TikTok, account dei minori infratredicenni e intelligenza artificiale per l’Age Verification

A seguito delle triste vicende di cronaca che hanno portato una giovanissima utente di TikTok alla morte per aver seguito una sfida estrema lanciata tramite il predetto social network, il Garante per la protezione dei dati personali aveva disposto la limitazione provvisoria del trattamento con provvedimento del 22 gennaio 2021, “vietando l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico”.

A seguito di tale provvedimento, il Provider che gestisce tale social network ha adottato alcune prime misure, sintetizzate nel comunicato del Garante del 3 febbraio 2021:

(…) A partire dal 9 febbraio, dando attuazione alle richieste del Garante, Tik Tok bloccherà tutti gli utenti italiani e chiederà di indicare di nuovo la data di nascita prima di continuare ad utilizzare l’app. Una volta identificato un utente al di sotto dei 13 anni, il suo account verrà rimosso.

Per identificare con ragionevole certezza gli utenti sotto i 13 anni, successivamente a questa prima verifica, la società si è impegnata a valutare ulteriormente l’uso di sistemi di intelligenza artificiale. Poiché l’individuazione di tali soluzioni richiede un bilanciamento tra la necessità di accurate verifiche e il diritto alla protezione dei dati dei minori, la società si è impegnata ad avviare con l’Autorità privacy dell’Irlanda – Paese nel quale la piattaforma ha fissato il proprio stabilimento principale – una discussione sull’utilizzo dell’intelligenza artificiale a fini di “age verification”.

A seguito dell’intervento del Garante, dal 25 gennaio Tik Tok ha anticipato l’introduzione direttamente nell’app di un pulsante che permette agli utenti di segnalare rapidamente e facilmente altri utenti che sembrano avere meno di 13 anni. Tutto ciò sarà in aggiunta alle attuali misure esistenti. TikTok si è anche impegnata a duplicare il numero dei moderatori di lingua italiana dei contenuti presenti sulla piattaforma. (…)

Va tuttavia ricordato che il consenso al trattamento dei dati personali, come previsto dall’art. 2-quinquies del Codice in materia di protezione dei dati personali, novellato per coordinarsi alle disposizione del GDPR, prevede una soglia diversa per il consenso al trattamento di dati personali in relazione all’offerta di servizi della società dell’informazione: 14 anni.

Art. 2-quinquies (Consenso del minore in relazione ai servizi della societa’ dell’informazione). – 1. In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.

Rimangono alcune criticità: a) il sistema congegnato non tiene conto del limite d’età previsto dall’art. 2-quinquies cit. (per gli utenti inferiori a 14 anni occorre comunque il consenso degli esercenti la responsabilità genitoriale); b) il consenso del minore ultraquattordicenne, ai fini dell’autorizzazione al trattamento dei dati personali, legittima solamente i trattamenti di dati diversi da quelli appartenenti a categorie particolari, per cui, ove dall’uso di TikTok, emergessero dati sensibili o comunque riconducibili a quelli indicati all’art. 9 GDPR, occorre pur sempre il consenso di chi esercita la potestà genitoriale anche per i minori ultraquattordicenni; c) il sistema congegnato si accontenta, attualmente, dell’età dichiarata, quando c’è da aspettarsi che gli interessati, pur di fruire del servizio, siano così indotti in realtà a dichiarare un’età superiore rispetto a quella effettivamente posseduta, pur di ottenere l’accesso al social network. La raccolta dell’età dichiarata non appare sufficiente, in tema di accountability, per soddisfare gli sforzi richiesti dal titolare del trattamento, ma, da quanto emerge nel comunicato stampa del Garante, gli sforzi ulteriori sono solo programmatici (indicano l’impegno nel futuro a trovare soluzioni basate sull’Intelligenza Artificiale (AI) , ma non di immediata applicazione); d) l’uso dell’AI per l’Age Verification è soluzione interessante e suggestiva: è misura che fornisce risultati approssimativi, non adatta per una soluzione giuridica attendibile, in termini di certezza, quale ci si aspetta sul piano giuridico, tanto più se ha a che vedere con le situazioni giuridiche concernenti i minori, per i quali il livello di protezione deve mantenersi quanto più elevato possibile; e) interessante appare la soluzione di prevedere un pulsante per segnalare un’età diversa da quella dichiarata dall’utente, perché stimola il controllo sociale diffuso in funzione di tutela del minore, ma si tratta comunque di misura che interviene ex post, ad account già attivato, quando in realtà il controllo sui requisiti relativi all’età dovrebbe essere effettuato ex ante; f) in ogni caso il consenso al trattamento, di tipo autorizzatorio, è atto unilaterale non riconducibile al consenso fornito per la conclusione del contratto: per il primo l’età è quella indicata nell’art. 8 GDPR e nell’art. 2-quinquies del codice in materia di protezione dei dati personali; per il secondo occorre pur sempre la maggiore età e, fino ad allora, occorre il consenso del genitore o comunque dell’esercente la responsabilità genitoriale, essendo altrimenti annullabile il contratto per la fornitura del servizio concluso dal minore sprovvisto della capacità di agire (una cosa è il consenso al trattamento dei dati personali, un’altra cosa è il consenso contrattuale per la fornitura del servizio a titolo solo apparentemente gratuito: si tratta di contratti a titolo oneroso dove il servizio viene reso in cambio di prestazioni non pecuniarie, ravvisabili nell’utilizzo di dati personali dell’utente, per finalità commerciali).

Per l’Age Verification c’è da chiedersi se non sia più opportuno percorrere altre vie, basate su ulteriori soluzioni tecnologiche.

Si pensi, ad esempio, all’idea di ricorrere a terze parti fidate, con funzioni di Certification Authority, presso cui ci si autentica, previa verifica dell’identità, per poi ottenere un certificato digitale contenente solamente il dato relativo all’età dell’utente (ma non quelli relativi all’identità) da utilizzare online per la fruizione dei servizi della società dell’informazione. Tale funzione, in futuro, potrebbe essere svolta anche dalla stessa pubblica amministrazione, che è già in possesso dei dati anagrafici relativi all’età di tutti i cittadini: occorrerebbe però in tal caso un’evoluzione significativa dei servizi resi dalla p.a., nell’ambito di un processo di digitalizzazione che è già in atto.

Previous Article
Next Article