Ho sempre pensato che la policy di Facebook di non aprire account ai minori di 13 anni fosse diretta conseguenza di un’imposizione della legge americana.
Oggi, studiando il COPPA (Children Online Privacy Protection Act) e le modifiche che vi ha appena apportato la Federal Trade Commission, ho capito che …non avevo capito niente!
Il COPPA, emanato nel 1998, prevede che gli operatori di siti web e quelli che offrono servizi online diretti ai bambini (secondo la definizione i minori di 13 anni, appunto) che intendano raccogliere informazioni personali, espressamente elencate, di bambini, ovvero qualsiasi operatore che abbia effettiva conoscenza che sta raccogliendo dati personali di un bambino, debbono ottenere il consenso informato e “verificabile” dei genitori o di chi ne fa le veci.
Gli obblighi normativi sono dunque assai circoscritti: concernono quasi esclusivamente operatori web e fornitori di servizi espressamente rivolti ai bambini e riguardano solo pre-determinati dati personali.
Ma allora perché Facebook non consente l’iscrizione alla piattaforma agli infratredicenni?
In realtà, Facebook, così come tantissimi altri provider che offrono servizi online, non è mai avuto alcun vincolo giuridico in tal senso, ma ha deciso, come strategia aziendale, di vietare l’accesso ai bambini per evitare di addentrarsi nei rigidi meccanismi normativi e sanzionatori del COPPA.
Tutto ruota intorno al ruolo giocato dal behavioral advertising.
Come noto, la pubblicità comportamentale si basa sull’analisi di una grande quantità di dati relativi ad uno specifico utente, raccolti attraverso le sue abitudini di navigazione in Internet da cui si desumono i suoi interessi: la pubblicità viene quindi “targhetizzata” in relazione al profilo comportamentale dell’utente. Facebook massimizza i suoi profitti proprio sul behavioral advertising. E’ chiaro che, se per poter raccogliere dati personali dei bambini, indispensabili per consentire a terze parti l’invio di pubblicità comportamentale, occorre il consenso dei genitori, Facebook deve aver valutato strategicamente troppo pericoloso (o troppo poco redditizio?) rispettare e garantire la compliance con il COPPA.
Cambierà qualcosa con le recenti modifiche introdotte dalla FTC, che entreranno in vigore il prossimo luglio?
Forse. Vediamo perché.
La FTC ha avviato il processo di revisione del COPPA nel 2010 al fine di adeguare la privacy dei minori all’evoluzione tecnologica, in particolare con riferimento all’uso crescente, anche da parte dei bambini più piccoli, di dispositivi mobili e del social networking.
Le modifiche riguardano essenzialmente:
- l’aggiornamento della definizione di operatore, la quale comprenderà anche i siti web ed i fornitori di servizi online per i minori che contengono servizi di terze parti sottoforma di plug-in e/o network pubblicitari, qualora questi ultimi raccolgano informazioni personali dai visitatori dei siti; la nuova definizione, tuttavia, non estende la responsabilità a piattaforme come Google Play o l’App Store, nella parte in cui ospitano applicazioni dirette ai bambini (le quale saranno invece tenute a rispettare le regole del COPPA qualora dovessero a loro volta direttamente interagire con i bambini). Si tratta, invero, di un’allocazione di responsabilità molto simile a quella prevista dalla direttiva europea 2000/31/CE: nel primo caso si tratta a tutti gli effetti di content provider, nel secondo di meri hosting;
- l’aggiornamento dell’elenco dei dati personali che non possono essere raccolti senza il consenso dei genitori, a cui sono stati espressamente aggiunti: le informazioni di geolocalizzazione, le fotografie, i video, i file audio, nonché i cd. persistent identifiers, ovverosia quegli strumenti che sono in grado di riconoscere gli utenti nel tempo e in diversi siti web o servizi online, come ad esempio gli indirizzi IP e gli ID dei dispositivi mobili.
A fronte di tali modifiche, senza ombra di dubbio sensibilmente protettive, la FTC ha però fatto una grande concessione alle businesses americane: il consenso dei genitori non è infatti necessario quando l’operatore raccoglie un persistent identifier al solo scopo di sostenere operazioni interne al sito stesso o al servizio online, come ad esempio la pubblicità contestuale (ovverosia annunci calibrati al fine di offrire contenuti pertinenti a ciò che compare nella pagina web in un determinato momento visitata), il frequency capping, le analisi del sito e le comunicazioni di rete.
La portata della modifica è notevole. Significa infatti che, fermo restando il divieto assoluto di behvioral advertising, gli operatori potranno utilizzare i dati dei bambini per inviare loro della pubblicità, benché solo contestuale.
Questa disposizione sicuramente favorirà siti come Disney.com o social network dedicati ai bambini come Disney’s Club Penguin, ma gli osservatori americani si stanno domandando se sarà in grado di incidere anche sulle policy di Facebook. In effetti, la scelta “politica” di Facebook di consentire l’accesso solo ai teen-ager è motivata, come sopra detto, principalmente dall’impossibilità di usare nei confronti dei bambini strumenti di profilazione finalizzati alla pubblicità comportamentale; la novità della pubblicità contestuale, però, permetterebbe a Facebook di monetizzare l’attività dei bambini senza violare le regole sulla raccolta le loro informazioni private.
Questa tesi sembra supportata da alcune notizie secondo le quali Facebook starebbe testando nuove tecniche pubblicitarie, ma non pare molto convincente. Pare infatti doveroso ricordare, da un lato che le nuove regole del COPPA imporranno l’obbligo di acquisire il previo consenso dei genitori per l’upload di immagini, file audio e video, tutti dati endemici per la vita di un account Facebook, dall’altro che la pubblicità contestuale sarà consentita solo all’operatore e non a terze parti, il che risulta piuttosto incompatibile col sistema di funzionamento di Facebook.
Ma a prescindere da quali saranno le concrete applicazioni del nuove disposizioni del COPPA e della bontà o meno delle modifiche, il mio personale giudizio è positivo in quanto noto, con estremo piacere, che è in corso un indiscutibile, sebbene lento, allineamento tra la legislazione americana e quella europea e quel che mi pare ancor più pregevole è che l’avvicinamento avviene con rilevanti concessioni da entrambe le parti.
A fronte della novità introdotta nella Proposta di Regolamento generale sulla protezione dei dati secondo cui il consenso al trattamento di dati personali potrà essere validamente ed autonomamente (ovvero senza autorizzazione del genitore/tutore) prestato dai minori di età superiore ad anni 13, conformemente a quanto stabiliscono i Safe Harbour Privacy Principles, assistiamo oggi per la prima volta ad un esplicito riconoscimento da parte degli U.S.A. del concetto che l’indirizzo IP possa essere considerato un dato personale e l’uso americano senza consenso dell’IP pare molto simile all’uso europeo senza consenso dei cookie.
Non male per due mondi che continuano a rinfacciarsi l’un l’altro la paternità della teorizzazione della privacy e della protezione dei dati personali, come fossero due diritti antagonisti e non complementari!