Il consenso del minore tra Gdpr e normativa privacy nazionale
La tutela dei dati personali dei minori è divenuta un problema rilevante con l'avvento dei social network, ma, prima dell’avvento del Regolamento (Ue) 2016/679 (GDPR), la normativa italiana in materia di privacy non prevedeva un vero e proprio limite di età relativamente al trattamento dei dati dei minori, anche se si poteva ricavare un limite dal quadro normativo generale. La capacità di agire, ovvero l’idoneità di un soggetto di porre in essere atti negoziali che producono effetti nella propria sfera giuridica, si acquista, infatti, con la maggiore età, ovvero a 18 anni (art. 2 Cod. civ.), mentre il minore con età compresa tra 14 e 18 ha una capacità giuridica attenuata e il minore dei 14 anni non ha capacità giuridica alcuna.
Il GDPR ha fissato, con l'art. 8, una regolamentazione specifica, che però non tocca la capacità di agire del minore, la quale rimane quella fissata dall'ordinamento nazionale indicata sopra.
Tale norma non riguarda genericamente tutti i trattamenti di dati di minori, ma prevede, al comma 1, la liceità del trattamento dei dati di un minore, laddove tale trattamento:
I) concerna un'offerta diretta di servizi della società dell'informazione a soggetti minori che hanno almeno 16 anni (o, secondo l’art. 8, una diversa età fissata dal legislatore nazionale);
II) sia basato sul consenso, secondo quanto disposto dall’art 6, comma 1, lett. a del GDPR (se il trattamento ha altra base giuridica, come ad esempio il rispetto di un obbligo di legge, i legittimi interessi, ecc..., la predetta norma non si applica).
Laddove mancano questi due requisiti, l'art. 8 richiede il consenso dall'esercente la responsabilità genitoriale.
Restano comunque salve, secondo quanto disposto dall'art. 8, comma 3, le disposizioni nazionali in tema di diritto dei contratti (quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore).
In buona sostanza, il GDPR introduce una deroga per i casi specifici indicati alla regola generale fissata dall'ordinamento, abbassando il limite dei 18 anni (per l'Italia) e creando
una sorta di maggiore età digitale, raggiunta la quale è ammesso il consenso al trattamento dei propri dati personali anche con riferimento ad attività di profilazione (questione esaminata qui di seguito).
Il comma 1 dell’art. 8 prevede altresì che tale limite possa essere ulteriormente abbassato dagli Stati membri, purché tale limite non sia inferiore ai 13 anni.
(Nella foto: Amedeo Leone, Delegato Federprivacy nella provincia di Biella)
In tale prospettiva l’età minima per esprimere il consenso al trattamento dei propri dati in Italia è stata portata dall’art. 2-quinquies del D.Lgs 101/2018, che ha adeguato il D.Lgs 196/2003 (Codice privacy) al GDPR, a 14 anni, con la conseguenza che il minore di almeno quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione, mentre il trattamento dei dati personali del minore di età inferiore a quattordici anni è lecito a condizione che il consenso sia prestato o autorizzato da chi esercita la responsabilità genitoriale.
Vieppiù. L’art 2 quinquies, oltre a modificare l’età minima, esplicita ciò che rimane implicito nell’art. 8. Il comma 2 della norma codicistica specifica, infatti, che il titolare del trattamento deve redigere un’informativa con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest'ultimo.
In questo senso l’art. 2 quinquies non è solo in linea con il Considerando 38 del GDPR, ma anche con il Considerando 58, in quanto aggiunge maggiore tutela per il minore con lo strumento dell’informativa chiara, semplice e concisa nonché accessibile al minore.
L’art 2 quinquies, e nello specifico il suo comma 2, può essere considerato, quindi, come ottimo esempio di come la normativa nazionale di adeguamento possa rafforzare l’attuazione del GDPR.
Ciò detto, alcuni autori esprimo perplessità sul fatto che la predetta normativa possa tutelare minorenni da attività di profilazione commerciale. Come è noto, infatti, il consenso esplicito (di cui all’art. 6 §1, lett. a) è una delle cause che legittima le decisioni automatizzate, incluse le profilazioni altrimenti vietate ai sensi dell’art. 22, §. 2 GDPR.
Tuttavia, l’art. 22 non differenzia tra adulti e minori, sebbene il considerando 71 affermi che tali decisioni e profilazioni “non dovrebbero applicarsi ai minori”.
Il Working Party Art. 29, nelle “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679”, ammette che possano valere, persino nei confronti dei minori, tutte le eccezioni individuate all’art. 22 §2 GDPR che legittimano le decisioni automatizzate e le profilazioni, quali la necessità di concludere un contratto (lett. a), la previsione autorizzatoria di una norma nazionale o UE (lett. b), e il consenso espresso (del minore) (lett. c).
Come è stato notato a più riprese in passato, il consenso esplicito mal si presta a coprire decisioni basate sull’incrocio di migliaia di dati raccolti da svariate fonti (social network, dati di navigazione, ecc.) e processate da algoritmi che auto-apprendono (big data analytics). È difficile immaginare che l’interessato, per giunta minore, comprenda che la sua profilazione derivi non solo da dati che egli ha fornito direttamente, ma anche da quelli derivati o desunti da altri dati.
Cionondimeno, il WP Art. 29, nel richiamare il considerando 38 del GDPR, in base al quale i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi derivanti dalla creazione di profili personali a fini commerciali (che possono, ad esempio, servire per individuare i giocatori che l’algoritmo ritiene più propensi a spendere soldi nei giochi online o per fornire annunci pubblicitari più personalizzati), conclude che la soluzione normativa più adatta sia quella dei codici di condotta, ovverosia della self-regulation prevista dall’art. 40.2, lett. g) RGPD, la cui adozione è facoltativa e su base volontaria.
Tuttavia, in caso di mancata adozione di un tale codice di condotta, non sarà possibile attivare alcuna azione nei confronti del titolare o responsabile del trattamento per violazione delle regole di condotta.
Ad avviso di chi scrive, una tutela più cogente va, quindi. pensata per i minori in materia di profilazione.
Per ulteriori approfondimenti vedasi anche la Circolare 5-2020