“Il divieto ai minori di 16 anni è semplicemente la prova che Whatsapp non è gratis”. Guido Scorza, 44 anni, avvocato esperto di Internet, già membro del Team Digitale di Palazzo Chigi, commenta così l’aggiornamento dei termini di servizio della popolare app di messaggistica.
Tecnicamente Whatsapp si è adeguata alla GDPR, un acronimo che sta per General Data Protection Regulation, un complesso di norme approvate dall’Unione Europea nel 2016 ed applicabili dal prossimo 25 maggio.
Secondo Scorza la nota che Whatsapp ha diramato il 25 aprile “dimostra che il re è nudo, nel senso che non potendo chiedere ai minori di 16 anni i consensi privacy al trattamento dei dati personali, sceglie di non fornire loro il servizio”.
Quindi non è la GDPR a escludere i minori di 16 anni?
“No. La GDPR in sostanza non dice né potrebbe dire che un fornitore servizi della società dell’informazione, come Facebook e gli altri, non può concludere un contratto con un minore. Dice che un minore non può dare consenso al trattamento dei dati personali. Mentre è lecito che Facebook ed altri trattino i dati di un minore per consentire l’uso di un servizio specifico, questi dati non si possono più usare per altri scopi se non il servizio stesso. Insomma, non è più possibile chiedere consenso ai minori di 16 anni per fare altro rispetto alla semplice esecuzione del servizio: tipo profilazione degli utenti, pubblicità mirata o cessione a terzi”.
Whatsapp sta cambiando, sostiene, “in esecuzione del regolamento europeo”?
“È vero ma la GDPR in realtà non impedisce continuare a offrire servizio ai minori, solo che non potendo sfruttare i loro dati, non ha più la convenienza economica per farlo. Quando dicono “in conformità al GDPR” non posso più aprirmi ai minori di 16 anni”, in realtà ci stanno dicendo “non voglio”, perché l’unica cosa che Whatsapp potrebbe fare con un minore è dargli il servizio nudo ma ovviamente non gli interessa”.
Nella nota di Whatsapp però viene ribadito il fatto che le conversazioni sono criptate e quindi inaccessibili a chiunque, compresa Whatsapp: impossibile risalire al contenuto. Di quali altri dati stiamo parlando?
“Pur mancando i contenuti delle telefonate e della chat, che sono appunto criptate, restano disponibili informazioni molto rilevanti. Si tratta di cosiddetti metadati sulla comunicazione, e quindi per esempio, quanto tempo siamo il cellulare, in che modo, da dove e con quale modello di smartphone. La novità è che, come già accadeva per Facebook e come appena introdotto da Instagram, anche su Whatsapp sarà possibile scaricarsi i dati che la app conserva su di noi. Sarà interessante scoprire cosa c’è”.
Uno dei punti più discussi riguarda l’applicabilità di questa norma: chi controlla che un minore di 16 anni non abbia dichiarato di averne 18? E con quali strumenti? E quali sanzioni?
“In assenza di una identità digitale forte, è inverificabile che il tuo interlocutore abbia una certa età. Si tratta di un divieto di carta quanto lo sono i divieti basati su quasi tutte le identità online. Insomma finirà come già accade sui siti porno e di giochi d’azzardo: finirà che un minore clicca, bara e accede al sito o al servizio. La norma serve certamente a imporre a Whatsapp l’obbligo di chiederti quanti anni hai. Ma il regolamento non prevede nulla sui controlli. Dice solo che il fornitore del servizio deve fare tutto il possibile per verificare che i genitori siano quelli che dichiarano di essere.
E qui veniamo alla strada scelta da Facebook che ha invece previsto il consenso dei genitori per gli utenti che abbiano fra 13 e 16 anni. Perché questa differenza?
“La mia sensazione è che considerata la quantità di dati che Facebook ha su ciascuno di noi e la possibilità di creare interazioni forti, se uno si presenta asserendo di essere genitore di qualcun altro, Facebook è in grado di dire con buona probabilità se lo è o no. Su Whatsapp mettere in piede un meccanismo simile non era possibile”.
Sarà interessante vedere come si adegueranno alle norme europee gli altri social network popolari fra i giovanissimi come Snapchat, Musically e in parte anche Twitter (che proprio ieri ha aggiornato alcune sue regole). Mentre è indubbio che la GDPR si applica anche ai videogiochi, come quelli di Playstation.
“È vero. Ma è anche vero che in quel settore il marketing dei dati conta molto meno della vendita dei videogiochi nel conto economico. E quindi avrà un impatto molto minore”.
Poi ci sarebbe Google con tutto il suo mondo: e qui, quanto a marketing dei dati e profilazione, parliamo dei campioni del mondo. Cosa cambia?
“Mi attendo novità corpose dal mondo Google. Per esempio, i 16 anni saranno l’età limite per aprire una gmail? E per YouTube, che è usatissimo dai giovani, che accadrà? Servirà l’intervento dei genitori probabilmente, e anche qui, come per Facebook, quelli di Google sono in grado di identificarli con ottime probabilità incrociando i dati che hanno”.
Accanto al tema dell’età, una delle novità più importanti, e questa sì di immediata applicazione e di chiara utilità, è la portabilità dei dati: ovvero il diritto di ciascun utente di scaricarsi tutti i propri dati personali da una piattaforma e, se vuole, portarli su un fornitore alternativo dello stesso servizio. Instagram lo ha appena introdotto.
“Questo è uno degli elementi più rivoluzionari di GDPR, e va oltre la privacy. Intanto mi consente di toccare con mano quello che un fornitore sa di me; e in più, se arriva un concorrente di quel servizio, posso cambiare fornitore portando tutti i miei dati e la mia storia digitale. Questa è una norma che apre finalmente alla concorrenza”.
Quando entra davvero in vigore la GDPR?
“È già in vigore e diventa applicabile dal 25 maggio. Però in tutti i paesi c’era già una disciplina nazionale sulla privacy che può essere conforme oppure no alle nuove norme. Per esempio può darsi che per qualche paese europeo un ragazzino di 10 anni potesse dare consenso al trattamento dei dati. Ora è vietato”.
In Italia cosa accadrà?
“Siamo a questo punto: deve uscire il testo finale del decreto legislativo, il Parlamento infatti aveva delegato il governo a predisporre un testo attraverso il quale stabilire quali disposizioni del Codice Privacy possono rimanere in vigore e quali sono abrogate; e inoltre consente di prendere posizione su ambiti in relazione ai quali la GDPR lascia agli Stati Membri una certa discrezionalità: tipo appunto l’età minima, che ciascuno Stato può scegliere fra 13 e 16 anni.
Che orientamento abbiamo preso sul punto?
“Il testo approvato in via preliminare dal Consiglio dei ministri il 22 marzo scorso parlava di 14 anni, ma è stato sommerso da critiche di natura diversa perché avrebbe ecceduto alla delega del Parlamento già nelle prime righe visto che inizia così: “Il Codice Privacy è abrogato e sostituito dalle seguenti disposizioni…”.
Chi lo aveva scritto?
“Si tratta di un testo redatto da una commissione di esperti insediata presso il ministero della Giustizia d’intesa con il Garante Privacy. Ora, dopo le critiche, si è in attesa di un testo definitivo che va trasmesso alle commissioni parlamentari per un parere e poi di nuovo approvato dal consiglio dei ministri in via definitiva. Ma le commissioni permanenti non ci sono ancora, andrebbe sottoposto alla commissione speciale. Nelle bozze che stanno girando ci sono diverse novità e l’età minima è tornata ad essere 16 anni. Vedremo. Comunque se non si facesse in tempo per il decreto entro il 25 maggio, varrebbero le norme europee, non si scappa. Un po’ di confusione è garantita, anche perché la GDPR riguarda tutti, per esempio riguarda chi ha un sito web che gestisce i dati degli utenti: tutti dovranno aggiornare la privacy policy pena pesanti sanzioni. Ci aspettano alcune settimane molto importanti”.
Leggi anche: Che senso ha vietare Whatsapp agli under 16? di Riccardo Luna