Instagram e le nuove frontiere di tutela dei minori
“Bringing you closer to the people and things you love” recita il claim utilizzato da Instagram come descrizione del suo profilo. Il messaggio che vuole divulgare è chiaro: il suo scopo è, essenzialmente, quello di mettere in collegamento le persone consentendo loro di mantenere ed incrementare i rapporti interpersonali, semplificando i contatti e avvicinandole il più possibile a ciò che amano.
Dopotutto, non è forse questo l’intento principale dei social media? Se ci si accinge a leggerne le descrizioni, ciascuno di essi, da Facebook a Pinterest, da Snapchat alle più comuni app di incontri, propone, come ratio della sua creazione ed esistenza, l’obiettivo di accorciare le distanze tra gli utenti, fornendo loro una vasta gamma di servizi volti ad assecondare dettagliatamente i loro interessi. Un obiettivo, questo, apprezzabile, rivoluzionario e indubbiamente di una certa levatura: ma fino a che punto?
Sembrerebbe quasi lapalissiano affermare che dietro ogni fenomeno rivoluzionario si nascondano, molto spesso, delle insidie e, considerando il mare magnum dei social media e la loro straordinaria avanzata, tali insidie hanno un nome ben preciso: quello di “privacy”. Invero, la querelle sul difficile connubio social media/privacy, fin dalla sua prima comparsa sulla scena, ha portato con sé molti nodi difficili da sciogliere, i quali hanno convinto gli addetti ai lavori della necessità di una più stringente attenzione riguardo il diritto alla protezione dei dati personali.
Ad aver dato, a livello europeo, una scossa importante ai presidi privacy è intervenuto, nel 2019, il GDPR[1], il quale ha introdotto il “diritto all’autodeterminazione informatica”, ossia il potere di ogni cittadino di esercitare il governo ed il controllo del flusso delle informazioni che lo riguarda.
La base giuridica di cui si serve tale diritto è l’articolo 5 dello stesso GDPR, il quale stabilisce chiaramente cosa deve essere fatto in materia di salvaguardia dei dati personali oggetto di trattamento e ridisegnando, in tal modo, quelli che sono i confini del rapporto che si stabilisce sul web tra utente/interessato e titolare dei dati.
Tanto è vero che la ratio di fondo del menzionato articolo, come d’altronde dell’intero corpus del GDPR, è quella che “nell’odierna società dell’informazione la tutela dei dati personali non debba essere considerata come un ostacolo alla circolazione delle informazioni, bensì come una delle regole utili ad un miglior funzionamento del sistema, disciplinando e rendendo trasparente il flusso delle informazioni a garanzia e tutela degli interessati”[2] e, proprio alla base di tale miglior funzionamento, quale requisito imprescindibile affinchè la circolazione dei flussi di informazioni sia coscientemente autorizzata, vi dev’essere il consenso esplicito[3].
Siamo di fronte, dunque, ad un modo completamente rinnovato di intendere i propri dati e ad un notevole rafforzamento del potere di scelta di chi ne risulta essere il legittimo proprietario, in un momento storico-sociale caratterizzato dal fatto che tali dati possono essere considerati, a tutti gli effetti, il “petrolio” dei nostri giorni[4]. Pertanto, la categoria del consenso esplicito, unitamente all’obbligo di trasparenza e chiarezza nella predisposizione dell’informativa (si pensi alle condizioni d’uso predisposte dai social network e, in particolare, il passaggio relativo alla “Normativa sui dati”, ove viene specificato in che modo vengono trattati i dati dell’utente), rappresentano “il perimetro definitorio fondamentale per la costruzione del diritto alla protezione dei dati personali, inteso come diritto all’autodeterminazione informativa”[5].
Nonostante i presidi adottati e l’implementazione della normativa a tutela della privacy, a seguito di diversi episodi che hanno visto protagonisti i big della Rete, le falle di tale sistema si sono manifestate in tutto il loro vigore, facendo emergere vulnus normativi cui bisognava trovare soluzione, ponendovi prontamente rimedio. Basti pensare, a titolo esemplificativo, alle recenti vicende che hanno coinvolto il social network Tik Tok, il quale si è visto rimbalzare tra le pagine di cronaca nera delle principali testate giornalistiche in seguito al caso che ha visto protagonista una bambina di Palermo ed una pericolosa quanto estrema challenge. In quest’occasione, il Garante della privacy recriminava al social cinese, da una parte, la poca trasparenza e chiarezza nelle informazioni rese agli utenti, dall’altra, l’uso di impostazioni predefinite non rispettose della normativa in materia di privacy vigente[6].
Proprio sotto la spinta dei vari Garanti della privacy nazionali, i quali, come visto, si preoccupano di far rispettare a dovere la normativa contenuta nel GDPR, sono state molteplici le problematiche legate alle esigenze di maggior tutela dei dati personali sollevate, tra cui una delle più preoccupanti è sicuramente quella dei rischi insiti nell’utilizzo dei social da parte dei minori. Per i più piccoli, infatti, i pericoli sono indubbiamente raddoppiati: basti pensare alla miriade di reati informatici che li riguardano da vicino, tra cui phishing[7], cyberbullismo[8], sextortion[9], grooming[10], pedopornografia[11], pedofilia[12], eccetera.
A fronte di tali preoccupanti scenari e delle sempre più incalzanti esigenze di protezione nei confronti di coloro i quali scelgono di approcciarsi precocemente alla giungla virtuale, alcuni social network, tra cui Instagram, sono alle prese con la messa a punto di impostazioni più stringenti soprattutto per ciò che concerne la certificazione dell’età dei propri utenti. Invero, dallo scorso marzo, il gruppo di Mark Zuckerberg ha annunciato[13] di voler distribuire in tutto il mondo, inclusa l’Italia, un aggiornamento di Instagram che prevede la funzione di limitare lo scambio di messaggi privati tramite direct messages tra adulti e minori di 18 anni non collegati da reciproco “follow”. In sostanza, la soluzione che sarebbe in fase di perfezionamento, consisterebbe nel mostrare una notifica di impossibilità nell’inoltrare il messaggio, inviato da un utente maggiorenne ad un utente minorenne, bloccando, in tal maniera, ogni contatto e possibile scambio tra i due.
Tutto ciò è reso possibile dall’utilizzo di un algoritmo il quale “si basa sia sulla tecnologia di apprendimento automatico capace di prevedere l’età degli utenti, sia sull’età che gli utenti ci forniscono quando si iscrivono ad Instagram”, come affermano i vertici dell’azienda.
Ma c’è dell’altro. Con l’implementazione dell’algoritmo, Instagram starebbe perfino valutando l’idea di rafforzare il controllo anagrafico degli utenti a beneficio degli under 13 che, in realtà, secondo le linee direttive del social non potrebbero neppur procedere all’iscrizione[14], ricorrendo alla summenzionata tecnologia di intelligenza artificiale e apprendimento automatico in grado di rilevare l’età di chiunque si registri per creare un account.
Sebbene sembrerebbe più che legittimo tessere le lodi di tale algoritmo, alcuni dubbi in merito sorgono spontanei. Invero, potremmo trovarci di fronte ad un grosso paradosso se si analizzano attentamente le ripercussioni cui potrebbe condurre l’applicazione di un così sofisticato meccanismo di AI che tenderebbe a profilare gli utenti per carpirne l’età esatta. In tal modo, infatti, la già larga e insidiosa strada che conduce alla raccolta di dati e informazioni personali utilizzati per fini terzi rispetto a quelli dichiarati (e consentiti), diventerebbe ancora più vasta e facilmente percorribile.
È imprescindibile, com’è evidente, che in questa operazione bisognerà verificare se la profilazione sia effettivamente compatibile con la privacy degli iscritti e, in generale, con le condizioni d’uso adottate dal social network.
La sfida assunta dal colosso del web, indubbiamente, non è scevra da rischi di vario genere, primo fra tutti quello di compromettere la vivibilità dello spazio digitale ai più vulnerabili e inconsapevoli. Tuttavia, l’utilizzo dell’intelligenza artificiale, nelle sue svariate declinazioni, può rivelarsi un’arma preziosa, se schierata “intelligentemente”.
[1] Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è principale la normativa europea in materia di protezione dei dati personali. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018
[2] Così, https://www.studiocataldi.it/articoli/39288-la-privacy-nei-social-media.asp, cui si rimanda per un maggior approfondimento su tale riflessione.
[3] All’art. 4, comma 11 GDPR, il consenso esplicito viene definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
[4] A tal riguardo: S. Marcelli, “Il valore dei dati: prospettive e caratteristiche dei big data” (https://www.iusinitinere.it/il-valore-dei-dati-prospettive-e-caratteristiche-dei-big-data-35418).
[5] Così, testualmente, D. Prestipino, “Nuovi scenari di rischio e misure user-centric per la protezione dei dati personali”, 2017.
[6] Per un approfondimento sulle misure adottate dal Garante in seguito alla menzionata vicenda si rimanda al link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9524224.
[7] Per un puntuale approfondimento di tale reato e dei suoi presupposti si rimanda a: P. Di Guida, “Reati informatici: il phishing” (https://www.iusinitinere.it/reati-informatici-phishing-173).
[8] Per un’analisi dettagliata del fenomeno del cyberbullismo e di come si inserisce nell’ordinamento italiano: G. Cavallari, “Il fenomeno del cyberbullismo nell’ordinamento italiano” (https://www.iusinitinere.it/il-fenomeno-del-cyberbullismo-nellordinamento-italiano-26272).
[9] Con sextortion si fa riferimento a molteplici condotte con le quali l’artefice del reato si serve di contenuti di vario genere, sessualmente espliciti, che ritraggono la vittima, con precise finalità estorsive, dietro minaccia della loro diffusione online. Per capirne il funzionamento e la pericolosità: G. Naddeo, “IA e Deep Nude, il lato oscuro del digitale “anonimo” (https://www.iusinitinere.it/ia-e-deep-nude-il-lato-oscuro-del-digitale-anonimo-32702).
[10] Dall’inglese “to groom”, che significa “strigliare, pulire, prendersi cura di”, con il termine grooming si fa riferimento a qualsiasi tentativo di adescamento di minori in rete.
[11] In tema di pedopornografia e dei requisiti intrinsechi affinchè il reato si configuri: A. Di Prisco, “La Suprema Corte in tema di pornografia minorile: il pericolo di diffusione del materiale pedopornografico non è requisito del reato” (https://www.iusinitinere.it/la-suprema-corte-in-tema-di-pornografia-minorile-il-pericolo-di-diffusione-del-materiale-pedopornografico-non-e-requisito-del-reato-16003).
[12] Per una digressione dettagliata sul reato di pedofilia: T. Y. Mirò D’Aniello, “Il reato di violenza sessuale a danno dei minori” (https://www.iusinitinere.it/il-reato-di-violenza-sessuale-a-danno-dei-minori-8750).
[13] La notizia è stata divulgata da Buzzfeed News, il quale ha prontamente pubblicato un articolo dal titolo “Facebook Is Building An Instagram For Kids Under The Age Of 13”, consultabile al link: https://www.buzzfeednews.com/article/ryanmac/facebook-instagram-for-children-under-13
[14] Nelle condizioni d’uso di Instagram, nella sezione “Impegno dell’utente” e, più precisamente, “Chi può usare Instagram”, viene specificato “Desideriamo che il nostro Servizio sia quanto più aperto e inclusivo possibile, ma vogliamo che sia anche sicuro, protetto e conforme alle leggi. Pertanto, l’utente è tenuto a rispettare alcune limitazioni legali per poter far parte della community di Instagram. 1. L’utente deve avere almeno 13 anni”.
