Tra le novità introdotte dal recepimento del GDPR nella normativa italiana, data dalla recente pubblicazione del decreto legislativo sul GDPR (n. 101 del 10 agosto 2018) in merito al trattamento dei dati, vi è sicuramente l’introduzione di una “barriera” precisa che vincola l’età minima del consenso.
Il decreto ha sancito infatti a 14 anni l’età minima per esprimere il consenso al trattamento dei propri dati, laddove l’art. 8 del Regolamento (UE) Generale per la Protezione dei Dati europeo (GDPR) stabilisce che per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento dei dati è lecito a partire dai 16 anni.
La definizione dell’età minima per esprimere il consenso al trattamento dei propri dati è argomento delicato, che va letto alla luce della Convenzione sui diritti dell’infanzia e dell’adolescenza, del GDPR – entrato in vigore il 25 maggio 2018 – nonché del decreto legislativo (101/2018), di adeguamento del quadro regolatorio nazionale. La scelta della età minima per il consenso invita infatti ad operare delicati bilanciamenti tra libertà di espressione, pensiero, associazione, e partecipazione dei minori alla vita di relazione e alla costruzione della comunità in cui vivono.
È necessario, oltre che ora obbligatorio normativamente, porre in essere un altissimo livello di attenzione, soprattutto in relazione ai rischi di dipendenze che si possono sviluppare online: necessario pertanto bilanciare tutti questi diritti certamente con il diritto al gioco, ma anche con la protezione della sicurezza e la tutela della salute e del benessere dei minori.
In relazione all’offerta diretta ai minori dei servizi, il titolare del trattamento è tenuto ad utilizzare un linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.
Come noto, il consenso esplicito è una delle cause che legittima le decisioni automatizzate, incluse le profilazioni altrimenti vietate ai sensi dell’art. 22 del GDPR, che tuttavia non differenzia tra adulti e minori.
A ben vedere, il consenso esplicito mal si presta a coprire decisioni basate su inferenze derivate dall’incrocio di migliaia di dati raccolti da svariate fonti (social network, dati di navigazione ecc.) e processate da algoritmi che auto-apprendono (AI e Big Data Analytics). È difficile immaginare che l’interessato, per giunta minore, comprenda che la sua profilazione derivi non solo da dati che egli ha fornito direttamente, ma anche da quelli derivati o desunti da altri dati.
Cionondimeno, il WP Art. 29 appresta qualche, sebbene non rafforzata, cautela base quale: “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”.
Ma specialmente, interessa il passaggio nel quale il WP Art. 29 afferma che: “Dato che i minori rappresentano un gruppo più vulnerabile della società, le organizzazioni dovrebbero, in generale, astenersi dal profilarli per scopi di marketing. I minori possono essere particolarmente vulnerabili nell’ambiente online e più facilmente influenzabili dalla pubblicità comportamentale. L’età e la maturità del minore possono influenzarne la capacità di comprendere la motivazione che sta alla base di tale tipo di marketing o le sue conseguenze”.
Affermazioni importanti, che stranamente portano tuttavia il WP a concludere che la soluzione normativa più adatta sia quella dei codici di condotta, ovvero sia della self-regulation. L’adozione dei codici di condotta, si evidenzia però, è facoltativa e su base volontaria: ne segue che in caso di mancata adozione non sarà possibile attivare alcuna azione nei confronti del titolare o responsabile del trattamento per violazione delle regole di condotta.
Ne consegue che probabilmente l’auto-regolazione non è sufficiente a rendere il consenso del minore “significativo”. In tal senso una miglior soluzione sarebbe la co-regolazione attuata mediante lo schema della enforced self-regulation, in base alla quale i codici di condotta sono elaborati mediante negoziazioni con l’industria e gli impegni assunti a tutela dei minori da parte dei titolari e responsabili del trattamento sono resi vincolanti con decisione regolatoria, come ben spiegato nell’approfondimento verticale sul tema di Agenda Digitale: Il consenso digitale del minore dopo il decreto Gdpr 101/2018.
Di fondamentale importanza sono anche le modalità comunicative (semplificazione, chiarezza, concisione, esaustività, semplicità, ecc.) che sono rese dal legislatore funzionali all’obiettivo di “rendere significativo il consenso prestato” dal minore: si vuole infatti che tale consenso, pur se reso da persona di cui si riconosce la abilità ad autodeterminarsi in rete, per le sue più limitate capacità anche cognitive di auto-controllo, e considerato che “la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le libertà delle persone fisiche”, progredisca per diventare, al pari di quello dell’adulto, “significativo”, ossia atto a legittimare il trattamento.
Ancora in riferimento al linguaggio da usare e alla modalità di espressione dell’informazione, il legislatore invita il titolare del trattamento ad avvalersi di due tecniche: quella della semplificazione e della salienza, che si inscrivono nell’empowerment cognitivo, in quanto mirano ad attivare scelte consapevoli, aiutando a ridurre il problema del sovraccarico informativo o dell’accumulo informativo. Lungo questa linea si potrebbero promuovere anche tecniche di disclosure mirate e perfino personalizzate, pensate appositamente per i minori, da attivare ad esempio nel caso di contenuti più forti.
Permangono inoltre, ovviamente, tutte le altre condizioni del consenso informato valide parimenti per minori e no, ampiamente argomentate nell’articolo Informativa e consenso: i punti da chiarire nel GDPR di ZeroUnoWeb.
Il consenso può ritenersi espresso secondo modalità conformi alle condizioni del regolamento, se è:
- informato;
- specifico per ciascuna finalità del trattamento;
- libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi;
- inequivocabile: deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile, la richiesta di consenso, laddove inserita nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere chiaramente distinguibile dalle altre materie; non è ammesso il consenso tacito o presunto e non costituiscono valido consenso caselle pre-spuntate su un modulo.
Il titolare del trattamento deve informare l’interessato della sua facoltà di revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha accordato e dimostrare che il consenso al trattamento dei dati personali sia stato prestato.
Una delle novità del GDPR è la possibilità (contemplata nel considerando 47) di considerare “interesse legittimo” del titolare il trattamento dei dati personali per finalità di marketing diretto.
Il legittimo interesse è una delle sei condizioni che legittimano il trattamento e cioè:
- il consenso dell’interessato
- l’esecuzione di un contratto con l’interessato o di misure precontrattuali adottate su sua richiesta;
- l’adempimento di un obbligo legale;
- la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- l’esecuzione di un compito di interesse pubblico;
- il legittimo interesse del titolare o di terzi.
Il titolare del trattamento può però ricorrere al legittimo interesse quale base giuridica solo se non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato: deve quindi effettuare un bilanciamento fra l’interesse legittimo e gli interessi e i diritti dell’interessato.
Il fatto che il trattamento dei dati personali per finalità di marketing diretto possa essere considerato “interesse legittimo” del titolare comporta che il consenso degli interessati non sarebbe più necessario per effettuare attività di direct marketing. Invero, come messo in rilievo da autorevole dottrina, la considerazione del marketing diretto come legittimo interesse potrebbe essere anche compatibile con il nuovo contesto normativo, alla luce delle disposizioni del GDPR circa la “ragionevole aspettativa” degli interessati sull’ulteriore uso dei loro dati, nonché degli obblighi di accountability del titolare e dei principi di privacy by design e by default.
Ciononostante non si può non considerare che il consenso è sempre la regola per le attività di marketing più intrusive, come «email direct marketing» e «automated called machines», nonché per effettuare «Behavioural advertising» basato su tecniche di tracciamento come i cookie.
Secondo il Data Protection Working Party Article 29 (“WP29”), il consenso è «quasi sempre» necessario anche quando un’organizzazione intende analizzare o prevedere le abitudini, i comportamenti e le preferenze personali dei clienti al fine di assumere «misure e decisioni» su di loro; monitorarne le attività on-line or off-line, combinare grandi quantità di loro dati, creare – e, tramite l’intermediazione di data brokers, anche commercializzare – complessi profili delle personalità e delle preferenze dei clienti stessi.
Il legittimo interesse potrebbe invece rappresentare una condizione di legittimità adeguata per il direct marketing meno invasivo, ad esempio nelle ipotesi in cui i dati siano stati raccolti in un contesto e nell’ambito di una relazione in cui l’interessato potrebbe “ragionevolmente aspettarsi” che i dati verranno utilizzati anche per finalità di marketing diretto, al fine di offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti sia online che offline.
Il punto è: fino a dove può spingersi l’interesse legittimo del titolare nel conoscere le preferenze dei suoi clienti per poter meglio indirizzare la pubblicità sui propri beni e servizi o personalizzare le proprie offerte creando beni e servizi che meglio soddisfano le loro necessità?
La risposta a questa domanda non mancherà di aprire, nei prossimi mesi e anni, ampi dibattiti.
A cura di Jusef Khamlichi Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato, Information & Cyber Security Back Office Management Partners4Innovation
