Il COPPA act statunitense è applicabile alle società italiane?

Articolo a cura dell’Avv. Massimo Simbula

Il Children’s Online Privacy Protection act (COPPA) approvato dal Congresso Statunitense nel 1998 e successivamente emendato, stabilisce, fra le altre cose, che i siti e servizi internet diretti o comunque aperti anche a minori di 13 anni debbano sempre ottenere un consenso verificato dei genitori del minore (“Verifiable Parental Consent – VPC”) prima di iniziare a raccogliere informazioni personali di qualunque tipo relative a tale minore.

La norma in questione, oltre a stabilire una serie di procedure e regole per attuare tali verifiche VPC, consente ai singoli operatori internet di proporre all’organo competente al controllo del rispetto del COPPA, ovvero la Federal Trade Commission americana (“FTC”),soluzioni VPC alternative da approvarsi.

Assume quindi un particolare interesse analizzare le procedure proposte dai vari operatori e il pronunciamento della FTC di approvazione o di rigetto.

Tra queste, la FTC ha approvato la cosiddetta “Knowledge-Based Authentication”, mentre ha rigettato la cosiddetta “Social-Graph Verification”.

La Knowledge-Based Authentication è una procedura con la quale è possibile verificare se il consenso al trattamento dei dati personali dell’infratredicenne sia stato effettivamente fornito dai genitori del minore grazie ad una serie di domande a risposta multipla che si riferiscono a dati bancari o fiscali dei genitori e che difficilmente il minore o persone diverse dai genitori possono avere.

Con determina del 23 Dicembre 2013, la FTC ha approvato la proposta di Knowledge-Based Authentication della americana Imperium LLC con il suo progetto ChildGuardOnline.

La FTC ha invece considerato non adeguato, e quindi ha rigettato, la proposta di Social-Graph Verification, avanzata dalla Californiana AssetID Inc.

La Social Graph Verification è una procedura che, secondo l’idea di AssetID Inc. consentirebbe di verificare se il consenso al trattamento dei dati personali dell’infratredicenne sia stato effettivamente dato dai genitori del minore grazie ad una richiesta inviata dal provider ad “amici” del genitore del minore utilizzando i social network.

Con determina del 12 novembre 2013, la FTC ha stabilito che la Social-Graph Verification non può essere considerata uno strumento sufficientemente sicuro.

La FTC, oltre a ritenere insufficenti gli studi e le ricerche prodotte da AssetID Inc. in tema di fiducia generata tramite le reti sociali internet, ha messo in evidenza come proprio in queste reti sociali ci siano molte false identità, facilmente costruibili.

Secondo i dati in possesso della FTC, solo su Facebook ci sarebbero almeno 83 milioni di falsi profili rappresentanti circa l’8,7% di tutta la base utenti individuali Facebook (dati della FTC al novembre 2013).

La FTC ha quindi concluso evidenziando come la Social Graph Verification, pur essendo uno strumento di indubbio interesse scientifico, è una pratica di verifica dell’identità la cui efficacia è, ad oggi, ancora tutta da dimostrare e che va valutata in relazione all’evoluzione dei social media e del fenomeno dei cosiddetti fakes (false identità).

Il COPPA è una Legge Federale degli Stati Uniti, come detto approvata dal Congresso americano nel 1998 e divenuta operativa dal 21 aprile 2000.

E’ inserita all’interno del titolo 15 del Codice degli Stati Uniti, che raccoglie tutte le leggi federali degli Stati Uniti, e si applica a tutte le persone fisiche e giuridiche sotto la giurisdizione statunitense che raccolgono informazioni on line di minori infratredicenni.

Le regole stabilite dal COPPA sono state col tempo aggiornate grazie anche all’opera della FTC e le nuove regole (da ultimo in vigore nel luglio 2013) vietano tra l’altro che il fornitore di un servizio internet possa linkare il suo sito (anche attraverso operazioni di reindirizzamento automatico) o utilizzare applicazioni quali i plug-in “Like” di Facebook che possano portare alla raccolta di dati personali dell’infratredicenne.

La FTC, in diverse pronunce, ha chiarito che le norme sono applicabili a quei servizi che hanno “piena coscienza” di raccogliere informazioni attraverso un sito o una app dedicati o comunque aperti agli infratredicenni.

Il problema interpretativo che si pone in ambito internazionale, è se le società che operano in internet (lato web o lato applicazioni per dispositivi mobili) con sede legale non negli Stati Uniti, siano comunque soggette alla giurisdizione statunitense atteso l’evidente carattere transfrontaliero del servizio internet reso.

Il problema si pone in particolare, considerando la particolare rilevanza del tema. Trattandosi infatti di norme poste dal legislatore americano a tutela della privacy del minore infratredicenne e di argine ai rischi connessi al fenomeno di Cyberpredatori sessuali, si potrebbe ritenere che abbiano una valenza sostanzialmente “imperativa” secondo i giudici americani e quindi ciò che rileverebbe ai fini dell’applicabilità del COPPA e della giurisdizione statunitense in tema, non sarebbe tanto la sede legale della società che offre il servizio internet ma l’ambito territoriale in cui il servizio è accessibile.

Se quindi una società italiana che fornisce servizi internet accessibili anche negli Stati Uniti, per la caratteristica del servizio reso, può essere fruibile anche da minori infratredicenni, non è da escludere che un giudice americano potrebbe ritenere applicabile il COPPA anche alla società italiana.

A tali dubbi interpretativi a posto fine la stessa FTC stabilendo chiaramente che il COPPA è applicabile anche alle società estere che forniscono un servizio internet chiaramente diretto anche a minori infratredicenni statunitensi. Questa interpretazione ha creato molti problemi di applicabilità poichè naturalmente le singole giurisdizioni nazionali potrebbero ritenere non applicabile il COPPA nel loro paese.

Quello che quindi si consiglia per coloro che rientrano in tali tipologie, è adottare strumenti idonei a consentire la verifica effettiva del consenso fornito dagli infratredicenni, in linea con gli strumenti approvati dalla FTC.

Si consiglia quantomeno di aggiungere tra le condizioni generali del servizio disponibili nel sito internet una clausola di questo tipo:

“Considerazioni speciali per utenti Americani

Special notice for American users of the website or mobile apps:

The Children’s Online Privacy Protection Act (COPPA) of 1998 provides safeguards to protect children who use the Internet by regulating the online collection of personal information from children under the age of 13. According to this Act, “(…) if you operate a general audience web site and have actual knowledge that you are collecting personal information from children, you must comply with the Children’s Online Privacy Protection Act (COPPA).”

XXX does not intend to collect any Personal Identification Information from children under the age of thirteen years old. However, if children under the age of thirteen years old provide Personal Identification Information to us, their parents or legal guardian should request that we delete this information from our files by sending us an email at …….. We will use all reasonable efforts to delete children’s information from our files.

Further information about the Children’s Online Privacy Protection Act of 1998 may be found on the Federal Trade Commission’s website (http://www.ftc.gov).

Si ricorda che la FTC ha poteri sanzionatori. Sono inoltre tecnicamente possibili azioni risarcitorie per danni in sede civile che potrebbero intentare i genitori del minore nei confronti del fornitore di servizi internet che non rispetta la citata normativa.

17 aprile 2014