GDPR e tutela dei minori: il ruolo delle piattaforme

05 luglio 2023Ultimo aggiornamento 11 luglio 2024
Tempo di lettura stimato: 10'
Nell’ultimo articolo sul GDPR e minori, ci siamo lasciati sull’importanza della consapevolezza che, abbiamo detto, manca, non solo tra i giovani, anche tra gli adulti, tra i genitori, spesso manca a scuola… Se non lo hai ancora letto, ti consiglio di farlo e poi di tornare qui, perché in questo approfondimento, invece, entriamo nel merito di un’altra questione: qual è il ruolo – se esiste un ruolo – delle piattaforme nella tutela dei minori

Ripartiamo da questo e ne parliamo col Dottor Agostino Ghiglia, Componente del Garante per la Protezione dei dati personali. Quello che segue è solo un estratto, l’intervista completa è su Raise Academy.

Di fatto, le leggi le stanno facendo le piattaforme

Andrea Chiozzi: Dottor Ghiglia, abbiamo detto che il primo difensore dei dati nostri dati personali siamo noi e che saremmo noi i primi a doverci preoccupare di tutelarli, perché se ognuno facesse un po’ il suo, le cose andrebbero meglio…

Dottor Ghiglia: Esatto. Poi c'è anche chi ha gli strumenti per sanzionare, bloccare, chiudere, intimidire attraverso gli avvertimenti e gli ammonimenti (NdR: l’Autorità Garante). Però questa è la parte che viene dopo. La parte che viene prima la dobbiamo fare assolutamente tutti assieme. Garantiamoci, difendiamoci da soli di fronte a questa aggressione della tecnologia. Io non sono contro la tecnologia, non sono un passatista nel senso marinettiano, credo però che il futuro vada cavalcato. Vada organizzato e vada regolamentato. Le regole le devono fare le democrazie e gli Stati. I rapporti con le GAFAM o Big Tech non le può avere il singolo. Le devono imporre gli Stati.

Andrea Chiozzi: Dico una cosa forse un po’ sopra le righe. Quando c'è da garantirsi sembra un po' più semplice per gli Stati del blocco Nato garantirsi verso la Cina che garantirsi verso le Big Tech americane. Dove lì si subisce, molto probabilmente, una pressione politica ed economica che è differente anche nell'approccio. Difficilmente i cinesi tendono a essere così aggressivi come lo possono essere gli americani. Vedo che con gli Usa c'è sempre un po' di difficoltà certe volte nel definire insieme delle regole che abbiano un senso. Mettiamo da parte Schrems e le varie sentenze. Ma il trovare un accordo sul buon utilizzo del dato personale, un utilizzo etico del dato personale con le Big Tech americane, certe volte, sembra quasi impossibile. È complicato e non penso di avere la soluzione giusta, ma certe volte quello che si perde è un po' di buon senso. Io ho questa impressione. 

Dottor Ghiglia: Lei ha toccato un punto importante: che regolamentano loro e lo stanno già facendo, di fatto. Perché le leggi le stanno facendo Meta, WhatsApp, TikTok, Instagram... Le loro leggi si chiamano termini e condizioni d'uso. Le accettiamo e nessuno interviene. Le condizioni d’uso non sono leggi. Sarebbe meglio che qualche legge intervenisse prima. Lei toccava un tema estremamente importante: TikTok. Sento solo parlare di TikTok. Io non sono nemico di alcuno e non sono nemico di alcuno, come Garante, e quindi dico una cosa: per me i cinesi e gli americani, dal punto di vista dei dati, sono la stessa cosa, così come gli indonesiani, i maldiviani, i congolesi e tutti coloro i quali non sono GDPR compliant. Ossia tutti coloro i quali non assicurano una dovuta protezione al trattamento dei dati. Tutto il resto è Geopolitica. A me non spetta, né mi permetto di intervenirci. 

È chiaro che sarebbe opportuna una regolazione molto più seria e serrata, che però deve avvenire a livello europeo. Non può che avvenire a livello europeo, nei confronti di queste grandi società. Intanto il GDPR ci vincola ossia: noi, in caso di pericolo per i diritti fondamentali degli italiani, possiamo disporre un provvedimento di blocco di massimo 3 mesi. Ma se la società, giusto per ricordarlo, non ha sede in Italia, bensì ha sede in un altro paese dell'Unione Europea, devo aprire una procedura europea che comunque dura mesi, quando va bene, e deve trovare l’accordo di tutti i Paesi. 

Che un'azienda sia cinese o abbia un socio cinese per cui questo socio cinese deve trasmettere i dati in caso di richiesta allo Stato, poco cambia. Non dimentichiamoci che negli Stati Uniti, una società, in base anche al Patriot Act, è obbligata a fornire i dati allo Stato, su richiesta, qualora ce ne sia un'esigenza. Di conseguenza, la differenza per noi europei è nulla. Per me non c'è una pregiudiziale etica

Non è una questione di latitudine, è una questione di protezione dei dati. Chi protegge meglio i miei dati? Nessuno dei due. Chi è che profila i miei dati? Tutti e due.

La responsabilità delle piattaforme: serve una “Age Verification” corretta 

Andrea Chiozzi: Bene. Alla luce del contesto, come Autorità, dove ritenete sia più importante concentrare l'attività di formazione/educazione/consapevolezza: sui genitori? Sui minori? Su tutti e due? Basta solo dare consapevolezza o servono delle regole? 

Dottor Ghiglia: Aggiungo un terzo soggetto, non vorrei dire che è il più importante, ma lo è alla pari: le piattaforme. Noi stiamo battendo tantissimo sulla age verification – la verifica dell'età anagrafica reale - perché è troppo blanda, è troppo lasca. Non voglio usare un termine eccessivo, ma è un po' troppo evanescente. Ci stiamo concentrando - lo si vedrà nei prossimi mesi - nel chiedere alle piattaforme un forte impegno su una age verification reale. Noi stiamo battendo e batteremo tantissimo e faremo controlli sul fatto che ci sia una age verification corretta, per quanto possibile. Sappiamo che allo stato attuale della tecnologia, la perfezione non è possibile, però che io - e l'ho fatto tante volte - su una qualsiasi App, mi registri come bambino di 10 anni e non mi prendano. E sullo stesso telefono, dopo 10 secondi, aggiunga 3 anni e mi prendano, quella non è age verification

Andrea Chiozzi: Se già le piattaforme facessero questo ingresso. Se fossero più consapevoli e attive - anche "obbligate" diciamo "spintaneamente"… 

Dottor Ghiglia: Anche obbligate. Perché loro la consapevolezza ce l'hanno eccome. Hanno paura di perdere clienti. Perché se fanno l'age verification seria, perdono clienti. 

Servirebbe più “educazione civica digitale”

Dottor Ghiglia: Poi, c’è la famiglia. Io sono un genitore. Ma non li mollavo a tavola a giocare sul telefonino senza controllo. I figli vanno educati e vanno seguiti. Punto. E c’è la scuola. Su questo con me tocca un tema delicatissimo. Io da anni propongo l'educazione civica digitale, perché è vero che mancano le professionalità, però l'educazione civica oggi è diventata una materia multiculturale. Quando ero bambino, era una materia a sé. Mi dicevano come dovevo comportarmi con gli altri, intanto, poi c'era mia nonna che mi diceva di non buttare la carta per terra. Se lo facevo, arrivava immediatamente la sanzione, che non era la sanzione del Garante. Ed era una sanzione di quelle notevolmente dissuasive, per usare il linguaggio del codice del GDPR. Oggi non si può più ed è giusto che sia così, però che nella scuola si proponga l'educazione civica digitale per dare consapevolezza ai nostri ragazzi, anche piccoli, che vivono e si troveranno a vivere in un mondo completamente diverso da quello del passato è possibile. 

La tecnologia - l'Iperstoria del professor Floridi - cioè questo momento della storia dell'umanità in cui le macchine prendono quasi il sopravvento e la nostra interazione diventa a loro favore, anziché a nostro controllo, è un dato di fatto. E allora occorre prevedere una materia ad hoc. Io devo sapere cos'è un device, devo sapere cos'è il phishing, cos'è il cyberbullismo, cos'è il vishing perché altrimenti leggo, non capisco, me ne frego. Così fan tutti e lo faccio pure io. 

Andrea Chiozzi: Esatto, che poi succedono fatti come quello di BikiniOff

Dottor Ghiglia: C'è un combinato disposto di tutti: age verification seria e comprovata - allo stato attuale della tecnologia ovviamente, che però si avvicina al 90% -, famiglia e scuola. Perché i bambini ci provano. Parliamo sempre di nativi digitali. Abbiamo sempre idea di questo buon selvaggio che ha anche il buon senso del buon selvaggio. Non è così. Nativo digitale e ignorante digitale possono essere dei sinonimi. Se da bambino non mi spiegavano che il martello serve per piantare i chiodi nel muro e appendere il quadretto, la chitarra quello che avevi, io non sapevo a cosa servisse il martello, magari arrivava il mio amichetto e bum! gli facevo un danno. Nativo digitale non vuol dire nulla, è un termine fuorviante. Il nativo digitale è nato, ma il fatto che sia nato in quel modo, non significa che sappia ciò che quel modo importa per il proprio futuro e per la propria crescita umana, culturale, spirituale, anche soltanto sociale. 

Andrea Chiozzi: Dal punto di vista delle piattaforme, sarebbe anche un concetto di qualità. Il concetto di andare a definire e profilare in maniera corretta un utente che decide di farsi profilare con consapevolezza. Questo è un utente che, potenzialmente, dal punto di vista economico, è più interessante del bambino di 10 anni, la cui capacità di spesa è funzionale alla sua capacità di rompere le scatole ai genitori. Molto probabilmente, anche dal punto di vista di economics, è vero che lo aggancio lì e poi me lo tengo sotto, ma è un rumore di fondo. È un rumore di fondo che c’è nel mercato del marketing e della profilazione... Sono sicuro che se ci fossero degli studi, fatti in maniera seria da delle università, aiuterebbero anche le grandi company. Perché se hai dei dati di minori da 2 anni e questi utenti non ti hanno mai risposto, vuol dire che non ti seguono. Sono dati che sporcano il tuo target

Dottor Ghiglia: Probabilmente loro li vogliono fidelizzare ora per allora. Oggi ti acchiappo e domani ti vendo. Bisognerebbe contrastarlo e riuscire a imporre... Ma purtroppo il tema è un altro. 

La tecnologia incalza, servono regole, anche e soprattutto per tutelare i minori

Dottor Ghiglia: Noi siamo convintamente in Europa e il GDPR è stato importante. La sua uniformità è fondamentale. Quello che è il limite del GDPR è il fatto che siamo troppi in Europa. Siamo 27. E mettere d'accordo 27 per cambiare una riga è un problema. Guardi solo la bozza dell'Artificial Intelligence Act. Ormai siamo a due anni dalla prima bozza e si continuano a fare modifiche. Intanto è esplosa da poco una chatbot, che si chiama ChatGPT - ma ce ne sono altre mille - che in poche settimane ha fatto centinaia di milioni di account. Altro che aspettare la modifica o l'Artificial Intelligence Act dell'Europa, della Commissione e del Parlamento e dei singoli Parlamenti nazionali. Abbiamo un futuro che ci incalza, che ci spinge.

Andrea Chiozzi: Finché spinge e basta va bene…

Dottor Ghiglia: Chatbot e Intelligenza Artificiale sono un tema che tocca anche i minori perché, se lei digita qualunque argomento, di questo argomento emergerà una parte vera e un'altra assolutamente fantasiosa. La cosa che veramente mi inquieta è: le giovani generazioni che sono già sovraeccitate di andare sulla chatbot per farsi fare le ricerche, i problemi di algebra o di geometria, avranno notizie parziali, spesso sbagliate, spesso non radicate. Qui qualcosa dobbiamo fare e dobbiamo farlo tutti assieme. Io con una battuta ho detto “Un’interrogazione ci salverà". Ma non può essere solo un'interrogazione a salvarci. Ci vogliono delle leggi, da adottare velocemente per tutelare soprattutto i nostri minori. 

Andrea Chiozzi: È la battaglia che si combatterà. E si combatterà in situazioni che vanno sempre più veloce e quindi saranno sempre più accurate, ma basate su un'informazione comunque parziale e distorta.

Dottor Ghiglia: E magari anche tendenziosa. Perché c'è chi alimenta l'algoritmo. Secondo me, prima di farci fare le leggi da altri, credo che l'Europa su questo dovrebbe essere più proattiva, perché non si possono aspettare tempi enormi. Io sono veramente per il progresso. A me non spaventa il futuro. Mi spaventa questa deregulation pazzesca. E quando mi sento dire "Ma anche internet. Pensa se ci fossero state le regole su internet..." è un altro discorso. Internet non c'entra nulla con questa evoluzione che sta prendendo una certa piega dell’era digitale. 

Andrea Chiozzi: Anche perché il mezzo "internet" si diffonde dal contesto.

Dottor Ghiglia: Esatto, dal contesto. E aggiungo anche che, chi usava internet venti o trenta anni fa e cercava informazioni, aveva magari una formazione culturale e una coscienza critica che si era già formata. 

Andrea Chiozzi: È un problema enorme delle scuole. Adesso il problema è che gli studenti prendono, copiano, usano ChatGPT e fai anche fatica a trovare la fonte delle ricerche. Sono anche carine. Poi lei leggi e sono piene di strafalcioni. 

Dottor Ghiglia: E questo è un grande problema culturale e sociale. E quindi anche di tutela dei minori. 

Cosa possono fare i professionisti della privacy e del GDPR?

Andrea Chiozzi: Cosa possiamo fare noi, come operatori del settore e come cittadini, quando parliamo di trattamento dei minori? Ci sono delle cose che possiamo fare attivamente?

Dottor Ghiglia: Secondo me, gli operatori del settore e i divulgatori dovrebbero ricordare l’importanza dell'educazione civica digitale nei confronti delle nuove generazioni. Perché al di là di tutte le leggi e proprio perché dobbiamo essere noi i primi difensori di noi stessi, la prima cosa è ricordare che l'educazione digitale - che avvenga in famiglia, che avvenga auspicabilmente a scuola e anche in altri contesti sociali - è un dato fondamentale. Aiuterebbe, perché siamo tutti presi dal nostro quotidiano e magari non pensiamo in quel modo ai nostri figli. Ci preoccupiamo soltanto – doverosamente - dei voti scolastici e che non frequentino delle cattive compagnie. Ma, attenzione, oggi le cattive compagnie non sono soltanto quelle che trovi nella strada. Oggi le cattive compagnie, se non i compagni peggiori, sono quelli che trovi sulla rete. 

Questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione. 

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy