Una brevissima analisi sommaria sui richiami espressi a tale categoria di interessati

IL GDPR ED I MINORI
Una brevissima analisi sommaria sui richiami espressi a tale categoria di interessati
Il Regolamento Europeo n. 679/2016 (GDPR) pone specifica attenzione sulla protezione dei minori.
Proprio in tal senso si esprime il Considerando n. 38 del GDPR, in quanto i minori possono essere meno consapevoli:
- dei rischi;
- delle conseguenze;
- delle misure di salvaguardia;
- dei loro diritti in materia di trattamento dei dati personali.
Particolare cautela deve essere posta nel trattamento dei dati personali dei minori per finalità di marketing o profilazione e nella raccolta dei dati personali all’atto dell’utilizzo di servizi forniti direttamente ai minori.
Il Considerando n. 58, che tratta più in generale del principio di trasparenza nel trattamento dei dati personali, indica che qualsiasi informazione e comunicazione rivolta a soggetti minori dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente.
Il Considerando n. 71, nell’affrontare il tema delle decisioni basate unicamente sul trattamento automatizzato dei dati personali con produzione di effetti giuridici o conseguenze analoghe significative sulla persona, espressamente afferma che tali misure non dovrebbero riguardare soggetti minori[1].
Il Considerando n. 75 annovera esplicitamente il trattamento dei dati personali dei minori tra le attività da cui possono derivare rischi per i diritti e le libertà delle persone fisiche. Si tratta di rischi ovviamente variabili in base all’attività di trattamento effettivamente svolta.
Passando all’analisi delle disposizioni del GDPR, l’art. 6 – in materia di condizioni di liceità del trattamento – cita espressamente i minori in relazione alla lettera f), dedicata alla base giuridica del “legittimo interesse”, imponendo un’attività di bilanciamento tra gli interessi del titolare del trattamento o di terzi e gli interessi o i diritti e le libertà fondamentali dell’interessato “rafforzata” nel caso riguardi un minore. Evidente che sul piatto della bilancia gli interessi o i diritti del minore avranno un peso specifico maggiore.
L’art. 8 del GDPR chiama nuovamente in gioco l’art. 6 – questa volta la lettera a) – in relazione alla base giuridica di trattamento dei dati fondata sul consenso (“l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”).
Con specifico riferimento all’offerta diretta di servizi della società dell’informazione[2] ai minori[3], il trattamento di dati personali del minore è lecito ove il minore che presta il consenso abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Ciò comunque senza pregiudizio per le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.
Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.
In Italia l’età per l’autonoma prestazione del consenso da parte del minore è stata fissata agli anni 14 compiuti, come da art. 2-quinquies del D.Lgs. n. 196/2003.
Da questo discende che, nell’offrire ai destinatari i propri servizi, il titolare del trattamento deve tenere presenti le diverse leggi nazionali e non può fare affidamento sulla sola propria normativa nazionale; inoltre, nel fornire servizi della società dell’informazione ai minori sulla base del consenso, il titolare del trattamento dovrà compiere ogni ragionevole sforzo per verificare che l’interessato abbia raggiunto l’età del consenso, con possibilità di effettuare controlli appropriati al fine di stabilire se la dichiarazione dell’interessato in merito all’età sia veritiera[4].
Venendo poi all’art. 12 del GDPR – che si concentra sugli obblighi di trasparenza in capo al titolare del trattamento in favore degli interessati – viene apertis verbis precisato che le dovute informazioni e comunicazioni sul trattamento di cui agli artt. 13, 14, 15 – 22 e 34 dovranno essere predisposte in forma particolarmente concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio particolarmente semplice e chiaro, se destinate specificamente ai minori[5].
I minori vengono citati ancora una volta all’art. 40 del Regolamento, in tema di codici di condotta volti a contribuire alla corretta applicazione del GDPR, come specifico tema da affrontare in detti codici, in particolare rispetto a:
- informazioni da fornire;
- protezione del minore;
- modalità di ottenimento del consenso dei titolari della responsabilità genitoriale.
A chiudere questa brevissima volata sui minori ed il GDPR è l’art. 57 del Regolamento, che espressamente attribuisce al Garante Privacy (quale autorità di controllo italiana) il potere-dovere di promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento dei dati personali, con particolare attenzione alle attività destinate specificamente ai minori.
Va inoltre ricordato che il D.Lgs. n. 196/2003, nella sua versione cogente adeguata al Regolamento Europeo, fa ulteriori richiami di dettaglio in materia di minori, come nel caso del trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni (riconducibili anch’essi ai detti “servizi della società dell’informazione”):
ai sensi dell’art. 132-quater di detto Decreto, il fornitore del servizio deve informare gli abbonati e, ove possibile, gli utenti, mediante linguaggio chiaro, idoneo e adeguato rispetto alla categoria e alla fascia di età dell’interessato a cui siano fornite le suddette informazioni, con particolare attenzione in caso di minori di età, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare a norma dell’articolo 132-ter, commi 2, 3 e 5, tutti i possibili rimedi e i relativi costi presumibili.
Si invitano i lettori a consultare anche i codici di condotta delle varie categorie al fine di verificare l’esistenza di specifiche disposizioni in merito ai soggetti minori. Ad esempio, è possibile citare le “Regole deontologiche relative al trattamento dei dati personali nell’esercizio dell’attività giornalistica”, dove è prevista una specifica tutela per i minori, con tanto di valutazione di diritti ed interessi espressamente “pesata” in favore del minore.
[1] Non essendo tuttavia questa previsione recepita dall’art. 22 del GDPR, “Art. 29 Working Party” (“Gruppo di Lavoro Articolo 29”) si limita a raccomandare che il titolare del trattamento non faccia di norma affidamento sui processi prettamente automatizzati e sulle eccezioni alla necessità di consenso ex art. 22 nel rapporto con minori e, in caso di utilizzo, che vengano predisposte adeguate garanzie in favore degli stessi, quale contrappeso.
[2] Per “servizio della società dell’informazione” si intende il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio: “qualsiasi servizio della società dell’informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”.
[3] Come scritto nella pubblicazione del Garante Privacy “Applicare il GDPR – Le linee guida europee”: “Se un prestatore di servizi della società dell’informazione chiarisce ai potenziali utenti che il servizio è offerto esclusivamente a persone aventi almeno 18 anni, e ciò non è smentito da altri elementi (come il contenuto del sito o piani di marketing), allora il servizio non sarà considerato fornito direttamente a un minore e l’articolo 8 non si applicherà”.
[4] Questo non è espressamente previsto nel GDPR ma, come scritto nella pubblicazione del Garante Privacy “Applicare il GDPR – Le linee guida europee”, la necessità di effettuare verifiche ragionevoli sull’età è implicita. In quelle che nella pubblicazione suddetta vengono definite “situazioni a basso rischio”, potrebbe essere adeguato richiedere all’interessato di rivelare il proprio anno di nascita oppure di compilare un formulario in cui dichiara di essere o non essere un minore, ferma la valutazione se siano necessari controlli alternativi.
[5] L’art. 2-quinquies del D.Lgs. n. 196/2003, con espresso riferimento ai servizi della società dell’informazione, specifica: “Il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi”.