Il ruolo e la protezione dei minori nel Regolamento Generale sulla protezione dei dati personali n. 679/2016.
“I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l'utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”.
Con il Considerando n. 38 appena sopra riportato, il Regolamento Generale sulla protezione dei dati personali n. 679/2016 (di seguito, “RGPD”) menziona per la prima volta il minore che tuttavia viene in considerazione - in tutto il sistema data protection – in una duplice prospettiva: da un lato, quale “soggetto vulnerabile” (al parti di anziani, diversamente abili, consumatori, rifugiati e richiedenti asilo e lavoratori) cui destinare un livello necessariamente più stringente (“specifica protezione”) di protezione dei diritti e delle libertà fondamentali implicate dal trattamento dei suoi dati personali; dall’altro, quale autonomo titolare di diritti che – come vedremo – possono essere direttamente esercitati in proprio dal minore senza il filtro dell’intervento del titolare della responsabilità genitoriale.
Facendo una rapida rassegna delle parti del RGPD specificatamente dedicate ai minori, prima di affrontare lo specifico tema del rapporto e del ruolo data protection del titolare della responsabilità genitoriale rispetto ai trattamenti di dati personali che riguardano i direttamente il figlio minore, può evidenziarsi quanto segue:
1. intanto, nell’approccio risk based su cui è fondato l’intero Regolamento 679/2016, il trattamento dei dati di minori rappresenta sempre un trattamento a rischio elevato da cui discendono obblighi specifici (per esempio: l’obbligo di svolgimento della valutazione di impatto preventiva sulla protezione dei dati - o DPIA - di cui all’articolo 35 RGPD);
2. quando il trattamento dati riguarda un minore, qualsiasi informazione e comunicazione ad esso indirizzata da un titolare del trattamento deve utilizzare un linguaggio semplice e chiaro, che un minore possa capire facilmente;
3. il minore (di regola, non essendo il divieto assoluto) non deve essere sottoposto a trattamenti di profilazione o completamente automatizzati che producano effetti giuridici che lo riguardano o incidano in modo analogo significativamente sulla sua persona;
4. una specifica protezione del minore va implementata riguardo all’utilizzo dei suoi dati personali a fini di marketing o di creazione di profili utente, essendo raccomandato a titolari e responsabili del trattamento, in alcuni casi, di astenersi dal trattamento (es: il Parere 02/2013 del Gruppo di lavoro sulle applicazioni per dispositivi intelligenti, nella specifica sezione dedicata ai minori, specifica che “i titolari del trattamento del trattamento non dovrebbero trattare dati di minori, direttamente o indirettamente, a fini di pubblicità comportamentale, poiché è al di fuori della portata della comprensione di un minore e pertanto supera i limiti del trattamento lecito”);
5. nella valutazione del “legittimo interesse” quale base di legittimità del trattamento (alternativa alle altre basi di liceità, come ad esempio il consenso) che il titolare intende effettuare, il giudizio di valutazione comparativa (balance test) rispetto ai diritti, agli interessi e alle libertà fondamentali dell’interessato va effettuato e documentato in maniera ben più stringente se l’interessato è un minore [cfr. art. 6, comma 1, lettera (f) del RGPD];
6. si applicano condizioni specifiche alla raccolta del consenso del minore in relazione alla fornitura di servizi della società dell'informazione (art. 8, RGPD);
7. l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore rappresentano contenuti fondamentali dei codici di condotta settoriali che associazioni e altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare allo scopo di precisare l'applicazione del RGPD e al fine di contribuire alla sua corretta applicazione, in funzione delle specificità dei vari settori di trattamento (cfr. art. 40, RGPD).
Quali sono i limiti di autonomia del minore nel sistema del Regolamento Generale sulla protezione dei dati personali?
Il Legislatore comunitario ha previsto uno specifico caso di autonomia del minore nel decidere se autorizzare il trattamento dei suoi dati personali: quello della prestazione del cosiddetto “consenso digitale”. L’articolo 8 del RGPD prevede specifiche condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione (es: apertura di un profilo su social media, gestione di un account email; attivazione di un abbonamento a piattaforme televisive on demand, gaming on line, etc. solo per fare esempi tipici di servizi on line cui generalmente può accedere un minore). Stabilisce la citata norma che quando il consenso è la base di legittimità applicabile (si ricordi che sono sei le basi di liceità del trattamento tra le quali il titolare deve individuare quella correttamente applicabile: consenso, adempimento di misure contrattuali o pre-contrattuali, adempimento di obblighi normativi, interesse legittimo del titolare prevalente su diritti e libertà dell’interessato, esercizio di pubblici poteri o di compiti di interesse pubblico, salvaguardia di un interesse vitale dell’interessato o di un terzo) per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia compiuto almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni.
L’articolo 2-quinquies del d.lgs. 30 Giugno 2003, n. 196 (il Codice della privacy nella versione coordinata al RGPD vigente dal 19 Settembre 2018) ha stabilito che per prestare validamente il consenso digitale il minore debba avere compiuto almeno 14 anni (quindi un limite più basso rispetto ai 16 anni previsti dal RGPD), prescrivendo come rafforzata misura di garanzia l’obbligo per il titolare del trattamento che procede alla offerta diretta dei servizi della società dell’informazione a un minore di fornirgli le informazioni del caso con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest'ultimo.
Ma come può il titolare del trattamento che offre direttamente al minore un servizio della società dell’informazione avere certezza che quel minore ha effettivamente l’età minima di legge per prestare validamente il consenso? Sebbene il RGPD non richieda esplicitamente di intraprendere sforzi ragionevoli per verificare l’età (al contrario di quanto l’articolo 8.2 richiede per accertare invece la titolarità della responsabilità genitoriale), tale necessità è implicita, poiché se un minore presta il consenso senza avere l’età sufficiente per prestare un consenso valido per proprio conto il trattamento dei dati sarà illecito (e ai sensi dell’articolo 166 del Codice della privacy il fornitore potrà essere soggetto alla sanzione fino a 10 milioni di Euro o fino al 2% del fatturato mondiale annuo precedente, se superiore). Ad esempio, se l’utente afferma di aver raggiunto l’età del consenso digitale, il titolare del trattamento può effettuare controlli appropriati per verificare la veridicità della dichiarazione, mentre se l’utente dichiara di avere un’età inferiore a quella del consenso digitale, il titolare del trattamento può accettare tale dichiarazione senza ulteriori verifiche, ma dovrà ottenere l’autorizzazione dei genitori e verificare che la persona che esprime il consenso sia titolare della responsabilità genitoriale.
La verifica dell’età non deve poi comportare un eccessivo trattamento di dati: in alcune situazioni a basso rischio, potrebbe essere adeguato richiedere al nuovo abbonato al servizio di rivelare il proprio anno di nascita oppure di compilare un modulo in cui dichiara di (non) essere un minore. Qualora dovessero sorgere dubbi, il titolare del trattamento dovrebbe riesaminare i meccanismi di verifica dell’età nel caso di specie e valutare se siano necessari controlli alternativi.
L’articolo 8 RGPD si applica esclusivamente quando sono soddisfatte le seguenti condizioni:
• il trattamento è correlato all’offerta diretta di servizi della società dell’informazione ai minori; detta offerta è indirizzata direttamente a un minore (al contrario, se un prestatore di servizi della società dell’informazione chiarisce ai potenziali utenti che il servizio è offerto esclusivamente a persone aventi almeno 18 anni, e ciò non è smentito da altri elementi - come il contenuto del sito o piani di marketing - allora il servizio non sarà considerato fornito direttamente a un minore e l’articolo 8 non si applicherà);
• il trattamento è basato sul consenso.
Va altresì ricordato che l’art. 8 RGPD non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l'efficacia di un contratto rispetto a un minore (cfr. Art. 8.3 RGPD): in altri termini, il consenso digitale è una autorizzazione al trattamento dei dati personali e non un consenso contrattuale.
Il rapporto tra esercente la potestà genitoriale e minore infra-quattordicenne nella prestazione del consenso digitale.
E’ solo per il minore infra-quattordicenne (in Italia) che diviene obbligatorio l’intervento di “chi esercita la responsabilità genitoriale”: come abbiamo visto, il combinato disposto dell’articolo 8 RGPD e 2-quinquies del Codice della privacy dispone che ai fini della espressione di un consenso digitale valido da parte del minore infra-quattordicenne il trattamento è lecito soltanto se e nella misura in cui detto consenso è prestato o autorizzato dal titolare della responsabilità genitoriale (l’articolo 2-quinquies del Codice precisa che oltre alla titolarità deve esserci un effettivo esercizio della responsabilità genitoriale a tali fini).
Ma a quale soggetto si riferisce il RGPD quando parla di “titolare delle responsabilità genitoriale”?
Le Linee Guida sul consenso nel Regolamento 679/2016 (WP 259) adottate dal Comitato europeo per la protezione dei dati personali precisano sul punto che non sempre il titolare della responsabilità genitoriale è il genitore naturale del minore e che la responsabilità genitoriale può essere detenuta da più parti che possono comprendere tanto persone fisiche quanto persone giuridiche.
Il RGPD non prevede - tra l’altro - modalità pratiche per l’accertamento della circostanza che un determinato soggetto sia autorizzato a prestare il consenso in luogo del minore, prescrivendo tuttavia al titolare del trattamento di adoperarsi “in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili” (cfr. art. 8.2 RGPD). Un approccio proporzionato suggerito è quello di concentrarsi sull’ottenimento di una quantità limitata di informazioni: per esempio, il titolare del trattamento può chiedere i dettagli di contatto di un genitore o del tutore. La ragionevolezza degli sforzi, in termini di verifica tanto che l’utente abbia l’età sufficiente per esprimere il consenso quanto che la persona che esprime il consenso a nome del minore sia il titolare della responsabilità genitoriale, può dipendere dai rischi inerenti al trattamento e dalla tecnologia disponibile (come difatti richiede anche l’articolo 8.2 RGPD ultima parte). Nei casi a basso rischio, può essere sufficiente la verifica della responsabilità genitoriale a mezzo posta elettronica.
Viceversa, nei casi ad alto rischio, può essere opportuno chiedere ulteriori prove affinché il titolare del trattamento sia in grado di verificare e conservare le informazioni: ad esempio a un genitore o un tutore potrebbe essere chiesto di effettuare un pagamento di 0,01 EUR al titolare del trattamento tramite una transazione bancaria, nonché una breve conferma nella riga descrittiva della transazione che il titolare del conto bancario è titolare della responsabilità genitoriale rispetto all’utente.
Tuttavia, lo stesso Comitato europeo per la protezione dei dati personali riconosce che in determinati casi la verifica è difficile, ad esempio se il minore che presta il consenso non ha ancora lasciato un’“impronta di identità” o se la responsabilità genitoriale non è facilmente verificabile. Tale aspetto può essere preso in considerazione nel decidere quali sforzi siano ragionevoli, tuttavia ci si aspetta anche che il titolare del trattamento tenga sotto costante controllo i suoi processi e la tecnologia disponibile.
Cosa accade al consenso genitoriale quando il minore infra-quattordicenne raggiunge l’età per prestare un consenso digitale autonomo.
Nel momento in cui il minore raggiunge l’età per prestare in totale autonomia il consenso digitale (in Italia, come detto, 14 anni), assumendo il pieno controllo sul trattamento dei dati, egli può confermare, modificare o revocare il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.
Se il minore non intraprende alcuna azione, il consenso prestato o autorizzato dal titolare della responsabilità genitoriale in relazione al trattamento dei dati personali forniti prima dell’età del consenso digitale rimarrà un presupposto valido per il trattamento.
Ai fini che precedono, diventa particolarmente importante che il titolare del trattamento e prestatore del servizio della società dell’informazione evidenzi nella informativa sul trattamento dei dati personali ai sensi dell’art. 13 o 14 RGPD (rilasciata a favore del titolare della potestà genitoriale che agisce in luogo del minore) che al momento del raggiungimento dell’età valida per la prestazione del consenso digitale in autonomia il minore avrà la possibilità di revocare il consenso o ad esempio di far cancellare - ricorrendone i presupposti - i suoi dati ai sensi dell’articolo 17 RGPD, esercitando il cosiddetto diritto all’oblio che è particolarmente rilevante per il consenso prestato quando l’interessato era ancora un minore.
Prof. Avv. Alessandro Del Ninno