Il ruolo del DPO nella tutela dei minori
Già presidio di garanzia per la protezione degli interessati vulnerabili, il Data Protection Officer assume un ruolo ancora più rilevante nella realizzazione di tutele effettive e concrete richieste nel momento in cui sono svolte attività di trattamento che coinvolgono dati personali dei minori. Occorre però compiere preliminarmente alcune considerazioni fondamentali a seconda degli ambiti di operatività delle organizzazioni.
Da un lato, ci sono infatti quelle organizzazioni che si rivolgono prevalentemente al pubblico di minori come quelle nel settore del gaming, della scuola o della sanità pediatrica, ad esempio. Dall’altro, ci sono le organizzazioni che possono trattare dati di interessati minorenni. Già in ragione del contesto si può di conseguenza andare a definire un rischio intrinseco più o meno elevato correlato alle attività principali svolte. Ma in ogni caso, tutti i presidi di tutela devono essere oggetto di analisi preliminare e monitoraggio continuo, con il coinvolgimento del DPO.
Una volta svolta l’analisi di contesto diventa possibile definire i parametri minimi per impostare correttamente misure di compliance e data security. Circa l’adeguatezza di tali misure, il DPO dovrà svolgere i propri compiti di consulenza sin dalla fase di progettazione dei trattamenti, verificando il rispetto del principio di privacy by design, andando a sorvegliare le attività svolte. Inoltre, poiché i minori rientrano emblematicamente nel novero degli interessati vulnerabili e tale elemento costituisce uno dei criteri di valutazione di rischio elevato dei trattamenti da cui può derivare l’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (come da linee guida WP248 e considerando n. 75 GDPR), è molto probabile che il DPO venga chiamato a rendere un parere a riguardo “prima di procedere al trattamento” (art. 35.1 GDPR) e a sorvegliarne lo svolgimento.
Fra gli aspetti da attenzionare maggiormente nelle attività che coinvolgono i dati personali dei minori, andando a considerare anche i più recenti interventi delle autorità di controllo europee, figurano la trasparenza informativa, le modalità di raccolta di consenso nell’ambito dei servizi digitali e la sicurezza.
Per quanto riguarda comunicazioni ed informazioni, il DPO deve pertanto fare riferimento al considerando n. 58 GDPR per cui “Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente.”. Per quanto riguarda l’acquisizione del consenso per i servizi digitali, il controllo per escludere i dark pattern dovrà rafforzare le cautele qualora tali servizi siano accessibili a utenti minori, in quanto maggiormente suscettibili a manipolazioni.
Nel valutare l’adeguatezza delle misure di sicurezza predisposte dall’organizzazione, infine, il DPO dovrà necessariamente considerare la magnitudo degli eventi di violazione dei dati rispetto a tali categorie di interessati.
