EDPB adotta una decisione sulla verifica dell’età: impatti ed azioni per i titolari del trattamento

È cosa nota che i minori, in quanto nativi digitali, facciano un precoce utilizzo dei social network così come, più in generale, di smartphone e altri device intelligenti, strumenti questi che potrebbero raccogliere e trattare i loro dati personali. Secondo la normativa sulla privacy, però, i titolari non sono autorizzati a trattare i dati dei minori indiscriminatamente ma possono farlo, senza il consenso dei genitori, soltanto con riferimento a determinate fasce d’età e comunque per l’erogazione di specifici servizi della società dell’informazione.

Come fare a garantire la compliance alla normativa, procedendo alla corretta verifica dell’età? 

Il Comitato Europeo per la protezione dei dati, nel mese di febbraio 2025, ha adottato una decisione che individua principi generali e indicazioni specifiche sul punto, a supporto dei titolari.

In data 11 febbraio 2025, il Comitato Europeo per la protezione dei dati (EDPB) ha adottato una decisione sulla verifica dell’età che individua principi generali e indicazioni specifiche per i titolari del trattamento che, nell’erogazione dei propri servizi e/o nella promozione e vendita dei loro prodotti, possano entrare in contatto con soggetti minori.

Prima di passare in rassegna le indicazioni del’EDPB, vale la pena inquadrare il contesto di riferimento. Ai sensi dell’art. 8 del GDPR, rubricato “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”, qualora ricorra la base giuridica del consenso, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni.

La regola generale di derivazione europea ammette la raccolta e l’elaborazione dei dati personali dei soggetti minori, sulla base del loro consenso, solo con riferimento ad una specifica fascia d’età e ad un contesto specifico di servizi, quelli della società dell’informazione. Si considerano “servizi della società dell’informazione”, secondo la Direttiva sul commercio elettronico (Direttiva 2000/31/CE), quei servizi prestati “dietro retribuzione a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario”: in buona sostanza, si fa riferimento all’offerta di informazioni o di comunicazioni commerciali online, alla fornitura di strumenti per la ricerca, l’accesso e il reperimento di dati, alla trasmissione tramite una rete di comunicazione o alla fornitura di accesso a una rete di comunicazione. Per “servizi della società dell’informazione” andranno dunque intesi piattaforme come i motori di ricerca, i blog o i social network.

Al di fuori dell’erogazione di tali servizi e considerata una fascia d’età inferiore, i dati del minore possono essere richiesti e quindi trattati solo se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Il GDPR, tuttavia, ammette deroghe da parte degli Stati membri che dunque possono stabilire, con legge dello Stato, un’età inferiore a tali fini purché non inferiore ai 13 anni. In Italia, l’art. 2-quinquies del Codice Privacy, come modificato post GDPR con decreto di armonizzazione n. 101 del 2018, fissa tale limite a 14 anni.

Dunque, nel contesto italiano, il titolare del trattamento che nell’esercizio della propria attività di impresa si occupi di erogare servizi della società dell’informazione potrà trattare dati personali di minori, sulla base del loro consenso, a condizione che questi dimostrino di avere – o meglio, come si dirà nel seguito, che il titolare assicuri di aver verificato che abbiano –almeno 14 anni. Diverso è il caso del titolare che presso le proprie digital properties non eroghi servizi della società dell’informazione ma promuova la vendita di beni di consumo o beni di lusso: questi, al contrario, dovrebbe garantire che tale attività venga svolga mediante raccolta esclusivamente di dati personali di soggetti maggiorenni.

La norma in parola (art. 8 GDPR) aggiunge: “il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili”.

Grava dunque un doppio “onere probatorio” sul titolare del trattamento: questi, infatti, è tenuto in primis a verificare l’età del minore, prima ancora di procedere alla raccolta del dato; in seconda battuta, svolta tale verifica, è tenuto a raccogliere il consenso del minore (oppure dei suoi genitori nel caso in cui la verifica avesse dato esito negativo).

La decisione dell’EDPB si pone nel solco tracciato da una serie di normative europee di recente emanazione ai fini della maggiore protezione dei minori nell’ambiente digitale. Il riferimento va, tra le altre, alla direttiva sui servizi di media audiovisivi che gli Stati membri hanno recepito nelle loro legislazioni nazionali, nonché alla direttiva sui servizi digitali che qualifica la verifica dell’età come misura di mitigazione del rischio, fermo restando quanto previsto dal GDPR. Inoltre – precisa l’EDPB – diverse iniziative nazionali ed europee, come Better Internet for Kids (BIK+), identificano la garanzia dell’età come una soluzione per migliorare il benessere dei minori online attraverso un ambiente digitale sicuro e adatto alla loro età, in linea con i principi europei del digitale.

Nel fornire indicazioni, l’EDPB chiarisce infatti che la verifica dell’età, ove non svolta, comporta rischi specifici non solo per la protezione dei dati personali dei soggetti minori ma anche per altri loro diritti e libertà, come il diritto alla non discriminazione, il diritto all’integrità della persona, il diritto alla libertà e alla sicurezza e il diritto alla libertà di espressione e di informazione. Tali diritti fondamentali del minore dovranno essere debitamente considerati dai titolari del trattamento nella selezione, by design, del processo di verifica. In tale contesto, deve infatti essere assicurato il pieno ed effettiva tutela dei diritti e delle libertà del minore mediante l’evoluzione dell’analisi del rischio del trattamento, bilanciando tale processo anche con tutti gli altri diritti fondamentali, e ponendo il minore al centro.

In che modo dunque svolgere l’analisi dei rischi in sede di valutazione by design del processo di verifica dell’età?

L’EDPB a questo riguardo richiede che la verifica dell’età debba essere sempre attuata in modo proporzionato e basato sul rischio, compatibilmente con i diritti e le libertà delle persone fisiche. In sede di valutazione, i fornitori di servizi dovranno prendere in considerazione da un lato i diritti dei bambini, ma dall’altro lato anche le opportunità offerte dall’ambiente digitale. In molti casi, inoltre, i servizi riservati ai minori che prevedono verifica dell’età presentano un rischio elevato per i diritti e le libertà degli interessati e pertanto richiederebbero una valutazione d’impatto sulla protezione dei dati (“DPIA” ai sensi dell’art. 35 del GDPR) prima di procedere al trattamento. La DPIA, in tale contesto, deve fare da guida durante la progettazione e l’implementazione di adeguate misure tecniche e organizzative per la conformità del flusso di dati.

In occasione di tale valutazione d’impatto, i titolari dovranno documentare di aver impostato il processo di verifica secondo i principi GDPR vincolanti di limitazione delle finalità e minimizzazione dei dati. In concreto, i titolari (nonché qualsiasi terza parte per loro conto coinvolta nel processo di assurance dell’età) devono procedere alla raccolta ed elaborazione solo di quelle informazioni relative all’età che possano dirsi strettamente necessarie per il loro scopo specifico, esplicito e legittimo, che, nella maggior parte dei casi, coincide con il controllo dell’accesso in base all’età per la prevenzione di pregiudizi, oppure con l’offerta di un design o di un’esperienza appropriata in base all’età. Una volta raccolti, i dati personali non devono essere ulteriormente trattati o combinati con altri dati in modo incompatibile con tali finalità. Sul punto, l’EDPB propone esempi concreti: per comprendere se l’utente sia al di sopra o al di sotto di una soglia di età, il titolare potrebbe adottare un approccio “tokenizzato”, con coinvolgimento di un fornitore terzo, per ottenere visibilità del solo risultato funzionale dell’operazione. Ulteriori approcci potrebbero essere assunti nel caso in cui il titolare abbia bisogno di sapere se l’utente rientri in una particolare fascia d’età o se sia nato in un anno specifico.

Ancora, i titolari sono tenuti a documentare il rispetto dei principi di liceità, correttezza e trasparenza nei confronti degli interessati: devono cioè garantire che il trattamento dei dati personali ai fini della verifica dell’età sia lecito, equo e informato per gli utenti. La trasparenza nel contesto della verifica dell’età è particolarmente importante quando si tratta di bambini: il linguaggio dovrà essere ulteriormente chiaro e comprensibile, appunto perché rivolto ad una platea di minori e, nel caso di ricorso a diversi metodi per la verifica dell’età, essi dovrebbero essere spiegati chiaramente e dovrebbe essere trasparente l’impatto che ciascun metodo di verifica comporta dal punto di vista della protezione dei dati.

Tanto premesso, sulla prevenzione dei rischi legati alla protezione dei dati, l’EDPB fornisce utili spunti: la verifica dell’età non dovrebbe tradursi nell’adozione di strumenti non necessari, ossia volti a restituire, oltre alla verifica dell’età, operazioni di identificazione, localizzazione, profilazione o tracciamento. In particolare, il trattamento dei dati personali per la verifica dell’età non deve poter perseguire finalità ulteriori ed estranee alla verifica dell’età stessa.

In che modo evitare che ciò accada?

Si tratta di optare per approcci di verifica dell’età che rispettino pienamente il principio della protezione dei dati per impostazione e di default, nonché per misure di attuazione che garantiscano il principio di equità, assicurando che i dati personali non siano trattati in modo ingiustificatamente dannoso, illegittimamente discriminatorio, inatteso o fuorviante per gli interessati.

Anche in questo caso, vengono offerti esempi concreti: una persona fisica a cui viene richiesto di verificare la propria età per accedere a contenuti per adulti non si aspetterebbe che il fornitore di servizi utilizzi tale dato per determinare la sua identità o la sua esatta posizione geografica o per monitorare, valutare o dedurre aspetti personali ulteriori. Analogamente, il processo di verifica dell’età non dovrebbe consentire l’ulteriore targeting o la profilazione degli utenti, a fini commerciali (ad es. pubblicità personalizzata). Inoltre, agli utenti che non possono o non vogliono dimostrare la propria età devono essere fornite alternative valide.

Lo “Statement” dell’EDPB si pronuncia, infine, sui criteri dell’efficacia della verifica e sulle valutazioni da svolgere in punto di security. In particolare, l’efficacia del processo di verifica dell’età deve essere valutata in base a diversi aspetti, tra cui:

a) accessibilità - la garanzia dell’età dovrebbe essere ampiamente accessibile, per cui nel caso in cui alcune categorie di persone rischino di essere discriminate da uno specifico metodo di verifica dell’età (ad esempio, perché non possiedono un documento d’identità o un telefono cellulare adeguato, oppure a causa di una disabilità) devono essere resi disponibili metodi alternativi per la verifica dell’età, quando ragionevolmente possibile, con adeguati livelli di privacy, sicurezza e protezione;

b) affidabilità - qualsiasi metodo dovrebbe fornire un livello di accuratezza adeguato e coerente nella determinazione del risultato di verifica (in questo senso, nella verifica mediante autodichiarazione non può essere assicurata affidabilità in quanto essa dipenderà principalmente dalla buona fede dell’utente);

c) robustezza – il processo dovrebbe essere tutelato da eventuali tentativi di ingannare o aggirare il sistema.

In questo senso, i titolari devono implementare adeguate misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra tali misure, l’EDPB indica:

• la pseudonimizzazione e la crittografia per mitigare i possibili effetti negativi delle violazioni dei dati (c.d. data breach);

• la cancellazione dei log una volta verificata l’età dell’utente, al fine di evitare la conservazione (non strettamente necessaria) dei dati personali utilizzati per il processo di verifica dell’età;

• politiche per garantire il ripristino tempestivo della disponibilità del processo dopo una violazione della sicurezza;

• politiche per garantire la resilienza dell’ecosistema di age assurance, favorendo l’esistenza di diverse alternative e di parti non strettamente accoppiate, in modo tale da evitare che il fallimento o l’interruzione dei servizi di una di esse causi limitazioni significative all’accesso.

Sebbene le misure di sicurezza abbiano fondamentale importanza, l’EDPB ricorda che esse non possono sostituire l’applicazione dei principi di necessità, proporzionalità o della protezione dei dati per progettazione e per impostazione predefinita, oltre all’imprescindibile formazione del personale autorizzato all’accesso ai dati strumentali alla verifica.

In estrema sintesi, i titolari tenuti alla verifica dell’età degli utenti delle proprie piattaforme dovrebbero aver adottato o adottare:

• un privacy risk assessment dedicato al processo di specie ed evoluto, volto alla valutazione non soltanto dei rischi specifici per la protezione dei dati personali dei soggetti minori ma anche per altri diritti e libertà fondamentali, come il diritto alla non discriminazione, il diritto all’integrità della persona, il diritto alla libertà e alla sicurezza e il diritto alla libertà di espressione e di informazione;

• una valutazione d’impatto sulla protezione dei dati che documenti, nell’adozione del processo, il rispetto dei principi generali di limitazione delle finalità, minimizzazione dei dati, liceità, correttezza e trasparenza nei confronti degli interessati;

• misure per la prevenzione dei rischi legati alla protezione dei dati, che potrebbero essere causati dall’adozione di strumenti evidentemente sbilanciati, volti a restituire, oltre alla verifica dell’età, operazioni di identificazione, localizzazione, profilazione o tracciamento;

• un processo per la verifica dell’efficacia del sistema adottato per la verifica dell’età, basato sui criteri di accessibilità, affidabilità, robustezza;

• adeguate misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.

_____

* Chiara Benvenuto, Senior Associate, Avvocato - Rödl & Partner

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più