In partnership con lo Studio Legale Improda
L’evoluzione dei cc.dd. smart toys solleva diversi dubbi in tema di protezione dei dati personali e sicurezza digitale, soprattutto perché gli utenti sono minori.
I giocattoli intelligenti hanno sostituito il vecchio bambolotto con chip: oggi i peluche creano storie, dei robot memorizzano abitudini e le consolle sempre connesse via wi-fi o bluetooth con smartphone, tablet, pc ed altri smart toys, sono in grado di interagire con i bambini e con l’ambiente circostante tramite microfoni, fotocamere, geolocalizzazione, sensori e sistemi di IA generativa.
La questione diventa soprattutto economica e culturale: nell’era dell’IoT il giocattolo non è più il prodotto ultimo fine a sé stesso, diventa un veicolo persuasivo nella “filiera” della raccolta dati (almeno nei primi film di animazione Toy Story di Disney Pixar i giocattoli si limitavano a parlare e a provare emozioni), a vantaggio della necessità di ottenere profitto il più rapidamente possibile, come richiede il mercato (cfr. Report Trouble in Toyland 2025 del Public Interest Research Group, l’organizzazione no-profit del Nord America attiva su temi di interesse pubblico come la tutela dei consumatori). Il minore oggi non interagisce con un semplice peluche, ma con server remoti che finiscono per profilare l’utente e chi ne condivide l’ambiente domestico.
Uno studio dell’Università di Basilea ha valutato la conformità di alcuni fra gli smart toys più popolari presenti sul mercato europeo: Edurino (una app per l’apprendimento digitale), Kidibuz (smartphone con parental control), Tiptoi (una penna intelligente), Tamagotchi (il famoso animale da compagnia virtuale), Moorebot (un robot con telecamera e microfoni integrati). L’analisi, dagli esiti abbastanza sconcertanti, si è incentrata su:
- l’accessibilità ai dati da parte delle aziende produttrici;
- la crittografia del traffico dati;
- l’adeguatezza delle informative per garantire la trasparenza nel data flow tra dispositivi e app.
Ad esempio, Poe l’Orso AI Story distribuito da Giochi Preziosi (azienda che negli anni ’90 di questo periodo produceva – per intenderci – gli innocui Pasqualone o Pasqualina, preceduti eventualmente dall’Uovo Surprise della Mattel), attraverso l’IA generativa crea favole personalizzate, con il supporto dell’app “Poe Ai Story Creator” e di un’infrastruttura cloud per l’elaborazione del linguaggio.
Alcune app proprietarie che gestiscono questi smart toys, come ricorda anche l’apposita scheda informativa del Garante Privacy, tendono spesso a richiedere autorizzazioni ultronee (es. accesso a microfono, memoria del dispositivo, o geolocalizzazione) non sempre proporzionate alle effettive esigenze di funzionamento del gioco. Secondo quanto dichiarato da alcuni produttori, i dati così raccolti non verrebbero venduti o diffusi e le informazioni inserite nelle app servirebbero unicamente a personalizzare la storia e, quindi, ad ottimizzare il gioco.
Emblematico è, ancora, il caso dei dinosauri Bondu, peluche che offrivano una funzione di chat basata sull’IA per far parlare i bambini con il pupazzo, come se fosse una sorta di amico immaginario potenziato dal machine learning. Ebbene, la piattaforma web di Bondu pensata per consentire, da un lato, ai genitori di controllare le conversazioni dei figli e dall’altro, allo staff dell’azienda di monitorare il funzionamento e le prestazioni dei prodotti, di fatto, a causa di misure di sicurezza non adeguate, faceva sì che chiunque con un semplice account Gmail potesse accedere alle trascrizioni delle conversazioni private di ciascun utente con il proprio Bondu, eccetto quelle rimosse manualmente dai genitori o dall’azienda stessa. Inoltre, Bondu sembrerebbe utilizzare Google Gemini e GPT-5 di OpenAI sin dalla fase di programmazione, con le vulnerabilità e criticità note e proprie dei sistemi di IA generativa “aperti”.
Quali rischi, quindi, in tema di Privacy e Sicurezza Digitale?
Innanzitutto, il rischio che siffatti prodotti violino alcuni principi fondamentali del GDPR:
- Liceità, Correttezza e Trasparenza (Art. 5, par. 1, lett. a): è indiscussa la presenza sul mercato, soprattutto nel segmento low-cost, di prodotti realizzati da produttori extra-UE con informative privacy poco trasparenti o difficilmente reperibili (tralasciando le possibili violazioni ai sensi del Digital Services Act). L’interessato – o chi ne esercita la responsabilità genitoriale – deve essere messo in condizione di comprendere chiaramente ed agevolmente quali dati vengono raccolti e per quali finalità.
- Minimizzazione dei dati (Art. 5, par. 1, lett. c): la tendenza delle app collegate agli smart toys a richiedere permessi estesi non sempre necessari al funzionamento del gioco viola, inoltre, il principio di minimizzazione tale per cui i dati personali raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Da questo punto di vista il suggerimento è di prestare attenzione alle informazioni condivise durante l’interazione con il gioco, evitando di fornire dati non necessari.
- Integrità e Riservatezza (Art. 5, par. 1, lett. f): l’assenza di misure di sicurezza (es. la crittografia) adeguate nel traffico dati tra dispositivi espone i dati stessi, incluse le voci e le abitudini dei minori, ad elevati rischi di accesso illecito o perdita, in violazione dell’art. 32GDPR.
In secondo luogo, vi è il rischio della potenziale illiceità del consenso prestato dal minore.
Il consenso è una delle basi giuridiche che legittima un trattamento da parte del titolare (Articolo 6, par. 1, lett. a) del GDPR . Ebbene, quando l’interessato è un minore, la sua validità è subordinata a condizioni più stringenti:
- l’art. 7, par. 4 GDPR impone la verifica della libertà del consenso fornito per la parte di trattamento non giustificata dalla necessità di dare esecuzione ad un contratto (altra base giuridica del trattamento ex art. 6 lett.b). In tale ottica è difficile credere al fatto che la raccolta di dati sulla geolocalizzazione o la registrazione di conversazioni per finalità di profilazione siano “oggettivamente indispensabili” per il funzionamento di un peluche che racconta storie.
- l’art. 8 GDPR stabilisce che il trattamento dei dati di un minore di 16 anni (o di età inferiore, fino a 13 anni, se previsto dalla legge nazionale) basato sul consenso è lecito solo se “prestato o autorizzato dal titolare della responsabilità genitoriale” ed è onere del titolare del trattamento adoperarsi per verificare la sussistenza di tale presupposto. La semplice accettazione di termini e condizioni da parte di un bambino non costituisce una base giuridica valida in questo senso.
Da ultimo, ma non per importanza, il rischio che i dati raccolti dall’interazione con il giocattolo intelligente siano oggetto di trasferimento verso paesi terzi.
Principio generale è che il trasferimento di dati verso un paese terzo possa avvenire solamente nel rispetto delle condizioni poste dagli artt. 44 e ss. del Regolamento, al fine di non pregiudicare il livello di protezione di cui godono i cittadini europei – senz’altro – all’interno dell’Unione.
Qualora il paese terzo o l’organizzazione internazionale interessata dal trasferimento (avendo riguardo, ad esempio, al luogo in cui sono localizzati i server), non rientri nell’elenco di paesi ritenuti “sicuri” sotto il profilo della protezione dei dati personali secondo la Commissione Europea e, dunque, in assenza di una Decisione di Adeguatezza di cui all’art. 45 GDPR, i titolari “esportatori di dati” dovranno ricorrere a garanzie adeguate fra quelle previste al successivo art. 46, avendo questi ultimi l’obbligo di verificare, di volta in volta, se la legge del paese terzo garantisca, o meno, un livello di protezione sostanzialmente equivalente a quello dell’UE. Diversamente, il trasferimento sarebbe precluso, ma l’opacità delle informative non sempre consente al consumatore di verificare tale aspetto.
Ciò premesso, alcune raccomandazioni pratiche del Garante Privacy suggeriscono prima dell’acquisto di:
- informarsi e reperire notizie sulla sicurezza del prodotto;
- leggere l’informativa privacy, per verificare quali dati vengono raccolti (voci, foto, altro), per quali finalità (marketing, profilazione) e se è previsto il trasferimento extra UE;
- controllare l’età minima indicata sul prodotto, la cui indicazione è già un primo indicatore dell’effettiva accountability del titolare al tema della protezione dei dati personali;
- verificare la marcatura CE, ovvero assicurarsi che il giocattolo rispetti gli standard di sicurezza europei.
E durante l’utilizzo di:
- impostare password sicure: cambiare le password predefinite con combinazioni complesse ed originali.
- aggiornare il software del prodotto per superare eventuali falle di sicurezza;
- utilizzare reti Wi-Fi sicure protette da password;
- limitare la condivisione di dati anche insegnando al bambino a non comunicare informazioni personali come nome, indirizzo o scuola;
- disattivare il dispositivo quando non è in uso per interrompere la raccolta di dati e supervisionarne l’utilizzo;
- esercitare attivamente i diritti di cui agli artt. 15-22 GDPR nelle modalità obbligatoriamente indicate dal produttore e/o proponendo reclamo al Garante Privacy.
In conclusione, la diffusione degli smart toys non rappresenta solo un’innovazione tecnologica, ma una sfida diretta all’impianto normativo del GDPR, che impone una vigilanza costante da parte delle autorità di controllo e una maggiore consapevolezza da parte dei genitori. In Europa, intanto, il perimetro normativo tenderà ad irrobustirsi con la cd. Toy Safety Regulation, il Reg. UE 2025/2509 che a partire dal 1° agosto 2030 abrogherà l’attuale Direttiva 2009/48/CE (adottata per garantire un elevato livello di sicurezza dei giocattoli e la loro libera circolazione nel mercato interno) e che introdurrà anche un “passaporto digitale” per i prodotti destinati ai minori di 14 anni.
Nel frattempo, lo scambio continuo di input con il giocattolo finisce per abituare l’utente all’idea che l’accesso all’intrattenimento passi attraverso la necessaria condivisione di dati (con altre ricadute in termini di sviluppo psicologico dei bambini). Insomma, si regala un “semplice” giocattolo e si introduce in casa un “cavallo di Troia” digitale. Se la progettazione di un robot con IA generativa può costare relativamente poco per il produttore, il vero margine di guadagno con gli smart toys non può che risiedere nella profilazione digitale del futuro consumatore, costruita sulla base delle sue interazioni all’interno del contesto domestico.
