Il Comitato europeo per la protezione dei dati (EDPB) ha adottato, nella sua riunione plenaria, un parere sulla determinazione dell’età (Dichiarazione 1/2025 sulla garanzia dell’età)per l’utilizzo di servizi online che richiedono un’età minima per accedervi.Queste linee guida sono state promosse dall’Agenzia spagnola per la protezione dei dati (AEPD)nell’ambito delle sue azioni per la protezione efficace dei bambini e degli adolescenti su Internet, salvaguardando i diritti e le libertà di tutti i cittadini, sia adulti che minori.
Nel marzo 2024, il Comitato europeo per la protezione dei dati ha approvato il mandato richiesto dall’Agenzia per definire le linee guida sulla verifica dell’età. Ciò ha segnato l’inizio di un intenso lavoro condotto dall’AEPD in un team composto da diverse autorità di protezione dei dati (Irlanda, Francia, Germania e Spagna) e che si è concluso con l’approvazione unanime.
Il presente parere fornisce indicazioni derivanti dal Regolamento generale sulla protezione dei dati (GDPR) e tiene conto delle implicazioni e delle conseguenze dell’utilizzo di strumenti e sistemi di verifica dell’età nel trattamento dei dati personali, compresi esempi pratici. Le linee guida si concentrano sull’accesso ai servizi online, compresi i casi in cui la legge stabilisce un’età minima per l’acquisto di prodotti, l’utilizzo di servizi o l’esecuzione di atti, nonché laddove vi sia un dovere di diligenza per proteggere bambini e adolescenti.
Il presente parere favorisce lo sviluppo di un approccio più coerente nell’UE alla tutela dei minori in relazione all’accesso ai servizi online nei trattamenti in cui deve essere garantita l’età di accesso, basato sull’applicazione dei principi di protezione dei dati fin dalla progettazione e di protezione dei dati per impostazione predefinita. Si tratta di uno strumento fondamentale per chi opera nell’ecosistema di Internet e per le autorità nazionali ed europee competenti in ambito digitale , per disporre delle informazioni necessarie in merito alle strategie più idonee per dimostrare l’età. Inoltre, avrà un influsso positivo nel promuovere soluzioni realmente efficaci per la tutela integrale dei minori, come quella di unInternet sicuro per impostazione predefinita eal sicuro dall’esposizione amodelli di dipendenza.
Il lavoro svolto per la preparazione del presente parere si basa sul quadro delle iniziative dell’AEPD per la protezione dei minori nell’ambiente digitale. In particolare, deriva direttamente dalDecalogo dei principi di verifica dell’età e dei sistemi di protezione dei minori dai contenuti inappropriatipresentato dall’AEPD nel dicembre 2023, insieme a prove pratiche di concetto.
Principi inclusi nel parere
Il parere stabilisce dieci principi, stabilendo che gli strumenti per la determinazione dell’età non possono essere intesi isolatamente, ma piuttosto nel quadro della tutela dei diritti e delle libertà delle persone. Pertanto, la determinazione del rispetto delle restrizioni deve comportare un incremento delle stesse, in questo caso della tutela dei diritti dei bambini e degli adolescenti su Internet, senza che ciò comporti una riduzione degli altri diritti degli stessi minori e del pubblico in generale.
I principi stabiliscono requisiti in materia di prevenzione, limitazione e minimizzazione dei rischi, insistendo in particolare sul fatto che la verifica dell’età non dovrebbe fornire ai servizi Internet risorse per identificare, localizzare, profilare o tracciare l’attività digitale degli individui. Sottolineano la necessità di utilizzare strumenti efficaci e con una visione ampia, che non implichino ad esempio limitazioni al diritto di accesso a Internet, all’obbligo di legalità, lealtà e trasparenza, che non implichino di sottoporre le persone a decisioni automatizzate senza le garanzie del GDPR e l’applicazione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita.
Infine, i principi evidenziano l’impatto che le violazioni dei dati potrebbero avere sull’utilizzo di tali strumenti, con l’obbligo di applicare principi di minimizzazione dei dati oltre alle misure di sicurezza e stabilendo che qualsiasi strumento, in un ambiente così complesso, deve implementare metodi di governance nell’ecosistema Internet che dimostrino la conformità normativa.