Due normative proteggono soprattutto i dati di tuo figlio: COPPA negli Stati Uniti e il GDPR in Europa. Esistono entrambe perché i bambini piccoli non possono acconsentire in modo valido a essere tracciati. Ma conoscere il nome di una legge non ti dice se l’app tra le mani di tuo figlio è davvero sicura: ecco cosa richiede ciascuna norma e il controllo di due minuti che fa chiarezza.
Le due leggi che proteggono i dati di tuo figlio
COPPA — Stati Uniti
Il Children's Online Privacy Protection Act (COPPA) si applica ai servizi online rivolti ai minori di 13 anni, o che ne raccolgono consapevolmente i dati. Regola cardine: l’app deve ottenere il consenso verificabile dei genitori prima di raccogliere i dati personali di un bambino. E «dati personali» ha un significato ampio: non solo nome ed e-mail, ma anche gli identificatori persistenti che tracciano il bambino tra un’app e l’altra, la posizione precisa e foto, video e registrazioni audio. COPPA è applicato dalla Federal Trade Commission (FTC).
GDPR — Unione Europea e Regno Unito
Il Regolamento generale sulla protezione dei dati (GDPR) riconosce ai minori una protezione specifica. Per un servizio online rivolto a un bambino, il consenso deve essere prestato o autorizzato da un genitore finché il minore è al di sotto di un’età fissata da ciascun Paese — 16 anni come impostazione predefinita, abbassabile fino a 13 in alcuni Stati. Nel Regno Unito, l’Age Appropriate Design Code dell’autorità ICO si spinge oltre e impone impostazioni ad alta privacy predefinite e la minimizzazione dei dati per i servizi che possono essere usati dai bambini.
Cosa richiedono le leggi, in sintesi
- Chi tutelano: COPPA i minori di 13 anni; il GDPR i minori tra i 13 e i 16, a seconda del Paese.
- Obbligo principale: consenso dei genitori prima di raccogliere dati, oltre a impostazioni ad alta privacy predefinite (codice britannico per l’infanzia).
- Cosa conta come dato: nome e contatti, ma anche identificatori di tracciamento, posizione precisa, foto e audio.
- Chi le applica: negli USA la FTC; in Europa le autorità nazionali per la protezione dei dati.
- Il modo più semplice per essere conformi: non raccogliere nulla. Un’app che non raccoglie dati non ha bisogno di consenso e non ha nulla da perdere.
Il tranello: la legge è il pavimento, non il soffitto
Ecco cosa sfugge a molti genitori: entrambe le leggi si basano soprattutto sul consenso. Un’app può quindi raccogliere — e persino condividere — moltissimi dati, purché prima lo chieda ai genitori. Nella pratica quel consenso è spesso sepolto nella registrazione, e non poche app «per bambini» rispettano la norma sulla carta pur integrando SDK pubblicitari che profilano tuo figlio. Essere conformi significa che l’app ha seguito le regole, non che non raccolga nulla. E questa differenza si paga quasi sempre in pubblicità. Perché la pubblicità nelle mani di un bambino è il vero problema lo spieghiamo nella checklist delle app senza pubblicità.
Il controllo privacy in due minuti
- Leggi l’etichetta privacy. Nell’App Store, sotto «Privacy dell’app»: «Dati non raccolti» è la risposta più forte; «Dati collegati a te» significa che i dati sono associati all’identità di tuo figlio.
- Cerca un’informativa sulla privacy dei minori. Chi ne pubblica una ha pensato agli obblighi di COPPA e GDPR.
- Controlla «Contiene pubblicità». Le app per bambini finanziate dalla pubblicità quasi sempre condividono dati con i circuiti pubblicitari.
- Provala tu per cinque minuti. Attenzione a registrazioni di account, richieste di e-mail o permessi per posizione, contatti o microfono: un’app di disegno non ne ha bisogno.
- Prova il controllo parentale. Acquisti e link devono stare dietro una verifica per adulti che un bambino piccolo non superi da solo.
Lo standard d’oro: «Dati non raccolti»
Il modo più pulito per essere al sicuro con COPPA e GDPR è progettare un’app che non abbia motivo di toccare i dati di tuo figlio. È l’approccio di Kid Doodle: la sua etichetta App Store dice «Dati non raccolti», non ci sono account, né SDK di analisi o tracciamento, né pubblicità di terzi — e l’app funziona 100% offline: dopo l’installazione non viene inviato nulla, perché non c’è nulla da inviare. Non c’è schermata di consenso perché non c’è nulla da consentire. Gli acquisti facoltativi degli album da colorare sono dietro il controllo parentale dell’Area Genitori. Una storia di privacy volutamente noiosa — ed è esattamente ciò che vuoi per un bambino.
Domande frequenti
Cos’è COPPA e riguarda le app di mio figlio?
COPPA è la legge statunitense sulla tutela della privacy dei minori online (Children's Online Privacy Protection Act). Si applica ai servizi online rivolti ai minori di 13 anni (o che ne raccolgono consapevolmente i dati) e richiede il consenso verificabile dei genitori prima di raccogliere dati personali, inclusi gli identificatori di tracciamento, la posizione, le foto e l’audio. È applicata dalla FTC.
Il GDPR protegge i bambini nell’UE?
Sì. Il GDPR riconosce ai minori una protezione specifica. Per un servizio online rivolto a un bambino, il consenso deve essere prestato o autorizzato da un genitore finché il minore è sotto l’età fissata da ciascun Paese — 16 anni come impostazione predefinita, fino a 13 in alcuni. Nel Regno Unito l’Age Appropriate Design Code aggiunge impostazioni ad alta privacy predefinite e minimizzazione dei dati.
Cosa significa l’etichetta «Dati non raccolti» dell’App Store?
Significa che, secondo lo sviluppatore, l’app non raccoglie alcun dato: niente analisi, identificatori, account o tracciamento. Dove non si raccoglie nulla, non c’è nulla da consentire, condividere o perdere: lo stato più sicuro per un’app per bambini. L’etichetta di Kid Doodle dice «Dati non raccolti».