Il consenso dei minori in ambito privacy: le novità del decreto di armonizzazione del Codice Privacy
La tutela dei minori in ambito privacy è sempre stato uno dei punti cardini della legislazione a livello europeo, soprattutto con la diffusione sempre più importante delle comunicazioni online (ad esempio, attraverso social network e applicazioni di messaggistica istantanea).
La normativa europea sul trattamento dei dati personali
Il Regolamento Generale sulla Protezione dei Dati n. 2016/679 (“GDPR”) prevede, all’art. 8, che i minori che abbiano compiuto almeno 16 anni possano esprimere il proprio consenso circa l’offerta diretta di servizi derivanti da società dell’informazione, senza l’autorizzazione di chi esercita la responsabilità genitoriale.
Tale autorizzazione è richiesta, invece, qualora il trattamento si rivolga ai minori degli anni 16.
Affinché il consenso espresso dal minore con almeno 16 anni sia lecito sono necessarie due condizioni:
– l’offerta deve essere relativa ai servizi offerti dalle società dell’informazione e diretta al minore;
– tale offerta diretta deve comportare l’accettazione ed il consenso esplicito del minore al trattamento dei suoi dati. Per l’espressione del proprio consenso, il minore dovrà essere adeguatamente informato sulle modalità del trattamento e la comunicazione dei propri dati per mezzo di una informativa privacy che gli permette una facile ed agevole comprensione del contenuto.
La lettura dell’art. 8 del GDPR deve essere integrata dal Considerando 38 che, evidenziando la vulnerabilità dei minori in termini di consapevolezza dei rischi e delle conseguenze che potrebbero derivare, riconosce la necessità di una specifica protezione relativamente ai loro dati personali soprattutto per le finalità di marketing (con conseguente profilazione) o di creazione di profili per personalità o utenze.
Al contrario, secondo la medesima norma, il consenso da parte di chi esercita la responsabilità genitoriale non è necessario nel caso in cui i servizi diretti al minore si riferiscano a quelli di prevenzione o di consulenza dei diritti degli stessi (come, ad esempio, in tema di cyberbullismo).
Il punto focale delle norme è proprio la necessità di prendersi cura del minore e la valutazione del suo best interest.
Pertanto, il GDPR non vuole limitare l’uso della rete e dei servizi che sono a disposizione degli utenti. Lo scopo è quello di tutelare il minore dal rischio di essere tratto in inganno da chi offre in rete servizi. Tali servizi possono essere anche molto costosi e non prendono in considerazione l’età di colui al quale l’offerta è fatta e della sua capacità di comprendere ciò che ne comporta.
Servizi delle società di informazione diretti ai minori
Ma cosa si intende per “servizi delle società dell’informazione”?
Il Working Party art. 29 (ossia, il Gruppo di Lavoro formato dai Garanti Privacy di ciascun Stato membro dell’UE), nelle “Linee guida sul consenso ai sensi del regolamento (UE) 2016/679” – richiamando la giurisprudenza della Corte di Giustizia europea, ha chiarito che devono intendersi “servizi delle società dell’informazione” tutti i contratti e altri servizi conclusi o trasmessi online.
L’art. 8 GDPR non va ad incidere, però, sul regime giuridico dei contratti stipulati. La validità dei contratti sottoscritti dai minori resta disciplinata dalla legislazione di ciascun Stato membro dell’UE.
Inoltre, la norma del GDPR non si applica ai servizi offerti per i quali il fornitore indica esplicitamente come destinatari soggetti diversi dai minori tutelati dalla norma.
Le novità del D.lgs. 101/2018 (decreto di armonizzazione del Codice Privacy)
Il primo comma dell’art. 8 GDPR permette agli Stati membri di prevedere, per il trattamento dei dati, un’età inferiore ai 16 anni per l’espressione del consenso relativo all’offerta dei servizi delle società di informazione diretta ai minori, purché il limite non sia al di sotto dei 13 anni.
Il decreto legislativo n. 101/2018, pubblicato in Gazzetta Ufficiale lo scorso 4 settembre e che entrerà in vigore il 19 settembre 2018, armonizza il Codice Privacy (d.lgs. 196/2003) al Regolamento UE 2016/679, prevedendo determinate modifiche, integrazioni e abrogazioni di norme.
Tra le novità del decreto di armonizzazione vi è la previsione degli anni 14 come limite di età per l’espressione del consenso da parte dei minori per il trattamento dei loro dati personali nel mondo digitale.
Il legislatore italiano, quindi, si è basato sulle norme del codice civile e del codice penale per la definizione di tale limite.
Infatti, secondo l’ordinamento nazionale, la capacità di agire (ossia l’idoneità del soggetto a compiere atti idonei che incidono sulle sue situazioni giuridiche e sulla sfera patrimoniale personale) si acquista con il compimento della maggiore età. I minori degli anni 14, invece, secondo le norme penali, non sono imputabili per la fattispecie che costituisce reato.
Pertanto, vi è un lasso di tempo in cui i minori di età compresa tra i 14 e i 18 anni possiedono una “capacità giuridica attenuata” purché abbiano la piena capacità di intendere e di volere. Ed è principalmente per questo motivo per cui il Governo italiano ha abbassato l’età per l’espressione del consenso dei minori.
Pertanto, seppur il limite di età indicato dal decreto di armonizzazione è diverso ed inferiore rispetto a quello previsto dal GDPR, i fornitori dei servizi delle società dell’informazione devono comunque garantire una informazione chiara e facilmente comprensibile da parte dei minori circa il trattamento dei loro dati personali. Questo affinché sia comunque tutelato il best interest del minore e che non sia limito o vietato l’uso della comunicazione digitale da parte loro.