Il consenso digitale: in che modo tutelare i “nativi digitali”?
L’utilizzo del web per acquistare beni e servizi, informarsi, scambiare idee e opinioni, interagire attivamente con altri utenti, coinvolge in maniera sempre più frequente, anche i soggetti minori di età̀. In che modo tutelare i cd. “nativi digitali”?
I cd. “nativi digitali” sono diventati anche destinatari di App ad hoc, come la recente “LEGO Life” App lanciata dalla famosa fabbrica dei mattoncini, che si pone a metà tra social network e community, e pensata apposta per i più piccini.
Tramite l’utilizzo dell’applicativo, i bambini possono, previa iscrizione alla piattaforma da parte del genitore, postare foto delle loro costruzioni oppure commentare quelle degli altri iscritti, seppur con precise e accorte limitazioni di interazione. Il canale in cui si riscontra un uso maggiore di Internet, è senza dubbio quello del social network, anche sulla scorta del fatto che le nuove generazioni (nate nel terzo millennio) sono senza dubbio più esposte e al contempo più abituate ad usare, fin da subito, le nuove tecnologie (smartphone, tablet, videogiochi sempre più interattivi, tra cui il tanto discusso game-as-service).
Il regolamento europeo
Il Regolamento Europeo 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, non poteva non dedicare specifiche prescrizioni a tutela degli interessati minorenni, ponendosi come obiettivo, tra gli altri, quello di incrementare il livello di tutela. I minori, definiti dallo stesso GDPR, soggetti “vulnerabili” ma, al contempo, sempre più inclini ad utilizzare i social network, fino a crearsi una vera e propria identità digitale, immettono nello spazio web, più o meno consapevolmente, i propri dati, con la conseguente acquisizione da parte dei Titolari dei siti web e gestori di App, di ingenti quantità di informazioni riguardanti profili, caratteristiche, preferenze dei soggetti più piccoli. È opportuno in primis precisare che non esiste all’interno del GDPR una definizione specifica di dati relativi ai soggetti minori (l’art 9 del GDPR, dedicato all’individuazione dei dati cd. di natura particolare, non annovera come categoria particolare da tutelare i dati relativi ai minorenni). Allo stesso modo, non si rinviene, nella definizione dei soggetti interessati contenuta nell’art 4 del GDPR, specificazioni idonee a indicare chi debba essere considerato minore di età, facendosi al contrario riferimento al trattamento generico dei dati personali degli Interessati. Di certo, le prescrizioni contenute nel GDPR dedicate ai minori devono senza dubbio considerarsi un’evoluzione della legislazione europea atta a rafforzare, costantemente, la tutela del soggetto minore. Ed invero, la salvaguardia dei soggetti minori può essere ravvisata, tra le molteplici previsioni del GDPR, sia in singole norme specifiche, che in quelle di carattere generale a tutela di ogni interessato. Rientra nella prima categoria l’articolo 8 del GDPR, rubricato “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione” a mente del quale, qualora l’interessato, nell’ambito di un’offerta diretta di servizi della società dell’informazione ai minori, abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità si specifica che “…il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.”
Sul concetto di “servizi della società dell’informazione”, l’art 4 del GDPR rinvia alla definizione contenuta nella direttiva (Ue) 2015/1535 del 9 settembre 2015, secondo cui si intende “servizio della società dell’informazione” qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Evidente come in tale definizione possano essere ricomprese le piattaforme social network.
Con riferimento, invece, all’età minima richiesta per il consenso, fissata dal legislatore europeo a 16 anni, deve senza dubbio ritenersi una soluzione di compromesso fra la libertà di espressione del minore, ad oggi esercitata, sempre più frequentemente, mediante lo scambio di informazioni reperibili on line e la protezione dei dati personali di tali utenti, possibili vittime di insidie e trabocchetti presenti in rete.
Sotto questo profilo, l’art 8 GDPR, “corre ai ripari”, richiedendo, in caso il minore abbia meno di 16 anni, che il consenso venga necessariamente prestato da un soggetto esercente la responsabilità genitoriale (genitore o altro rappresentante legale). La norma in commento non imbriglia le legislazioni interne in uno schema rigido; consente, infatti, agli Stati Membri di compiere scelte diverse e stabilire un’età inferiore per la raccolta di un legittimo consenso.
La facoltà accordata dall’articolo 8.1, GDPR trova però un limite: nessuno Stato è legittimato a stabilire un’età inferiore ai 13 anni, soglia al di sotto della quale è necessario che il consenso al trattamento dei dati del minore venga prestato da parte di chi esercita la responsabilità genitoriale.
Si precisa infine che, nell’eventualità in cui manchi un’apposita normativa interna idonea a fissare un limite di età diverso da quello indicato in via generale dalla normativa europea, sarà applicabile il limite di 16 anni previsto dal GDPR.
Software gestionali e piattaforme per Avvocati, Uffici e Studi Legali.
La normativa italiana
Volgendo lo sguardo alla normativa italiana, il nostro legislatore, con l’approvazione del controverso D.Lgs. n. 101 del 10 agosto 2018, a fronte dello spazio di manovra che il GDPR lascia agli Stati se scegliere di derogare il limite di età, ha subito colto tale opportunità, intervenendo, sul punto, con l’articolo 2-quinquies, che ha abbassato l’età richiesta per esprimere un lecito consenso in anni 14, per usufruire dei servizi della società dell’informazione.
Il legislatore delegato ha deciso, quindi, di abbandonare il principio del favor minoris, cui inizialmente si era ispirato, per tener conto della realtà attuale, caratterizzata dall’uso sempre più ampio dei servizi telematici e, in particolare, dei social network da parte dei minori.
Di più; la scelta, sebbene non indenne da aspre critiche, appare coerente anche in considerazione di altre disposizioni dell’ordinamento, che fissano limiti di età inferiori per esercitare determinati diritti e azioni giuridiche (a titolo esemplificativo, il minore ultraquattordicenne, ai sensi della Legge n. 71/2017, in tema di cyberbullismo, può adire il Garante per ottenere la rimozione dei contenuti pregiudizievoli in caso di inerzia del Titolare del trattamento; ancora, in tema di adozione, il minore ultraquattordicenne può prestare il relativo consenso come prescritto dall’art. 7, c.2, Legge n. 184/1983). Conseguenza naturale di quanto fin qui illustrato è che diventa fondamentale la verifica da parte del Titolare del Trattamento in merito al soggetto prestatore del Consenso: direttamente il minore avente il limite di età richiesto o, in caso di Interessato con età inferiore al limite, un soggetto che sia effettivamente titolare della responsabilità genitoriale su di esso.
Sotto tale aspetto, il Regolamento UE impone al Titolare precisi e determinati obblighi, anche di natura “formale”.
Nello specifico, il Titolare ha l’onere di predisporre le informative e le altre comunicazioni relative al trattamento avente ad oggetto i dati dei più piccoli, con linguaggio particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore.
Più in particolare, il Considerando 58, nel sancire il principio di trasparenza, non solo prevede che “le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro” ma si preoccupa, nello specifico, di tutelare il suddetto principio nelle comunicazioni rivolte ai soggetti minori, disponendo che quando il trattamento ha ad oggetto i dati personali dei minori “qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente”.
Parimenti, l’art. 12 GDPR, rubricato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato” prescrive espressamente al par. 1 che “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
E come facilmente il lettore potrà dedurre, le sanzioni previste dal GDPR – in caso di violazione di detti obblighi – possono ammontare fino a 20 milioni di euro.