L’età del “consenso digitale” secondo il GDPR

“In una stanza dove sia accesa soltanto una candela basta una mano davanti alla sorgente di luce per oscurare metà della stanza. La stessa cosa accade col bambino: se gli arrecate un danno se pur minimo agli inizi potrà proiettare un’ombra su tutto il resto della vita.”[1]

Il nuovo Regolamento Generale sulla Protezione dei Dati[2] (d’ora in poi GDPR) fa più volte riferimento all’importanza della protezione dei bambini. Nella pratica però il regolamento non si è rivelato in grado di armonizzazione adeguatamente la disciplina, pertanto le restrizioni sostanziali deriveranno da leggi o codici di condotta nazionali esistenti o nuovi.

La Direttiva sulla protezione dei dati[3] non contiene restrizioni specifiche sull’elaborazione dei dati relativi ai minori, e le norme sulla capacità di consenso di questi ultimi sono state tratte dalle leggi nazionali.

Quanto al GDPR, il considerando n. 38 specifica che la minore consapevolezza che i bambini hanno dei rischi e dei loro diritti in relazione al trattamento dei dati personali giustifica un livello di protezione più incisivo.

La principale disposizione relativa ai minori è contenuta nell’art. 8 “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”, che prevede che il trattamento dei dati di un minore sia lecito qualora il minore abbia almeno 16 anni. Nell’ipotesi in cui l’interessato non abbia ancora raggiunto tale età, il trattamento dei dati è ritenuto lecito se il “consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”. Ne discende che un minore non ancora sedicenne non potrà iscriversi ad alcun Social Network, piattaforma di condivisione di contenuti, e in generale, ad alcun sito web che raccolga i suoi dati personali.

L’art. 8, al comma 2, impone al titolare del trattamento di verificare che il consenso sia stato adeguatamente prestato o autorizzato dal titolare della responsabilità genitoriale.

Infine, il considerando n. 38 specifica che tale regime di tutela dovrebbe essere tenuto in considerazione soprattutto quando i dati personali dei minori vengono utilizzati per fini di marketing e/o profilazione.

Il legislatore europeo presta, infatti, particolare attenzione alla sovraesposizione di messaggi commerciali/pubblicitari e alla profilazione effettuata sui minori dal momento che, essendo “meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate, nonché dei loro diritti in relazione al trattamento dei dati personali”, come ricorda il Considerando 38, “una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione” ex art. 22 è in grado di influenzare significativamente il soggetto interessato, tale da produrre ripercussioni anche nell’età adulta.

Inoltre, l’art. 12 prevede che l’obbligo di garantire che le informazioni fornite agli interessati siano concise, trasparenti e in linguaggio semplice sia soddisfatto “in particolare nel caso di informazioni destinate specificamente ai minori”. A tal riguardo, il considerando n. 58 aggiunge che, posto che i bambini meritano una protezione particolare “quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa facilmente capire”.

In relazione alle modalità di prestazione del consenso da parte dei minori, occorre notare che è proprio su tale punto che si segnala la quasi totale assenza di armonizzazione. L’art. 8, comma 1, oltre a prevedere una regola generale sul consenso digitale, il raggiungimento dei 16 anni di età, prevede anche una deroga: tale età minima, condizione di liceità del trattamento dei dati di un minore, può essere abbassata fino a 13 anni, attraverso una legge nazionale emanata dagli Stati Membri.

Pertanto, è forte il rischio di una normativa non armonizzata tra gli Stati che si allineeranno alla soglia dei 16 anni previsti dal Regolamento e quelli che opteranno per una soglia più bassa. Inoltre, le regole saranno differenti anche rispetto a quelle previste dal Childern’s Online Privacy Protection Act[4] (COPPA) statunitense, in cui l’età del consenso digitale è fissata a 13 anni.

La questione ha una forte risonanza anche economica e non meramente sociale o etica, dal momento che i fornitori di servizi, allo scopo di evitare l’adozione di complessi sistemi di verifica del consenso genitoriale e di informative ad hoc, potrebbero escludere del tutto gli utenti tra i 13 ed i 15 anni.

Tale ipotesi, del tutto realistica, sarebbe tuttavia in diretto contrasto con quanto sancito dall’art. 13 comma 1 della Convenzione sui diritti dell’infanzia e dell’adolescenza[5] (CDIA), che sancisce espressamente che “Il fanciullo ha diritto alla libertà di espressione. Questo diritto comprende la libertà di ricercare, di ricevere e di divulgare informazioni e idee di ogni specie, indipendentemente dalle frontiere, sotto forma orale, scritta, stampata o artistica, o con ogni altro mezzo a scelta del fanciullo”. In questo senso, non dovremmo considerare la rete come un “altro mezzo” attraverso cui il fanciullo possa manifestare la propria libertà di espressione?

L’art. 13 comma 2 prevede dei casi in cui tale diritto può trovare limitazione, vale a dire il “rispetto dei diritti o della reputazione altrui” oppure la “salvaguardia della sicurezza nazionale, dell’ordine pubblico, della salute o della moralità pubbliche”; a nessuno di questi, tuttavia, sarebbe riconducibile la scelta, ingiustificata, del fornitore di un servizio di voler escludere una determinata categoria di soggetti.

Inoltre, verrebbe leso anche il diritto “alla libertà di associazione e alla libertà di riunirsi pacificamente” previsto dall’art. 15 della CDIA, dal momento che tale diritto trova piena esplicazione nell’utilizzo di social network, forum e community digitali.

In conclusione, non c’è dubbio che i bambini debbano essere considerati soggetti vulnerabili, soprattutto in considerazione dei numerosi stimoli di varia natura che provengono dalla rete e della loro età e maturità. A fronte della delicatezza della materia il legislatore è chiamato a prendere posizione sul tema: opterà per la deroga che fissa l’età del consenso digitale a 13 anni privilegiando la crescita dell’individuo nella rete, oppure si adeguerà alla soglia dei 16 anni prevista dal Regolamento?

[1] Ferenczi S., L’adattamento della famiglia all’individuo. In Carloni G. e Molinari (a cura di) Opere di S. Ferenczi. Guaraldi Ed., (1927).

[2] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

[3] Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=LEGISSUM:l14012

[4] Children’s Online Privacy Protection Act of 1998 (COPPA), disponibile qui: https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

[5] Convenzione sui diritti dell’infanzia e dell’adolescenza, disponibile qui: