l’Autorità, acquisito il preliminare parere del Garante per la protezione dei dati personali, ha avviato una consultazione pubblica sulle specifiche e sui requisiti del sistema di garanzia dell’età (age assurance), che dovrà essere realizzato dai fornitori di piattaforme di condivisione video che diffondono in Italia immagini, video e servizi per utenti adulti. La consultazione pubblica durerà 30 giorni dalla pubblicazione della delibera n. 61/24/CONS.
L’obiettivo del provvedimento, in applicazione del decreto-legge 15 settembre 2023, n. 123, convertito con modificazioni dalla legge n. 159 del 15 novembre 2023 (cd. decreto Caivano), è quello di assicurare un livello di sicurezza adeguato al rischio, minimizzando i dati personali raccolti e rispettandone al massimo la riservatezza.
Il testo messo in consultazione contiene una rassegna del quadro normativo europeo e nazionale e le iniziative assunte in materia di sistemi di garanzia. Seguono le valutazioni dell’Autorità sulle modalità tecniche e di processo che i soggetti indicati dal decreto sarebbero tenuti ad adottare a garanzia della maggiore età degli utenti.
Secondol’Autorità, occorre seguire un approccio tecnologicamente neutrale, estendibile a tutti i contenuti che richiedono una verifica dell’età, che lasci ai soggetti tenuti alla realizzazione dei processi di garanzia dell’età una ragionevole libertà di valutazione e scelta, nel rispetto di alcuni requisiti generali. Tra questi, i principali sono:
- Proporzionalità: il soggetto tenuto, ai sensi della legge, a realizzare il sistema di garanzia dell’età per l’accesso ai contenuti deve utilizzare uno strumento per quanto possibile non invasivo. In base al principio di accountability del Regolamento (UE) 20761679 ("GDPR"), è opportuno che siano i "soggetti regolamentati", ossia tenuti a realizzare il sistema di garanzia dell’età, a scegliere il processo da implementare nel proprio servizio e a dimostrarne l'efficacia, secondo i principi e i requisiti fissati dall'Autorità e in conformità ai principi e alle regole in materia di protezione dei dati, in particolare, quello di proporzionalità. Il documento propone di considerare anche l'impatto dello strumento utilizzato sui diritti e libertà fondamentali delle persone.
- Protezione dei dati personali: il sistema deve essere conforme alle norme e ai principi di protezione dei dati stabiliti dal menzionato Regolamento GDPR (minimizzazione dei dati, accuratezza, limitazione della conservazione, ecc.). Il metodo prescelto per la verifica dell’età dovrà essere, in particolare, rispettoso del principio di minimizzazione dei dati (art. 5 GDPR) e dei principi di data protection by design e by default (art. 25 del GDPR).
- Intervento di soggetti terzi indipendenti: l’Autorità ritiene opportuno che i siti e le piattaforme soggette all’obbligo di garanzia dell’età non effettuino direttamente le operazioni di accertamento dell'età, ma si affidino a soluzioni di terzi, che forniranno la cosiddetta prova dell’età al fornitore del servizio su web. Quindi, chi fornisce il servizio di accertamento dell’età e produzione della relativa prova, dovrà essere indipendente dal fornitore dei contenuti (sito web o piattaforma di video sharing). Lo schema di processo proposto a consultazione pubblica prevede:
1) la presenza di un soggetto terzo che fornisce la “prova dell'età”, ad esempio una banca, un operatore telefonico, un ente pubblico o soggetto privato presso cui l’utente è stato identificato con certezza per i servizi forniti, che conosce l'identità dell'internauta ma non conosce quale sito/servizio online intende consultare;
2) che, su richiesta dell’utente, il soggetto terzo fornisca a quest’ultimo “la prova dell'età” in modo certificato. Tale “prova dell’età” non deve contenere alcun dato che identifichi l’utente o che consenta di ricondurre ad esso;
3) che l’utente invia la “prova dell’età” al sito o piattaforma a cui vuole accedere. Il sito/piattaforma verifica l’autenticità della “prova dell’età” e se sussistono i requisiti per consentire l’accesso ai propri contenuti o servizi, pur non ottenendo alcuna informazione circa l’identità dell’utente.
L’Autorità ritiene di valutare l’opportunità che i fornitori di prova dell'età, ove non già soggetti a obblighi normativi di identificazione degli utenti, siano soggetti a una valutazione da parte di terzi (ossia, che siano in qualche misura certificati).
- Sicurezza: il sistema di verifica dell’età deve tenere conto di possibili attacchi informatici rispetto ai quali deve prevedere misure di sicurezza informatica sufficienti a mitigare i rischi e a evitare i tentativi di elusione.
- Funzionalità, facilità d'uso e non ostacolo all’accesso ai contenuti in Internet: i sistemi di verifica dell’età devono essere facili da usare, anche da parte dei minori.
- Inclusività e non discriminazione: il sistema di verifica dell’età deve evitare o minimizzare pregiudizi non intenzionali e risultati discriminatori nei confronti degli utenti.
- Trasparenza: i soggetti economici regolamentati devono essere trasparenti con gli utenti per quanto riguarda i sistemi e i dati utilizzati e trattati, mediante spiegazioni semplici, chiare e complete, oltre che per i maggiorenni anche per i minorenni.
- Formazione e informazione: l’Autorità ritiene importante informare e sensibilizzare i minori, i genitori, il personale della comunità educativa e della gestione giovanile sulle buone pratiche informatiche e sui rischi connessi a Internet. Le attività connesse alla implementazione del Parental control hanno evidenziato la centralità di tale aspetto.
- Gestione dei reclami: il fornitore dei servizi deve prevedere un canale per acquisire e gestire, tempestivamente, i reclami in caso di errate decisioni sull’età.
L’Autorità ritiene, inoltre, opportuno valutare, nell’ambito della consultazione pubblica, se il sistema di garanzia dell’età delineato nel documento di consultazione mediante l’indicazione di requisiti generali e di indicatori di performance sia efficace, idoneo e funzionale a trovare applicazione, ai sensi del contesto normativo richiamato nel testo, anche con riferimento a tutte le tipologie di contenuti e servizi che potrebbero nuocere allo sviluppo fisico, mentale o morale dei minori.