Privacy

Pubblicità, minori a rischio su Youtube & C: urgenti nuove tutele

Le aziende che si rivolgono ai baby consumatori (e non solo) sfruttano le potenzialità offerte dai video e dal marketing per incrementare le vendite dei loro prodotti. Ma la privacy dei piccoli è a rischio ed è fondamentale prevedere un coordinamento tra gli Stati per l’adozione di regole stringenti

26 Feb 2020
Lorena Manco

Privacy e Data Protection Specialist


I video più visti di YouTube sono quelli per bambini, che riescono a raggiungere miliardi di visualizzazioni. I piccoli utenti sono però sempre più esposti ad una capillare targetizzazione commerciale mediante l’utilizzo di forme di tracciamento che, invero, non dovrebbero coinvolgere un pubblico così giovane.

Le autorità Usa si sono già mosse, con la pesante sanzione comminata a Youtube – che nel frattempo, da gennaio 2020 ha cambiato modalità di raccolta e utilizzo dei dati per i contenuti destinati ai bambini – e nel mirino sono finite anche altre popolari piattaforme come TikTok.

Sullo sfondo, la questione dell’adeguamento dei contenuti offerti dalle piattaforme digitali assume fondamentale rilevanza dal momento che l’utilizzo dei big data – di enormi quantità di informazioni personali – solleva gravi preoccupazioni sulla privacy dei propri utenti, soprattutto se ad accedere ai servizi offerti sono principalmente minori.

Un esempio da seguire, per porre fine alla frammentazione delle normative Ue sulla protezione dei dati dei minori e fornire uno strumento di tutela concreta, potrebbe essere il codice di condotta dell’ICO, l’Authority britannica per la protezione dei dati.

Prima di descriverne i contenuti, facciamo una panoramica sullo scenario del marketing diretto ai minori, delle violazioni commesse dalle principali piattaforme e del quadro normativo Ue e Usa.

YouTube marketing e minori

Le aziende che si rivolgono ai baby consumatori (e non solo) sfruttano le potenzialità offerte dai video e dal Youtube marketing per incrementare le vendite dei loro prodotti. Non è un caso che, nei video diretti ai bambini, spesso i protagonisti sono adulti che spacchettano l’ultimo gioco di costruzioni, che vestono una bambola con gli accessori più recenti o che mostrano il funzionamento di un nuovo modellino.[1]

Per migliorare il ranking video e quindi assicurarsi maggiore visibilità e visualizzazioni, le aziende analizzano dati statistici quali i tempi di visualizzazione dei video o watch time (i video che hanno sessioni di visualizzazione più lunghe vengono suggeriti più spesso da Youtube), le fonti di traffico, analisi dei dati demografici dei visitatori, il numero ed il comportamento degli utenti durante la visualizzazione del video. Inoltre, per dare slancio all’azione di Youtube marketing, i video vengono promossi mediante pubblicità a pagamento attivando le cosiddette campagne video di AdWords che possono tradursi in annunci che precedono il video che gli utenti guardano, banner pubblicitari visibili navigando sul web o video sponsorizzati che appaiono quando gli utenti cercano contenuti simili su Youtube.

Strategie di marketing dunque, molto invasive cui un pubblico così giovane non dovrebbe essere esposto.

Questo è stato uno dei motivi che ha portato la Federal Trade Commission (FTC) – l’agenzia governativa statunitense che promuovere la tutela dei consumatori – nel settembre del 2019, a multare la Google LLC e la sua affiliata YouTube, per 170 milioni di dollari, per aver raccolto illegalmente informazioni personali da bambini senza il consenso dei genitori e averle utilizzate per trarre profitto attraverso l’invio di pubblicità mirate, in violazione alle previsioni della Children’s Online Privacy Protection Act (COPPA).

La COPPA e la violazione di Youtube

Il Children’s Online Protection Protection Act (COPPA) è una legge federale degli Stati Uniti progettata per limitare la raccolta e l’utilizzo di informazioni personali dei minori da parte dei provider di servizi Internet e dei siti web. Entrata in vigore nell’aprile 2000, la legge è gestita e applicata dalla Federal Trade Commission.[2]

Quando si applica la COPPA?

Negli USA l’età minima consentita per l’accesso ai servizi online è fissata a 13 anni (in Italia il limite è di 14 anni). La COPPA si applica ai soli operatori che attraverso siti web e servizi online propri o di altri raccolgono informazioni personali di minori di 13 anni.

Nella norma vengono elencate tre ipotesi di applicabilità:

  • il sito Web o il servizio online è rivolto specificatamente ai minori di 13 anni e raccoglie informazioni personali che li riguardano;
  • il sito Web o il servizio online è diretto a un pubblico generico, ma è indubbio che si stanno raccogliendo informazioni personali anche di minori di 13 anni;
  • il sito Web o il servizio online raccoglie informazioni personali dagli utenti di un altro sito Web o servizio online diretto a minori di 13 anni, attraverso ad esempio una rete pubblicitaria o un plug-in.

Quando un sito o servizio è da considerarsi diretto a minori?

Per determinare se un sito Web o un servizio online, o una parte di esso, è diretto a minori di 13 anni, la FTC esamina una molteplicità di fattori, inclusi l’oggetto del sito o del servizio, i contenuti visivi e audio, l’uso di personaggi animati o altre attività indirizzate ai bambini, l’età dei modelli utilizzati, la presenza di personaggi popolari tra i più piccoli o celebrità che si rivolgono ai bambini, linguaggio o altre caratteristiche del sito Web o del servizio online, ecc. Lo scopo è quello di stabilire la composizione del pubblico previsto o effettivo che il servizio online intende raggiungere.

Se un sito web non si rivolge ai minori come pubblico principale, ma sono presenti uno o più fattori tra quelli citati, i suoi contenuti non saranno classificati come diretti a utenti di età inferiore a 13 anni, e quindi non si applicherà la COPPA se e solo se:

  • non sono raccolte informazioni personali di nessun visitatore prima della verifica della suta età;
  • non sono raccolte, usate o divulgate informazioni personali di visitatori che si identificano come minori di anni 13 senza prima di aver informato i genitori e raccolto il loro consenso specifico e verificabile.

Non è considerato diretto ai minori un sito Web o servizio online che si riferisce o si collega a un sito Web commerciale o servizio online diretto ai minori utilizzando strumenti di localizzazione delle informazioni, tra cui una directory, un indice, un riferimento, un puntatore o collegamento ipertestuale.

Che cosa è richiesto alle aziende che sono soggette alla COPPA?

I fornitori di siti web e i servizi online coperti da COPPA devono pubblicare informative sulla privacy chiare, semplici ed esaustive nelle homepage (in una forma che sia comprensibile anche ai bambini), fornire ai genitori informazioni sulle politiche di trattamento dei dati dei figli e ottenere il loro consenso verificabile – e quindi non facilmente falsificabile da un bambino, a riprova che tale consenso sia stato verosimilmente fornito da un adulto, ad esempio, attraverso la verifica di un documento d’identità ufficiale – prima di raccogliere i dati dei bambini, dare seguito alle eventuali richieste dei genitori in virtù dei diritti riconosciuti loro dalla norma, implementare procedure efficaci per proteggere la sicurezza delle informazioni personali dei bambini in loro possesso.[3]

Ciò premesso, cerchiamo di capire quali sono state le motivazioni che hanno portato la FTC a multare Youtube per milioni di dollari.

La piattaforma è stata accusata di aver violato la Children’s Online Privacy Protection Act (COPPA) tracciando gli utenti di canali diretti ai minori, senza prima avvisare i genitori e ottenere il loro consenso. Youtube avrebbe infatti raccolto informazioni personali di minori di 13 anni attraverso gli identificatori persistenti (Cookies), al fine di pubblicare annunci mirati ai piccoli spettatori.

Gli annunci mirati richiedono la preventiva raccolta di informazioni personali e, come precedentemente esaminato, raccogliere ed utilizzare i dati degli utenti di età inferiore a 13 anni sono attività soggette a solide restrizioni stabilite dalla COPPA.

Secondo la FTC, Youtube avrebbe fatto leva sulla popolarità raggiunta tra i minori, per promuovere la piattaforma alle aziende di prodotti per bambini, e quindi potenzialmente interessate a raggiungere con la pubblicità utenti di età inferiore a 13 anni. Inoltre, puntando sulla presunta vaghezza della norma COPPA in merito a ciò che è da ritenersi un sito o un servizio online diretto ai bambini, Youtube avrebbe sostenuto che il servizio offerto non rientra nell’ambito dell’applicabilità della COPPA in quanto non è da considerarsi come specificatamente diretto ai bambini – benché alcuni canali della piattaforma, come quelli gestiti da società di giocattoli, sono chiaramente destinati ai minori. Una giustificazione apparsa poco credibile alla FTC, soprattutto in considerazione del fatto che sarebbero stati pubblicati annunci pubblicitari mirati anche sulla app Youtube Kids, “realizzata per consentire ai bambini di esplorare per conto loro in modo semplice e divertente un ambiente più controllato” – come afferma la stessa Youtube, e quindi rivolta specificatamente ad un pubblico di baby utenti.

Oltre alla sanzione pecuniaria, la FTC, tra le altre cose, ha richiesto a Google e a YouTube di sviluppare, implementare e mantenere un sistema che consenta ai proprietari dei canali di contrassegnare inequivocabilmente i contenuti destinati ai bambini sulla piattaforma in modo che YouTube possa assicurarsi che tali contenuti siano in linea con quanto richiesto dalla normativa.

A partire da gennaio 2020 infatti, Youtube ha iniziato ad apportare importanti modifiche in merito alle modalità di raccolta e utilizzo dei dati per i contenuti destinati ai bambini.

In primis, Youtube ha limitato la raccolta e l’uso di informazioni personali degli utenti che guardano video per bambini, indipendentemente dall’età dello spettatore; i creator sono stati chiamati a contrassegnare i video realizzati per i bambini e, ad ulteriore riprova della corretta classificazione dei video, Youtube si avvarrà dell’ausilio di machine learning per identificare i video chiaramente destinati agli spettatori più giovani. Sarà interrotta la pubblicazione degli annunci personalizzati sui contenuti destinati ai bambini, ma continueranno ad essere pubblicati annunci non personalizzati – basati sul contesto di visualizzazione e non sui dati dell’utente – anche sui contenuti destinati ai bambini.

Alcune funzionalità non saranno più disponibili su questo tipo di contenuti: non sarà più possibile lasciare commenti sulla pagina di visualizzazione, utilizzare chat dal vivo, attivare il campanello di notifica, o effettuare il salvataggio in playlist. I Mi piace/Non mi piace e le iscrizioni per tali contenuti non verranno mostrati negli elenchi pubblici.

Inoltre, YouTube sta promuovendo attivamente YouTube Kids, l’app per bambini i cui contenuti sono continuamente saggiati, attraverso l’impiego di un mix di filtri automatici sviluppati da esperti, revisioni da parte di persone fisiche e feedback dai genitori, per verificare che siano adatti alle famiglie e al fine di proteggere gli utenti più giovani mentre sono online.

Non solo Youtube: altri casi di violazione

L’attenzione riservata alla tutela dei minori nell’utilizzo dei servizi della società dell’informazione sta aumentando in considerazione delle maggiori interazioni dei più giovani sui social media e dell’impatto che le attività on line, proprie o di soggetti ad essi collegati, hanno sui bambini in termini di protezione dei dati personali.

Youtube non è infatti la prima piattaforma sharing ad essere stata multata dall’FTC per violazione della legge COPPA.

Nel febbraio del 2019, un popolare social network di video chiamato TikTok (un tempo noto come Musical.ly), è stato multato per 5,7 milioni di dollari proprio per il mancato rispetto della normativa rispetto ai dati dei suoi utenti: la app aveva raccolto illegalmente nomi, indirizzi mail, scuole, foto e geolocalizzazione di bambini al di sotto di 13 anni senza aver prima richiesto l’autorizzazione dei genitori. Gli account utente erano pubblici per impostazione predefinita e gli adulti erano in grado di contattare gli utenti indipendentemente dalla loro età. Quando alcuni genitori hanno chiesto di cancellare i dati dei propri figli, TikTok ha cancellato l’account ma ha conservato i video e le informazioni personali sui propri server.

Esiste un mercato vasto e diversificato per le applicazioni rivolte ai minori ed è essenziale l’adozione di idonei strumenti di tutela al fine di evitare l’esposizione degli utenti più giovani alle conseguenze derivanti dall’assenza di solide infrastrutture di sicurezza che permettono ai professionisti del digital marketing più spinto di utilizzare e manipolare i dati degli under 13 anche per scopi di profitto.

Come indicato dal legislatore comunitario nel Considerando 38 del GDPR, i minori necessitano di una tutela rafforzata “in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”.

Pare evidente, dunque, come in un settore in continua evoluzione come quello tecnologico, siano necessari degli effettivi strumenti giuridici in grado di offrire maggiori garanzie al minore che interagisce in rete e che, al contempo, supportino i giganti di internet nella calibrazione dei propri servizi online.

I minori online nel quadro normativo europeo

La questione dell’adeguamento dei contenuti offerti dalle piattaforme digitali assume fondamentale rilevanza dal momento che l’utilizzo dei big data – di enormi quantità di informazioni personali – solleva gravi preoccupazioni sulla privacy dei propri utenti, soprattutto se ad accedere ai servizi offerti sono principalmente minori.

È importante che le imprese del settore ICT assicurino la fruizione di contenuti appropriati a seconda delle diverse età degli utenti, e garantiscano un livello di tutela elevato, sia per ragioni legate al rispetto della normativa, ma anche e soprattutto per adempiere alla loro responsabilità sociale, così da agevolare i minori nello svolgimento sicuro delle loro attività sul web.

La succitata COPPA è una legge statunitense ma qual è il panorama giuridico europeo in merito alla protezione dei minori in rete?

L’attuale quadro giuridico offre una tutela multi-livello che muove dalle fonti del diritto internazionale per poi snodarsi fino alle iniziative dell’Unione Europea.

In particolare, l’attenzione verso il trattamento dei dati dei minori rappresenta una delle novità più importanti contenute nel GDPR – General Data Protection Regulation – benché la normativa non fornisca delle regole dettagliate in merito alle modalità con cui i grandi del web, che si rivolgono ad un pubblico più giovane, dovrebbero assicurare protezione al minore che si muove nel vasto panorama multimediale.

Il GDPR prevede che i ragazzi sotto i 16 anni (la normativa si limita a fare riferimento al concetto di minore come definizione onnicomprensiva, non fornendo una espressa definizione di bambino) possano iscriversi ai servizi digitali solo dopo aver avuto il consenso dei genitori, lasciando, tuttavia, la facoltà ad ogni Stato membro di stabilire una soglia inferiore. Con il D.Lgs. 101/18, l’Italia ha fissato l’asticella a 14 anni.

In presenza di utenti under 16 (in Italia under 14), i provider di servizi online dovrà dunque verificare che il consenso sia stato effettivamente espresso dai genitori o da chi esercita la responsabilità.

Sotto il profilo commerciale, un aspetto fondamentale è costituito dalla protezione del minore rispetto all’attività di profilazione. Sul tema specifico, il Comitato Europeo per la protezione dei dati (ex WP29) ha pubblicato le linee guida in materia di profilazione automatizzata (Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679, wp251/01) in cui ha vietato la profilazione dei minori per finalità di marketing.

“I minori possono essere particolarmente vulnerabili nell’ambiente online e più facilmente influenzabili dalla pubblicità comportamentale. Ad esempio, nei giochi online, la profilazione può servire per individuare i giocatori che l’algoritmo ritiene più propensi a spendere soldi, oltre a fornire annunci personalizzati. L’età e la maturità del minore possono influenzarne la capacità di comprendere la motivazione che sta alla base di tale tipo di marketing o le sue conseguenze”.[4] Un orientamento già sposato in precedenza dall’Europa. Nel parere 02/2013 sulle applicazioni per dispositivi intelligenti (WP 202), adottato il 27 febbraio 2013, nella specifica sezione 3.10 dedicata ai minori, specifica che “i titolari del trattamento del trattamento non dovrebbero trattare dati di minori, direttamente o indirettamente, a fini di pubblicità comportamentale, poiché è al di fuori della portata della comprensione di un minore e pertanto supera i limiti del trattamento lecito”.[5]

Nonostante i tentativi per ripensare alla tutela del minore online fatti dall’Europa, la normativa a protezione dei dati dei minori rimane ancora vaga e frammentata.

Per la realizzazione di regole uniformi per la tutela dei fanciulli, risulterebbe funzionale l’implementazione di best practices condivise da parte dei fornitori dei servizi della società dell’informazione, realizzabile attraverso la definizione di strumenti di autoregolamentazione o mediante l’adozione di codici di condotta.

Autoregolamentazione e codici di condotta

Un’iniziativa di autoregolamentazione il cui fine è migliorare l’ambiente online per bambini e ragazzi è rappresentata dall’ Alliance to better protect minors online. Le principali società ICT e media, insieme ad alcune ONG e all’UNICEF, a seguito dell’invito della Commissione Europea verso un approccio congiunto, hanno presentato ufficialmente l’Alleanza durante il Safer Internet Day 2017.

Nel quadro dell’iniziativa, definito nella Dichiarazione di intenti dell’Alleanza, le società coinvolte, partendo da un’attenta analisi dei rischi esistenti ed emergenti per i minori del web – come i contenuti dannosi (violento o di sfruttamento sessuale), condotta dannosa (ad es. cyberbullismo) e contatto dannoso (es. estorsione sessuale) – hanno definito delle strategie che coinvolgono 3 settori principali:

  • User-empowerment ossia individuare e promuovere migliori pratiche per la comunicazione delle politiche sulla privacy; incoraggiare l’uso consapevole e responsabile, da parte degli utenti, degli strumenti e dei servizi online; sostenere l’uso della classificazione dei contenuti; promuovere l’uso degli strumenti di controllo parentale.
  • Cooperazione tra le società firmatarie, intensificando il dialogo tra gli organismi della governance di internet, i servizi di istruzione e le forze dell’ordine per migliorare la condivisione delle best practices per la sicurezza dei minori online in virtù degli sviluppi della tecnologia;
  • Sensibilizzazione degli utenti minorenni attraverso lo sviluppo di campagne di sensibilizzazione sulla sicurezza online, l’empowerment digitale e l’alfabetizzazione mediatica e promuovendo l’accesso dei bambini a contenuti, opinioni, informazioni e conoscenze online diversificati.[6]

Inoltre, in una prospettiva di uniformità applicativa a garanzia dei minori nel web, l’individuazione di migliori prassi potrebbe essere fornita mediante codici di condotta approvati. Il GDPR prevede la possibilità, nell’art. 40, che “le associazioni o altri organismi rappresentanti le categorie di titolari o di responsabili del trattamento possono elaborare codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione” del Regolamento in relazione “all’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore”.

Introducendo le buone pratiche in un codice di condotta approvato dalle autorità di controllo, impegni quali ad esempio quelli previsti dall’ Alleanza, diventerebbero vincolanti per i titolari e i responsabili del trattamento al fine di ottemperare alle disposizioni dello stesso codice e quindi al GDPR. Il codice di condotta non solo risolverebbe la questione dell’enforcement delle buone pratiche, ma offrirebbe anche una soluzione in termini di estensione territoriale del codice stesso. Infatti, con atto di esecuzione della Commissione Europea, il codice potrebbe acquisire validità generale in tutta Europa (art. 40.9).[7]

Il codice di condotta dell’ICO

Un valido esempio di codice di condotta ce lo fornisce l’ICO, che a gennaio 2020 ha pubblicato il primo codice di condotta per la privacy dei minori online, un insieme di 15 standard flessibili – che vietano o prescrivono in modo specifico – e che forniscono una protezione integrata per consentire ai bambini di esplorare, imparare e giocare online in modo sicuro.

Il codice, partendo dal presupposto che la particolare condizione di vulnerabilità del minore necessità di una tutela e di un’attenzione superiore rispetto al resto degli utenti del web, stabilisce degli standard che i responsabili di progettazione, dello sviluppo o della fornitura dei servizi online come app, giocattoli connessi IoT, piattaforme di social media, giochi online, siti web didattici e servizi in streaming dedicati ai minori, dovrebbero rispettare per assicurare che i servizi online a cui i minori possono accedere garantiscano appropriatezza nei contenuti e protezione rispetto ai dati che trattano.

Gli standard del codice, introdotto dal Data Protection Act 2018[8], sono stati pensati per essere compliance al GDPR.

Le organizzazioni avranno 12 mesi (entro l’autunno 2021) per aggiornare le loro pratiche prima che il codice entri in vigore e intanto l’ICO sta preparando un pacchetto significativo di supporto e di guida per fornire alle organizzazioni gli strumenti per la realizzazione degli standard previsti adeguati all’età degli utenti e che le organizzazioni che offrono servizi online e app a cui i bambini potrebbero avere accesso.

Verso una nuova dimensione della privacy online dei minori

Sebbene il codice di condotta adottato dall’ICO si applichi ai soli servizi online che hanno sede (o lo stabilimento principale) nel Regno Unito o che si rivolgono ad utenti minori del Regno Unito, potrebbe rivelarsi un efficiente strumento di tutela concreta, e un ottimo modello giuridico per gli Stati dell’UE, il cui quadro normativo, in tema di protezione dei minori online, resta fluido.

Come affermato da Elizabeth Denham, commissaria per l’informazione presso ICO, “un utente su cinque nel Regno Unito è un bambino, ma sta utilizzando un Internet che non è stato progettato per loro. Esistono leggi per proteggere i bambini nel mondo reale: valutazioni dei film, seggiolini per auto, limiti di età per bere e fumare. Abbiamo bisogno delle nostre leggi per proteggere anche i bambini nel mondo digitale. In un’epoca in cui i bambini imparano a utilizzare un iPad prima di andare in bicicletta, è giusto che le organizzazioni che progettano e sviluppano servizi online lo facciano nel migliore interesse dei bambini. La privacy dei minori non deve essere scambiata all’inseguimento a scopo di lucro”.[9]

È fondamentale prevedere un coordinamento tra gli Stati per l’adozione di regole stringenti per la protezione dei minori online che mirino a mitigare i rischi derivanti dalla progressiva e costante interconnessione dei più giovani, affinché la mercificazione dei dati personali dei minori, spesso trattati come un bene di scambio tra i giganti di internet e i bambini che accedono ai servizi online, smetta di rappresentare un “male minore” dell’economia dell’informazione e, in numerosi casi, il male del minore.[10]

_____________________________________________________________

  1. Mantovani R., “Perché i bambini piccoli rimangono incollati a YouTube?” 
  2. Children’S Online Privacy Protection Act (COPPA) – Inc.com 
  3. Children’s Online Privacy Protection Ac
  4. Linee guida sul processo decisionale automatizzato individuale e la profilazione ai fini del regolamento 2016/679 (wp251rev.01) 
  5. Opinion 02/2013 on apps on smart device
  6. Alliance to better protect minors online
  7. Bolognini L. – Bistolfi C., L’età del consenso digitale 
  8. Il Data Protection Act 2018 (c 12) è un atto del Parlamento del Regno Unito di aggiornamento delle leggi sulla protezione dei dati nel Regno Unito. È una legge nazionale che integra il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea e aggiorna il Data Protection Act 1998. Per maggiori dettagli  
  9. ICO publishes Code of Practice to protect children’s privacy online 
  10. Pedrazzi G., “Minori e social media:tutela dei dati personali, autoregolamentazione e privacy” 

@RIPRODUZIONE RISERVATA

Articolo 1 di 4