell’interessato.
Il legislatore europeo ha previsto che i minori abbiano maggiori tutele perché sono particolarmente vulnerabili nell’ambiente online e più facilmente influenzabili dalla pubblicità.
Diversi prassi di marketing, attraverso i social media, i giochi online e le applicazioni mobile hanno un impatto evidente sul loro comportamento.
Nella primavera 2018, oltre 20 associazioni per la difesa dei diritti dell’infanzia, dei consumatori e della privacy avevano chiesto alla Federal Trade Commission di indagare sui servizi di YouTube, con riguardo all’utilizzo dei dati personali dei minori, in relazione alle attività di tracking and targeted advertising (tracciatura e profilazione).
L’accusa contestava a YouTube la violazione del Children’s Online Privacy Protection Act (COPPA) in ragione del fatto che la piattaforma di video-sharing, non informa con trasparenza e non richiede consenso preventivo ai genitori dei minori di 13 anni di età per:

• il trattamento dei loro dati identificativi (nome, localizzazione, dispositivo utilizzato, numero di telefono) e delle loro scelte online;
• l’invio di pubblicità personalizzate basate sull’analisi delle summenzionate informazioni individuali.

YouTube non è presentato come una piattaforma per bambini, ma di fatto agisce in maniera mirata nei loro confronti, tant’è che Google – a cui YouTube appartiene – avrebbe sostanziosi introiti pubblicitari, grazie alla profilazione degli infanti.

Google è stato multato per 170 milioni di dollari, per aver violato la privacy dei bambini attraverso la sua popolare controllata YouTube, la multa è in effetti, parte di un accordo sottoscritto da Google.
Google, ha accettato, in questo accordo, di riformare le proprie politiche di consenso al servizio, attraverso identificazione del contenuto destinato ai bambini, per evitare che pubblicità mirate, possano essere inserite opportunamente.
YouTube sarà inoltre tenuta a ricevere il consenso dei genitori prima di raccogliere o condividere qualunque dato personale.
Infatti, negli ultimi giorni, tutti gli sviluppatori che utilizzano la piattaforma video più vista nel mondo, stanno ricevendo un mail che li avvisa di importanti cambiamenti nel modo di utilizzare il sistema.
Tutti i creator saranno tenuti a comunicare se i loro contenuti sono destinati ai bambini in conformità con il Children’s Online Privacy Protection Act (COPPA) e/o altre leggi applicabili.
Queste modifiche sono necessarie ai sensi di un accordo con la Federal Trade Commission (FTC) degli Stati Uniti e con il Procuratore generale di New York e hanno lo scopo di garantire la tua conformità con il Children’s Online Privacy Protection Act (COPPA) e/o altre leggi applicabili.
A partire da gennaio, YOUTUBE limiterà i dati raccolti sui contenuti destinati ai bambini, in conformità con la legge. Di conseguenza, saranno disattivati gli annunci personalizzati su questi contenuti e determinate funzionalità, come commenti, notifiche e altro.
Indipendentemente da dove lo sviluppatore risiede, bisognerà impostare i video destinati ai bambini come tali.
Se i video caricati, non saranno contrassegni o verranno rilevati errori o comportamenti illeciti, la piattaforma potrà impostare il pubblico automaticamente. Nel caso che siano evidenziati illeciti, il sistema potrà intraprendere azioni sull’account YouTube.
Ma quali sono i contenuti “destinati ai bambini”?
In base alle indicazioni della FTC sulla legge COPPA, un video è rivolto ai minori (ovvero “destinato ai bambini”) se:

• Il pubblico principale a cui è rivolto è composto da bambini (ad esempio video per bambini in età prescolare).
• È rivolto ai bambini, che però non rappresentano il pubblico principale (ad esempio video di cartoni animati rivolti principalmente ad adolescenti, ma pensati anche per i bambini più piccoli.

L’articolo 12, par. 1, supportato dal Considerando 58, GDPR stabilisce che il titolare del trattamento che si rivolge a minori o che sa che i suoi beni o servizi sono utilizzati soprattutto da minori è tenuto a fornire loro qualsiasi informazione e comunicazione che riguarda il trattamento dei loro dati personali con un linguaggio semplice e chiaro, in modo tale che un minore possa capire facilmente quello che verrà fatto dei suoi dati.
Il titolare del trattamento è tenuto a garantire il diritto alla trasparenza sul trattamento dei dati tanto per gli adulti quanto per i minori. Questi ultimi, infatti, come qualsiasi altro interessato non perdono i loro diritti alla trasparenza semplicemente per il fatto che il consenso è stato dato/autorizzato dal titolare della responsabilità genitoriale.
L’art. 2-quinquies della normativa italiana (101/2018) ha stabilito che “In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”.
Pertanto, se il minore afferma di aver raggiunto l’età del consenso digitale, il titolare del trattamento dovrà compiere ogni ragionevole sforzo per verificare la veridicità della dichiarazione in quanto se un minore presta il consenso senza avere l’età sufficiente il trattamento dei dati sarà illecito.
Ove il minore abbia un’età inferiore al consenso digitale (in Italia meno di 14 anni), l’art. 8, par. 2, GDPR stabilisce che spetta alla società che offre i suoi servizi sulla base del consenso adoperarsi per verificare che il consenso sia effettivamente prestato o autorizzato dal genitore (o tutore).
Il GDPR non prevede modalità pratiche per raccogliere il consenso del genitore e conseguentemente spetta alle società dell’informazione porre in atto le misure ragionevoli per accertarsi che il consenso sia prestato o autorizzato dal genitore: potrà essere sufficiente la verifica della responsabilità genitoriale a mezzo posta elettronica o potrà essere necessario chiedere ulteriori prove per dimostrare il consenso (cfr. art. 7, par. 1, GDPR).
A titolo esemplificativo, in Italia il titolare che voglia assicurarsi che i clienti minorenni si abbonino ai servizi esclusivamente con il consenso dei genitori o tutori potrà: chiedere all’utente se ha più o meno di 14 anni; nel caso affermi di aver un’età superiore ai 14 anni, il titolare del trattamento dovrà effettuare controlli appropriati per verificarne la veridicità; se l’utente, al contrario, dichiara di avere un’età inferiore ai 14 anni, il titolare del trattamento può accettare tale dichiarazione senza ulteriori verifiche; il servizio lo informerà della necessità che un genitore (o il tutore) acconsenta o autorizzi il trattamento. Raggiunti i 14 anni, il minore potrà manifestare il consenso al trattamento dei dati personali e rientrare nel pieno controllo del suo trattamento e potrà di conseguenza confermare, modificare o revocare il consenso prestato o autorizzato dal titolare della responsabilità genitoriale. Nel caso invece di inattività del minore, il consenso prestato o autorizzato dal genitore continuerà ad essere un presupposto valido per il trattamento. A tal proposito, in conformità con i principi di correttezza e responsabilizzazione, il titolare del trattamento deve informare il minore di questa possibilità.
Le sanzioni: ai sensi dell’art. 83, par. 4, lett. a) la sanzione amministrativa pecuniaria giunge fino a 10.000,00 euro o per le imprese (se superiore) fino al 2% di fatturato mondiale totale annuo dell’esercizio precedente. O ancora, ai sensi del par. 5 del medesimo articolo, la sanzione può ammontare fino a 20.000.000 di euro, o per le imprese (se superiore) fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente nel caso di violazioni relative al consenso ovvero concernenti i diritti degli interessati.
In un mondo interattivo ed interconnesso, i minori rilasciano dati come i grandi e su questi dati è possibile generare business, guidando i loro gusti e le loro scelte, profilati da YouTube, da app di successo come TikTok, e giocano con smartphone che inquadrano e monitorano la loro individualità e i loro comportamenti, sicuramente per finalità di marketing.
Non permettere ai minori di anni 16 di accedere alla comunicazione elettronica, sarebbe un concetto superato, in quanto è un diritto del minore riconoscersi parte attiva della società digitale.
Gli Stati devono porre alta l’attenzione alla protezione dei dati personali dei minori e, nello stesso tempo, incentivare le imprese ad applicare meccanismi di regolamentazione e codici di condotta, conformi alla normativa.
Occorre avviare un processo di formazione per ampliare il concetto di cultura digitale. Adulti e minori devono incrementare la conoscenza delle tecnologie digitali e dei pericoli della rete affinché possano sviluppare liberamente le loro potenzialità.

Scarica le indicazioni del Garante dell’Infanzia e dell’Adolescenza