Il ruolo del Data Protection Officer nei sistemi di age verification
La tematica dell’age verification è quanto mai attuale e promossa anche dalle autorità di controllo europee, sebbene con degli inviti alla prudenza circa l’adozione di tali sistemi. Difatti, è indubbio che internet sia e debba essere un luogo sicuro anche per i minori.
Inoltre, in presenza di obblighi legali o condizioni contrattuali per l’accesso ai servizi o a determinate categorie di contenuti, la predisposizione di tali sistemi è il modo attraverso il quale il gestore dei servizi digitali può dimostrare di aver assolto ai propri obblighi. Vero è altrettanto che, citando CNIL, è un “argomento complesso per la privacy”.
Nessun dubbio può sussistere circa il necessario coinvolgimento del Data Protection Officer a partire dal momento della progettazione dei servizi e della definizione delle modalità di controllo di accesso agli stessi, come vuole il principio di privacy by design.
I compiti di consulenza e informazione che il DPO è chiamato a svolgere possono trovare in questo particolare ambito un ampio margine di svolgimento, dal momento che non esiste una soluzione univoca e la ricerca di equilibri deve essere svolta con particolare cura stante la compresenza dei diritti fondamentali in gioco.
Da un lato c’è infatti l’esigenza di dover tutelare i minori, quali soggetti vulnerabili per antonomasia, ma tale argomento non può - né tantomeno deve - essere invocato in modo strumentale, tirannico o apodittico tanto in fase di progettazione quanto in seguito nella fase operativa.
Occorre infatti analizzare il contesto, individuare quali presidi e garanzie ulteriori possano essere predisposti e andare a tracciare così una soglia minima di tutela efficace da predisporre.
E tenere conto della conseguente compressione inevitabile dei diritti di chi si troverà soggetto ad un’attività di controllo, per cui le modalità contano in quanto sono profondamente impattanti nei confronti di tutta l’utenza che si troverà ad essere sottoposta a controlli persistenti e più o meno pervasivi.
Si considerino ad esempio sistemi basati su biometria o sul comportamento dell’utente. Dal momento che tali controlli sono condizioni di accesso o permanenza, l’utente non può decidere di sottrarsi agli stessi. E dunque la creazione di quel determinato ambiente digitale “protetto” comporterà per sua natura non solo delle restrizioni all’accesso ma anche un costo che si concreta per l’interessato nel doversi assoggettare ad un’attività di sorveglianza.
Diventa così fondamentale per il DPO saper valutare – e far valutare correttamente al titolare – la proporzionalità dei trattamenti svolti, così come l’applicazione della minimizzazione (anche in ossequio al principio di privacy by default), in quanto presìdi a garanzia del trattamento dei dati di tutti gli interessati coinvolti dal sistema di verifica.
Inoltre, occorrerà tenere a mente che l’efficacia del controllo assume un ruolo determinante per la protezione di una delle categorie degli interessati (i minori), per cui il sistema di verifica non può svolgersi in modo meramente dichiarativo altrimenti sarebbe svilita una delle garanzie di protezione fondamentale ed ineliminabile.
Lo strumento migliore per conseguire tali obiettivi altro non può essere che lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che va promossa dal DPO stesso con riferimento ai sistemi di age verification e deve essere attentamente sorvegliata affinché contempli tutti i diritti e le libertà in gioco con un’opera di attento bilanciamento.