diritti e algoritmi

Pubblicità comportamentale, minorenni a rischio: “bisogna bloccarla”

Un gruppo di esperti ha chiesto alle cinque big tech di bloccare la pubblicità comportamentale (super personalizzata), ai minori di 18 anni. Questione cruciale perché non abbiamo ancora capito come tutelare i soggetti più deboli dallo strapotere degli algoritmi

28 Set 2020
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals


Con una lettera aperta rivolta a Google, Facebook, Apple, Amazon e Microsoft, una eterogena platea di firmatari (tra cui accademici, avvocati, attivisti) ha chiesto alle cinque big tech di bloccare il behavioural advertising, la c.d. pubblicità comportamentale, nei confronti dei minori di 18 anni.

Blocco alla pubblicità comportamentale ai bambini

La richiesta di ban si basa tanto su argomenti legati alla protezione dei dati personali e al rispetto della relativa normativa («The fact that ad-tech companies hold 72 million data points on a child by the time they turn 13 shows the extent of disregard for these laws, and the extraordinary surveillance to which children are subjected») quanto su aspetti concernenti la maggiore esposizione dei più giovani alle attività di marketing («Children of all ages are more susceptible to the pressures of marketing, less likely to recognise paid-for content, and less likely to understand how and what kinds of data are used for these purposes than adults»). A coordinare l’intervento l’organizzazione Global Action Plan, impegnata nella campagna “Stop Targeted Advertising to Kids”, il cui position paper offre un inquadramento del fenomeno oltre ad alcuni dati utili a comprenderlo (solo per fare un esempio: «In this report we conservatively estimate that many 14-years-olds are seeing up to 1,260 adverts a day on social media alone – ten to twenty times the number of ads children saw on TV at the turn of the century»).

L’appello è di particolare interesse poiché, da un lato, prende in considerazione una specifica porzione di popolazione, i minori, ormai sempre più presenti online, mentre dall’altro guarda alle implicazioni di una forma di marketing ampiamente diffusa. E non può che emergere chiaramente la centralità che in un tale discorso assume la raccolta e più in generale il trattamento di dati personali.

Per riflettere sul significato e le possibili implicazioni della richiesta avanzata nei confronti dei cinque top player tecnologici sarà allora utile, una volta ricostruito il contesto con qualche statistica, analizzare con una certa attenzione anche il quadro normativo e regolamentare di riferimento.

Adolescenti online: dati alla mano

Secondo i dati Istat, nel 2019 il 62,5% dei bambini tra i 6 e i 10 anni ha utilizzato internet (la percentuale di chi lo usato quotidianamente è del 27,4 %), con la frequenza di utilizzazione che sale poi nettamente nelle fasce 11-14 anni (90%, di cui 68,3% ogni giorno) e 15-17 anni (94,7%, di cui 83,7% ogni giorno). Nelle metriche relative alle attività svolte in Rete spiccano quelle legate a giochi, musica, immagini e film, la consultazione di wiki e la partecipazione a un social network. Proprio con riferimento alla presenza sui social nel 2019, il 16° Rapporto Censis sulla comunicazione indica la preferenza della classe più giovane (14-29 anni) rispetto a quella più adulta (30-44 anni) per YouTube (76,1% contro 73,1%), Instagram (65,6% contro 46,4%) e Snapchat (11,5% contro 6,7%), mentre la tendenza si inverte per Facebook (60,3% contro 75,8%). Il tutto senza considerare il fenomeno del momento TikTok, specialmente rivolto ai minori; in rapida ascesa e con numeri elevatissimi.

Particolarmente interessanti appaiono, infine, i risultati dalla ricerca realizzata dal consorzio MIUR Generazioni Connesse e, in particolare, dall’Università degli Studi di Firenze, dall’Università degli Studi “Sapienza” di Roma e dal portale Skuola.net su un campione di 5942 adolescenti tra gli 11 e i 19 anni intervistati nel gennaio 2019: è emerso che 7 giovani su 10 si sono iscritti ad un social network prima dei 14 anni, il 15 % tra i 14 e i 15 anni e il 5% tra i 16 e i 19 anni, mentre il 6,4% ha dichiarato di non essere iscritto ad alcun social. Come si vedrà a breve, il dato relativo alle presenze degli infra quattordicenni assume una specifica importanza se letto alla luce di quanto previsto dalle leggi sulla privacy.

La normativa di riferimento: la privacy dei più piccoli

La protezione che la normativa appresta a bambini ed adolescenti in Rete è ampia, diversificata e stratificata. Si tratta di una regolamentazione che cerca di prevenire e affrontare le molteplici intemperie in cui la fascia di popolazione più fragile rischia ogni giorno di imbattersi.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Se si tratta di dati personali e pubblicità online è chiaro che l’attenzione deve essere prestata al regime di tutele previste dalle norme in materia di data protection. Già la Convenzione sui diritti dell’infanzia e dell’adolescenza del 1989, all’articolo 16 («(1) Nessun fanciullo sarà oggetto di interferenze arbitrarie o illegali nella sua vita privata, nella sua famiglia, nel suo domicilio o nella sua corrispondenza, e neppure di affronti illegali al suo onore e alla sua reputazione. (2) Il fanciullo ha diritto alla protezione della legge contro tali interferenze o tali affronti»), riconosceva espressamente in capo ai più giovani quel sommo diritto al rispetto della propria vita privata e familiare sancito per ogni persona dall’articolo 8 della Convenzione Europea dei Diritti dell’Uomo e dell’articolo 7 della Carta dei diritti fondamentali dell’Unione Europea (quest’ultimo da leggere congiuntamente al successivo articolo 8 che afferma il diritto di ogni persona alla protezione dei dati di carattere personale).

A tali statuizioni di principio è seguita la normativa di settore, oggi rappresentata dal Regolamento UE 2016/679 (il “GDPR”), recepito in Italia dal D.Lgs. 101/2018, che ha modificato il nostro Codice Privacy (D.Lgs. 196/2003), ma già il Working Party Article 29 aveva dedicato l’Opinion 2/2009 alla protezione dei dati personali dei minori.

Proprio il nuovo Regolamento generale sulla protezione dei dati ha destinato particolare attenzione ai minori. Il considerando 38, in tale prospettiva, risulta emblematico:

“I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”.

Da questo principio discende il regime speciale dettato in tema di consenso dei minori dall’articolo 8: «[…] per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale». La norma – da leggere anche tenendo conto di quanto previsto dalle Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 adottate dall’allora Article 29 Working Party e di recente aggiornate dalle Linee guida 5/2020 sul consenso ai sensi del Regolamento 2016/679 dell’EDPB – ha lasciato un margine di intervento ai singoli Stati Membri per la definizione di un’età inferiore («Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni»). E così il legislatore italiano ha inserito nel Codice Privacy l’articolo 2-quinquies, fissando il limite minimo a quattordici anni.

Il GDPR ha guardato alle peculiarità del minore anche in tema di trasparenza: vedasi il considerando 58 («[…] Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente») e il successivo articolo 12 («Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori»).

Come appena mostrato, la protezione della riservatezza del minore passa anche attraverso quanto previsto a livello di singolo Paese appartenente all’Unione Europea. Dunque, per quanto riguarda l’Italia, si potranno in aggiunta citare le disposizione specifiche dettate per il settore giornalistico dalla Carta di Treviso e dalle (oggi) Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica (art. 7).

Un ultimo cenno va fatto in prospettiva comparatistica e sovranazionale. Potranno a tal proposito richiamarsi il Children’s Online Privacy Protection Rule (il c.d. “COPPA”), la legge federale degli Stati Uniti, in vigore dal 2000, che regolamenta la raccolta di informazioni personali online di bambini infra tredicenni, così come l’iniziativa di autoregolamentazione “Alliance to better protect minors online” lanciata nel 2017 seguendo l’invito della Commissione europea da aziende ICT e media, ONG e UNICEF, così come si può far menzione dell’Age Appropriate Design Code (anche detto Children’s Code), un code of practice recentemente adottato dall’ICO e rivolto ai fornitori di servizi della società dell’informazione (questi riferimenti sono stati tra l’altro oggetto di un approfondimento su Agendadigitale.eu).

Behavioural advertising tra norme e autoregolamentazione

La definizione di pubblicità comportamentale più consona nel contesto di questo contributo è sicuramente quella fornita dal Parere 2/2010 sulla pubblicità comportamentale online (WP 171), adottato dal WP29 il 22 giugno 2010, dove si specifica che «La pubblicità comportamentale prevede il tracciamento degli utenti durante la navigazione in rete e, nel tempo, la creazione di profili che vengono successivamente utilizzati per fornire agli utenti contenuti pubblicitari che rispondono ai loro interessi».

Tale descrizione è ulteriormente utile in quanto identifica due elementi delle tecniche di behavioural advertising che suggeriscono l’intreccio delle due normative che richiedono di essere rispettate. Il “tracciamento” richiama infatti l’impiego dei cookie, e quindi la Direttiva ePrivacy (presto Regolamento), mentre la “creazione di profili” accende una spia sul concetto di profilazione come regolato dal GDPR. A tale ultimo riguardo, sempre il Working Party Article 29 ha indirizzato un apposito approfondimento ai minori nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679.

Va da ultimo citato anche Parere 02/2013 sulle applicazioni per dispositivi intelligenti (WP 202), adottato il 27 febbraio 2013, dove è stato dettagliato che «i titolari del trattamento del trattamento non dovrebbero trattare dati di minori, direttamente o indirettamente, a fini di pubblicità comportamentale, poiché è al di fuori della portata della comprensione di un minore e pertanto supera i limiti del trattamento lecito».

Per completare il quadro relativo alla disciplina potenzialmente applicabile al behavioural advertising occorre fare perlomeno cenno anche ad alcune delle esperienze di autoregolamentazione portate avanti nel corso degli anni. Documento a tal riguardo rilevanti è, ad esempio, il IAB Europe EU Framework for Online Behavioural Advertising, sul quale si è fondato il successivo Best Practice Recommendation on Online Behavioural Advertising dell’European Advertising Standards Alliance (su cui in passato è intervento anche il WP29). Un altro interessante esempio di autoregolamentazione è quello dell’ICC Advertising and Marketing Communications Code a cura dell’International Chamber of Commerce.

Conclusioni

Qual è dunque il valore attribuibile alla petizione che vuole mettere al bando la pubblicità comportamentale online per i minori di 18 anni? Iniziative come questa sicuramente permettono di soffermare la lente di ingrandimento su fenomeni ormai comuni ma le cui implicazioni rischiano spesso di passare inosservate.

Anche in questa sede si tratterà allora di soffermarsi sul tema dell’enforcement. Se infatti, come sostenuto nella lettera, effettivamente le compagnie tecnologiche detengono una grande quantità di dati di infra tredicenni, violando così le leggi sulle privacy («The fact that ad-tech companies hold 72 million data points on a child by the time they turn 13 shows the extent of disregard for these laws») è chiaro che la vigilanza e l’intervento sanzionatorio delle autorità costituiscono le prime e maggiori tutele (e sempre la BBC ha riportato la notizia di una causa intentata contro YouTube proprio con riferimento ai dati di minori di 13 anni).

Nondimeno un ulteriore profilo potrebbe essere vagliato. I già citati dati Istat indicano anche i livelli di competenze digitali nei più giovani (14-17 anni) e rilevano che nel 2019 il 30,2 %, vale a dire meno di uno su tre, ha alte competenze digitali. Questo dato richiede di aprire una decisa riflessione sull’importanza dell’educazione digitale, strumento indispensabile per garantire fin dalla più giovane età consapevolezza, capacità critiche e di autodeterminazione, anche online. In definitiva, apprendere fin dalla prima adolescenza adeguate skills digitali può rappresentare un importante baluardo anche per la protezione dei propri dati personali in Rete.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4