Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORME PRIVACY

GDPR e minori, gestire consenso e privacy sui social: che c’è da sapere

Per garantire maggiore protezione dei dati dei minori sono stati introdotti obblighi supplementari in relazione ai servizi delle cosiddette società dell’informazione. Ecco come gestire il consenso al trattamento dei dati e raggiungere la necessaria compliance in ambito GDPR e minori

02 Gen 2019
C

Salvatore Coppola

Avvocato del Foro di Matera, DPO


È opportuno fare chiarezza su principi, diritti e obblighi che le società dell’informazione sono tenute a rispettare per garantire la privacy dei ragazzi sui social e raggiungere così la necessaria compliance in ambito GDPR e minori, anche alla luce del D.lgs. 101 entrato in vigore il 19 settembre 2018.

Ogni impresa deve valutare il tipo di pubblico che fornisce dati personali alla sua organizzazione e nel caso in cui si tratti di minorenni, deve attenersi a quanto specificato all’articolo 8 del Regolamento europeo sulla protezione dei dati personali. Per garantire una maggiore protezione dei dati dei minori sono stati introdotti degli obblighi supplementari in relazione ai servizi delle società operanti nella rete.

Il consenso del minore tra GDPR e normative degli Stati membri

In merito all’offerta diretta di servizi della società dell’informazione ai minori, l’art. 8, paragrafo 1, GDPR stabilisce che, laddove la base giuridica è il consenso dell’interessato, quest’ultimo è validamente prestato qualora il minore abbia almeno 16 anni. Per età inferiori ai 16 anni il trattamento è lecito soltanto se e nella misura in cui il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale, salva la possibilità degli Stati membri di derogare il limite fino a 13 anni. Di conseguenza, mediante adozione di apposita normativa nazionale, ciascuno Stato membro può prevedere un limite di età di 15, 14 o 13 anni.

Il titolare del trattamento dovrà tenere presente tale deroga in caso fornisse un servizio transfrontaliero in quanto non sarà possibile riferirsi semplicemente a quanto stabilito nello stato membro sede del suo stabilimento principale. Poiché il GDPR è applicabile anche ai Titolari non stabiliti nell’Unione europea che trattano dati di cittadini europei, per ovviare ad ogni possibile complicazione un Over The Top come WhatsApp ha scelto di consentire il servizio solo ai maggiori di sedici anni.

Con particolare riferimento alla normativa italiana, l’art. 2-quinquies del D.lgs. 101/2018 stabilisce che il limite di età per il consenso valido non potrà essere inferiore ai 14 anni.

A tanti è apparsa una scelta opportuna in quanto va ad uniformarsi con quanto stabilito per i consensi relativi ad altre discipline (vedi legge n. 184 del 1983 sull’adozione, legge n. 71 del 2017 sul cyberbullismo).

Ulteriore specificazione richiede la distinzione tra il consenso prestato in materia di contratti ovvero di protezione dei dati personali. Ebbene, il par. 3 dell’art. 8 GDPR stabilisce che le norme relative ai requisiti di autorizzazione genitoriale nei confronti dei minori non pregiudicano “le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore”. Di conseguenza, i requisiti per la validità del consenso all’uso dei dati relativi a minori rientrano in un quadro giuridico da considerarsi distinto dal diritto contrattuale nazionale.

Pertanto, i due regimi giuridici possono essere applicati simultaneamente ma tanto non significa che siano coincidenti.

La rete e i minori: perché richiedono maggiori tutele

Le ragioni di una tutela privilegiata nei confronti dei minori sono esplicate chiaramente dallo stesso legislatore comunitario nel Considerando 38 del GDPR ove è previsto che “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. […]”.

È opportuno premettere che l’art. 8 GDPR non riguarda qualunque trattamento online di dati che si riferiscano ai minori, né qualunque servizio della società dell’informazione al quale i minori possano accedere, bensì si applica solo ai servizi oggetto di offerta diretta e il cui legittimo trattamento sia basato sul consenso informato dell’interessato.

Quindi, a titolo esemplificativo, se un minore acquista online suonerie per smartphone la raccolta dei dati (nome, cognome, indirizzo e-mail, dettagli di pagamento) sarà necessaria all’esecuzione di un contratto e pertanto il trattamento dei dati sarà lecito ai sensi dell’art. 6, par. 1, lettera b, GDPR.

Se, invece, il titolare intende utilizzare l’indirizzo e-mail del minore anche per l’invio di newsletter, sarà necessario raccogliere il suo consenso in quanto il trattamento dei dati personali per finalità di marketing non rientra nell’ambito del contratto.

Tanto è valido, come pure previsto dal Gruppo ex art. 29 nelle Linee guida sul consenso aggiornate al 10 aprile 2018, ad esclusione del caso in cui “un prestatore di servizi della società dell’informazione chiarisce ai potenziali utenti che il servizio è offerto esclusivamente a persone aventi almeno 18 anni, e ciò non è smentito da altri elementi (come il contenuto del sito o piani di marketing)”. In tale circostanza il servizio non sarà ritenuto fornito direttamente a un minore e l’articolo 8 GDPR non si applicherà.

Il legislatore europeo ha previsto che i minori abbiano maggiori tutele perché sono particolarmente vulnerabili nell’ambiente online e più facilmente influenzabili dalla pubblicità comportamentale. Diversi studi hanno rilevato che le prassi di marketing attraverso i social media, i giochi online e le applicazioni mobile hanno un impatto evidente sul loro comportamento (a tal proposito, vedi qui o qui). Nei giochi online, ad esempio, la profilazione può servire per individuare i giocatori più propensi a spendere o per fornire annunci personalizzati a cui non corrisponde una maturità da parte del minore nel riconoscere la ragione commerciale di una pratica di marketing.

Tuttavia il minore ha diritto a frequentare la rete e pertanto la protezione rafforzata si deve coordinare con la ricerca continua di “delicati bilanciamenti tra libertà di espressione, pensiero, associazione, e partecipazione dei minori alla vita di relazione e alla costruzione della comunità in cui vivono”.

Un punto che merita di essere segnalato è che ai sensi del considerando 38, il consenso di un genitore o del tutore non è richiesto nel contesto di servizi di prevenzione o consulenza offerti direttamente al minore. Ad esempio, per i servizi di protezione dei minori offerti online ai minori tramite un servizio di chat non occorre la previa autorizzazione dei genitori (esempio italiano è Telefono azzurro).

I servizi delle società dell’informazione

Per la definizione di “servizio della società dell’informazione” l’art. 4, par. 25 GDPR rinvia all’art. 1, par. 1 lett. b) della direttiva 2015/1535 e lo descrive come qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.

Più in particolare, viene definito cosa si intende per:

  1. a distanza: un servizio fornito senza la presenza simultanea delle parti;
  2. per via elettronica: un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici;
  3. a richiesta individuale di un destinatario di servizi: un servizio fornito mediante trasmissione di dati su richiesta individuale.

Per completezza di esposizione, è bene segnalare la lettura dell’allegato I della direttiva sopracitata ove è riportato un elenco indicativo di servizi “non” contemplati da tale definizione.

La Corte di Giustizia, in alcune sue pronunce, con riferimento ai “servizi compositi” ha precisato che:

  1. quando un servizio della società dell’informazione costituisce una parte integrante di un servizio generale la cui componente principale non è un servizio della società dell’informazione, non rientra nella specificazione;
  2. qualora invece il servizio presenti due componenti economicamente indipendenti, una delle quali è la componente online e l’altra è la consegna fisica o la distribuzione di merci, la prima rientra nella definizione di servizio della società dell’informazione, mentre la seconda no.

Le misure di trasparenza destinate ai minori

L’articolo 12, par. 1, supportato dal Considerando 58, GDPR stabilisce che il titolare del trattamento che si rivolge a minori o che sa che i suoi beni o servizi sono utilizzati soprattutto da minori è tenuto a fornire loro qualsiasi informazione e comunicazione che riguarda il trattamento dei loro dati personali con un linguaggio semplice e chiaro, in modo tale che un minore possa capire facilmente quello che verrà fatto dei suoi dati.

Supportato anche dal comma 2 dell’art. 2-quinquies del D.lgs. 101/2018, nel prossimo futuro è possibile prevedere che il titolare del trattamento valuti l’adozione di misure semplici e chiare come informative a fumetti/vignette o in forma di cartone animato e così via.

Il titolare del trattamento è tenuto a garantire il diritto alla trasparenza sul trattamento dei dati tanto per gli adulti quanto per i minori. Questi ultimi, infatti, come qualsiasi altro interessato non perdono i loro diritti alla trasparenza semplicemente per il fatto che il consenso è stato dato/autorizzato dal titolare della responsabilità genitoriale.

Per dar prova di trasparenza sarà utile il rispetto di un codice di condotta come previsto dall’art. 40 GDPR, allo scopo di specificare alcuni aspetti dell’applicazione del regolamento, quali trattamento corretto e trasparente, informazioni fornite al pubblico e agli interessati, informazioni fornite ai minori e tutela degli stessi.

Consenso del minore di 16 anni e responsabilità genitoriale: la scelta italiana

Come anticipato, l’art. 2-quinquies della normativa italiana ha stabilito che “In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”.

Pertanto, se il minore afferma di aver raggiunto l’età del consenso digitale, il titolare del trattamento dovrà compiere ogni ragionevole sforzo per verificare la veridicità della dichiarazione in quanto se un minore presta il consenso senza avere l’età sufficiente il trattamento dei dati sarà illecito.

Ove il minore abbia un’età inferiore al consenso digitale (in Italia meno di 14 anni), l’art. 8, par. 2, GDPR stabilisce che spetta alla società che offre i suoi servizi sulla base del consenso adoperarsi per verificare che il consenso sia effettivamente prestato o autorizzato dal genitore (o tutore).

Il GDPR non prevede modalità pratiche per raccogliere il consenso del genitore e conseguentemente spetta alle società dell’informazione porre in atto le misure ragionevoli per accertarsi che il consenso sia prestato o autorizzato dal genitore: potrà essere sufficiente la verifica della responsabilità genitoriale a mezzo posta elettronica o potrà essere necessario chiedere ulteriori prove per dimostrare il consenso (cfr. art. 7, par. 1, GDPR).

A titolo esemplificativo, in Italia il titolare che voglia assicurarsi che i clienti minorenni si abbonino ai servizi esclusivamente con il consenso dei genitori o tutori potrà:

  1. chiedere all’utente se ha più o meno di 14 anni;
  2. nel caso affermi di aver un’età superiore ai 14 anni, il titolare del trattamento dovrà effettuare controlli appropriati per verificarne la veridicità;
  3. se l’utente, al contrario, dichiara di avere un’età inferiore ai 14 anni, il titolare del trattamento può accettare tale dichiarazione senza ulteriori verifiche; il servizio lo informerà della necessità che un genitore (o il tutore) acconsenta o autorizzi il trattamento prima che venga erogato il servizio e gli verrà quindi richiesto l’indirizzo di posta elettronica di un genitore; il servizio contatterà il genitore e ne otterrà il consenso al trattamento tramite posta elettronica.
  4. raggiunti i 14 anni, il minore potrà manifestare il consenso al trattamento dei dati personali e rientrare nel pieno controllo del suo trattamento e potrà di conseguenza confermare, modificare o revocare il consenso prestato o autorizzato dal titolare della responsabilità genitoriale. Nel caso invece di inattività del minore, il consenso prestato o autorizzato dal genitore continuerà ad essere un presupposto valido per il trattamento. A tal proposito, in conformità con i principi di correttezza e responsabilizzazione, il titolare del trattamento deve informare il minore di questa possibilità.

Nel rispetto del principio di accountability, la scelta sulle misure appropriate da adottare spettano in ogni caso al titolare che dovrà valutare i rischi inerenti al trattamento e la tecnologia disponibile, nell’ottica di dimostrare gli sforzi ragionevoli fatti per verificare che il consenso sia autorizzato dal genitore. È sempre raccomandato un approccio proporzionato che non leda il principio di minimizzazione.

Ai sensi dell’art. 83, par. 4, lett. a) la sanzione amministrativa pecuniaria giunge fino a 10.000,00 euro o per le imprese (se superiore) fino al 2% di fatturato mondiale totale annuo dell’esercizio precedente. O ancora, ai sensi del par. 5 del medesimo articolo, la sanzione può ammontare fino a 20.000.000 di euro, o per le imprese (se superiore) fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente nel caso di violazioni relative al consenso ovvero concernenti i diritti degli interessati.

La profilazione del minore

Il consenso esplicito ex art. 6, par. 1, lett. a) legittima le decisioni automatizzate, incluse le profilazioni altrimenti vietate ai sensi dell’art. 22, par 2, GDPR.

Invero l’articolo 22 GDPR non opera distinzioni in merito al fatto che il trattamento riguardi adulti o minori. Tuttavia il considerando 71 afferma che le decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producono effetti giuridici o in modo analogo significativi non dovrebbero riguardare minori.

Si tratta di un punto che merita di essere sottolineato in quanto lo stesso Gruppo ex art. 29 (nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 aggiornate al 6 febbraio 2018) non ritiene che ciò rappresenti un divieto assoluto di questo tipo di trattamento in relazione ai minori e tuttavia, alla luce del cons. 71, raccomanda al titolare di non giustificare il trattamento facendo affidamento sulle eccezioni ex art. 22, paragrafo 2.

Dato che i minori rappresentano un gruppo più vulnerabile della società, i titolari del trattamento dovrebbero astenersi dal profilarli per finalità di marketing in quanto al di fuori della portata della comprensione di un minore e pertanto del trattamento lecito.

Potrebbero tuttavia esservi talune circostanze nelle quali è necessario che il titolare del trattamento prenda decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, aventi effetti giuridici o in modo analogo significativi in relazione ai minori, ad esempio per tutelarne il benessere. In tal caso, il trattamento può essere effettuato sulla base delle eccezioni di cui all’articolo 22, paragrafo 2, lettere a), b) o c), a seconda dei casi.

In questi casi devono essere messe in atto garanzie adeguate, come previsto dall’articolo 22, paragrafo 2, lettera b), e paragrafo 3, e devono pertanto essere appropriate per i minori. Il titolare del trattamento deve garantire che tali garanzie siano efficaci nel tutelare i diritti, le libertà e i legittimi interessi dei minori i cui dati vengono trattati.

Il Gruppo ex art. 29 giunge finanche a concludere che la soluzione normativa più adatta sia quella dei codici di condotta. Recita infatti l’art. 40, par. 2, lett. g) GDPR che: “Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a: (…) g) l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore”.

Tuttavia, è doveroso segnalare che l’adozione dei codici di condotta è facoltativa e su base volontaria e di conseguenza in caso di mancata adozione non sarà possibile attivare alcuna azione nei confronti del titolare o responsabile del trattamento per violazione delle regole di condotta.

Conclusioni

Il GDPR è permeato dalla logica della protezione e della contestuale libera circolazione dei dati e con particolare riferimento all’uso della rete, tanto vale anche per i dati personali dei minori ai quali non intende precludere i suoi servizi.

Sarebbe anacronistico non permettere ai minori di anni 16 di accedere alla comunicazione elettronica in quanto è un diritto del minore intrattenere relazioni sociali e riconoscersi parte attiva della società.

È importante che gli Stati mantengano alta l’attenzione sul tema della protezione dei dati personali rispetto ai minori e incoraggino le imprese a favorire il ricorso a meccanismi di regolamentazione anche per il tramite di codici di condotta.

Non da ultimo, perché il tema più importante, occorre avviare un processo di “cultura digitale” che permetta ad adulti e a minorenni di incrementare la conoscenza delle tecnologie digitali e dei pericoli della rete affinché possano autodeterminarsi e sviluppare liberamente le loro potenzialità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5