Negli Stati Uniti, il panorama legislativo relativo alla privacy dei minori sta diventando sempre più protettivo. La recente tendenza mira a regolamentare l’uso dei social media da parte dei minori e a fornire ai genitori un maggiore controllo sulle attività dei loro figli sui social media. Questa ondata legislativa si sta sviluppando parallelamente alle preoccupazioni per l’impatto dei social media sulla salute mentale degli adolescenti e per le lacune percepite nella protezione dei diritti alla privacy dei minori sui social media. Il 23 marzo, lo Utah è stato il primo Stato ad adottare una normativa sui social media con il Social Media Regulation Act. La legge si applica alle aziende di social media con più di 5 milioni di utenti in tutto il mondo ed entrerà in vigore il 3 maggio, benché diverse norme resteranno sospese fino al 1° marzo 2024. Numerosi Stati hanno proposto o stanno valutando leggi simili in nome della protezione dei minori da potenziali danni online, molte delle quali sarebbero probabilmente destinate ad affrontare sfide legali. Il 10 aprile, l’Arkansas ha approvato la legge sulla sicurezza dei social media, che entrerà in vigore il 1° settembre ed è in attesa della firma del governatore. La normativa impone alle società di social media di ottenere il consenso esplicito di un genitore o di un tutore prima di consentire agli utenti di età inferiore ai 18 anni di aprire un account. Le aziende di social media sono tenute a verificare l’età degli utenti dell’Arkansas incaricando un fornitore terzo di eseguire una “ragionevole verifica dell’età”. Nel gennaio del 2023, in New Jersey è stata una legge che proibisce alle società di social media di utilizzare qualsiasi pratica, design o funzione che possa causare dipendenza dalla loro piattaforma agli utenti di età inferiore ai 18 anni. Il Connecticut e l’Ohio hanno recentemente introdotto proposte di legge che richiedono alle società di social media di ottenere il consenso dei genitori prima di consentire agli utenti di età inferiore ai 16 anni di aprire un account. Nel dicembre 2022, il Texas ha presentato una proposta di legge che vieta ai residenti del Texas di età inferiore ai 18 anni di creare un account sui social media e richiede alle società di social media di verificare l’età degli utenti attraverso una serie di metodi, tra cui un meccanismo di identificazione fotografica, e di fornire ai genitori percorsi per richiedere la rimozione degli account dei loro figli.

La proposta della Commissione Europea per combattere la diffusione di contenuti pedopornografici ha incontrato una forte opposizione in Parlamento a causa delle sue implicazioni sulla privacy. Nella sua forma attuale, la proposta autorizzerebbe le autorità giudiziarie a emettere ordini di individuazione di app di messaggistica o servizi di mailing considerati a rischio significativo di diffusione di questo tipo di contenuti illegali. Il Parlamento europeo ha commissionato un’ulteriore valutazione d’impatto, secondo quanto riportato da Euractiv, per valutare queste preoccupazioni sulla proposta, presentata alla Commissione parlamentare per le libertà civili, la giustizia e gli affari interni. Il risultato più rilevante dello studio è che l’attuale tecnologia non è abbastanza avanzata per rilevare nuovi abusi sessuali senza che ciò comporti un alto tasso di errore. Il tasso di errore sarebbe particolarmente significativo poiché potenzialmente tutti i messaggi di una piattaforma potrebbero essere scansionati. Un’altra preoccupazione legata alla proposta dell’UE è che sarebbe in contrasto con la crittografia end-to-end. Secondo lo studio commissionato dal Parlamento, attualmente non esiste una soluzione tecnologica che consenta la scansione delle comunicazioni private richieste da ordini di rilevamento senza compromettere la crittografia end-to-end. La valutazione d’impatto afferma inoltre che è improbabile che tali soluzioni tecniche vengano sviluppate prima dell’entrata in vigore del nuovo regolamento. Peraltro, la proposta di legge assegna a un nuovo Centro dell’UE il ruolo di eliminare i “falsi positivi”. La valutazione d’impatto sostiene che è improbabile che il previsto Centro dell’UE “migliori sostanzialmente la qualità del rilevamento, considerando che decenni di ricerca e sviluppo non hanno finora portato a livelli di accuratezza elevati per il rilevamento di nuovi abusi”. In altre parole, il nuovo materiale sarebbe più difficile da rilevare e anche quello noto potrebbe essere alterato in modo da sfuggire agli algoritmi di rilevamento. Secondo lo studio, una soluzione con maggiore potenziale a questo punto sarebbe l’analisi del comportamento degli utenti e dei metadati, come i segnali di rete.

Le imprese potrebbero essere multate fino a 10 milioni di dollari taiwanesi (327.912 dollari USA) per non aver adottato misure adeguate per salvaguardare la sicurezza dei dati personali. Lo ha dichiarato il Governo taiwanese. L’emendamento alla legge sulla protezione dei dati personali è stato proposto dopo che sono state segnalate violazioni di dati personali presso China Airlines, Breeze Center e l’operatore di servizi di condivisione di veicoli iRent. “Attualmente, le aziende private devono prima essere invitate ad affrontare le violazioni dei dati e verrebbero multate solo se le violazioni persistono. L’emendamento autorizzerebbe il governo a imporre multe direttamente e ad aumentare la sanzione fino a 10 milioni di dollari taiwanesi”, ha dichiarato il direttore del Dipartimento per la riforma della regolamentazione presso il Consiglio nazionale per lo sviluppo. L’emendamento prevede che le organizzazioni o le imprese private vengano multate con multe da 20.000 a 2 milioni di dollari taiwanesi nel caso in cui la loro negligenza porti a violazioni dei dati e che venga loro ordinato di risolvere le violazioni entro un determinato periodo. Coloro che non riusciranno a risolvere i problemi di sicurezza dei dati entro la scadenza potranno essere sanzionati consecutivamente, con un aumento della multa da 100.000 a 10 milioni di dollari taiwanesi per ogni violazione dei dati. Tuttavia, l’emendamento prevede che la multa iniziale per una grave violazione dei dati sia compresa tra 100.000 e 10 milioni di dollari taiwanesi. Le aziende private verrebbero multate fino a quando le violazioni non saranno risolte. L’emendamento autorizza inoltre il governo a istituire una commissione per la protezione dei dati personali per far rispettare la legge sulla protezione dei dati personali. “Verrà innanzitutto istituito un ufficio preparatorio per la commissione, per stipulare regole temporanee che la aiutino a gestire i casi di violazione dei dati e per redigere una legge organica della commissione per la protezione dei dati personali”, ha dichiarato un esponente del Governo, aggiungendo “Speriamo che il progetto di legge organica venga deliberato durante la prima sessione legislativa del prossimo anno”.

English version

In the United States, the legislative landscape regarding children’s privacy is becoming increasingly protective. The recent trend aims to regulate minors’ use of social media and provide parents with greater control over their children’s social media activities. This legislative wave is developing in parallel with concerns about the impact of social media on adolescents’ mental health and perceived gaps in the protection of minors’ privacy rights on social media. On 23 March, Utah became the first state to adopt social media legislation with the Social Media Regulation Act. The law applies to social media companies with more than 5 million users worldwide and will go into effect on 3 May, although several regulations will remain suspended until 1 March 2024. Several states have proposed or are considering similar laws in the name of protecting minors from potential harm online, many of which would likely face legal challenges. On 10 April, Arkansas passed the Social Media Safety Act, which will take effect on 1 September and is awaiting the governor’s signature. The legislation requires social media companies to obtain explicit consent from a parent or guardian before allowing users under the age of 18 to open an account. Social media companies are required to verify the age of Arkansas users by engaging a third-party vendor to perform a ‘reasonable age verification’. In January 2023, a law was passed in New Jersey prohibiting social media companies from using any practice, design or function that could cause users under the age of 18 to be addicted to their platform. Connecticut and Ohio recently introduced bills requiring social media companies to obtain parental consent before allowing users under the age of 16 to open an account. In December 2022, Texas introduced a bill that would prohibit Texas residents under the age of 18 from creating a social media account and require social media companies to verify the age of users through a variety of methods, including a photo identification mechanism, and to provide avenues for parents to request the removal of their children’s accounts.

The European Commission’s proposal to combat the dissemination of child pornography content has met with strong opposition in Parliament due to its privacy implications. In its current form, the proposal would authorise judicial authorities to issue detection orders to messaging apps or mailing services considered to be at significant risk of spreading this type of illegal content. The European Parliament commissioned a further impact assessment, Euractiv reported, to evaluate these concerns on the proposal, which was submitted to the Parliamentary Committee on Civil Liberties, Justice and Home Affairs. The most relevant finding of the study is that current technology is not advanced enough to detect new sexual abuse without a high error rate. The error rate would be particularly significant since potentially all messages on a platform could be scanned. Another concern with the EU proposal is that it would conflict with end-to-end encryption. According to the study commissioned by the Parliament, there is currently no technological solution that would allow the scanning of private communications required by discovery orders without compromising end-to-end encryption. The impact assessment also states that it is unlikely that such technical solutions will be developed before the new regulation comes into force. Moreover, the bill assigns a new EU Centre the role of eliminating ‘false positives’. The impact assessment argues that the planned EU Centre is unlikely to ‘substantially improve the quality of detection, considering that decades of research and development have so far not led to high levels of accuracy for the detection of new abuses’. In other words, new material would be more difficult to detect and even known material could be altered so as to escape detection algorithms. According to the study, a solution with greater potential at this point would be the analysis of user behaviour and metadata, such as network signals.

Companies could be fined up to NT$ 10 million (USD 327,912) for failing to take adequate measures to safeguard personal data security. This was stated by the Taiwanese government. The amendment to the Personal Data Protection Act was proposed after personal data breaches were reported at China Airlines, Breeze Center and vehicle-sharing services operator iRent. “Currently, private companies must first be asked to address data breaches and would only be fined if the breaches persist. The amendment would authorise the government to impose fines directly and increase the penalty up to NT$10 million,” said the director of the Regulatory Reform Department at the National Development Council. Under the amendment, private organisations or companies will be fined between NT$20,000 and NT$2 million if their negligence leads to data breaches and ordered to resolve the breaches within a specified period. Those who fail to resolve data security issues by the deadline may be sanctioned consecutively, with the fine increasing from NT$100,000 to NT$10 million for each data breach. However, the amendment states that the initial fine for a serious data breach would be between NT$100,000 and NT$10 million. Private companies would be fined until the breaches are resolved. The amendment also authorises the government to set up a data protection commission to enforce the Data Protection Act. “A preparatory office for the commission will first be established to make temporary rules to help it handle data breach cases and to draft an organic law of the personal data protection commission,” said a government official, adding, “We hope the organic bill will be deliberated during the first legislative session next year.