Parental control, le Linee Guida al vaglio di Agcom
Aspetti critici: il conflitto con l'assenza dell'obbligo generale di sorveglianza e l'applicazione dell'adempimento agli ISP che operano sul mercato business
Il 21 marzo 2022 si è conclusa la consultazione pubblica indetta da AGCOM per l'adozione di Linee guida finalizzate all'attuazione dell'articolo 7-bis del D.L. 30 aprile 2020 n. 28 (aggiunto in sede di conversione dalla legge 25 giugno 2020 n. 70) in materia di "Sistemi di protezione dei minori dai rischi del cyberspazio" (delibera 16/22/CONS del 20 gennaio 2022). L'art. 7-bis obbliga gli operatori, nei contratti di fornitura nei servizi di comunicazione elettronica, a pre-attivare gratuitamente sistemi di controllo parentale ovvero di filtro di contenuti inappropriati per i minori e di blocco di contenuti riservati ad un pubblico maggiorenne. Tali servizi sono disattivabili solo su richiesta del consumatore, titolare del contratto.
La scelta di imporre questo onere di implementazione ai fornitori di accesso a Internet – già di per sé confliggente con il panorama normativo applicabile agli operatori che non controllano e non hanno responsabilità sulle informazioni che trasmettono – non è immune da criticità, anche in relazione alle regole tecniche proposte da AGCOM nelle Linee guida oggetto di consultazione.
Il contenuto delle Linee guida
L'Autorità intende fornire "regole tecniche" di implementazione per orientare gli operatori nella progettazione e attuazione dei sistemi di controllo parentale. La classificazione e l'individuazione dei contenuti per i quali deve essere pre-attivato un blocco/filtro saranno, invece, rimesse ad altro e separato procedimento.
Le Linee guida prevedono, quindi, che i sistemi di controllo parentale dovranno essere pre-attivati su tutte le nuove linee, mentre su quelle già attive solo laddove il contratto sia intestato a un utente minorenne. Saranno disattivabili su richiesta del titolare del contratto (ovvero, se minorenne, da parte del soggetto che ne esercita la responsabilità genitoriale).
Per tutte le altre linee già attive, il servizio verrà messo a disposizione e gli utenti potranno decidere se attivarlo o meno.
Le Linee guida graduano gli obblighi di implementazione in base all'ampiezza della customer base degli operatori e prevedono come funzionalità minima che tutti devono garantire il blocco tramite i resolver DNS forniti dagli ISP, che dovranno reindirizzare le richieste relative a domini associati alla presenza di contenuti oggetto di filtro su una "stop page" appositamente predisposta per informare gli utenti del sistema di protezione in atto.
Inoltre, il cliente maggiorenne deve avere accesso a un'interfaccia utente di facile utilizzo per configurare, attivare o disattivare il filtro in tempo reale. Infine, i sistemi di parental control dovranno essere forniti gratuitamente, senza costi di attivazione, disattivazione o funzionamento. Gli ISP dovranno darne adeguata pubblicità e dovranno fornire un servizio di assistenza gratuita, anche tramite call center con operatore umano.
Ulteriori obblighi riguardano, invece, solo gli operatori che hanno tra 10.000 e 100.000 linee dati attive (fascia B) e coloro che hanno almeno 100.000 linee dati attive (fascia A).
Tutti gli altri operatori, invece, appartengono alla fascia C.
Gli ISP delle prime due fasce dovranno a permettere lo sblocco temporaneo del sito richiesto direttamente dalla stop page frutto del reindirizzamento, da parte del titolare del contratto o, se minorenne, da parte di chi ne esercita la responsabilità genitoriale, nonché la possibilità di creare black list e white list personalizzate, in modo da indicare i siti web che, rispettivamente, saranno sempre bloccati e sempre consentiti.
In aggiunta, gli operatori di fascia A dovranno anche permettere la configurabilità dei sistemi di controllo parentale per fasce orarie e con la possibilità di memorizzazione dei siti visitati e implementare il sistema di reindirizzamento DNS in modo da impedire l'aggiramento del blocco da parte di utenti che utilizzano DNS propri o forniti da terzi.
In particolare, è prevista l'implementazione di filtri basati sugli indirizzi IP, il blocco di quelle funzionalità del terminale che consentono all'utente di utilizzare servizi DNS di altri soggetti, o servizi DNS di tipo DoT (DNS-over-TLS) e DoH (DNS-over-HTTPS).
È prevista anche la fornitura di applicativi installabili dall'utente sui propri dispositivi per consentire il filtraggio dei singoli contenuti.
Aspetti critici
Il lodevole intento di tutelare lo sviluppo psico-fisico dei minori si scontra con le modalità che il legislatore, in prima battuta, e l'AGCOM, poi, hanno prediletto per l'attuazione di questi sistemi di protezione, sia in relazione alla scelta di imporre l'obbligo di implementazione sugli operatori che trasmettono le informazioni (senza esserne autori, titolari o averne comunque un controllo di tipo editoriale), sia in relazione agli adempimenti cui devono provvedere, onerosi in termini di adattamento dei propri sistemi, sia hardware che software.
• Il conflitto con l'assenza dell'obbligo generale di sorveglianza
Già con la direttiva e-commerce (direttiva 2000/31/CE, attuata in Italia dal D. Lgs. 70/2003 ) è stato definito a livello normativo il principio di "neutralità" degli operatori che effettuato attività di "mere conduit" (semplice trasporto) dei dati richiesti dagli utenti.
Una situazione di fatto (perché è proprio il "compito" degli ISP trasmettere informazioni dall'autore dei contenuti o dal soggetto che li ospita all'utente che chiede accesso, e viceversa) che si è tradotta in una irresponsabilità giuridica in relazione alle informazioni illecite che vengono veicolate dai loro sistemi.
Vige, infatti, l'assenza di un obbligo generale di sorveglianza sulle informazioni che trasmettono.
La Direttiva lascia impregiudicata la possibilità per gli Stati membri, che un organo giurisdizionale o un'autorità amministrativa esigano che l'operatore impedisca o ponga fine ad una violazione.
La normativa europea è chiara nel voler limitare allo stretto necessario l'intervento degli ISP sui contenuti, tanto da permettere un intervento – per ordine di un'autorità pubblica – solo in caso di "violazione" (ossia in presenza di informazioni illecite) ed ex post (non in via preventiva operando un blocco generalizzato).
È il caso, ad esempio, di siti web che presentano contenuti pedo-pornografici (oggetto di blocco su ordine specifico da parte del CNCPO) giochi d'azzardo non autorizzati (per ordine dell'AAMS), che violano il diritto d'autore (per ordine dell'AGCOM), oppure che vendono online tabacchi lavorati o prodotti liquidi da inalazione senza combustione (per ordine dell'ADM).
Dal momento che l'art. 7-bis del D.L. 28/2020 stabilisce l'obbligo di attuare i filtri in relazione a contenuti "inappropriati per i minori" o "riservati a un pubblico di età superiore degli anni diciotto " (che – giova sottolinearlo – non sono contenuti illeciti, ma solo inappropriati per un certo pubblico ritenuto vulnerabile), senza specificare le modalità per la classificazione di tali contenuti e senza individuare un organo ad hoc che proceda a tale operazione con procedure ad evidenza pubblica, si allontana non poco dai princìpi che – fino ad ora – hanno regolato l'attività degli ISP.
L'aspetto appena evidenziato appare ancora più grave laddove venga demandato direttamente al singolo operatore ISP di predisporre anche sistemi in grado di identificare i contenuti oggetto della trasmissione in modo da attivare o meno il blocco a seconda dei risultati della verifica.
Si può trovare una conferma nel Codice europeo delle comunicazioni elettroniche (direttiva 2018/1972/UE), il quale al considerando 270 prevede che "Spetta agli Stati membri, e non ai fornitori di reti o servizi di comunicazione elettronica, decidere, seguendo le normali procedure, se i contenuti, le applicazioni e i servizi siano legali o dannosi".
Se la normativa italiana si pone contro questo principio, si violerebbero anche i principi della "Net neutrality", dal momento che il regolamento 2015/2120/UE prevede che gli ISP "non bloccano, rallentano, alterano, limitano, interferiscono con, degradano o discriminano tra specifici contenuti, applicazioni o servizi, o loro specifiche categorie, salvo ove necessario e solo per il tempo necessario a: a) conformarsi ad atti legislativi dell'Unione o alla normativa nazionale conforme al diritto dell'Unione".
Aspetti critici sorgono anche in relazione alla tutela della privacy nelle comunicazioni elettronica, dal momento che la direttiva 2002/58/CE vieta "l'ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi" (art. 5), salvo autorizzazione di legge, ma solo con il fine di tutelare la sicurezza nazionale o la prevenzione, accertamento e perseguimento di reati.
Tra i casi di esclusione non è previsto un controllo al fine di filtrare i contenuti inappropriati.
È vero che la Direttiva prevede che il consenso degli utenti possa permettere una qualche forma di intervento da parte dell'operatore, ma la pre-attivazione del parental control salvo opt-out del cliente non è certo ricompresa nella fattispecie.
Per tutti questi motivi, l'obbligo di predisporre un sistema che intervenga sui dati trasportati, comporta criticità non marginali in relazione a princìpi costituzionali, come il principio di proporzionalità-ragionevolezza e il diritto alla libertà e alla segretezza delle comunicazioni, nonché in relazione ai princìpi del diritto dell'Unione che governano il sistema di tutela dei dati personali e il settore delle comunicazioni elettroniche.
• L'obbligo di implementare i sistemi di parental control vale anche per le utenze business
Oltre ai rilievi esposti nel paragrafo precedente, ci sono ulteriori aspetti critici che concernono l'implementazione pratica di questi sistemi. L'onere risulta quanto mai sproporzionato, se non eccessivo, laddove venga imposto agli ISP che operano sul mercato business, senza clienti consumatori ovvero che ne abbiano in minima parte.
Per quanto l'interpretazione sistematica dell'art. 7-bis del D.L. 28/2020 permetterebbe già di ritenere applicabile le Linee guida solo ai contratti conclusi con i consumatori, tale aspetto non è per nulla chiaro dal dato testuale, che, da un lato, utilizza il termine "consumatori" come sinonimo di "clienti" e, dall'altro, impone l'attivazione dei filtri nei "contratti di comunicazione elettronica", senza specificare se valga per ogni tipologia di fornitura, ovvero solo in relazione a quelle consumer.
Analogamente, il testo delle Linee guida fa sorgere i medesimi dubbi interpretativi.
Eppure, arrivare alla conclusione che i sistemi di controllo parentale siano da pre-attivare anche sulle linee aziendali accessibili da utenti che si collegano alla Rete in ambito lavorativo, dai locali del datore di lavoro (o comunque suoi aventi causa) e durante la prestazione lavorativa rappresenta un eccessivo allontanamento dalle finalità di tutela dello sviluppo psico-fisico dei minori, richiamate dalla stessa Autorità nel documento.
Il settore giuslavoristico, infatti, è già dotato di regole e tutele per garantire la sicurezza e la salute delle persone nei luoghi di lavoro. Non a caso, è proprio il datore di lavoro a definire le policy per l'utilizzo degli strumenti informatici e le regole per l'accesso a Internet tramite la rete aziendale.
Affidare agli operatori l'implementazione dei sistemi di controllo parentale rappresenterebbe una duplicazione degli accorgimenti finalizzati alla tutela dei lavoratori, e per di più sarebbe un onere eccessivo se commisurato non solo alla percentuale di lavoratori minorenni rispetto alla totalità dei lavoratori, ma soprattutto considerando che sarebbero esposti al "rischio" di accedere a contenuti inappropriati solo quei lavoratori minorenni che rendono la prestazione lavorativa tramite un computer o altri dispositivi elettronici con libero accesso a Internet (e non ristretto alla rete locale aziendale).
Un rischio che comunque gli ISP non dovrebbero farsi carico, posto che il datore di lavoro è già responsabile del corretto utilizzo degli strumenti aziendali. Per tutte queste ragioni, e nonostante i rilievi già espressi nei precedenti paragrafi, sarebbe comunque coerente e auspicabile limitare l'obbligo di imposizione dei sistemi di controllo parentale ai soli contratti conclusi con i consumatori. In tale ottica, sarebbe, quindi, utile un chiarimento da parte di AGCOM al fine di evitare il rischio di incorrere in sanzioni per la mancata attuazione degli obblighi di cui al D.L. 28/2020.
_____
*A cura dell' avv. Vincenzo Gallotto, Studio Legale Gallotto