Children’s Code: cos’è e cosa cambia in UK nel trattamento dati di minori per Google & Co. - Cyber Security 360

MINORI E WEB

Children’s Code: cos’è e cosa cambia in UK nel trattamento dati di minori per Google & Co.

Il primo passo del Regno Unito nel tracciare una nuova e autonoma rotta nel settore privacy è l’Age Appropriation Design Code, il Children’s Code, un vero e proprio codice di condotta per la tutela dei dati dei minori rivolto ai prestatori di servizi della società dell’informazione. Ecco i principi cardine

18 Ott 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

In seguito all’uscita del Regno Unito dall’Unione Europea la disciplina privacy del paese è rimasta sostanzialmente invariata rispetto a quella in vigore quando il paese era membro dell’UE: oltremanica, infatti, la normativa GDPR è stata mantenuta come legge interna e oggi disciplina la tutela dei dati personali nel paese insieme al Data Protection Act adottato nel 2018 (ovvero l’atto interno di coordinamento della normativa nazionale al GDPR, similmente a quanto accaduto con il D.lgs. 101/2018 in Italia).

Proprio per questo motivo, il Regno Unito è stato in grado di ottenere con facilità una decisione di adeguatezza da parte della Commissione Europea (del 28 giugno 2021), che semplifica i trasferimenti di dati UE-UK.

Decisione di adeguatezza sulla protezione dei dati per il Regno Unito: l’EDPB dà parere positivo

Adesso però gli inglesi intendono tracciare una nuova e autonoma rotta anche nel settore privacy e il primo passo in questo senso è l’Age Appropriation Design Code (anche detto “Children’s Code”), un vero e proprio codice di condotta rivolto ai prestatori di servizi della società dell’informazione, ovvero quei servizi prestati per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario (ad esempio le app e i giochi che scarichiamo sui nostri smartphone).

Cos’è il Children’s Code del Regno Unito

Per la precisione, questa soluzione “tutta britannica” in tema privacy, è applicabile dal 2 settembre 2021 a tutti quei servizi della società dell’informazione rivolti ai minori di 18 anni o che comunque verranno presumibilmente utilizzati da minori (precisazione necessaria per coinvolgere anche quei servizi rivolti alla generalità dei consumatori ma molto popolari fra i giovanissimi, come ad esempio TikTok).

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity

Questa definizione finisce per includere non solo app e giochi informatici, ma anche social network, giochi e dispositivi fisici ma connessi, servizi di streaming, siti di formazione e informazione e via dicendo.

L’elenco quindi è davvero ampio ed anzi evidenzia una delle criticità fondamentali della normativa, che delinea un campo di applicazione molto generico e foriero di incertezze (volendo essere pignoli sono “presumibilmente utilizzati da minori” tutti i siti web che non sono espressamente limitati ad un pubblico adulto).

La normativa è stata approvata ancora nel settembre 2020, ma per l’applicazione si è atteso un anno per dar tempo alle aziende di adeguarsi, fino appunto a pochi giorni fa, e coinvolge non solo gli sviluppatori basati nel Regno Unito, ma anche a chiunque proponga servizi dell’informazione presumibilmente utilizzati da minori nel paese.

Il solo fatto, quindi, di rivolgere un app o un sito web anche al pubblico inglese comporta l’applicazione del Children’s Code (salvo non si riesca a dimostrare che non è presumibile che il servizio sia utilizzato da bambini, prova ben difficile da fornire).

Per questo il Codice è un’importante strumento normativo di cui è essenziale conoscere le implicazioni.

I principi cardine del Children’s Code

L’Age Appropriation Design Code (AADC) propone una serie di standard, da rispettare quando si progetta un servizio IT destinato ad un pubblico di minori:

  • L’interesse superiore del bambino: la progettazione e lo sviluppo di un sito Web dovrebbero avere in mente l’interesse superiore del bambino.
  • Valutazioni di impatto sulla protezione dei dati: valutare e mitigare i rischi per i diritti e le libertà dei minori che potrebbero accedere al servizio, che derivano dal trattamento dei dati, tenendo conto dell’età, delle capacità e delle esigenze di sviluppo degli utenti minorenni.
  • Applicazione adeguata all’età: lo standard propone un approccio risk-based teso a individuare l’età dei singoli utenti e garantire l’applicazione efficace degli standard di questo codice agli utenti minori. Il Children’s Code funziona infatti solo se vengono implementati metodi efficaci per stabilire l’età degli utenti (o, in alternativa, se si applicano i principi del Children’s Code a tutti gli utenti).
  • Trasparenza: le informazioni sulla privacy devono essere di facile lettura e comprensione. L’obiettivo dichiarato dello standard è che i bambini comprendano facilmente come, quando e perché i servizi utilizzano i loro dati.
  • Evitare un uso dannoso dei dati: lo standard prescrive di non utilizzare i dati personali dei minorenni in modi che si sono dimostrati dannosi per il loro benessere o che vanno contro i codici di condotta del settore ovvero altre disposizioni normative a loro tutela.
  • Politicy e standard: vanno mantenuti aggiornati tempo per tempo i termini, le policy e gli standard pubblicati.
  • Impostazioni predefinite: a meno che non vi sia un valido motivo per non farlo, le impostazioni predefinite dei siti web devono essere per default di “privacy elevata”, lasciando alla scelta dell’utente la possibilità di ridurre (e non aumentare) la tutela.
  • Minimizzazione dei dati: lo standard prescrive di raccogliere e conservare solo la quantità minima di dati personali necessari per fornire il servizio utilizzato dai minori.
  • Condivisione dei dati: a meno che non vi sia un motivo legittimo per farlo, non è consentito comunicare a terzi i dati dei minori.
  • Servizi di localizzazione: a meno che non vi sia un motivo legittimo per attivare i servizi di localizzazione, queste opzioni dovrebbero essere disattivate per impostazione predefinita. Nel caso di attivazione dei servizi di localizzazione è necessario fornire ai minori un segnale evidente circa la loro attivazione. Lo standard precisa poi che le opzioni che rendono visibile la posizione di un bambino a terzi altri devono essere automaticamente disattivati al termine di ogni sessione (standard che potrebbe complicare non poco la gestione delle app per il tracking dedicate ai genitori, peraltro limitate anche dallo standard successivo).
  • Controllo genitori: vanno fornite informazioni adeguate (e declinate a seconda dell’età del bambino) sui controlli parentali attivi, fornendo un’indicazione evidente al minore se e quando lo stesso è monitorato.
  • Profilazione: salvo vi sia un motivo legittimo per farlo, i servizi di profilazione dovrebbero essere disattivati per impostazione predefinita. La profilazione può essere effettuata solo se si dispone di misure a tutela dei minori da eventuali effetti dannosi.
  • Tecniche di incoraggiamento: lo standard vieta di utilizzare tecniche volte a incoraggiare i minori a fornire dati personali non necessari.
  • Giocattoli e dispositivi connessi: lo standard impone il rispetto dei principi di cui al Children’s Code anche nel caso di produzione di giocattoli e dispositivi connessi.
  • Strumenti online: lo standard afferma che è necessario mettere a disposizione dei minorenni strumenti online facilmente accessibili per esercitare i loro diritti a tutela dei dati e per segnalare eventuali problemi.

Le principali novità privacy

Nella sua opera di “precisazione” di principi già in nuce presenti nel GDPR, il Children’s Code, pur generico in alcune definizioni, ha il pregio di puntualizzare la necessità di predisporre informative e contenuti non sulla base della semplice suddivisione maggiorenni/minorenni, ma pensando alla specifica fascia di età o alle specifiche fasce di età a cui è rivolto il servizio.

Altro importante principio è quello relativo all’approccio risk-based che chiarisce come ad esempio gli strumenti per la verifica dell’età più semplici (come una auto-dichiarazione sul fatto di essere maggiorenni) sono sufficienti solo nel caso in cui i rischi connessi con l’utilizzo del sito o della parte del sito destinata a maggiorenni non siano tali da giustificare strumenti di verifica dell’età più incisivi (ad esempio quelli implementati da YouTube che prevede una verifica con documento o strumenti di pagamento).

Gli sviluppatori saranno quindi chiamati a rivedere i loro prodotti (operazione particolarmente complessa specie per i prodotti videoludici) e le novità portate dal Children’s Code, pur dedicate ai minorenni, riverbereranno inevitabilmente su una enorme fetta dei servizi IT destinati al pubblico inglese, vista la definizione particolarmente ampia adottata dal Codice circa l’applicazione della nuova normativa.

La reazione di Google al Children’s Code

La reazione dei colossi tech è arrivata con anticipo rispetto all’entrata in vigore del Children’s Code, sulla spinta di simili iniziative anche in sede comunitaria, con Facebook che ad esempio da qualche mese imposta di default come privati i profili degli infra-sedicenni e TikTok che chiede agli utenti infra-sedicenni di scegliere esplicitamente a quale platea consentire l’accesso ai loro video, calmierando anche l’accesso ai messaggi privati e rivedendo infine gli orari per le notifiche.

Google, che è intervenuto per irrigidire gli strumenti a tutela dei minori su YouTube e YouTube Kids, in questi giorni sta informando gli utenti business di verificare se al loro dominio possono accedere utenti infradiciottenni a cui si applica la normativa del Children’s Code, avvertendoli che i servizi aggiuntivi degli account Google Workspace (es. YouTube, Analytics ecc.) non hanno impostazioni dedicate ai minori (se l’accesso è effettuato attraverso il dominio Workspace e non con profilo individuale) ed invitandoli quindi a disattivare l’accesso per gli utenti minorenni o creare un’organizzazione separata che non possa accedere ai servizi “pericolosi” che potrebbero essere inclusi nell’account (ovvero quelli per cui non sono state predisposte opzioni ad hoc per gli utenti minorenni a loro tutela come prevede il Children’s Code).

Chiaramente le impostazioni Google non riguardano gli utenti minorenni italiani per cui, salvo tra gli utenti di un dominio ci siano cittadini minorenni inglesi, non sarà necessario intervenire su impostazioni e/o utenti.

Conclusioni

Il Children’s Code britannico è un interessante esempio di evoluzione del GDPR e del futuro che attende il diritto inglese, che oggi inizia a cercare una nuova indipendenza anche in settori di tradizionale appannaggio comunitario.

L’innovazione inglese è però nel pieno segno della continuità con l’approccio europeo e si inserisce con coerenza nel solco del GDPR, non sconfessato dal diritto del Regno Unito ma anzi incorporato integralmente nel loro corpo normativo.

L’approccio UE viene quindi sposato dal legislatore UK, che anzi idealmente ne porta avanti i principi e gli scopi, declinandoli in un testo dedicato esplicitamente alla privacy dei minori.

Se il diritto comunitario è in grado di indirizzare il mondo proprio per l’incontro fra tradizioni giuridiche e posizioni diverse, composto in una serie di norme di equilibrio e delicato compromesso, il contraltare è spesso la lentezza con cui si trova ad agire.

Al contrario il Regno Unito si trova ora a poter innovare in un settore in costante evoluzione con meccanismi più leggeri e veloci e quindi, pur non potendo raggiungere la sintesi unica che è il prodotto del diritto comunitario, può normare più in fretta nel solco della tradizione europea e cercare così di rivendicare, almeno in parte, il ruolo guida in tema di tutela dei dati personali che è ed è stato dell’Unione.

Non sarà quindi l’ultima volta che vedremo il Regno Unito “superare” per velocità, più che per qualità, la normativa comunitaria, e non resta che augurarsi che questo fenomeno possa costituire un interessante dialogo a due voci che spinga verso un definitivo consolidamento della tutela dei dati personali.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4