La maggiore età online è 14 anni (forse)

Forse non tutti sanno che 2 settimane fa è stato pubblicato in Gazzetta Ufficiale (e quindi sta entrando in vigore) un decreto legislativo che complementa la normativa Europea sulla privacy (il Regolamento UE 679/16, meglio noto come GDPR). Tra i tanti tecnicismi del decreto, c'è un elemento che interessa gli adolescenti ed i loro genitori: è stata fissata a 14 anni (invece dei 16 come da Regolamento) l'età dalla quale i minori possono esprimere autonomanente il consenso per il trattamento dei loro dati personali nei servizi online. Poiché mi è capitato di leggere interpretazioni fuorvianti in passato, cercherò di fare chiarezza sul significato e le conseguenze di questa norma.

Il consenso è uno dei 6 presupposti su cui è possibile basare un trattamento lecito di dati personali; gli altri 5, dal punto di vista dei comuni cittadini, rappresentano tutti quei casi in cui il trattamento è indispensabile o comunque non lesivo dei nostri diritti. Quindi il consenso è l'unico caso in cui, sostanzialmente, abbiamo la possibilità di scegliere se accettare il trattamento o no. Nel mondo online è il presupposto più utilizzato, perché i servizi online (sembra incredibile, vero???) non sono indispensabili alla nostra vita. Poiché il consenso ha ovviamente un valore anche legale, sarebbe indispensabile la maggiore età per poterlo esprimere, ma in questo caso il legislatore ha tenuto in debito conto la realtà, cioè il fatto che i minori sono tra i maggiori utilizzatori di questi servizi, e quindi ha abbassato l'età per poter esprimere il consenso, prevedendo contemporaneamente alcune tutele aggiuntive, tra cui che la relativa informativa sul trattamento dei dati sia particolarmente chiara e concisa.

Cosa succede prima dei 14 anni? Semplicemente che è necessario il consenso (o l'autorizzazione) anche di chi esercità la responsabilità genitoriale. La norma prevede anche che il gestore del servizio verifichi l'età del minore e l'identità del genitore (evidentemente anche a Bruxelles hanno capito che accà nisciun è fess!).

Su quest'ultimo argomento voglio spendere altre due parole. Google ha trovato un metodo ingegnoso per verificare che il consenso accessorio dei genitori sia effettivo: richiede di utilizzare una carta di credito a nome del genitore su cui viene effettuata una pre-autorizzazione di un centesimo, che poi, dopo l'autorizzazione, viene restituito. Bene benissimo, se non fosse che (hoplà) Google ha ottenuto i dati di una carta di credito valida (non che faccia addebiti fraudolenti, intendiamoci!).

Il problema è che molti gestori, soprattutto extraeuropei (leggi: USA), se ne fregano e utilizzano un metodo molto più semplice: fissano nelle proprie condizioni di utilizzo l'età minima per iscriversi a 16 anni per tutti, così nessuna verifica è necessaria (la norma, infatti, per i maggiori di 16 anni non prevede verifiche di età). Tagliando di fatto fuori i minori proprio da tutti quei servizi che invece vanno tanto di moda, ma dall'altra parte confidando sul fatto che tanto il modo di iscriversi lo trovano lo stesso, come peraltro avvenuto finora, potendo così trattare dati personali di minori come se fossero maggiorenni.

Cari genitori, come vedete la legge non intende impedire le pratiche diventate ormai di uso quotidiano anche tra i giovanissimi, però è necessario che partecipiate alla vita online dei vostri figli, e non solo al momento dell'iscrizione al social: controllando loro, ovviamente, ma controllando anche come i diversi gestori di servizi utilizzano i vostri dati, e facendo di conseguenza le opportune scelte consapevoli. Lo ribadisco ancora una volta: utilizzare quella particolare chat "perché ce l'hanno tutti" è stupido, le alternative esistono e potete imporle, vedrete che piano piano diventeranno di uso comune; altrimenti, non cambierà mai nulla.

Privacy, la rivoluzione silenziosa

Manca solo un mese all'applicazione del Regolamento Europeo sulla Protezione dei Dati Personali, che andrà di fatto a sostituire le normative nazionali attuali (in Italia il Codice Privacy del 2003). Ne avevo parlato in un post circa 6 mesi fa, quando avevo appena iniziato ad occuparmi di questo tema (che ora sta diventando il mio lavoro), evidenziando le poche, anche se significative, novità dal punto di vista dei cittadini. Oggi, dopo mesi di studio, lo faccio di nuovo, con una prospettiva diversa: quella della vera rivoluzione che riguarda più coloro che lo devono mettere in pratica (aziende, associazioni, enti), che però avrà notevoli effetti sui tutelati, cioè tutti noi.

Rivoluzione, dicevamo: quella per cui si passa da un normale insieme di obblighi più o meno uguali per tutti, al principio di responsabilizzazione di chi tratta i nostri dati personali. Infatti, il senso ultimo del Regolamento si potrebbe riassumere in questo modo:

A te, azienda/associazione/ente che legittimamente li utilizzi, i dati personali vengono affidati dai legittimi proprietari, a condizione che tu li custodisca al meglio delle tue possibilità.

La pratica, senza entrare troppo nei dettagli, è che ogni titolare deve autonomamente decidere, entro i limiti dettati della norma, come trattare i dati personali che raccoglie e detiene. Ma ciò che ritengo più interessante è invece un altro aspetto: il legislatore cerca di imporre la visione per cui le persone che hanno i poteri decisionali nelle aziende devono immedesimarsi nelle persone di cui trattano i dati, valutandone le legittime aspettative, ed adoperandosi di conseguenza; anche in considerazione del fatto che chi in un contesto rappresenta colui che usa i dati personali, in altri è invece colui a cui appartengono. Spingendomi probabilmente oltre le reali intenzioni, è quasi come se venisse applicato all'uso dei dati personali l'insegnamento evangelico: non fare agli altri ciò che non vorresti fosse fatto a te.

Lo scopo è chiaramente l'effettiva tutela di quello che è considerato uno dei diritti fondamentali dell'uomo, tant'è vero che la norma non si applica solo ai cittadini europei, ma anche a coloro che temporaneamente ricadono sotto la giurisdizione europea; e contemporaneamente, si applica anche ai soggetti extra-UE che forniscono servizi ai cittadini europei, indipendentemente da dove essi si trovino fisicamente.

Quindi tutto bene? Sicuramente no. Chi normalmente dimostra di non avere rispetto dei diritti altrui non ne avrà nemmeno in questa occasione; in questo caso, si spera che siano le salatissime sanzioni previste a fare giustizia. La speranza, però, è che questo principio faccia breccia nelle persone oneste ed abbia l'effetto di motivare coloro che, pur nel pieno rispetto della legge, ritengono la protezione dei dati personali, così come altri temi, solo un altro adempimento burocratico a cui dare il minimo dell'importanza possibile.
Ancora una volta, non è la legge da sola a poter cambiare le cose: serve che il tema della privacy venga, prima di tutto, sentito da tutti come uno dei diritti irrinunciabili.

L'importanza del Regolamento viene anche dimostrata da come le grandi aziende del web stanno affrontando l'adeguamento (secondo alcuni con timore): le nuove privacy policy stanno iniziando a farsi vedere, ma per un'analisi dettagliata vi rimando ad un futuro post.