PRIVACY E MINORI: LA “MAGGIORE ETÀ DIGITALE” E TRATTAMENTO DEI DATI

L’articolo 12 del Reg. UE 2016/679 impone al Titolare del trattamento di fornire l’informativa su come vengono trattati i dati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori (“il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”).

LESSICO, TONO E STILE ADEGUATO E COMPRENSIBILE

I minori, quindi, hanno il diritto di ricevere informazioni trasparenti aventi un lessico, tono e stile adeguato e che possa essere da loro comprensibile, eventualmente anche con l’ausilio di fumetti/vignette, pittogrammi, animazioni (in tale quadro, invero, si inseriscono le iniziative dell’Autorità Garante che ha creato apposita “Pagina informativa su minori, nuove tecnologie e protezione dei dati” – al cui interno si trovano diversi video ed interazioni animate).

UNA SPECIFICA PROTEZIONE DEI DATI PERSONALI DEL MINORE

A mente del Reg. UE 2016/679 i minori meritano una specifica protezione relativamente ai loro dati personali “in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”, aggiungendo che “il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore (cfr. considerando n. 38). Tale tutela “rafforzata” in favore del minore viene posta in particolare con riferimento all’utilizzo dei “dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore” ( cfr. Considerando n. 38 del GDPR).

Il legislatore europeo, quindi, ha stabilito all’art. 8 del Reg. UE 2016/679 che “per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”, evidenziando che “ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”. Gli Stati membri, comunque, “possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni”.

LA MAGGIORE ETÀ DIGITALE

L’art. 2 quinquies del D.Lgs. 196/2003, norma di derivazione nazionale, dispone che “in attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione”.

L’età minima dei 13 anni, invero, è stata fissata dal Children’s Online Privacy Protection Act (Legge USA per la protezione dell’infanzia in Rete, “COPPA”). Questa normativa del 1998 prevede che nessuno può raccogliere dati relativi a minori di 13 anni, salvo si tratti di un ente pubblico.

Giova rilevare che il consenso di cui all’art. 8 Reg. UE 2016/679, e parallelamente art. 2 quinquies D.Lgs. 196/2003, non riguarda tutti i trattamenti di dati di minori, ma solo quando il trattamento:

a. concerna un’offerta diretta di servizi della società dell’informazione a soggetti minori che hanno almeno 16 anni (ovvero 14 in Italia);

b. sia basato sul consenso, secondo quanto disposto dall’art 6, par. 1, lett. a del Reg. UE 2016/679 (se il trattamento ha altra base giuridica, come ad esempio il rispetto di un obbligo di legge, i legittimi interessi, ecc., la predetta norma non si applica).

Laddove manchino questi due requisiti, l’art. 8 richiede il consenso dell’esercente la responsabilità genitoriale.

Ed invero l’art. 8 Reg. UE 2016/679 evidenzia che le condizioni richiamate rilevano nel caso in cui “si applichi l’articolo 6, paragrafo 1, lettera a)”; a mente dell’ultima disposizione citata:

“Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (lettera richiamata dall’art. 8);

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Sempre l’articolo 8, par. 3, prevede che “il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore” (es. le norme del codice civile relative alla formazione ed efficacia del contratto rispetto al minore).

Alla luce delle disposizioni contenute all’interno del Reg. UE 2016/679, e dell’intervento del legislatore italiano di cui all’art. 2 quinquies del D.Lgs. 196/2003, sembra potersi parlare di una “maggiore età digitale” in cui l’ultraquattordicenne risulta essere il soggetto interessato del trattamento, che può esercitare i diritti in merito ai propri dati personali (limitatamente all’articolo 6, paragrafo 1, lettera a).

A conferma della possibilità di agire conferita direttamente in capo al minore si rileva che con l’entrata in vigore del Decreto Legge 139/2021 è stato inserito all’interno del D.Lgs. 196/2003 l’art. 144-bis, a norma del quale:

“Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’art. 612-ter del codice penale, può rivolgersi, mediante segnalazione o reclamo al garante”. All’ultraquattordicenne, dunque, è oggi concessa la possibilità di effettuare segnalazioni all’Authority privacy anche solo relative al mero rischio di diffusione di immagini intime senza il suo consenso, ad esempio con scopi vendicativi, estorsivi o ricattatori; il Garante entro 48 ore dal ricevimento della richiesta dovrà provvedere ai sensi dell’articolo 58 del regolamento UE 2016/679 (“GDPR”) e degli articoli 143 e 144 predisponendo indagini.

CAPACITÀ DEL MINORE ONLINE E OFFLINE

Il principale problema risultante dall’attuale quadro normativo rimane la paradossale scissione creatasi tra la capacità del minore online e la sua capacità di agire nella vita reale. Questo concetto è stato espresso dalla Garante per l’infanzia e l’adolescenza del 10.09.2018: “oggi un adolescente necessita del consenso genitoriale per il trattamento dei dati personali in qualsivoglia contesto off-line (ad es. per l’iscrizione in palestra o per la foto di classe) mentre, nel ben più complesso universo del trattamento dei dati on-line può prescinderne”.

Per completezza si rileva che ci sono diverse proposte di legge volte ad innalzare “la maggiore età digitale” a 16 anni rispetto agli attuali 14, anche a tutela dei minori (in particolare dei “baby influencer”).