La tutela dei dati personali e della privacy dei minori è divenuta un problema rilevante con l'avvento dei social network. La minore età, infatti, è legata a diritti rafforzati rispetto agli adulti, per cui il trattamento da parte delle aziende dei loro dati deve essere regolamentato in maniera differente.
Minori e età del "consenso digitale"
Regolamentazione ante GDPR
Prima del regolamento europeo i principali social network prevedevano una età minima per iscriversi fissata a 13 anni. Questo perché le principali piattaforme online sono americane, e quindi applicano il limite fissato dalla legge federale Usa: il Children's Online Privacy Protection Act (COPPA). Tale legge prescrive che nessuna persona giuridica (tranne gli enti pubblici) può raccogliere dati relativi a minori di 13 anni. Il COPPA prevede, inoltre, il preavviso di trattamento ai genitori, il consenso degli stessi, dimostrabile a richiesta, l'obbligo di adottare misure di sicurezza e il divieto di sollecitare dati non necessari al trattamento.
La normativa europea precedente, invece, non prevedeva un vero e proprio limite che, però, si poteva ricavare ricavabile dal quadro normativo generale. In Italia, ad esempio, la capacità di agire, ossia l’attitudine del soggetto a compiere atti che incidono nella propria sfera giuridica, si acquista con la maggiore età, quindi a 18 anni (art. 2 Cod. civ.). Il minore con età compresa tra 14 e 18 ha una capacità giuridica attenuata, il minore dei 14 anni non è imputabile e non ha capacità giuridica. Come esempio, consideriamo che la normativa europea prevede espressamente che solo a 16 anni un soggetto può dare autonomamente il proprio consenso al trattamento medico, mentre al di sotto dei 16 anni il medico dovrebbe valutare il grado di maturità del minore per verificare se è in grado di prendere decisioni autonome, oppure raccogliere il consenso di un genitore o tutore.
L'adolescente (minore tra i 16 e i 18 anni non soggetto ad obbligo scolastico) ha una capacità giuridica attenuata, può sottoscrivere un contratto (come quello di iscrizione ad un social), ma non dovrebbe poter acconsentire ad atti che richiedono un consenso libero, specifico ed informato, come accade per la profilazione.
Infatti, occorre tenere presente che l'iscrizione ad un servizio online come, ad esempio, Facebook, non è più, non solo, l'iscrizione al social ma un vero e proprio contratto con quale l'utente consente ad una profilazione spinta dei propri comportamenti. L'iscrizione ad un social network o in genere ad un servizio online, quindi, è assoggettata alle regole per la conclusione dei contratti, per i quali occorre che il soggetto sia in grado di apprezzare la natura e le conseguenze del suo consenso. Il soggetto che offre servizi diretti ai minori ha l’onere di accertarsi che l’interessato sia in grado di prestare validamente il suo consenso, anche se il Working Party art. 29 raccomanda, però, che non si adottino tecniche troppo invasive per accertare la validità del consenso, specialmente quando il trattamento non comporta dei rischi eccessivi per le persone.
Regolamentazione europea col GDPR (dal 25 maggio 2018)
Il nuovo Regolamento europeo (GDPR) ha fissato, con l'articolo 8, una regolamentazione specifica, che però non tocca la capacità di agire del minore, la quale rimane fissata dall'ordinamento civile nazionale.
La norma non riguarda genericamente tutti i trattamenti di dati di minori, ma per la sua applicabilità richiede due requisiti:
- che vi sia un'offerta diretta di servizi della società dell'informazione a soggetti minori di 16 anni (o diversa età fissata dal legislatore nazionale);
- che il trattamento dei dati dei minori sia basato sul consenso. Se, invece, il trattamento ha altra base giuridica, come ad esempio il rispetto di un obbligo di legge, i legittimi interessi, ecc..., non si applica la norma.
In presenza di questi due requisiti, l'articolo 8 prevede il divieto di offerta diretta di servizi digitali (quindi iscrizione ai social network e ai servizi di messagistica), ai minori di 16 anni, a meno che non sia raccolto il consenso dei genitori (occorre accertare che il consenso sia dato dall'esercente la patria potestà) o di chi ne fa le veci. In sostanza il GDPR introduce una deroga per i casi specifici indicati (i requisiti) alla regola generale fissata dall'ordinamento, abbassando il limite dei 18 anni (per l'Italia), quindi una sorta di maggiore età digitale raggiunta la quale è ammesso il consenso al trattamento dei propri dati personali anche con riferimento a profilazione.
Inoltre, tale limite può essere ulteriormente abbassato dagli Stati nazionali (ma il limite non può scendere al di sotto dei 13 anni). In tale prospettiva il legislatore italiano ha fissato il limite di età da applicare in Italia in 14 anni, col decreto di adeguamento del Codice Privacy. Anche altri paesi hanno utilizzato la deroga:
- Croazia, Germania, Lituania, Lussemburgo, Malta, Paesi Bassi, Romania, Slovacchia, Ungheria -> 16 anni
- Grecia, Repubblica Ceca, Slovenia, Francia -> 15 anni
- Austria, Bulgaria, Cipro, Italia, Lituania -> 14 anni
- Belgio, Regno Unito, Spagna, Svezia, Inghilterra, Danimarca, Estonia, Latvia, Lettonia, Finlandia, Polonia, Portogallo -> 13 anni.
Chiaramente la norma riguarda soltanto la legittimità del consenso al trattamenti di dati personali ma non incide sulla validità del contratto sottostante, il cui regime giuridico rimane disciplinato dalla legislazione nazionale o da quella del foro competente a decidere eventuali controversie relative al servizio.
Infine, a riprova che la norma è disegnata per tutelare il minore, non certo per ostacolare la messa a disposizione dei minori di servizi, il Considerando 38 specifica anche che "il consenso del titolare della responsabilità genitoriale non deve essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente ai minori". Il riferimento è a servizi di tutela dei minori quali quelli previsti in materia di cyber bullismo o in genere di sostegno all'infanzia (es. Telefono azzurro). Infatti, le norme in materia riconoscono al minore ultraquattordicenne la possibilità di esercitare i diritti previsti a propria tutela contro il cyberbullismo. C'è da dire che l'ordinamento italiano consente al minore che abbia compiuto 14 anni anche di prestare il proprio consenso all'adozione, cosa che sembrerebbe in contrasto con l'impossibilità di iscriversi ad un social network.
Ricordiamo che generalmente i social network prevedono un apposito modulo (qui quello di Facebook) per comunicare l'esistenza di profili (account) di persone con età inferiore a quella consentita, nel qual caso provvedono a rimuovere l'account.
Servizio della società dell'informazione
Il Regolamento europeo non definisce il "servizio della società dell’informazione”, ma fa riferimento alla direttiva (
UE) 2015/1535. L'EDPB fa riferimento anche alla anche alla giurisprudenza della Corte di giustizia, la quale ha affermato che la nozione di servizi della società "interessa contratti e altri servizi conclusi o trasmessi online. Laddove un servizio presenti due componenti economicamente indipendenti, una delle quali è la componente online (ad esempio l’offerta e l’accettazione di un’offerta nel contesto della conclusione di un contratto, o le informazioni relative a prodotti o servizi, comprese le attività di marketing) e l’altra è la consegna fisica o la distribuzione di merci, la prima rientra nella definizione di servizio della società dell’informazione, mentre la seconda no. La consegna online di un servizio rientrerebbe nell’espressione servizio della
società dell’informazione di cui all’articolo 8 del regolamento generale sulla protezione dei dati" (EDPB, Linee guida sul consenso, 2020). Per l'applicabilità della normativa più stringente occorre, però, che il servizio sia fornito direttamente ad un minore, per cui l'indicazione che il servizio è offerto esclusivamente a soggetti non minori esclude l'applicabilità della restrizione.
Attualmente la regolamentazione di alcuni servizi online prevede questi limiti di età:
Facebook: i minori di 13 anni non possono iscriversi, i minori di 16 potranno iscriversi solo col consenso del genitore;
Whatsapp: i minori di 13 anni non possono iscriversi, per i minori di 16 occorre il consenso del genitore;
Twitter: i minori di 16 anni non possono usare Periscope;
TikTok: i minori di 13 anni non possono iscriversi, i minori di 16 anni hanno gli account privati di default e i messaggi diretti disattivati, i minori di 18 anni hanno gli account collegati ai geniori.
Codice privacy e legittimi interessi
Il decreto di adeguamento del Codice privacy al GDPR stabilisce che in caso di trattamento di dati di minori in base ai legittimi interessi la notifica del trattamento al Garante nazionale va fatta solo per i trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni.
Minori e cronaca
L'attuale normativa prevede un generale principio di preminenza dell'interesse del minore, il quale comporta delle limitazioni nel trattamento dei dati personali anche da parte dei giornalisti, il cui trattamento normalmente è svincolato da limiti. Fermo restando che la valutazione dell'interesse pubblico alla pubblicazione dei dati dei minori va attuata dal giornalista, questi ha comunque l'obbligo di non pubblicare informazioni o immagini del minore se non nell'interesse oggettivo del minore stesso, e di astenersi dalla pubblicazione di informazioni in grado di consentire l'identificazione del minore stesso, anche a livello locale. Intendendosi che si deve far riferimento anche ad una identificazione indiretta (ad esempio, la pubblicazione di dati o informazioni di genitori, parenti, amici, ecc...).
Adozioni
La notizia che un minore è in stato di adozione non si può pubblicare a meno che non vi sia l'espresso consenso dei genitori. Con riferimento ai bambini adottati, infatti, non solo si deve considerare la normativa in materia di protezione dei dati, ma anche quella specifica in materia di adozione, che prevede l'affidamento ai genitori della scelta sui modi e i termini per informare il minore del suo stato di adottato.
La normativa (legge 4 maggio 1983) disciplina altresì i presupposti perché l'adottato possa accedere alle informazioni sulla sua origine e i suoi genitori biologici. Per cui è vietato anche diffondere, con riferimento a storie di figli adottivi, i dati reali e le informazioni idonee a permettere l'identificazione dei genitori reali.
Cyberbullismo
La recente legge 71 del 2017 ha previsto degli specifici compiti da parte dell'Autorità Garante per la Privacy in materia di cyberbullismo. La legge prevede misure di prevenzione ed educazione nelle scuole, sia per la vittime che per gli autori di atti di cyberbullismo. Inoltre, i minori potranno chiedere l'oscuramento o la rimozione di contenuti offensivi senza dover informare i propri genitori. La richiesta va inoltrata al gestore del sito o al titolare del trattamento, e, in seconda battuta (questa volta a mezzo dei genitori), al Garante, che interverrà in 48 ore.
-> modello per la segnalazione di atti di cyberbullismo
Pubblicazione di fotografie online
La pubblicazione di una fotografia online si inquadra pacificamente nel trattamento di dati personali e sensibili, e costituisce interferenza nella vita privata del minore. In tal senso occorre fare particolare attenzione nel pubblicare immagini di minori, anche se si tratta dei propri figli.
Una recente sentenza del tribunale di Mantova (novembre 2017) ha stabilito che per la pubblicazione delle foto dei figli occorre il consenso di entrambi i genitori. In assenza dell'accordo dei due genitori la foto non è pubblicabile. Il giudice Berardi ha, infatti, sostenuto che la pubblicazione delle immagini da parte della madre, ma in assenza di consenso del padre, viola l’articolo 10 del codice civile in tema di diritto all’immagine, e viola gli articoli 4,7,8 e 145 del d. lgs. 30 giugno 2003 n. 196 (Codice Privacy) riguardanti la tutela della riservatezza dei dati personali, nonché gli articoli 1 e 16, I comma, della Convenzione di New York del 20/11/1989 sui diritti del fanciullo, ratificata dall’Italia con legge 27 maggio 1991 n. 176.
Analoga decisione è stata presa dal tribunale di Gelderland (Paesi Bassi), che ha vietato alla nonna la pubblicazione di immagini del nipote minorenne in assenza del consenso dei genitori.
Inoltre l'art. 13 del decreto del Presidente della Repubblica 22 settembre 1988, n. 448 (Codice del processo penale minorile) vieta "la pubblicazione e la divulgazione, con qualsiasi mezzo, di notizie o immagini idonee a consentire l'identificazione del minorenne comunque coinvolto nel procedimento. 2. La disposizione del comma 1 non si applica dopo l'inizio del dibattimento se il tribunale procede in udienza pubblica". Il divieto in questione si osserva anche in caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari in materie diverse da quella penale.
