Alla luce di questa panoramica, minori e i servizi digitali sono un argomento che non viene per la prima volta trattato solo dal nuovo regolamento europeo, ma si riscontra una vasta regolamentazione precedente in materia.
A causa dell’uso di enormi piattaforme online, spesso dislocate in America, cresce dall’avvento dei social network, la necessità di una disciplina organica e armonica.
Infatti, essi hanno avuto un notevole sviluppo nella generazione contemporanea, in quanto vengono utilizzati quale strumento attraverso cui le persone, e i minori soprattutto, possono esprimere quelli che sono i propri pensieri: condividono pareri, opinioni e gusti attraverso queste piattaforme creandosi così una propria identità personale.
La regolamentazione precedente riguardando il tema dei social network prevedeva già un’età minima per iscriversi a 13 anni; questo perché le piattaforme applicano il limite fissato dalla legge federale americana del COPPA, prima accennata, la quale impone che nessuna persona giuridica, tranne gli enti pubblici, abbia la facoltà di utilizzare e raccogliere i dati dei minori di anni 13. Ulteriormente, la normativa statunitense prevede la necessità di un preavviso di tale trattamento verso chi ha la responsabilità genitoriale del trattamento dei dati dei minori, per ottenerne il consenso, sempre dimostrabile sotto richiesta dell’autorità.
Tali piattaforme, inoltre hanno l’obbligo di adottare misure di sicurezza adeguate alla tecnologia disponibile e hanno altresì il divieto di non richiedere e raccogliere i dati che non risultano necessari al trattamento richiesto.
In Europa, rispetto al parallelo americano, non era previsto un vero e proprio limite – soglia di trattamento, ma era deducibile e ricavabile dai quadri normativi generali.
In Italia si ricorda che il concetto di capacità d’agire, ovvero l’attitudine del soggetto a compiere atti che incidono nella propria sfera giuridica, si acquista con l’avvento dei diciotto anni (art.2 c.c.); pertanto il minore con età compresa tra 14 e 18 anni si ritiene avere la cosiddetta “capacità giuridica attenuata”. Un esempio, considerando la normativa europea, si prevede il limite di 16 anni per far sì che il minore possa dare autonomamente il proprio consenso al trattamento medico, mentre al di sotto di tale soglia il medico ha l’onere di dover valutare la maturità e la capacità di discernimento del minore. Il medico deve ponderare se egli è capace di poter prendere decisioni in autonomia oppure deve rivolgersi al genitore, al tutore per ottenere il consenso al trattamento.
Se si pensa alla capacità di sottoscrizione di un contratto, come quello che è il modulo di iscrizione ad un social network, l’adolescente quindi il minore tra i 16 e i 18 anni, ha una capacità giuridica attenuata e può sottoscrivere tale contratto. Ulteriormente, prendendo in analisi l’iscrizione ad un servizio online, per esempio Facebook, è di tutta evidenza che l’iscrizione ad un social network, non sia solo un’iscrizione ad un servizio puramente online di divertimento, ma sia da considerarsi un vero e proprio contratto con il quale il nuovo scritto dà il consenso a che i propri comportamenti siano passibili di profilazione. Come mi disse un noto avvocato: “Facebook è il continente più grande del mondo, se voi ci pensate, il Duce è un privato”.
Il nuovo concetto di iscrizione di un social network è sussumibile ed assoggettabile alla disciplina per la conclusione dei contratti e pertanto la sottoscrizione è valida solo se il soggetto è in grado di apprezzare la natura e le conseguenze che derivano dal suo consenso.
Le principali piattaforme che offrono servizi online hanno interesse a raccogliere i dati, dovendo però, porre in atto adeguate misure di controllo e sicurezza; il Working Party (WP29) articolo n. 29 richiama e sottolinea però che non sono necessarie l’adozione di tecniche troppo invasive per accertare la validità del consenso quando il trattamento non comporta gravi rischi per le persone. Per meglio comprendere la responsabilità del titolare del trattamento circa l’esistenza dei requisiti di validità del consenso prestato (sia dai minori che dagli esercenti la potestà genitoriale), si deve far riferimento alle linee della commissione di lavoro del 2009.
Nel caso dei minori, nonostante la disciplina europea non disciplini il punto, le Linee guida del WP29 hanno chiarito che l’età minima richiesta dalla normativa è requisito di validità del consenso e dunque di liceità del trattamento; i titolari devono compiere “sforzi ragionevoli” e controlli appropriati, nonché proporzionati alla natura e ai rischi delle attività di trattamento, per verificare la veridicità dell’affermazione qualora lo stesso minore-navigante affermi di aver superato l’età del consenso digitale.
Il par. 2 dell’art. 8 affida espressamente in capo al titolare del trattamento l’obbligo di attivarsi “in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili”; il legislatore non riporta nessuna modalità attuativa o non orienta in senso pratico il titolare nell’acquisizione del consenso dei genitori o per accertare l’identità di questi ultimi.
Le Linee guida designano un modus operandi concreto, richiedendo un approccio proporzionato e garantistico del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lettera c), il quale presuppone che il titolare utilizzi la quantità di informazioni necessaria e limitata al trattamento in essere, rapportandola anche ai rischi ed alla tecnologia disponibile.
Secondo i Garanti europei, in particolare, nei casi a basso rischio, la verifica della responsabilità genitoriale via e-mail può essere sufficiente, mentre nei casi ad alto rischio, potrebbe essere opportuno chiedere ulteriori prove, in modo che il titolare del trattamento sia in grado di verificare e conservare le informazioni di cui all’articolo 7, paragrafo 1, del Regolamento.
Un esempio, “a un genitore o tutore potrebbe essere chiesto di effettuare un pagamento di € 0,01 al titolare del trattamento tramite una transazione bancaria, includendo una breve conferma nella riga descrittiva della transazione che il titolare del conto bancario è titolare della responsabilità genitoriale nei confronti dell’utente. Se nel caso, dovrebbe essere fornito un metodo alternativo di verifica per prevenire un indebito trattamento discriminatorio delle persone che non hanno un conto bancario”.
Il consenso da parte del titolare della responsabilità genitoriale decade nel momento in cui l’interessato raggiunga l’età del “consenso digitale” e obbligando il titolare del trattamento ad ottenere un valido consenso direttamente da parte di quest’ultimo per poter continuare a procedere col trattamento dei dati, questo il chiarimento da parte del Gruppo dei Garanti europei.
La regolamentazione Europea del 5 Maggio 2018, non confligge con quella dell’ordinamento civile nazionale, poiché la capacità di agire del minore rimane disciplinata sotto il profilo di decisionale dello Stato membro, quale materia ad esso riservata. La situazione giuridica che si delinea concerne la possibilità che il minore possa prestare validamente il consenso, ma non ha la capacità di concludere il contratto sottostante; infatti l’invalidità di quest’ultimo comporta, nonostante la liceità del trattamento, che esso debba cessare qualora venga vittoriosamente esperita l’azione di annullamento del contratto.
Sebbene, come già detto, la normativa europea supra esaminata non riguardi tutte le fattispecie di trattamento dei dati personali, si ritiene che essa offra comunque significativi spunti di riflessione per la soluzione del problema della capacità del minore ultrasedicenne di prestare direttamente il consenso al trattamento dei dati anche nell’ordinamento italiano.
Il consenso non è l’unico presupposto per considerare un trattamento come lecito. Per contro, il consenso è la base giuridica residuale per antonomasia, rispetto alle altre previste dal Regolamento. Infatti, qualora il trattamento avesse come base giuridica (vedi art. 6 GDPR) i legittimi interessi, l’obbligo di legge o una prescrizione legislativa, non si fa riferimento alla descritta normativa del consenso.
Il divieto di offerta diretta di servizi digitali quindi iscrizione social network e servizi di messaggistica ai minori di 16 anni deroga la regola generale fissata dall’ordinamento, abbassando il limite dei 18 anni, nasce una sorta di maggiore età digitale raggiunta per la quale è ammesso il consenso dei minori, anche con riferimento alla profilazione non avendo ancora raggiunto la maggiore età.
Come prima specificato, il GDPR consente anche agli stati nazionali di poter abbassare ulteriormente il limite fissato di 16 anni, però vietando che tale soglia scenda al di sotto dei tredici anni.