AGCM, AGCOM e Garante privacy uniti nella tutela del minore on line

Il minore, tradizionalmente riconosciuto quale soggetto debole e vulnerabile, vede amplificata la propria esposizione ai rischi nella dimensione virtuale.

Sebbene i reati compiuti a danno dei minori attraverso la via telematica non siano nuovi rispetto agli illeciti perpetrabili nel mondo tradizionale, è innegabile che il fattore digitale ne aumenti considerevolmente la portata. L’impatto è intensificato a causa della replicabilità del contenuto illecito e, dunque, dalla propagazione (spesso anche molto rapida) dello stesso che comporta una perdita di controllo sui propri dati (tra cui anche le immagini, che sono spesso al centro di reati, come il revenge porn) a cui a volte non è possibile rimediare pienamente.

Benché nativi digitali, oggi i minori necessitano di strumenti di protezione adeguati alla dimensione virtuale. Se, da un lato, la protezione può avere natura preventiva e formativa, fondandosi sull’educazione al digitale e, ex post, su misure rieducative, dall’altro lato, la tutela giuridica è imprescindibile.

I rimedi ordinari previsti dal diritto civile e dal diritto penale rimangono certamente applicabili, ma è possibile oggi avvalersi di strumenti di tutela aggiuntivi.

Un primo avamposto è istituito nell’ambito della protezione dei dati personali, ove il Reg. (UE) 2016/679 individua un limite d’età ai fini dell’accesso ai c.d. “servizi della società dell’informazione” da parte dei minori (fissato in EU a 16 anni, in Italia a 14 anni in virtù della discrezionalità lasciata dal GDPR ai legislatori nazionali). Al di sotto di tale soglia, occorre il consenso dei soggetti esercenti la responsabilità genitoriale.

Una norma analoga è contenuta nella recente legge italiana sull’intelligenza artificiale, la n. 132/2025, che all’art. 4 dispone l’accesso alle tecnologie di intelligenza artificiale solo al “minore di anni diciotto, che abbia compiuto quattordici anni, [il quale] può esprimere il proprio consenso per il trattamento dei dati personali connessi all’utilizzo di sistemi di intelligenza artificiale, purché le informazioni e le comunicazioni [relative al trattamento dati] siano facilmente accessibili e comprensibili”.

Si tratta di disposizioni importanti in quanto volte a garantire che solo un soggetto dotato di una certa maturità e capacità di autodeterminazione possa accedere a determinati servizi e tecnologie, rispetto alle quali l’utente – specie se minore – è affetto da una frequente asimmetria cognitiva e informativa.

Tuttavia, oggi tali norme risultano poco efficaci e scarsamente rispettate, come dimostrano alcuni recenti provvedimenti del Garante privacy italiano che ha, in diverse occasioni, bloccato il trattamento di dati personali da parte di provider di servizi digitali e tecnologici. Il principale riferimento è ai casi che hanno visto coinvolti OpenAI (noto per ChatGPT), TikTok e Luka Inc. (ideatore del chatbot Replika): in tutti questi casi, l’Autorità contestava, tra gli altri rilievi, l’omessa o inadeguata verifica dell’età degli utenti e la mancanza di informazioni chiare e comprensibili per un pubblico di minori.

L’age verification è d’altronde una misura di protezione invalsa ormai da tempo nell’ambito dei servizi digitali: la Direttiva 2010/13/UE sui servizi di media audiovisivi la annovera, insieme al parental control, tra gli strumenti volti a impedire l’accesso da parte dei minori ai servizi di media che possono nuocere al loro sviluppo fisico, mentale o morale. Più recentemente, il Digital Services Act (il Regolamento UE 2022/2065) la menziona tra le misure che i fornitori di piattaforme online e di motori di ricerca online di dimensioni molto grandi (Very Large Platform Provider) devono adottare, ove opportuno.

Tuttavia, oltre alla previsione di tale misura, non sono forniti dettagli circa le concrete modalità di attuazione. A livello unionale si è infatti deciso di adottare un approccio di neutralità tecnologica, astenendosi dal favorire o imporre l’uso di una tecnologia specifica, limitandosi piuttosto a fissare gli obiettivi da raggiungere.

Nel silenzio del legislatore sono allora ancora più rilevanti le indicazioni offerte in Italia dall’Autorità per le garanzie nelle comunicazioni (AGCOM), a cui è stato attribuito, tramite il d.l. 123/2023, il compito di individuare le modalità tecniche per l’accertamento dell’età (seppure in un ambito molto specifico, vale a dire quello dell’accesso a contenuti a carattere pornografico).

Pur rispettando l’approccio sopra menzionato, l’AGCOM, con la delibera 96/25/CONS, ha individuato alcune raccomandazioni utili all’accertamento della maggiore età degli utenti nel rispetto dei principi di protezione dei dati personali, tra cui quelli di minimizzazione, di privacy-by-design e del divieto di profilazione degli utenti. Inoltre, l’Autorità ha fornito qualche esempio di pratiche ritenute non conformi, come “quei sistemi che si basano su:

- raccolta diretta di documenti di identità da parte dell’editore del sito pornografico;

- stima dell’età basata sulla cronologia di navigazione dell’utente Internet sul web;

- trattamento di dati biometrici al fine di identificare o autenticare una persona fisica (ad esempio, confrontando, tramite tecnologia di riconoscimento facciale, una fotografia riportata su un documento di identità con un autoritratto o un selfie)”.

Analogamente, ai fini della delibera in esame il sistema SPID non è ritenuto idoneo in quanto non garantisce il c.d. “doppio anonimato”, vale a dire il requisito per cui i fornitori di prova dell’età (l’Identity provider) non devono sapereper quale servizio o sito web viene eseguita la verifica dell’età.

L’AGCOM poi individua i requisiti minimi applicabili a tutti i sistemi di age verification, tra cui l’indipendenza del fornitore del sistema di verifica dell’età dai servizi che diffondono i contenuti.

Sempre l’AGCOM interviene poi a tutela del minore anche in qualità di “coordinatore dei servizi digitali”. A questa Autorità sono stati infatti conferiti i poteri di vigilanza riconosciuti dal già citato Digital Services Act, tra cui quelli di “limitare la circolazione di programmi, video generati dagli utenti e comunicazioni commerciali audiovisive diffusi su una piattaforma di condivisione video e diretti al pubblico italiano, laddove questi contenuti siano nocivi per lo sviluppo psico-fisico dei minori, oppure incitino all’odio o siano lesivi dei consumatori e ricorra una situazione di urgenza”.

Ed è in questa veste che l’AGCOM ha, ad esempio, avviato una procedura nei confronti del notorio social TikTok volta alla rimozione di alcuni video che, presentati come una sfida virale, inducevano soprattutto i più giovani a compiere atti di autolesionismo.

Oltre al Garante privacy e all’AGCOM, è importante evidenziare anche l’attività dell’Autorità Garante della concorrenza e del mercato (AGCM) che rappresenta, a sua volta, un presidio a tutela dei giovani consumatori.

Con un provvedimento del 2024, l’AGCM rilevava la scorrettezza della pratica commerciale di TikTok di diffondere video tramite un “sistema di raccomandazione” basato sulla profilazione algoritmica dell’utenza, anche minorenne. Il modello selezionava quali video destinare a ciascun consumatore, con l’obiettivo di aumentare le interazioni tra utenti e il tempo speso sulla piattaforma così da accrescere la redditività degli introiti pubblicitari. Secondo l’Autorità, questa pratica aveva l’effetto di causare un indebito condizionamento degli utenti che venivano stimolati ad adoperare sempre di più la piattaforma.

Trattando la tematica, un doveroso riferimento deve essere fatto alla normativa nazionale in materia di bullismo e cyberbullismo, dettata dalla l. 29 maggio 2017, n. 71, recentemente modificata dalla l. 70/2024.

Questa legge, infatti, tra le altre disposizioni, introduce una procedura a tutela del minore vittima di cyberbullismo consistente nella possibilità di presentare un’istanza di oscuramento, rimozione o blocco di qualsiasi dato personale o contenuto del minore al gestore del sito web o del social in cui questo è stato diffuso. Il gestore avrà quindi 24 ore per comunicare l’assunzione dell’incarico e 48 ore per provvedervi. In caso di omesso tempestivo riscontro o blocco da parte del gestore, il minore ultraquattordicenne ovvero i genitori possono rivolgere analoga richiesta, mediante segnalazione o reclamo, al Garante privacy.

A tutela del minore nello spazio digitale sembra profilarsi un sistema giuridico integrato, in cui protezione dei dati personali, regolazione dei servizi digitali e tutela del consumatore operano in modo coordinato, fornendo diversi strumenti di tutela su molteplici piani.

Affinché questa tutela sia effettiva, occorre però un’attività di enforcement, in parte delegata alle autorità amministrative, capace di vigilare e di incidere sui modelli organizzativi delle piattaforme.

_______

*Avv. Laura Greco, Studio Legale Finocchiaro