Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Il moderno dilemma dell’Age verification secondo CNIL

Stefano Gazzella : 28 Luglio 2022 07:00

  

Autore: Stefano Gazzella

Nell’analisi dei principali sistemi di age verification, CNIL (un organismo di regolamentazione amministrativa francese indipendente la cui missione è garantire la legge sulla privacy dei dati) ha dichiarato che il contemperamento delle esigenze di protezione dei minori con i vantaggi derivanti da un modello di Internet come rete aperta e liberamente accessibile, esprime un dilemma eufemisticamente definito come un “argomento complesso con notevoli rischi per la privacy”.

Infatti, non si può che constatare la natura inevitabilmente imperfetta di tali sistemi e la crescente necessità di agevolare e prevedere informazione, sensibilizzazione e controllo dell’utente sui dispositivi.

Trovandosi di fronte ad alcuni obblighi legali di verifica dell’età (relativamente a prodotti, servizi o contenuti) o condizioni contrattuali per la differenziazione di contenuti e attività, i gestori dei servizi digitali non possono che ricorrere a taluni di questi sistemi prevedendo l’acquisizione di ulteriori dati dell’utente e per l’effetto avere a che fare con due principali passaggi: comprovare l’età e per l’effetto autorizzare (o meno) l’accesso al contenuto richiesto.

Entrambi, prevedono l’applicazione dei principi di privacy by design e privacy by default, innanzitutto nella ricerca di soluzioni che acquisiscano la minore quantità di informazioni personali possibile, tenendo sempre conto però di adottare criteri di verifica efficaci e non facilmente aggirabili. Inoltre, tutte le informazioni acquisite a tal scopo e che possono poi essere collegate all’attività dell’utente devono in ogni caso essere trattate in sicurezza ricorrendo ad esempio a protocolli crittografici soprattutto nelle ipotesi in cui vengono coinvolti terzi verificatori indipendenti come suggeriscono le best practices citate in tale ambito.

Da un’analisi delle soluzioni esistenti secondo i criteri di affidabilità della verifica, copertura della popolazione e di rispetto della protezione dei dati personali degli utenti l’autorità di controllo francese non ne ha riscontrata alcuna in grado di soddisfarli in modo soddisfacente, e dunque ha invitato attori pubblici e privati a sviluppare nuove soluzioni conformi alle raccomandazioni indicate.

Fra queste, sono di particolare rilievo i sei pilastri di proporzionalità (e dunque: determinazione secondo finalità, destinatari, dati, tecnologie e rischio associato al trattamento), minimizzazione (con particolare attenzione al divieto di secondary use del dato), robustezza (con esclusione di sistemi puramente dichiarativi), semplicità, standardizzazione e intervento di terzi.

Insomma: un compito tutt’altro che facile, ma non impossibile in una ricerca di un equilibrio di efficacia e tutela degli interessati che è destinato a variare con l’evoluzione delle tecnologie disponibili mantenendo come criterio di orientamento un approccio basato sul rischio. Per l’appunto, un dilemma che si potrà esprimere solo con continue approssimazioni ed evoluzioni che certamente potranno dovranno transitare per il processo di consultazione preventiva previsto dall’art. 36 GDPR.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.