Consenso dei minori al trattamento dei dati personali: novità introdotte dal GDPR

Consenso dei minori al trattamento dei dati personali: novità introdotte dal GDPR
Consenso dei minori al trattamento dei dati personali: novità introdotte dal GDPR

Il nuovo Regolamento sulla protezione dei dati personali (in seguito “GDPR”), entrato in vigore il 25 maggio 2018, è intervenuto a disciplinare, con l’articolo 8, la delicata questione attinente al consenso dei minori al trattamento dei dati personali.

Fino ad ora, nel nostro ordinamento, per regolamentare la materia in questione si è fatto riferimento in linea generale alla regola prevista dall’articolo 2 del Codice Civile, secondo cui la capacità di agire, ossia l’attitudine del soggetto a compiere atti che incidono nella propria sfera giuridica, si acquista al compimento del diciottesimo anno di età. Da ciò discende che al minore non è riconosciuta la possibilità di esprimere il proprio consenso al trattamento di dati, il quale deve essere autorizzato da chi ne ha la responsabilità genitoriale.

L’articolo 8 del GDPR, rubricato “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”, ha introdotto una deroga al principio generale stabilito dall’articolo 2 del Codice Civile. In particolare, in riferimento a tali servizi, il Regolamento abbassa l’età per esprimere il consenso a sedici anni, prevedendo altresì la possibilità per gli Stati membri di  stabilire un’età inferiore, purché non al di sotto dei tredici anni. Nel caso in cui il minore abbia un’età inferiore ai sedici (o quella eventualmente stabilita dal Paese membro) il trattamento sarà lecito solo se prestato o autorizzato dal titolare della responsabilità genitoriale. In quest’ultimo caso, il titolare del trattamento si deve adoperare in modo ragionevole per verificare che il consenso sia effettivamente prestato dall’esercente la responsabilità genitoriale.

In sostanza, la normativa europea introduce una sorta di speciale “maggiore età digitale” per il consenso al trattamento dei propri dati personali che si fornisce, ad esempio, iscrivendosi ad un Social Network, scaricando app per smartphone o utilizzando altri servizi digitali.

Occorre precisare che la possibilità di rivolgersi direttamente a un minore deve essere letta in stretta correlazione con quanto disposto dal considerando 58 del GDPR, secondo cui le informazioni e le comunicazioni devono utilizzare un linguaggio semplice, chiaro e facilmente comprensibile dal minore stesso.

 

La posizione dell’Italia:

Poiché non è ancora stato approvato il Decreto di attuazione del Regolamento Privacy (la cui delega è esercitabile entro il 22 agosto 2018), al momento, non ci è dato di sapere quale sarà la posizione definitiva dell’Italia in riferimento al limite di età che consente ai minori di accedere a servizi della società dell’informazione senza il consenso di chi esercita la responsabilità parentale.

Tuttavia, nell’attesa del Decreto definitivo, è possibile rilevare come ci sia già stato un cambio di rotta tra la prima e la seconda bozza del Decreto Legislativo recante disposizioni per l’adeguamento al GDPR. Infatti, se la prima, all’articolo 6, fissava a quattordici anni suddetta età, la seconda, all’articolo 2-quinquies, stabilisce che il minore per poter esprimere autonomamente il consenso deve aver compiuto sedici anni.

Interessante notare come Filomena Albano, Autorità garante per l’infanzia e l’adolescenza, nel parere reso al governo per adeguare la normativa italiana al regolamento UE, abbia ancorato a sedici anni l’età minima per esprimere il consenso all’utilizzo dei propri dati, esortando che non è opportuno abbassare tale soglia. Diversamente, il Garante per la protezione dei dati personali (di seguito “Garante”), intervenuto anche’esso, con il Provvedimento n. 312 del 22 maggio 2018, a dare un parere sullo schema di Decreto, ha suggerito di fissare a quattordici anni l’età minima per poter accedere ai servizi della società dell’informazione.

Il Garante, infatti, afferma come l’indicazione contenuta all’articolo 2-quinquies dello schema di attuazione, secondo cui in detto ambito “il trattamento dei dati personali del minore di età inferiore a sedici anni (...) è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale” non appaia coerente con altre disposizioni dell’ordinamento che identificano a quattordici anni il limite di età consentito per esercitare specifiche azioni giuridiche. In tal senso, a titolo esemplificativo, menziona la legge sul cyber bullismo (l. 29 maggio 2017, n. 71) e la legge sull’adozione dei minori (l. 4 maggio 1983, n.184), che riconoscono rispettivamente il diritto del minore ultraquattordicenne di esercitare i diritti previsti a proprio tutela contro il cyber bullismo e di prestare il proprio consenso all’adozione. Conclude, dunque, sottolineando l’incoerenza di riconoscere al quattordicenne di esercitare il proprio consenso ad essere adottato, e non il consenso per iscriversi a un Social Network.

L’ultima parola spetterà comunque al Governo.

Pertanto, non ci resta che attendere l’approvazione definitiva del Decreto Legislativo per scoprire quale sarà la decisione finale dell’esecutivo.