Skip to main content

Il consenso digitale del minore

La disciplina del GDPR e le scelte del legislatore italiano

di Maria Negri


Con una norma alquanto innovativa, il GDPR ha introdotto una specifica disciplina, l’articolo 8, sulle “condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”.

La norma stabilisce che, nei trattamenti di dati basati sul consenso ex art. 6, par. 1, lett. a), nell’ambito dell’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove egli abbia almeno 16 anni [1].

Procediamo per gradi. Dalla definizione di trattamento di cui all’art. 4, n. 2), in combinato disposto con l’art. 8, si evince che per “trattamento di dati personali di un minore” debba intendersi la raccolta ed elaborazione delle informazioni riferibili a un minore identificato o identificabile, anche indirettamente, per tutto ciò che viene offerto sulla rete in termini di servizi: l’attivazione di un indirizzo e-mail, l’acquisto di prodotti, l’iscrizione a social network o a piattaforme di sharing[2].

La norma in parola vuole, quindi, accordare una tutela rafforzata al dato personale dei minori, in quanto soggetti “meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”. Tale specifica protezione dovrebbe riguardare, in particolare, “l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”[3].

La suddetta esigenza di tutela viene contemperata con il diritto a godere di un margine di autonomia nella gestione della propria identità digitale, nella misura necessaria a realizzare la libertà di espressione, intesa come, ai sensi dell’art. 13 della Convenzione sui diritti del fanciullo, “la libertà di ricercare, ricevere e divulgare informazioni e idee di ogni specie” sotto forma scritta, orale o artistica o con ogni altro mezzo a scelta del fanciullo”.

L’articolo 8 qui in esame, tuttavia, presenta una sfera di operatività alquanto circoscritta, applicandosi soltanto ai trattamenti:

  1. di dati comuni, non quindi sensibili, giudiziari o genetici [4];
  2. basati sul consenso, ossia per i quali l’interessato debba manifestare il proprio assenso. Di conseguenza, se il trattamento risulta fondato su un altro presupposto (i.e., base giuridica), la norma non si applica;
  3. correlati all’offerta diretta di servizi della società dell’informazione: con tale espressione si intende “qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi” [5]. Inoltre, l’offerta del servizio online deve essere realizzata nei confronti di minori, con la conseguenza che, se un prestatore di tali servizi specifica di erogare il servizio esclusivamente a maggiorenni, lo stesso non è considerato offerto a un minore e l’articolo 8 non trova applicazione [6].

La norma prosegue stabilendo che, per il minore infrasedicenne, il trattamento è subordinato alla prestazione o autorizzazione del consenso da parte del titolare della responsabilità genitoriale. In tali casi, il titolare del trattamento (ossia la persona fisica o giuridica che determina finalità e mezzi del trattamento stesso) deve adoperarsi in ogni modo ragionevole in considerazione delle tecnologie disponibili per verificare che la prestazione del consenso o dell’autorizzazione provengano effettivamente dal titolare della responsabilità genitoriale [7]. Tale disposizione suscita perplessità in relazione allo scopo dichiaratamente perseguito dalla norma e all’intero impianto del GDPR, improntato al principio del favor minoris: infatti, più che di tutela del minore, la ratio pare quella di voler rendere il più possibile leciti i trattamenti di dati da parte dei fornitori dei servizi, consentendo di bypassare il consenso del minore qualora egli non potesse, per difetto del requisito dell’età appunto, eseguire l’atto [8].

Sul punto, il Gruppo di lavoro Articolo 29 [9], nelle linee guida in materia di consenso, raccomanda di adottare delle misure di verifica proporzionate alla natura e ai rischi del trattamento, evitando, da un lato, una raccolta eccessiva di dati personali del genitore o del tutore, dall’altro, controlli approssimativi e inaccurati che eludano di fatto la significatività della norma (ad esempio, per l’iscrizione a una piattaforma di gioco online, potrebbe ritenersi sufficiente una verifica tramite posta elettronica). Nel momento in cui il minore raggiungerà l’età del consenso digitale, egli avrà la facoltà di modificare o revocare il consenso genitoriale, con la conseguenza che, in difetto di azione da parte sua, il consenso prestato dal genitore o dal tutore continuerà a costituire la base del trattamento [10].

Il Considerando 38 specifica che il consenso genitoriale non è tuttavia necessario per fruire dei servizi di prevenzione o di consulenza forniti direttamente ai minori, quali le chat di supporto online, e ben se ne comprende il motivo: in questo caso, il web diventa strumento per proteggere i diritti dei minori che potrebbero essere in pericolo e perciò il consenso genitoriale non viene richiesto, ad ulteriore riprova della ratio di tutela sottesa alla disposizione.

A chiusura, il paragrafo 3 dell’art. 8 specifica che la norma non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore. Pertanto, il GDPR non incide sulle condizioni di validità del contratto sottostante, il cui regime giuridico resta disciplinato dalla normativa nazionale [11].

In ogni caso, lo Stato membro ha la facoltà di derogare alla soglia minima dei 16 anni, abbassando ulteriormente l’età del consenso digitale, purché non sia inferiore ai 13 anni. Pertanto, all’interno della stessa UE ogni Stato potrebbe adottare una normativa ad hoc in materia, oppure rimanere silente, ricadendo automaticamente nella regola generale dei 16 anni, con la conseguenza che uno stesso trattamento di dati di minori potrebbe risultare lecito o illecito a seconda della legge nazionale applicabile, creando disparità di trattamento, nonché problemi di uniformità e certezza del diritto.

Giova evidenziare che negli Stati Uniti il Children’s Online Privacy Protection Act fissa l’età del consenso digitale a 13 anni. A questo punto, i service provider con sede negli USA – la maggioranza – potrebbero escludere la fetta di utenti europei di età compresa tra i 13 e i 15 anni, per evitare di dover sviluppare sistemi di verifica del consenso genitoriale, o, peggio, potrebbero interrompere la fruizione del servizio nei Paesi non allineati alla soglia dei 13 anni, con evidente pregiudizio alla libertà di informazione e di accesso alla rete [12]: anche semplici attività come mandare e-mail, caricare contenuti sulle piattaforme di sharing, condurre ricerche o acquistare prodotti online potrebbero essere compromesse, creando un digital divide che penalizzerebbe i ragazzi europei sprovvisti di una legge nazionale che fissi a 13 anni l’età del consenso digitale rispetto ai coetanei americani [13].

Al riguardo, il legislatore italiano, con il Decreto di adeguamento al GDPR, ha colto l’opportunità di legiferare, fissando a 14 anni l’età del consenso (art. 2-quinquies del Codice Privacy, introdotto dal decreto 10 agosto 2018, n. 101), sempre nell’ambito della stessa cornice oggettiva, ossia quella dell’offerta diretta di servizi della società dell’informazione.

Tale scelta appare in linea con altre norme dell’ordinamento, che ricollegano al compimento del quattordicesimo anno d’età la facoltà di esercitare tutta una serie di diritti in determinati ambiti.

In primis, la legge sul cyberbullismo (l. 29 maggio 2017, n. 71), che legittima il minore ultraquattordicenne a richiedere al gestore del sito internet o del social media di rimuovere, oscurare o bloccare la diffusione di un contenuto pregiudizievole che lo riguarda. Qualora il gestore non provveda entro 48 ore o non sia stato possibile identificarlo, il minore almeno quattordicenne può altresì richiedere l’intervento del Garante per la protezione dei dati personali per ottenere la rimozione dei contenuti lesivi.

Ma, principalmente, il minore ultraquattordicenne può prestare il proprio consenso all’adozione (art. 7, co. 2, l. 4 maggio 1983, n. 184). Come ha evidenziato anche il Garante Privacy, sarebbe stato“incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network” [14].

Di diverso avviso l’Autorità Garante per l’infanzia e l’adolescenza, Filomena Albano, che rimarca come la soglia a cui l’ordinamento già attribuisce rilevanza sotto svariati profili sia quella dei 16 anni. In tal senso, il minore ultrasedicenne può terminare la scuola ed entrare nel mondo del lavoro; può emanciparsi, contrarre matrimonio e riconoscere un figlio naturale, solo per citare alcuni esempi [15].

La Albano già aveva sottolineato come “i 16 anni erano una scelta ragionevole per garantire ai ragazzi una ‘partecipazione leggera’ attraverso l’assunzione di responsabilità dei genitori, che ora invece ricadono su di loro”; pertanto, a seguito dell’abbassamento dell’età ai 14 anni, diventa ancora più cogente la necessità di controbilanciare tale scelta con “programmi formativi specifici, rivolti ai minorenni, che ne assicurino una sufficiente consapevolezza digitale” [16].

Infine, il titolare del trattamento ha l’obbligo di redigere con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, le informazioni e le comunicazioni relative al trattamento che lo riguardi [17]. La ratio della disposizione – che rispecchia l’art. 12, par. 1, del GDPR – è quella di assicurare che il consenso prestato dal minore sia concretamente informato (“significativo”, secondo la lettera della norma), e che quindi egli abbia ben compreso tutte le implicazioni del trattamento [18].

Parte della dottrina ha sottolineato come il legislatore italiano, ripetendo pedissequamente l’art. 12, abbia operato un’indebita “incursione” laddove il Regolamento non lasciava invece margini di autonomia in capo agli Stati membri, suscitando dubbi di incompatibilità per ripetitività [19]. Tale dottrina suggerisce, altresì, che i caratteri e le modalità di comunicazione delle informazioni avrebbero potuto essere enucleati nei Codici di condotta che le associazioni e gli organismi rappresentanti le categorie di titolari o responsabili del trattamento hanno la facoltà di adottare per definire, tra le altre cose, “l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore”[20].

In conclusione, contemperare tutti questi interessi di rilevanza costituzionale è operazione delicata e complessa. Il merito del GDPR è di aver affrontato il problema, ma la concessione agli Stati dell’opzione di deroga rischia di creare un orizzonte normativo eccessivamente eterogeneo, in palese contrasto non solo con le finalità di armonizzazione sottese al Regolamento, ma altresì con le prospettive di tutela del minore nell’ambiente digitale.

Tutto ciò detto, il principale problema risultante da tale quadro normativo rimane la paradossale scissione creatasi tra la capacità del minore online e la sua capacità di agire nella vita reale, concetto efficacemente espresso dalla Garante per l’infanzia e l’adolescenza: “oggi un adolescente necessita del consenso genitoriale per il trattamento dei dati personali in qualsivoglia contesto off-line (ad es. per l’iscrizione in palestra o per la foto di classe) mentre, nel ben più complesso universo del trattamento dei dati on-line può prescinderne” [21].


Bibliografia:

[1]Art. 8, par. 1, Reg. (UE) 2016/679.

[2]Bolognini L., Bistolfi C., L’eta’ del consenso digitale – Privacy e minori on line, riflessioni sugli impatti dell’art. 8 del Regolamento 2016/679 (UE), in http://anticyberbullismo.it/wp-content/uploads/2017/06/Et%C3%A0_del_consenso_digitale_IIP_CNAC_2017.pdf, 7 marzo 2017.

[3]Considerando (38), Reg. (UE) 2016/679.

[4]Finocchiaro G. (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli Editore, 2017, p. 167.

[5]Art. 1, par. 1., Dir. (UE) 2015/1535, cui rinvia l’art. 4, n. 25), del Reg. (UE) 2016/679.

[6]Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP259, p. 28.

Il Gruppo di lavoro è stato istituito ai sensi dell’articolo 29 della Direttiva 95/46/CE, come organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della medesima Direttiva e all’articolo 15 della Direttiva 2002/58/CE.

[7]Art. 8, par. 2, Reg. (UE) 2016/679.

[8]Finocchiaro G., op. cit., p. 169.

[9]Vedi nota 5.

[10]WP259, pp. 29-30.

[11]Riccio G.M., Scorza G., Belisario E. (a cura di), GDPR e Normativa Privacy, Commentario, Ipsoa, 2018.

[12]Bistolfi C., L’età del “consenso digitale” e il delicato rapporto tra minori e sicurezza online, in www.ictsecuritymagazine.com, 8 novembre 2017.

[13]Bolognini L., Bistolfi C., op. cit., p. 11.

[14]Garante per la protezione dei dati personali, Parere sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, 22 maggio 2018.

[15]Garante dell’infanzia e dell’adolescenza, Parere espresso ai sensi dell’art. 3, comma 3, della legge n. 112 del 2011, 23 aprile 2018.

[16]Ibidem.

[17]Art. 2-quinquies, co. 2, Codice Privacy.

[18]Riccio G.M., Scorza G., Belisario E., op. cit., p. 88.

[19]Bolognini L., La disciplina italiana sulla validità del consenso del minore in relazione ai servizi della società dell’informazione, in Bolognini L., Pelino S., Il Civilista, Codice Privacy: Tutte le novità del D.Lgs. 101/2018, Giuffrè, 2019, p. 45.

[20]Art. 40, par. 2, lett. g), Reg. (UE) 2016/679.

[21]Garante dell’infanzia e dell’adolescenza, Nota al Presidente del Consiglio sulla necessità di attivare programmi formativi per sviluppare la consapevolezza digitale delle persone di minore età ai fini del consenso digitale, 10 settembre 2018.


Autore:

 

en_US