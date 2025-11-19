L’8 novembre 2025, il Garante per la protezione dei dati personali ha annunciato la sua partecipazione a un’operazione internazionale che, almeno sulla carta, potrebbe cambiare le regole del gioco per chi sviluppa o gestisce app e siti web rivolti ai minori. Il progetto, denominato Privacy Sweep 2025, è promosso dal Global Privacy Enforcement Network (GPEN) e vede coinvolte oltre trenta autorità di protezione dati di tutto il mondo. L’Italia c’è, e fa la sua parte.

Ma di che si tratta, esattamente? E perché dovremmo prestare particolare attenzione a questo progetto, non solo come genitori, utenti o cittadini digitali, ma soprattutto come professionisti del diritto, DPO, consulenti, imprenditori, sviluppatori?

Perché quando il Garante lancia un’indagine “a tappeto” che dura settimane e ha come oggetto la protezione dei dati personali dei minori, è bene fermarsi e ascoltare con attenzione. E magari, nel dubbio, fare una bella revisione dei propri asset digitali.

1. L’infanzia sotto esame

L’operazione Privacy Sweep 2025 si concentra su una domanda precisa: i siti e le app destinati ai bambini rispettano davvero il principio dell’interesse superiore del minore, sancito non solo dal diritto internazionale, ma anche dal GDPR e dalle linee guida EDPB?

L’indagine, che si è svolta fino al 7 novembre, ha preso in esame alcune delle piattaforme più utilizzate da bambini e adolescenti, verificandone la trasparenza, le impostazioni predefinite, le modalità di raccolta dei dati, i meccanismi di verifica dell’età e l’effettiva protezione contro contenuti inappropriati o tecniche di profilazione aggressiva.

Dietro l’annuncio, il messaggio è chiarissimo: il tempo della deregulation è finito. Non basta più dire che un’app è “per bambini” per dichiararsi eticamente inattaccabili. Bisogna dimostrarlo, e bisogna farlo con criteri di accountability, di privacy by design, di verifica effettiva del consenso.

2. GDPR e bambini: una sfida sempre aperta

L’art. 8 del Regolamento (UE) 2016/679 stabilisce che, per i servizi della società dell’informazione offerti direttamente a un minore, il trattamento dei dati è lecito solo se il minore ha almeno 16 anni — o, se previsto dal diritto nazionale, almeno 13. In Italia, la soglia è stata fissata a 14 anni con l’art. 2-quinquies del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018.

Questo vuol dire che chi offre un servizio online a bambini o adolescenti tra i 14 e i 18 anni deve tenere conto di alcune cautele specifiche: verificare l’età in modo effettivo e non fittizio;

garantire la comprensibilità dell’informativa privacy;

raccogliere il consenso laddove richiesto, con strumenti adeguati;

attivare impostazioni di default a tutela del minore (profilazione off, geolocalizzazione spenta, pubblicità contestuale limitata);

documentare tutte le misure adottate, per dimostrare conformità ex art. 5, par. 2 (principio di accountability). A questo si aggiunge una regola aurea spesso dimenticata: non tutto ciò che è tecnicamente possibile è anche giuridicamente lecito, soprattutto quando i soggetti interessati sono vulnerabili per definizione.

3. Age-gating, dark pattern, pubblicità camuffata: il rischio è sistemico

L’indagine Privacy Sweep 2025 punta anche a evidenziare le pratiche scorrette o borderline che ancora troppo spesso caratterizzano il mondo dei servizi digitali per minori. Ne cito solo alcune, che ricorrono con inquietante regolarità: moduli di iscrizione con verifica dell’età basata solo su dichiarazione (“sei maggiorenne?” – “sì”) senza ulteriori controlli;

informative scritte per avvocati, non per ragazzi di undici anni;

pubblicità occulta inserita nel gameplay (product placement non dichiarato, contenuti sponsorizzati dentro i video, ecc.);

sistemi di tracciamento persistente non disattivabili, anche per utenti minorenni;

meccanismi di gamification volti a stimolare comportamenti compulsivi, con sistemi premio/punizione basati sulla raccolta dei dati. Si tratta di pratiche non solo scorrette, ma spesso illegittime alla luce del GDPR. Il principio dell’interesse superiore del minore non è decorativo: è vincolante. E chi lo ignora, oggi, rischia grosso.

4. L’azione del Garante: controllo e deterrenza

La partecipazione dell’Autorità italiana a questa indagine internazionale non è un gesto simbolico. È un segnale chiaro: il Garante intende rafforzare la propria azione di controllo nei confronti dei fornitori di servizi digitali rivolti ai minori, con un approccio sistemico e multilivello.

Ciò che oggi è un’indagine conoscitiva potrebbe trasformarsi — e in alcuni casi lo farà — in ispezioni, istruttorie, provvedimenti correttivi e sanzionatori. Il rapporto definitivo della ricerca sarà pubblicato sul Global Privacy Enforcement Network nei prossimi mesi.

Ma il valore dell’operazione GPEN va oltre la repressione: è un invito (diciamo pure: un ultimatum) a progettare servizi digitali realmente adeguati ai bambini, e non semplicemente venduti ai genitori come “adatti”.

5. App e siti per bambini: cosa fare ora

Se gestisci o progetti app e piattaforme per bambini e adolescenti, o se sei consulente o DPO per aziende che lo fanno, questo è il momento di agire. Ecco una checklist di sopravvivenza: effettua un audit completo delle funzionalità offerte, delle impostazioni predefinite, delle modalità di raccolta dati;

verifica che l’età dell’utente sia accertata con strumenti efficaci e proporzionati;

riscrivi l’informativa privacy in linguaggio chiaro, magari in più versioni, inclusa una children‑friendly;

disattiva per impostazione predefinita tutti i trattamenti non essenziali (tracking, marketing, location, profiling);

evita meccanismi di design che incentivino la permanenza forzata, la compulsività o la condivisione eccessiva;

documenta tutto. Sempre.

6. Conclusioni

Chi lavora nel digitale — che sia imprenditore, sviluppatore, editore o consulente — non può più permettersi l’alibi dell’ignoranza o della superficialità. I bambini non sono utenti come gli altri. Sono soggetti vulnerabili, titolari di diritti pieni, e sempre più esposti a un ecosistema online costruito per trattenerli, spiarli, indurli a cliccare.

L’operazione Privacy Sweep, per una volta, non arriva dopo il danno, ma cerca di prevenire gli abusi con uno sguardo coordinato, globale, sistemico. È un’occasione da cogliere anche sul piano culturale, oltre che giuridico: ripensare il modo in cui progettiamo l’infanzia digitale.

Non si tratta solo di flaggare qualche opzione nelle impostazioni. Si tratta di scegliere da che parte stare.

Ecco, se c’è una cosa che questa indagine ci ricorda, è che la privacy dei bambini non è un ostacolo alla creatività tecnologica. È il suo limite etico. Ed è proprio dentro quel limite che si gioca la differenza tra chi costruisce futuro — e chi, invece, lo monetizza finché dura.

