La verifica dell’età online: una sfida per la protezione dei dati dei minori

La presenza dei minori nel mondo digitale è una realtà consolidata, che pone nuove sfide in termini di tutela dei loro diritti fondamentali. Sebbene il tema sia spesso associato al mondo dei social network, la necessità di proteggere i dati personali dei minori – e quindi gli stessi minori - riguarda una vasta gamma di servizi online, inclusi quelli sanitari.

La legge riconosce ai minori una tutela rafforzata, in quanto soggetti considerati più vulnerabili e meno consapevoli dei rischi connessi al trattamento dei propri dati personali.
Tale tutela si concretizza, tra l’altro, nella necessità di adottare meccanismi di age verification efficaci, al fine di garantire che i servizi online siano utilizzati in modo sicuro e appropriato per la loro età.

Cosa si intende esattamente per age verification?

Con questa espressione si fa riferimento all’insieme degli strumenti e delle procedure volte a verificare l’età di un soggetto, al fine di stabilire se sia minorenne e, di conseguenza, se possa accedere a determinati servizi o contenuti online. Non si tratta unicamente di filtrare contenuti inappropriati, ma di garantire ai giovani un avvicinamento responsabile alla tecnologia e una maggior comprensione del valore dei propri dati personali.
L’obiettivo è garantire l’interesse superiore del minore.

A quale età una persona è considerata minore ai fini della disciplina privacy?

Anche in ambito privacy il concetto di "minore" è legato al raggiungimento di una certa soglia di età, al di sotto della quale si presume una carenza di piena capacità di agire. A livello europeo, il Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR) stabilisce un cambiamento nella posizione giuridica del minore al compimento dei 16 anni: i minori sedicenni possono esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta di servizi della società dell’informazione. Tuttavia, il GDPR prevede che gli Stati membri possano abbassare tale limite di età fino a 13 anni. L’Italia, ad esempio, ha fissato questa soglia a 14 anni.

Qual è l’ambito di attenzione della age verification?

L’obbligo di verificare l’età degli utenti riguarda principalmente i servizi della società dell’informazione, ossia quei servizi prestati a distanza, per via elettronica e a richiesta individuale di un destinatario (v. Direttiva UE 2015/1535). Rientrano in questa categoria, ad esempio, i social network, le piattaforme di e-commerce e i servizi di streaming.
A ben vedere, però, la protezione dei dati dei minori assume un’importanza cruciale anche in contesti diversi e che comportano il trattamento di dati personali particolari, come i servizi sanitari online.
Si pensi ad esempio alle piattaforme di supporto per disturbi alimentari, alle app per il monitoraggio dell’attività fisica o della dieta, alle piattaforme che offrono servizi di salute mentale e alla telemedicina in generale.
In questi scenari, la age verification e la gestione dei dati personali dei soggetti minori richiedono un’attenzione ancora maggiore, data la sensibilità delle informazioni trattate e i potenziali rischi per la salute e il benessere degli utenti-pazienti.

Il tema dell’age verification riguarda solo la privacy?

Sicuramente no. Sebbene la protezione dei dati personali sia un aspetto cruciale, la necessità di verifica dell’età degli utenti tocca anche altri ambiti e diritti fondamentali.
Si pensi alla non discriminazione, alla libertà e alla sicurezza, nonché alla libertà di espressione e di informazione.
Ma può riguardare anche aspetti legati al benessere e alla salute.
Per questo motivo il tema dell’age verification è stato affrontato da varie autorità, come l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) e il Comitato Europeo per la Protezione dei Dati (EDPB).

Quali sono suggerimenti dell’EDPB?

L’EDPB ha fornito alcune indicazioni specifiche per progettare sistemi di age verification conformi al GDPR.
Nel suo “Statement 1/2025 on Age Assurance Adopted” del 11 February 2025, l’EDPB raccomanda per esempio di:

• implementare meccanismi di age verification proporzionati, basati su una preventiva valutazione del rischio;
• nel rispetto del principio di minimizzazione, raccogliere solamente le informazioni necessarie e sufficienti allo scopo;
• fornire rimedi e meccanismi di ricorso appropriati per gli utenti i cui attributi legati all’età non sono stati stabiliti correttamente;
• prestare particolare attenzione quando si tratta di minori, evitando processi decisionali automatizzati che potrebbero avere effetti negativi sul loro benessere;
• implementare misure tecniche e organizzative appropriate, sia da parte dei fornitori di servizi, sia da parte di qualsiasi terza parte coinvolta.

E per quanto riguarda i sistemi di intelligenza artificiale?

Ai sistemi di intelligenza artificiale che possono essere utilizzati anche da utenti minori deve essere rivolta un’attenzione particolare.
L'intelligenza artificiale rappresenta un’opportunità tecnologica senza precedenti, ma allo stesso tempo può presentare, per gli utenti vulnerabili come i minori, una fonte di nuove minacce ai diritti fondamentali: l’intelligenza artificiale potrebbe fornire raccomandazioni inappropriate, influenzare negativamente l’utente, discriminare e pregiudicare la libertà di espressione.

Per questo nel “Parere 28/2024 su alcuni aspetti della protezione dei dati relativi al trattamento dei dati personali nel contesto dei modelli di IA”, adottato il 17 dicembre 2024, l’EDPB sottolinea come sia fondamentale:

•  integrare la protezione dei dati fin dalle prime fasi di sviluppo e implementazione di qualsiasi sistema, al fine di minimizzare i rischi per i diritti e le libertà degli interessati;
• effettuare una valutazione dei rischi specifica per i minori;
• assicurare la trasparenza delle informazioni fornite, così che siano facilmente accessibili e comprensibili;
• prevedere rimedi efficaci in caso di decisioni automatizzate errate.

Queste sono alcune delle misure da attuare per garantire che i servizi online siano concepiti e proposti in modo sicuro e adeguato per i minorenni, in considerazione della loro vulnerabilità e del diritto alla protezione dei dati personali.

Cosa fare, dunque, per progettare un servizio compliant?

In definitiva, per tutelare i minori online, occorre garantire protezione rafforzata e considerare il loro "best interest".
Fondamentale è l'age verification, che si pone come una tematica complessa che richiede un approccio multidisciplinare e un costante aggiornamento rispetto alle evoluzioni tecnologiche e alle competenze digitali degli utenti, e l’adozione di misure proporzionate e basate sul rischio, che rispetti i diritti e le libertà degli utenti.