Minori online: consenso privacy valido compiuti 14 anni
Da 14 anni in su si può dare da soli il consenso privacy in rete per social, servizi di messaggistica e simili. Il dlgs, approvato dal governo l'8 agosto 2018, di armonizzazione della privacy italiana al Regolamento Ue sulla protezione dei dati 2016/679 stabilisce che il minore debba avere almeno quattordici anni al fine di prestare un valido consenso al trattamento dei propri dati relativamente ai trattamenti che vengono effettuati nell'ambito dei servizi della società dell'informazione. Il decreto di armonizzazione entra anche nel merito delle scelte organizzative e prevede i designati interni alle imprese e alle p.a.
Minori - Non era una scelta obbligata, ma il governo italiano ha ritenuto di abbassare a 14 anni il minimo, che nel regolamento era stabilito a 16 anni e poteva rimanere tale. La portata dell'emancipazione del quattordicenne è limitata al consenso relativo ai servizi della società dell'informazione e cioè ai servizi prestati normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario. Si tratta, spiega la relazione illustrativa al dlgs, ad esempio dei trattamenti di dati conseguenti all'iscrizione a social network o a servizi di messaggistica.
La norma, spiega sempre il governo, sarebbe volta a tutelare il minore in quei contesti virtuali dove risulta maggiormente esposto a causa di una minore consapevolezza dei rischi insiti nella «rete». La disposizione, infatti, rende l'operatore consapevole del fatto che minori possono accedere ai servizi, e quindi richiede di apprestare le relative misure. All'infuori dell'ambito dei servizi della società dell'informazione, si legge sempre nella relazione, permane in ogni caso il limite dei 18 anni per la prestazione di un valido consenso al trattamento dei dati personali. Per legge, dunque, per servizi altamente pericolosi (come quelli in rete) basta avere 14 anni, mentre per altri (ritenuti dal regolamento Ue) meno pericolosi ce ne vogliono 18.
Delegati interni per la privacy - Il decreto legislativo di armonizzazione della privacy italiana al regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr) prevede che il titolare del trattamento possa prevedere sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Imprese ed enti pubblici possono, se lo ritengono, istituire referenti interni per gestire gli adempimenti di privacy (da quelli giuridici a quelli tecnico-informatici).
La designazione per specifici compiti assomiglia molto alla vecchia nomina di responsabile interno del trattamento (ex articolo 29 del codice della privacy, dlgs 196/2003). Il regolamento Ue 2016/679, articolo 28, si riferisce ai responsabili esterni del trattamento, con i quali occorre sottoscrivere un contratto o un atto giuridico equivalente. Si dice anche che il regolamento Ue non preveda responsabili interni del trattamento. Questa affermazione è vera soltanto a metà, dal momento che il regolamento Ue neppure esclude un'organizzazione interna all'impresa o all'ente pubblico con figure di riferimento apicali.
Su questa base poggia la disposizione del dlgs di armonizzazione, nella quale si fa strada la nomina di un designato interno, al quale si possono attribuire compiti e funzioni. Si tratta anche di delegati privacy apicali, chiamati a gestire gli adempimenti privacy. Pertanto l'impresa o l'ente pubblico potrà dotarsi di funzioni, accentrate o diffuse, con il compito di studiare e realizzare le misure tecniche e organizzative atte a mettere in pratica gli obblighi del regolamento Ue.
La nomina (e nomina ci deve essere, visto che la norma parla di apposite designazioni) può avere ad oggetto compiti o funzioni: può trattarsi di attribuzioni singolarmente e puntualmente individuate, come di intere funzioni. Sta al singolo titolare del trattamento costruire la sua organizzazione, senza che vi sia un modello uguale per tutti. Ovviamente la attribuzione di compiti o funzioni a persone espressamente designate non è obbligatoria, ma meramente facoltativa.
Autorizzati - Con riferimento alle persone autorizzate al trattamento il decreto legislativo di armonizzazione prevede che il titolare o il responsabile del trattamento individuino le modalità più opportune per autorizzare le persone che operano sotto la propria autorità diretta. La norma italiana non aggiunge molto alla disciplina europea, limitandosi a spiegare meglio che sono a forma libera le autorizzazioni dei dipendenti o equiparabili al trattamento dei dati.
L'impresa o l'ente pubblico può stendere delle autorizzazioni individuali, una per ogni autorizzato. Oppure ci potranno essere autorizzazioni collettive, purché sia chiaro per ciascun dipendente l'ambito del trattamento al quale si è stati autorizzati.
Da ricordare che può essere autorizzato qualunque persona che opera sui dati sotto la diretta autorità del titolare del trattamento: questo vale anche per soggetti diversi dai lavoratori dipendenti. Potrebbe trattarsi di tirocinanti, di volontari, di soggetti esterni all'organizzazione del datore di lavoro/titolare del trattamento.
In ogni caso chi tratta dati all'interno di una organizzazione deve avere avuto un'autorizzazione e non solo: deve avere avuto anche istruzioni sulle modalità di trattamento, istruzioni sulle precauzioni tecniche e di sicurezza da mettere in pratica ed anche formazione congrua rispetto alle mansioni svolte.
Fonte: Italia Oggi del 15 agosto 2018 - Articolo a cura di Antonio Ciccia Messina