La Federal Trade Commission (FTC) ha definito con Google l’accordo – qui integralmente consultabile – sulla sanzione pecuniaria che questa dovrà pagare per aver spiato gli utenti più piccoli di YouTube in violazione delle leggi federali statunitensi. Saranno 136 i milioni di dollari da versare alla FTC e 34 quelli dovuti allo Stato di New York che – tramite il proprio procuratore generale – ha anch’esso sostenuto la contestazione.

Nella primavera 2018, oltre 20 associazioni per la difesa dei diritti dell’infanzia, dei consumatori e della privacy avevano chiesto alla Federal Trade Commission di indagare sui servizi di YouTube con riguardo all’utilizzo dei dati personali dei minori in relazione alle attività di tracking and targeted advertising. L’atto d’accusa – qui integralmente consultabile – contestava a YouTube la violazione del Children’s Online Privacy Protection Act (COPPA) in ragione del fatto che la piattaforma di video-sharing non informa con trasparenza e non richiede consenso preventivo ai genitori dei minori di 13 anni di età per:

  • il trattamento dei loro dati identificativi (nome, localizzazione, dispositivo utilizzato, numero di telefono) e delle loro scelte online;
  • l’invio di pubblicità personalizzate basate sull’analisi delle summenzionate informazioni individuali.

L’entità della multa è ben lontana da quella da 5 miliardi di USD recentemente stabilita dalla FTC per Facebook in relazione al caso Cambridge Analytica e difficilmente l’ammenda scalfirà il colosso di Mountain View la cui holding Alphabet Inc. ha ricavato nel primo quarto del 2019 36,4 miliardi di dollari. Più che altro l’accordo impone a Google di rivedere ulteriormente le proprie pratiche commerciali sui minori, in particolare per quanto concerne la pubblicità mirata (parzialmente già emendate negli ultimi mesi).

E’ molto probabile che il Garante Privacy italiano comminerà a sua volta una sanzione per le condotte da YouTube verso i minori del nostro paese.

L’art.8 del GDPR, in forza dal 25 maggio 2018, prevede che:

  • per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
  • gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.
  • il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

L’Italia s’è avvalsa della facoltà di stabilire un età inferiore a quella prevista “by default” dal GDPR. Il comma 1 dell’art. 2-quinquies del novellato Codice Privacy ed introdotto dal D.Lgs. 101/2018 dispone: In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni puo’ esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della societa’ dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di eta’ inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, e’ lecito a condizione che sia prestato da chi esercita la responsabilita’ genitoriale.