PDL 1217

Onorevoli Colleghi! — Negli ultimi anni l'utilizzo dei social media è in costante aumento. Secondo i dati del CENSIS, nel 2022 l'82,4 per cento degli italiani ha utilizzato i social network, il 5,8 per cento in più rispetto all'anno precedente. L'incremento dell'utilizzo dei social ha riguardato anche la popolazione più giovane. Già prima della pandemia, nel 2019, è stato stimato che l'85,8 per cento degli adolescenti tra 11 e 17 anni utilizzasse regolarmente gli smartphone e che oltre il 72 per cento accedesse a internet via smartphone. Sempre il CENSIS, in un'indagine del 2021, ha rivelato che quasi il 60 per cento degli adolescenti dichiarava di utilizzare lo smartphone più spesso che nel passato e la metà degli intervistati dichiarava di passare più di 3 ore al giorno sul dispositivo.
Un recente studio del Dipartimento per le politiche antidroga della Presidenza del Consiglio dei ministri, condotto insieme al Centro nazionale dipendenze e doping dell'Istituto superiore di sanità, ha definito l'utilizzo dei social media un'attività che crea dipendenza comportamentale tra gli adolescenti. Secondo i risultati, la «dipendenza da social media» coinvolge il 2,5 per cento dei ragazzi tra 11 e 17 anni, percentuale che raggiunge il 3,1 per cento per le ragazze tra 11 e 13 anni e il 5,1 per cento per le ragazze tra 14 e 17 anni.
Una recente pubblicazione dell'International Journal of Environmental Research and Public Health ha affermato che l'esposizione al mondo virtuale fa aumentare i livelli di depressione tra i giovani, soprattutto tra i più vulnerabili. Questa ipotesi è riportata anche da uno studio condotto sulla popolazione liceale statunitense dall'American Economic Review, che ha dimostrato un aumento della depressione del 9 per cento e un aumento dell'ansia del 12 per cento tra i giovani che fanno un maggior uso dei social rispetto alla media.
Nel mese di aprile 2023, la rivista scientifica Social Psychiatry and Psychiatric Epidemiology ha pubblicato uno studio sul rapporto tra l'utilizzo problematico di Instagram (inteso come utilizzo compulsivo e potenziale dipendenza) e i disturbi dell'alimentazione. L'analisi rileva evidenze empiriche a supporto della tesi che i disturbi dell'alimentazione tra la popolazione femminile più giovane possano essere prevenuti o contenuti anche evitando la sovraesposizione a Instagram e alle immagini legate all'aspetto fisico che sono molto diffuse sul social network. Infatti, i pazienti che soffrono di disturbi dell'alimentazione tendono ad usare i social network per paragonare il proprio aspetto fisico a quello degli altri utilizzatori e a mostrare un'attenzione eccessiva alla loro immagine.
La rivista americana Sleep medicine review ha approfondito, invece, la relazione tra l'utilizzo dei social media e la qualità del sonno: si evidenzia un aumento della difficoltà nel dormire e una diminuzione della durata del sonno per i giovani che fanno uso di social network. Le scarse ore di sonno causano, secondo lo studio, uno sviluppo del cervello con alterazioni neurologiche, sintomi di depressione e, nei casi più estremi, tendenze al suicidio.
Inoltre, i social network espongono i giovani a contenuti inappropriati e situazioni di rischio: cyberbullismo, condivisione e visualizzazione di contenuti sessuali, istigazione all'anoressia e bulimia e a comportamenti rischiosi, «social challenge» che incoraggiano a partecipare a sfide pericolose e autolesionistiche. Secondo il Ministero della salute, il cyberbullismo è più frequente tra le fasce di età più giovani: coinvolge il 19 per cento degli undicenni, il 16 per cento dei tredicenni e il 10 per cento dei quindicenni.
Sul piano legale, ad ottobre 2022 è stata riconosciuta per la prima volta da parte di un tribunale la responsabilità dei social nel processo di deterioramento della salute mentale di un'adolescente che ha poi portato alla sua morte. La ragazza, Molly Russel, era un'assidua frequentatrice dei social network e secondo i giudici del Regno Unito molti contenuti delle piattaforme hanno provocato sintomi di depressione ed ansia a Molly, fino ad istigarla al suicidio. La sentenza finale ha riconosciuto una parte di responsabilità ai social network che fornivano una visione romanticizzata dell'autolesionismo e dell'isolamento e che la scoraggiavano dal chiedere aiuto.
La stessa definizione di social network è particolarmente complessa e priva di riferimenti univoci all'interno della normativa europea. Per arginare i rischi esposti in precedenza, confermati da una ormai copiosa letteratura scientifica, senza imporre restrizioni arbitrarie all'accesso dei minori a qualunque servizio di messaggistica (ad esempio WhatsApp) o di condivisione partecipativa di contenuti e conoscenze (ad esempio Wikipedia), è ragionevole circoscrivere l'ambito dei servizi di comunicazione sociale soggetti a una disciplina più severa a quelli che implicano a fini commerciali non solo la classificazione, ma anche la pubblicizzazione dei profili degli utenti, nonché, per le caratteristiche formali e sostanziali del servizio, l'esposizione a contenuti o a relazioni aggressive o condizionanti.
Oltre ai social network, le principali piattaforme che espongono i minori a rischi, seppur di diversa natura, sono quelle che mostrano contenuti pornografici. La risoluzione del Consiglio d'Europa «Pornografia minorile – mezzi e disposizioni di contrasto all'esposizione delle persone di minore età a contenuti pornografici» dell'aprile 2022 evidenzia con preoccupazione l'accresciuta esposizione dei minori a contenuti pornografici causata dalla facilità di accesso alle piattaforme virtuali. Il testo afferma che questa esposizione può avere conseguenze dannose per la salute e lo sviluppo del benessere dei minori: dipendenza dalla pornografia, consolidamento di stereotipi di genere, difficoltà nello sviluppo di relazioni interpersonali.
Le stesse conseguenze sono state evidenziate dallo studio pubblicato dal Governo australiano nel 2017, «The effects of pornography on children and young people», che lancia l'allarme anche sul fatto che i minori, soprattutto maschi adolescenti, sovraesposti alla pornografia, hanno più probabilità di essere responsabili di aggressioni sessuali.
L'attuale framework normativo europeo, disciplinato dalla General Data Protection Regulation – GDPR (regolamento (UE) 2016/679), prevede che l'età minima per un'autonoma espressione di consenso al trattamento dei dati on line sia 16 anni. Al di sotto di questa età il consenso deve essere prestato dai genitori. È tuttavia previsto che gli Stati membri possano stabilire per legge una soglia di età meno stringente, purché non sia inferiore a 13 anni.
Al di sotto dell'età stabilita dalle legislazioni nazionali per il consenso prestato autonomamente dal minore, il consenso può essere prestato dai genitori. I gestori dei servizi della società dell'informazione, a partire da quelli di comunicazione elettronica, devono prevedere strumenti per verificare che in questo caso il consenso sia effettivamente prestato dal titolare della responsabilità genitoriale.
La legge italiana recepisce solo parzialmente la legge europea: il codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, stabilisce che l'età minima per l'espressione del consenso sia 14 anni, età sotto la quale è invece necessario il consenso dei genitori. Non sono tuttavia previsti controlli effettivi dell'età degli utilizzatori dei siti internet, e quindi dei social media. La verifica dell'età è infatti fondata su un criterio di autocertificazione ed è molto facile per un minore di 14 anni avere comunque accesso alle piattaforme on line usando false date di nascita.
D'altra parte, la legge italiana non prevede alcun obbligo per i produttori di dispositivi di comunicazione elettronica di garantire nei sistemi operativi installati la disponibilità di applicazioni di controllo parentale.
La presente proposta di legge interviene in primo luogo sull'articolo 2-quinquies del citato codice in materia di protezione dei dati personali innalzando da 14 a 15 anni l'età per l'espressione autonoma del consenso al trattamento dei dati personali per i servizi della società dell'informazione.
In secondo luogo, vieta in ogni caso l'accesso ai minori di 13 anni ai servizi di comunicazione elettronica che comportano maggiori rischi per la salute fisica e mentale dei minori e per la loro sicurezza e incolumità. A questo fine, ne delega l'individuazione al Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri in base alle caratteristiche, alle modalità di funzionamento e agli eventuali utilizzi illeciti, sulla base di una procedura istruttoria di consultazione che dovrà coinvolgere, in primo luogo, i gestori di detti servizi.
L'accesso a tali servizi sarà quindi concesso dopo i 15 anni – fatti salvi ovviamente quelli per cui, in base ad altre disposizioni, sia richiesta la maggiore età – e ai minori di età compresi tra 13 e 15 anni solo se autorizzati dai genitori.
In ogni caso, per l'accesso a servizi sensibili sotto il profilo dei rischi per i minori, è previsto un meccanismo di certificazione anagrafica da parte di prestatori di servizi fiduciari accreditati in base al cosiddetto regolamento elDAS (electronic identification authentication and signature) (regolamento (UE) n. 910/2014) – che sia in grado di rilasciare in forma anonima credenziali di accesso agli interessati, salvaguardando la riservatezza dell'identità e minimizzando i dati trasmessi al gestore del servizio e il loro periodo di eventuale ritenzione.
Il sistema di autorizzazione di accesso si potrà appoggiare, a titolo esemplificativo, anche su strumenti già esistenti, come lo SPID e la carta di identità elettronica, e sarà in ogni caso disciplinato, come tutte le attività di verifica dell'età connesse all'adempimento delle disposizioni della presente legge, da un decreto del Presidente del Consiglio dei ministri.
Le spese di integrazione di questi meccanismi di verifica della certificazione sono in capo ai gestori dei servizi di comunicazione elettronica e le violazioni sottoposte al quadro sanzionatorio del GDPR.
Altri Paesi hanno già preso delle iniziative per regolamentare il fenomeno: due casi sono rappresentati dalla Francia e dallo Stato dello Utah.
In Francia è stata approvata in prima lettura dall'Assemblea nazionale una legge simile alla presente che vieta ai minori di 15 anni l'utilizzo dei social, istituisce controlli più severi e stabilisce pesanti sanzioni per le violazioni in capo ai social network. Tale normativa è stata approvata con larghissimo consenso (82 voti favorevoli e 2 voti contrari).
Il 23 marzo 2023 lo Utah è diventato il primo Stato americano ad approvare un disegno di legge che disciplina le modalità di accesso e utilizzo dei social media per gli utenti minori di 18 anni. Tali utenti non potranno accedere alle piattaforme dalle 22:30 alle 06:30 di ogni giorno. Le piattaforme hanno tempo fino al 1° marzo 2024 – quando la legge entrerà in vigore – per adempiere ai nuovi obblighi o contestarne l'entrata in vigore. Il disegno di legge è stato approvato dal governatore repubblicano dello Utah Spencer Cox.
Più nel dettaglio, l'articolo 1 della presente proposta di legge, al comma 1, reca modifiche all'articolo 2-quinquies del codice di cui al decreto legislativo n. 196 del 2003, volte a stabilire che: l'età minima per esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione sia innalzata a 15 anni; sia illecito l'accesso dei minori di anni 13 ai servizi di comunicazione elettronica a maggior rischio per la loro salute fisica e mentale e per la loro sicurezza e incolumità; per i minori di età compresa tra 13 e 15 anni, l'accesso a detti servizi possa avvenire con il consenso congiunto dei titolari della responsabilità genitoriale, con procedure di verifica di detta titolarità; per i minori di età superiore a 15 anni l'accesso debba avvenire previa verifica dell'età garantita da un servizio fiduciario offerto da un fornitore accreditato ai sensi del regolamento elDAS.
Al comma 2 si estendono le sanzioni stabilite dall'articolo 166 del codice alla violazione delle disposizioni previste dalla presente legge.
Al comma 3 si prevede che, con decreto del Presidente del Consiglio dei ministri, siano stabilite le regole e le modalità operative che i fornitori dei servizi della società dell'informazione e i fornitori di servizi fiduciari sono tenuti a rispettare per la verifica dell'età e degli attributi degli utenti.
Al comma 4 si stabilisce che le spese relative all'attuazione del sistema di verifica dell'età anagrafica degli utenti siano a carico dei gestori dei servizi.
Al comma 5 è disciplinata la procedura di consultazione pubblica da parte del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri per l'individuazione dei servizi di comunicazione elettronica a maggior rischio per la salute fisica e mentale e per la sicurezza e incolumità dei minori.
Al comma 6 si prevede che con decreto del Presidente del Consiglio dei ministri sia individuato l'elenco dei servizi della società dell'informazione che comportano i maggiori rischi per i minori.
L'articolo 2 è relativo alle applicazioni di controllo parentale nei dispositivi di comunicazione elettronica.
Il comma 1 prevede l'obbligo per i produttori di dispositivi di comunicazione elettronica, ai fini della messa in commercio, di garantire nei sistemi operativi installati la disponibilità di applicazioni di controllo parentale.
Il comma 2 stabilisce che queste applicazioni siano offerte all'utente al momento dell'acquisto, senza alcun costo aggiuntivo.
Il comma 3 attribuisce al Ministro delle imprese e del made in Italy la responsabilità di disciplinare con proprio decreto le modalità di attuazione e di verifica delle disposizioni dell'articolo 2.
Infine, l'articolo 3 prevede che il Dipartimento per le politiche della famiglia della Presidenza del Consiglio dei ministri, in collaborazione con il Ministero dell'istruzione e del merito, avvii campagne informative di prevenzione e di sensibilizzazione sull'uso consapevole dei servizi di comunicazioni sociale e sui potenziali rischi connessi.

PROPOSTA DI LEGGE

Art. 1.
(Verifica dell'età e tutela dei minori utenti dei servizi di comunicazione elettronica)

1. Il comma 1 dell'articolo 2-quinquies del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, è sostituito dai seguenti:

«1. In attuazione dell'articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto quindici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione. Con riguardo a tali servizi, il trattamento dei dati personali, fondato sull'articolo 6, paragrafo 1, lettera a), del Regolamento, del minore di età inferiore a quindici anni è lecito a condizione che il consenso sia prestato, anche in modalità disgiunta, dai titolari della responsabilità genitoriale o, in loro assenza, dal tutore, fatta salva l'applicazione delle pertinenti disposizioni processuali in caso di disaccordo.
1-bis. È illecito l'accesso dei minori di anni tredici ai servizi di comunicazione elettronica, individuati con decreto del Presidente del Consiglio dei ministri, che comportano maggiori rischi per la salute fisica e mentale dei minori e per la loro sicurezza e incolumità. L'accesso a questi servizi è lecito, fatta salva l'esclusione di quelli riservati a cittadini maggiorenni:

a) per i minori di età compresa tra tredici e quindici anni, con il consenso congiunto dei titolari della responsabilità genitoriale o, in loro assenza, del tutore, previa verifica dei relativi attributi specifici attraverso soluzioni tecniche offerte da fornitori di servizi fiduciari accreditati ai sensi del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, e del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82;

b) per i minori di età superiore a quindici anni, previa verifica dell'età garantita da un servizio fiduciario offerto da un fornitore accreditato ai sensi del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, e del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82».

2. Al comma 2 dell'articolo 166 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, le parole: «2-quinquies, comma 1» sono sostituite dalle seguenti: «2-quinquies, commi 1 e 1-bis».
3. Con decreto del Presidente del Consiglio dei ministri, entro sei mesi dalla data di entrata in vigore della presente legge, previo parere dell'Autorità per le garanzie nelle comunicazioni, dell'Agenzia per l'Italia digitale, del Garante per la protezione dei dati personali e dell'Autorità garante dell'infanzia e dell'adolescenza per i profili di rispettiva competenza, sono stabilite le regole e le modalità operative che i fornitori di servizi della società dell'informazione e i fornitori di servizi fiduciari accreditati ai sensi del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, e del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, sono tenuti a rispettare, anche ai fini di cui all'articolo 2-quinquies, comma 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal comma 1 del presente articolo, per la verifica dell'età e degli attributi degli utenti, prevedendo che:

a) l'utilizzo di sistemi di riconoscimento biometrico o basati su soluzioni di intelligenza artificiale sia preceduto da una valutazione d'impatto sul trattamento dei dati personali e sottoposto a consultazione preventiva del Garante per la protezione dei dati personali, ai sensi dell'articolo 36 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016;

b) nello sviluppo di soluzioni operative, i fornitori di servizi della società dell'informazione e i fornitori di servizi fiduciari accreditati ai sensi del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, e del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, adottino misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio;

c) l'anonimato degli utenti sia preservato con opportune soluzioni che permettano di condividere e verificare le informazioni relative all'età senza rivelare dati non necessari e minimizzando il periodo di ritenzione dei dati utilizzati nella procedura di rilascio dei requisiti anagrafici richiesti.

4. Le spese relative all'attuazione del sistema di verifica dell'età anagrafica e degli attributi di cui al comma 3, comprese quelle necessarie a rendere i sistemi interoperabili con i servizi fiduciari di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sono a carico di fornitori di servizi della società dell'informazione.
5. Entro tre mesi dalla data di entrata in vigore della presente legge, il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri effettua una consultazione pubblica volta a definire i criteri di individuazione dei servizi di comunicazione elettronica previsti dall'articolo 2-quinquies, comma 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal comma 1 del presente articolo, in particolare tra i servizi di comunicazione sociale con finalità commerciali, fondati sulla condivisione di contenuti, sull'interazione pubblica degli utenti e sulla classificazione dei relativi profili. A questo fine, il Dipartimento di cui al primo periodo può chiedere a specifici fornitori dei servizi della società dell'informazione di condividere, in maniera riservata, informazioni e valutazioni del rischio relative all'accesso ai servizi da parte dei minori e al loro utilizzo da parte dei medesimi.
6. Entro tre mesi dalla conclusione della consultazione pubblica di cui al comma 5, con decreto del Presidente del Consiglio dei ministri sono individuati i servizi della società di comunicazione elettronica che comportano maggiori rischi per la salute fisica e mentale dei minori e per la loro sicurezza e incolumità, per gli effetti di cui all'articolo 2-quinquies, comma 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal comma 1 del presente articolo. Il decreto di cui al presente comma, previo svolgimento di una consultazione pubblica ai sensi del comma 5, è aggiornato con cadenza almeno annuale.

Art. 2.
(Applicazioni di controllo parentale nei dispositivi di comunicazione elettronica)

1. I produttori di dispositivi abilitati all'utilizzo di servizi di comunicazione elettronica che danno accesso a contenuti o a modalità di interazione tra gli utenti che possono nuocere alla salute fisica e mentale dei minori e mettere a rischio la loro sicurezza e incolumità, all'atto dell'immissione di tali dispositivi sul mercato garantiscono nei sistemi operativi installati la disponibilità di applicazioni di controllo parentale.
2. L'attivazione delle applicazioni di cui al comma 1 è offerta al momento della prima messa in servizio del dispositivo, senza alcun costo aggiuntivo per l'utente. I dati personali raccolti o generati durante l'attivazione delle applicazioni non possono essere utilizzati per finalità commerciali.
3. Con decreto del Ministro delle imprese e del made in Italy, entro sei mesi dalla data di entrata in vigore della presente legge, sono stabilite le modalità di attuazione e di verifica delle disposizioni del presente articolo.

Art. 3.
(Campagne di sensibilizzazione)

1. Entro sei mesi dalla data di entrata in vigore della presente legge, il Dipartimento per le politiche della famiglia della Presidenza del Consiglio dei ministri, in collaborazione con il Ministero dell'istruzione e del merito, avvia campagne informative di prevenzione e di sensibilizzazione sull'uso consapevole dei servizi di comunicazione sociale e sui potenziali rischi connessi, avvalendosi dei principali mezzi di informazione e di comunicazione e di soggetti privati.