Il Digital Services Act (Regolamento UE 2022/2065) impone alle Very Large Online Platforms obblighi specifici di risk assessment e misure di mitigazione per la tutela dei minori, inclusa la verifica dell’età. La Commissione europea ha avviato valutazioni preliminari contro Meta per presunte violazioni di questi obblighi, aprendo un fronte di responsabilità che riguarda chiunque assista imprese che operano servizi digitali rivolti — anche solo potenzialmente — a utenti minorenni. Gli studi che seguono clienti nel settore tech, media o advertising devono aggiornare la propria check-list di compliance DSA.
Punti chiave
- Punto 1 — La Commissione UE ha avviato valutazioni preliminari contro Meta per violazioni del DSA sulla verifica dell’età.
- Punto 2 — Il DSA impone alle VLOP obblighi di risk assessment specifici per la protezione dei minori online.
- Punto 3 — Le sanzioni DSA arrivano fino al 6% del fatturato mondiale annuo della piattaforma.
Se assisti piattaforme digitali, operatori di e-commerce o qualsiasi cliente che eroga servizi online a una platea indifferenziata di utenti, il procedimento aperto dalla Commissione europea contro Meta non è una notizia di settore: è un segnale operativo. La direzione è chiara — chi non implementa sistemi affidabili di verifica dell’età per i minori rischia procedimenti formali con sanzioni fino al 6% del fatturato mondiale annuo.
La Commissione europea ha pubblicato le proprie valutazioni preliminari in cui contesta a Meta presunte inadempienze rispetto agli obblighi del Digital Services Act in materia di tutela dei minori e verifica dell’età sulle proprie piattaforme. I dettagli della vicenda sono riportati da Agenda Digitale.
Il contesto normativo
Il riferimento centrale è il Regolamento UE 2022/2065 (Digital Services Act), in particolare l’art. 28, che vieta alle piattaforme accessibili ai minori di profilare questi utenti a fini pubblicitari e impone l’adozione di misure tecniche e organizzative adeguate per verificare l’età. L’art. 34 dello stesso regolamento obbliga le Very Large Online Platforms — designate dalla Commissione con soglia di 45 milioni di utenti mensili nell’UE — a condurre una valutazione annuale dei rischi sistemici, inclusi quelli per la tutela dei minori. Sul piano nazionale, il d.lgs. 123/2023 ha dato attuazione parziale al DSA e il Garante per la protezione dei dati personali è autorità co-competente per i profili privacy, con rilevanza diretta dell’art. 2-quinquies del Codice Privacy (d.lgs. 196/2003) sull’età del consenso al trattamento dati fissata a 14 anni in Italia. Il coordinamento tra DSA e GDPR — Regolamento UE 2016/679, considerando 38 e art. 8 — rimane il nodo interpretativo più critico per la consulenza pratica.
Cosa cambia per lo studio
- Aggiorna la due diligence per i clienti nel settore tech: verifica se il cliente rientra nella categoria VLOP o VLOSE (Very Large Online Search Engine) e se ha completato il risk assessment ex art. 34 DSA per l’anno in corso.
- Controlla la coerenza tra le policy di verifica dell’età del cliente e i requisiti dell’art. 28 DSA: una dichiarazione autodichiarativa dell’utente non è sufficiente secondo l’orientamento emergente della Commissione.
- Monitora il procedimento contro Meta come benchmark interpretativo: le contestazioni preliminari della Commissione definiranno lo standard minimo accettabile per tutti gli altri operatori, non solo per le VLOP.
- Coordina la consulenza DSA con quella GDPR: un sistema di verifica dell’età tratta per definizione dati personali sensibili — in alcuni casi dati di minori — e richiede una DPIA ai sensi dell’art. 35 GDPR prima dell’implementazione.
- Considera l’esposizione dei clienti non-VLOP: anche le piattaforme di medie dimensioni rischiano contestazioni nazionali dal Garante Privacy o dall’AGCom, che hanno competenze di enforcement sul DSA per i soggetti sotto soglia.
Attenzione a
Il rischio principale è trattare la compliance DSA come un adempimento una tantum. La Commissione ha chiarito che il risk assessment è un obbligo ricorrente — almeno annuale — e che le misure di mitigazione devono evolversi con i rischi identificati. Un documento redatto nel 2023 e non aggiornato espone il cliente a contestazioni indipendentemente dalla sua qualità iniziale.
Secondo rischio: confondere la designazione VLOP con l’unico perimetro di applicazione del DSA. L’art. 28 sulla tutela dei minori si applica a tutte le piattaforme accessibili a utenti minorenni, indipendentemente dalla soglia dei 45 milioni di utenti. Un cliente con 500.000 utenti italiani che non ha adottato misure di verifica dell’età è già inadempiente rispetto al DSA — e potenzialmente al d.lgs. 196/2003 — anche se non è mai stato designato VLOP.
Domande frequenti
Il DSA verifica età si applica anche alle piattaforme italiane sotto soglia VLOP?
Sì. L’art. 28 DSA si applica a tutte le piattaforme accessibili ai minori, indipendentemente dalla designazione VLOP. Le piattaforme sotto soglia non sono soggette all’enforcement diretto della Commissione, ma rispondono alle autorità nazionali competenti — in Italia AGCom e Garante Privacy — per le violazioni degli obblighi di tutela dei minori.
Quali sanzioni rischia una piattaforma che viola il DSA sulla verifica dell’età?
Le VLOP rischiano sanzioni fino al 6% del fatturato mondiale annuo per violazioni degli obblighi sostanziali del DSA (art. 74). Per le piattaforme sotto soglia, le sanzioni sono determinate dalla normativa nazionale di recepimento. In caso di recidiva o rischio grave, la Commissione può ordinare la sospensione temporanea del servizio nell’UE.
La DPIA è obbligatoria per implementare un sistema di verifica dell’età online?
In quasi tutti i casi, sì. Un sistema di verifica dell’età tratta dati personali — spesso di utenti potenzialmente minorenni — e rientra nelle categorie che richiedono DPIA ai sensi dell’art. 35 GDPR, in particolare quando comporta trattamento sistematico su larga scala o profilazione. Il Garante italiano ha confermato questo orientamento nelle proprie linee guida sul trattamento dei dati dei minori.
Fonte di riferimento: AgendaDigitale