TUTELA DEI DATI PERSONALI
Parere del Garante privacy francese (CNIL) sui sistemi di verifica dell'età a protezione dei minori.
Il governo francese ha pubblicato il decreto n. 2021-1306 il 7 ottobre 2021, relativo all'attuazione di misure per proteggere i minori dall'accesso a siti che trasmettono contenuti per adulti. Questo ci permette di dare un'occhiata più da vicino all'implementazione dei processi tecnici per verificare l'età degli utenti online.
A livello di Unione Europea, la Direttiva sui servizi di media audiovisivi richiede l'adozione di misure appropriate per proteggere i bambini dai contenuti dannosi, inclusa la verifica dell'età. Inoltre, l'articolo 8.2 del Regolamento generale UE sulla protezione dei dati stabilisce implicitamente la necessità per alcuni titolari del trattamento di verificare l'età fissando un requisito di età minima affinché i minori possano fornire un valido consenso al trattamento dei propri dati, nell'ambito della fornitura di servizi della società dell'informazione, in cui il consenso costituisce la base giuridica del trattamento. I sistemi di verifica dell'età mirano a proteggere i minori di 18 anni nell'UE, che costituiscono il 18% della popolazione totale del blocco. Secondo una ricerca condotta dall'Associazione dei fornitori di servizi di verifica dell'età, nella maggior parte dei paesi dell'UE viene implementata una verifica dell'età minima o nulla per beni, contenuti o servizi e, laddove si trova, vengono utilizzate autodichiarazioni, che sono tutt'altro che certe. Alcuni paesi hanno implementato sistemi di verifica dell'età (ad esempio, la Germania, dove la Kommission für Jugendmedienschutz ha controllato e pubblicato un elenco di fornitori di verifica dell'età) o preso provvedimenti (ad esempio, la bozza di legge sulla sicurezza online del Regno Unito e la bozza di garanzia dell'età (standard minimi) Bill) da implementare in futuro.
Il 3 giugno 2021 l'autorità francese per la protezione dei dati, la Commission nationale de l'informatique et des libertés, ha formulato un parere sul progetto di decreto. L'interazione tra il decreto e il parere della CNIL - che fissa alcuni criteri privacy - limita ciò che le aziende possono fare in questo settore a causa di questi criteri e delle tecnologie a loro disposizione. Il decreto e il parere sono rilevanti per le organizzazioni che gestiscono siti web e/o applicazioni mobili che offrono contenuti per adulti in Francia. Inoltre, il parere e la guida CNIL sono rilevanti anche per le organizzazioni che offrono altri servizi online che la legge o l'organizzazione stessa ritengono non adatti ai bambini (come le scommesse online). In breve, fornire un sistema di verifica dell'età adeguato e pienamente conforme è complesso, poiché tale sistema deve rispettare il principio di minimizzazione dei dati (non devono essere raccolti dati personali ai fini della verifica dell'età e non devono essere raccolti dati biometrici) e dovrebbe essere accurato (il l'uso dell'autodichiarazione non è sufficiente).
Contesto
Il decreto è stato pubblicato nell'ambito dei poteri conferiti dall'articolo 23 della legge n. 2020-936, che mira a proteggere le vittime di violenza domestica. L'articolo 23 e il decreto prevedono una procedura scalare, che si applica quando il gestore/editore di un servizio pubblico di comunicazione online consente ai minori di accedere a contenuti per adulti. La procedura è presentata nel diagramma di flusso seguente. Per tutti questi passaggi, il presidente del Consiglio superiore dell'audiovisivo, detto CSA, può agire sia di propria iniziativa, sia su segnalazione del pubblico ministero o di qualsiasi persona fisica o giuridica che abbia un interesse in materia.
Portata dell'obbligo di attuare un processo tecnico affidabile per la verifica dell'età
L'articolo 23 si applica a qualsiasi soggetto la cui attività sia la pubblicazione di "servizi pubblici di comunicazione on line" (es. siti web, applicazioni mobili). Nel suo parere, la CNIL ha sottolineato che il campo di applicazione dell'articolo 23 può estendersi a un'ampia gamma di siti che pubblicano contenuti per adulti, anche quando non costituiscono la loro attività principale. Tuttavia, secondo la CNIL, un obbligo generale per le persone di identificarsi prima di visitare qualsiasi sito che offra contenuti per adulti non è giustificato dallo scopo legittimo di proteggere i minori. La CNIL sottolinea infatti che la possibilità di fruire dei servizi di comunicazione pubblica online senza obbligo di identificazione o mediante l'utilizzo di pseudonimi contribuisce alla libertà di informazione e alla tutela della vita privata degli utenti.
Utilizzo dei dati personali: criteri di privacy a cui attenersi
Nel valutare se i minori abbiano o meno accesso a contenuti pornografici, il presidente del CSA è tenuto a tenere conto dell'affidabilità dell'iter tecnico posto in essere (cfr. art. 3 del decreto). La CNIL ricorda, nel suo parere, che l'attuazione di processi tecnici per verificare l'età degli utenti potrebbe portare all'attuazione del trattamento dei dati personali, che dovrebbe essere conforme al regolamento generale dell'UE sulla protezione dei dati. Tali processi tecnici dovrebbero essere conformi all'articolo 5.1c del GDPR, nel senso che devono essere proporzionati allo scopo perseguito. La CNIL fa inoltre riferimento alle linee guida del Comitato europeo per la protezione dei dati sul consenso, che rilevano che i fornitori di servizi online hanno l'obbligo di verificare l'età e il consenso dei genitori e devono compiere "sforzi ragionevoli" per farlo, "tenendo conto delle tecnologie disponibili". Nel suo parere, la CNIL stabilisce ulteriori criteri affinché un processo tecnico per la verifica dell'età sia pienamente conforme alle leggi sulla protezione dei dati:
A. Nessun dato personale deve essere raccolto direttamente dagli utenti dall'editore esclusivamente a fini di verifica dell'età.
La CNIL rileva che tale trattamento sarebbe contrario al GDPR in quanto presenterebbe rischi significativi per gli interessati poiché il loro orientamento sessuale, reale o presunto, potrebbe essere dedotto dal contenuto visualizzato e direttamente collegato alla loro identità. In ogni caso, una tale banca dati presenterebbe seri rischi se fosse compromessa da una terza parte, con un impatto molto significativo sugli interessati.
B. Uso di sistemi di prova dell'età.
La CNIL rileva che è difficile conciliare i principi di protezione dei dati con qualsiasi meccanismo di controllo dell'età che preveda l'identificazione preventiva dei minori. Questi sistemi sarebbero basati su una terza parte fidata che dovrebbe incorporare un meccanismo di doppio anonimato che le impedisca di (i) identificare il sito Web/applicazione in questione e (ii) condividere i dati personali degli utenti con detto sito Web/applicazione. Detto terzo dovrebbe attuare tutte le norme sulla protezione dei dati, in particolare per quanto riguarda le informazioni sui rischi e sui diritti relativi al trattamento dei propri dati.
C. Il principio di minimizzazione dei dati dovrebbe essere fondamentale.
La CNIL ritiene che le modalità elencate di seguito siano contrarie alle norme sulla protezione dei dati:
Conclusioni.
La CNIL sostiene che l'intervento di terzi con un sistema di doppia anonimizzazione può essere una soluzione per verificare l'età con un alto grado di certezza e proteggere anche la privacy dei bambini, ma l'implementazione di un tale sistema potrebbe essere complessa. In ogni caso, la CNIL riconosce nella sua raccomandazione 7 — delle sue raccomandazioni per rafforzare la protezione dei minori online — nel giugno 2021 che la verifica dell'età è una questione complessa e considerava gli attuali fornitori per lo più insoddisfacenti in materia. Questo perché i meccanismi di verifica dell'età sul mercato generalmente raccolgono dati eccessivi (ad es. riconoscimento facciale) o sono facilmente aggirabili (ad es. autodichiarazione o verifica tramite e-mail).
Altre soluzioni possono essere utilizzate se rispettano i seguenti principi: proporzionalità (ad esempio, un meccanismo di riconoscimento facciale sarebbe sproporzionato), minimizzazione, robustezza, semplicità, standardizzazione e intervento di terzi (come ritenuto dalla CNIL).
Queste domande vengono esaminate anche altrove. Il 14 ottobre 2021, l'Ufficio del Commissario per le informazioni del Regno Unito ha pubblicato un parere sull'assicurazione dell'età per il codice dei bambini in cui raccomanda di seguire principi simili. Questo parere è arrivato con un invito a presentare prove sull'uso dell'assicurazione dell'età, in cui l'ICO ha cercato prove della tecnologia di assicurazione dell'età, compresi i dettagli sugli approcci di stima dell'età esistenti o proposti, nuovi approcci all'assicurazione dell'età, sistemi in cui è stata applicata la protezione dei dati fin dalla progettazione e il tipo di impatto economico degli approcci all'assicurazione dell'età.
Inoltre, il consorzio euCONSENT ha ricevuto finanziamenti dalla Commissione europea nell'aprile 2021 per creare un sistema transfrontaliero incentrato sui diritti dei minori per la verifica dell'età online e il consenso dei genitori. Questo progetto durerà fino alla fine del 2022. L'obiettivo di questo progetto è dimostrare un'infrastruttura tecnica interoperabile dedicata all'attuazione di meccanismi di protezione dei minori (come la verifica dell'età) e meccanismi di consenso dei genitori, come richiesto dalla pertinente legislazione dell'UE.
(Fonte: sito web IAPP - Autore: Mihnea Dimitrascu - Proprietà dei contenuti: IAPP).
A livello di Unione Europea, la Direttiva sui servizi di media audiovisivi richiede l'adozione di misure appropriate per proteggere i bambini dai contenuti dannosi, inclusa la verifica dell'età. Inoltre, l'articolo 8.2 del Regolamento generale UE sulla protezione dei dati stabilisce implicitamente la necessità per alcuni titolari del trattamento di verificare l'età fissando un requisito di età minima affinché i minori possano fornire un valido consenso al trattamento dei propri dati, nell'ambito della fornitura di servizi della società dell'informazione, in cui il consenso costituisce la base giuridica del trattamento. I sistemi di verifica dell'età mirano a proteggere i minori di 18 anni nell'UE, che costituiscono il 18% della popolazione totale del blocco. Secondo una ricerca condotta dall'Associazione dei fornitori di servizi di verifica dell'età, nella maggior parte dei paesi dell'UE viene implementata una verifica dell'età minima o nulla per beni, contenuti o servizi e, laddove si trova, vengono utilizzate autodichiarazioni, che sono tutt'altro che certe. Alcuni paesi hanno implementato sistemi di verifica dell'età (ad esempio, la Germania, dove la Kommission für Jugendmedienschutz ha controllato e pubblicato un elenco di fornitori di verifica dell'età) o preso provvedimenti (ad esempio, la bozza di legge sulla sicurezza online del Regno Unito e la bozza di garanzia dell'età (standard minimi) Bill) da implementare in futuro.
Il 3 giugno 2021 l'autorità francese per la protezione dei dati, la Commission nationale de l'informatique et des libertés, ha formulato un parere sul progetto di decreto. L'interazione tra il decreto e il parere della CNIL - che fissa alcuni criteri privacy - limita ciò che le aziende possono fare in questo settore a causa di questi criteri e delle tecnologie a loro disposizione. Il decreto e il parere sono rilevanti per le organizzazioni che gestiscono siti web e/o applicazioni mobili che offrono contenuti per adulti in Francia. Inoltre, il parere e la guida CNIL sono rilevanti anche per le organizzazioni che offrono altri servizi online che la legge o l'organizzazione stessa ritengono non adatti ai bambini (come le scommesse online). In breve, fornire un sistema di verifica dell'età adeguato e pienamente conforme è complesso, poiché tale sistema deve rispettare il principio di minimizzazione dei dati (non devono essere raccolti dati personali ai fini della verifica dell'età e non devono essere raccolti dati biometrici) e dovrebbe essere accurato (il l'uso dell'autodichiarazione non è sufficiente).
Contesto
Il decreto è stato pubblicato nell'ambito dei poteri conferiti dall'articolo 23 della legge n. 2020-936, che mira a proteggere le vittime di violenza domestica. L'articolo 23 e il decreto prevedono una procedura scalare, che si applica quando il gestore/editore di un servizio pubblico di comunicazione online consente ai minori di accedere a contenuti per adulti. La procedura è presentata nel diagramma di flusso seguente. Per tutti questi passaggi, il presidente del Consiglio superiore dell'audiovisivo, detto CSA, può agire sia di propria iniziativa, sia su segnalazione del pubblico ministero o di qualsiasi persona fisica o giuridica che abbia un interesse in materia.
Portata dell'obbligo di attuare un processo tecnico affidabile per la verifica dell'età
L'articolo 23 si applica a qualsiasi soggetto la cui attività sia la pubblicazione di "servizi pubblici di comunicazione on line" (es. siti web, applicazioni mobili). Nel suo parere, la CNIL ha sottolineato che il campo di applicazione dell'articolo 23 può estendersi a un'ampia gamma di siti che pubblicano contenuti per adulti, anche quando non costituiscono la loro attività principale. Tuttavia, secondo la CNIL, un obbligo generale per le persone di identificarsi prima di visitare qualsiasi sito che offra contenuti per adulti non è giustificato dallo scopo legittimo di proteggere i minori. La CNIL sottolinea infatti che la possibilità di fruire dei servizi di comunicazione pubblica online senza obbligo di identificazione o mediante l'utilizzo di pseudonimi contribuisce alla libertà di informazione e alla tutela della vita privata degli utenti.
Utilizzo dei dati personali: criteri di privacy a cui attenersi
Nel valutare se i minori abbiano o meno accesso a contenuti pornografici, il presidente del CSA è tenuto a tenere conto dell'affidabilità dell'iter tecnico posto in essere (cfr. art. 3 del decreto). La CNIL ricorda, nel suo parere, che l'attuazione di processi tecnici per verificare l'età degli utenti potrebbe portare all'attuazione del trattamento dei dati personali, che dovrebbe essere conforme al regolamento generale dell'UE sulla protezione dei dati. Tali processi tecnici dovrebbero essere conformi all'articolo 5.1c del GDPR, nel senso che devono essere proporzionati allo scopo perseguito. La CNIL fa inoltre riferimento alle linee guida del Comitato europeo per la protezione dei dati sul consenso, che rilevano che i fornitori di servizi online hanno l'obbligo di verificare l'età e il consenso dei genitori e devono compiere "sforzi ragionevoli" per farlo, "tenendo conto delle tecnologie disponibili". Nel suo parere, la CNIL stabilisce ulteriori criteri affinché un processo tecnico per la verifica dell'età sia pienamente conforme alle leggi sulla protezione dei dati:
A. Nessun dato personale deve essere raccolto direttamente dagli utenti dall'editore esclusivamente a fini di verifica dell'età.
La CNIL rileva che tale trattamento sarebbe contrario al GDPR in quanto presenterebbe rischi significativi per gli interessati poiché il loro orientamento sessuale, reale o presunto, potrebbe essere dedotto dal contenuto visualizzato e direttamente collegato alla loro identità. In ogni caso, una tale banca dati presenterebbe seri rischi se fosse compromessa da una terza parte, con un impatto molto significativo sugli interessati.
B. Uso di sistemi di prova dell'età.
La CNIL rileva che è difficile conciliare i principi di protezione dei dati con qualsiasi meccanismo di controllo dell'età che preveda l'identificazione preventiva dei minori. Questi sistemi sarebbero basati su una terza parte fidata che dovrebbe incorporare un meccanismo di doppio anonimato che le impedisca di (i) identificare il sito Web/applicazione in questione e (ii) condividere i dati personali degli utenti con detto sito Web/applicazione. Detto terzo dovrebbe attuare tutte le norme sulla protezione dei dati, in particolare per quanto riguarda le informazioni sui rischi e sui diritti relativi al trattamento dei propri dati.
C. Il principio di minimizzazione dei dati dovrebbe essere fondamentale.
La CNIL ritiene che le modalità elencate di seguito siano contrarie alle norme sulla protezione dei dati:
- La raccolta dei documenti di identità ufficiali. Ciò è dovuto al rischio di furto di identità in caso di divulgazione e appropriazione indebita. In altre parole, dovrebbe essere possibile dimostrare la tua età online senza dover rivelare la tua piena identità.
- L'uso di sistemi progettati per stimare l'età di un utente sulla base di un'analisi della cronologia di navigazione.
- La raccolta di dati biometrici ai sensi dell'articolo 9 del GDPR. Questo perché il consenso non sarebbe liberamente prestato, in quanto sarebbe una condizione per l'accesso al contenuto.
Conclusioni.
La CNIL sostiene che l'intervento di terzi con un sistema di doppia anonimizzazione può essere una soluzione per verificare l'età con un alto grado di certezza e proteggere anche la privacy dei bambini, ma l'implementazione di un tale sistema potrebbe essere complessa. In ogni caso, la CNIL riconosce nella sua raccomandazione 7 — delle sue raccomandazioni per rafforzare la protezione dei minori online — nel giugno 2021 che la verifica dell'età è una questione complessa e considerava gli attuali fornitori per lo più insoddisfacenti in materia. Questo perché i meccanismi di verifica dell'età sul mercato generalmente raccolgono dati eccessivi (ad es. riconoscimento facciale) o sono facilmente aggirabili (ad es. autodichiarazione o verifica tramite e-mail).
Altre soluzioni possono essere utilizzate se rispettano i seguenti principi: proporzionalità (ad esempio, un meccanismo di riconoscimento facciale sarebbe sproporzionato), minimizzazione, robustezza, semplicità, standardizzazione e intervento di terzi (come ritenuto dalla CNIL).
Queste domande vengono esaminate anche altrove. Il 14 ottobre 2021, l'Ufficio del Commissario per le informazioni del Regno Unito ha pubblicato un parere sull'assicurazione dell'età per il codice dei bambini in cui raccomanda di seguire principi simili. Questo parere è arrivato con un invito a presentare prove sull'uso dell'assicurazione dell'età, in cui l'ICO ha cercato prove della tecnologia di assicurazione dell'età, compresi i dettagli sugli approcci di stima dell'età esistenti o proposti, nuovi approcci all'assicurazione dell'età, sistemi in cui è stata applicata la protezione dei dati fin dalla progettazione e il tipo di impatto economico degli approcci all'assicurazione dell'età.
Inoltre, il consorzio euCONSENT ha ricevuto finanziamenti dalla Commissione europea nell'aprile 2021 per creare un sistema transfrontaliero incentrato sui diritti dei minori per la verifica dell'età online e il consenso dei genitori. Questo progetto durerà fino alla fine del 2022. L'obiettivo di questo progetto è dimostrare un'infrastruttura tecnica interoperabile dedicata all'attuazione di meccanismi di protezione dei minori (come la verifica dell'età) e meccanismi di consenso dei genitori, come richiesto dalla pertinente legislazione dell'UE.
(Fonte: sito web IAPP - Autore: Mihnea Dimitrascu - Proprietà dei contenuti: IAPP).
