Il consenso digitale del minore alla luce dell’art. 8 del GDPR

Introduzione

Tra i tratti più innovativi introdotti dal nuovo Regolamento europeo n. 2016/679 in materia di protezione dei dati personali (nel prosieguo “GDPR”) in tema di manifestazione del consenso al trattamento dei dati vi rientra la previsione, di cui all’art. 8, paragrafo 1, del GDPR, relativa alla capacità del minore sedicenne e ultra-sedicenne di prestare il consenso al trattamento allorquando vi sia un’offerta diretta dei servizi della società dell’informazione. Preme preliminarmente evidenziare che il comma I dell’art. 2- quinquies del novellato Codice Privacy ex D.Lgs. 101/2018, che rappresenta la disciplina attuativa dell’art. 8 del GDPR, riconosce espressamente al minore che ha compiuto i quattordici anni il potere di esprimere il consenso digitale. Pertanto per il minore di età inferiore si prevedono due differenti modalità di acquisizione del consenso: la rappresentanza e la dichiarazione di consenso palesata ex ante dall’esercente la responsabilità genitoriale o la sua autorizzazione rilasciata ex post rispetto alla manifestazione di volontà del minore.

Tanto premesso, nel corso della presente trattazione si andranno ad analizzare alcuni degli elementi caratterizzanti della norma sopraccitata con particolar focus sui requisiti necessari ai fini dell’operatività della stessa. In tale ottica verranno illustrati e messi in evidenza gli adempimenti prescritti in capo ai provider dei servizi della società dell’informazione necessari per garantire la legittimità del trattamento espletato. Infine verrà affrontato anche il delicato tema inerente all’inquadramento e al ruolo del consenso contrattuale rispetto al consenso digitale rilasciato dai minori.

I requisiti per l’operatività dell’art. 8 del GDPR

Seguendo l’ordine di esposizione di cui sopra, affinché l’art. 8 del GDPR possa trovare piena attuazione è necessario che vi sia la sussistenza dei seguenti elementi:

  • i dati personali trattati debbono qualificarsi quali dati comuni (con conseguente esclusione dei dati particolari e giudiziari);
  • la base giuridica del trattamento deve perentoriamente essere il consenso. Qualora il trattamento trovi il proprio fondamento giuridico in un’altra condizione di liceità di cui all’art. 6 del GDPR, la norma in esame non può essere applicata;
  • il trattamento è correlato all’offerta diretta di servizi della società dell’informazione.

Limitatamente al punto 3), è bene segnalare in questa sede cosa si intenda esattamente con il termine “servizio della società dell’informazione”. Al riguardo, l’art. 4 del GDPR, rubricato “Definizioni”, al paragrafo 25, nell’offrire una definizione in tal senso richiama la Direttiva (UE) 2015/1535. Secondo quanto statuito dall’art. 1, paragrafo 1, lettera b) della suddetta direttiva si intende per “servizio”: qualsiasi servizio della società dell’informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. In riferimento a tali fattispecie (quali in primis il servizio di messaggistica e i servizi di fornitura di applicativi direttamente in rete stando alle esemplificazioni di cui alla Relazione illustrativa del D.Lgs n. 101/2018) il legislatore, all’art. 8, paragrafo 2, del GDPR, conformemente al più generale principio di accountability, chiede al titolare del trattamento di adoperarsi in ogni modo ragionevole per verificare che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. Si osserva al tal proposito che la normale diligenza richiesta al titolare pare richiedere che non ci si accontenti della mera dichiarazione dell’interessato in merito alla propria età e alla sussistenza dell’autorizzazione rilasciata dai genitori, ma che si pongano in essere, già in sede di privacy by design e by default, delle misure ulteriori per accertare tali condizioni. Sul punto il Comitato europeo per la protezione dei dati, nelle “Linee Guida 05/2020 sul consenso ai sensi del regolamento (UE) 2016/679”, raccomanda di adottare delle misure di verifica che siano proporzionate alla natura e ai rischi del trattamento, evitando, da un lato, una raccolta eccessiva di dati personali del genitore, dall’altro, controlli approssimativi e inaccurati che eludano di fatto la significatività della norma.

Gli adempimenti prescritti in capo ai titolari del trattamento

Tenuto conto dell’impianto normativo europeo e nazionale il titolare, che voglia assicurarsi che i soggetti che non abbiano raggiunto l’età necessaria usufruiscano dei suddetti servizi esclusivamente con il consenso dei genitori, sarà tenuto ad effettuare i seguenti accertamenti:

  • chiedere all’utente se ha compiuto il quattordicesimo anno di età;
  • nel caso di affermazione positiva, circa l’età minima necessaria, da parte dell’utente, adottare misure e controlli appropriati per constatare ed accertare la veridicità della dichiarazione effettuata dal soggetto interessato;
  • nel caso di affermazione negativa, senza procedere ad ulteriori verifiche in merito a tale dichiarazione, il titolare dovrà informare l’utente che per poter accedere al servizio occorre ottenere il consenso del genitore; a tal fine potrebbe richiedere l’indirizzo di posta elettronica del genitore per procedere con la richiesta del rilascio del consenso [1].

Le zone d’ombra dell’art. 8 del GDPR

Sulla base del contesto brevemente illustrato, allo stato attuale, non risulta completamente chiaro quali siano effettivamente i trattamenti cui il minore può acconsentire. Se si interpreta in modo restrittivo la norma di cui all’art. 8 del GDPR, si potrebbe ipotizzare che il minore possa prestare il proprio consenso limitatamente a qui trattamenti che risultano essere funzionali all’esecuzione della prestazione oggetto del servizio, ovverosia senza i quali, il servizio non potrebbe essere altrimenti erogato. Diversamente, adottando un’interpretazione di più ampio respiro, il minore avrebbe la facoltà di rilasciare il proprio consenso anche in merito a quei trattamenti che, seppur previsti nell’ambito dell’offerta del servizio, non sono necessari alla sua erogazione (il minore potrebbe pertanto acconsentire anche al trattamento dei dati per finalità ulteriori ed aggiuntive, quale quella del marketing) [2]. Proprio relativamente alla possibilità, da parte del titolare, di effettuare attività di profilazione (con finalità di marketing) nei confronti dei minori giova mettere in rilievo che l’articolo 22 del GDPR, di per sé, non opera alcuna distinzione in merito al fatto che il trattamento riguardi adulti o soggetti minori. Tuttavia, il Considerando 71 del GDPR afferma che le decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producono effetti giuridici o in modo analogo significativi non dovrebbero riguardare minori.

Su tale aspetto lo stesso Comitato europeo, nelle “Linee Guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del GDPR” del 6 febbraio 2018, ha sostenuto che poiché la formulazione di cui al suddetto Considerando non trova espressa menzione nel contenuto dell’art. 22, non si debba ritenere che ciò rappresenti un divieto assoluto di questo tipo di trattamento in relazione ai minori. Cionondimeno, alla luce di tale Considerando, si raccomanda al titolare del trattamento di non fare affidamento, di norma, sulle eccezioni di cui all’art. 22, paragrafo 2, per giustificare tale trattamento. Dato che i minori rappresentano una categoria di soggetti interessati maggiormente vulnerabili, sarebbe buona prassi per i titolari di astenersi dal profilarli per finalità di marketing in quanto tale attività si configurerebbe al di fuori della portata della comprensione di un minore e pertanto del trattamento lecito. Ad ogni buon conto, anche nell’eventualità in cui si intenda aderire all’interpretazione estensiva dell’art. 8 del GDPR, non sembra plausibile ricavare dalla citata norma un generalizzato riconoscimento ai minori ultra-quattordicenni del potere di prestare il consenso al trattamento dei dati. Occorre difatti sottolineare che l’ambito di applicazione dell’art. 8 del GDPR non coincide con quello dell’intero GDPR, essendo limitato e circoscritto ai soli casi di offerta diretta di servizi della società dell’informazione. All’infuori del sopramenzionato ambito permane in ogni caso il limite di diciotto anni per la prestazione di un valido consenso al trattamento dei dati personali.

Da ultimo, con l’intento di offrire una puntuale panoramica di tale disciplina, corre riportare il paragrafo 4 dell’art. 8 del GDPR: “Il paragrafo 1 dell’articolo 8 del GDPR non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore”. Tale paragrafo rappresenta una vera e propria clausola di salvaguardia in quanto fa salve le norme e le regole di diritto interno disciplinanti l’incapacità dei minori di concludere contratti. Ciò comporta che in nessun caso il titolare del trattamento potrà eludere la portata di altri basi giuridiche, di cui all’art. 6 del GDPR, pretendendo la fungibilità dell’acquisizione del consenso del minore per quei casi in cui, ad esempio, la base stessa, per il trattamento di interesse, risulta trovare la propria ratio nell’esecuzione contrattuale.

Conclusioni

Alla luce di tale norma, che pone o meglio presuppone un’attività interpretativa particolarmente complessa, almeno rispetto al nostro ordinamento interno, la prassi giudiziaria rivestirà certamente un ruolo preminente nell’individuazione dei corretti ambiti di applicazione del consenso del minore. Si registrerà al riguardo un’elevata probabilità di una interferenza della disciplina sul trattamento dei dati con la disciplina dei contratti (considerato che il consenso, in merito all’uso dei dati da parte dei provider dei servizi della società dell’informazione, sembra già di per sé un contratto) e del relativo campo di operatività dell’annullamento dei contratti in presenza dell’incapacità di agire del minore [3].

Bibliografia:

[1] S. COPPOLA, GDPR e minori, gestire consenso e privacy sui social: che c’è da sapere, in www.cybersecurity360.it, 2019

[2] S. THOBANI, I requisiti del consenso al trattamento dei dati personali, Maggioli Editore, 2016

[3] A. CICCIA MESSINA, Guida al Codice privacy. Come cambia dopo il GDPR e il D.Lgs n. 101/2018, Wolters Kluwer, 2018.

 

Ulteriori approfondimenti:

 

Articolo a cura di Ginevra Scalcione

 

Profilo Autore

Laureata in Giurisprudenza nel 2019 con tesi sul Nuovo Regolamento europeo in materia di protezione dei dati personali presso l’Università degli Studi di Roma Tre. Ha frequentato un Master di II livello sui nuovi professionisti privacy e ha conseguito la qualifica di Privacy Specialist. Attualmente lavora presso una società attiva nel settore energetico nel campo della Privacy & Data Protection.

Condividi sui Social Network:

Ultimi Articoli