Una delle più importanti novità del nuovo Regolamento Europeo 679/2016 in materia di protezione dei dati personali è, senza alcun dubbio, il riferimento operato nelle norme dello stesso alla necessità che i minori ricevano una tutela adeguata e rafforzata. Nel GDPR appare infatti rafforzata la tutela dei dati personali dei minori.
Nella società dell’informazione, infatti, come recentemente stimato dall’UNICEF i principali fruitori di internet sono proprio i minorenni, con una impressionante percentuale di tasso di prevalenza sul web del 71%.
La tutela dei dati personali dei minori nella precedente normativa europea
Ciononostante nella legislazione europea ed in particolare nella Direttiva Madre in materia di protezione dei dati personali (95/47/CEE), non vi era alcun riferimento specifico alla tutela dei minori.
Già nel 2008, però, in un documento di lavoro appositamente dedicato alla protezione dei dati relativi ai minori, il working party art. 29 aveva rappresentato la necessità di ovviare a tale lacuna e di predisporre una tutela rafforzata necessaria ad affrontare in via preventiva i rischi connessi all’utilizzo della rete ed in particolare delle applicazioni web e dei social media da parte dei minori.
E’ evidente, infatti, che i più giovani ignorino la pericolosità intrinseca alla cessione dei propri dati personali e che un Legislatore attento debba necessariamente adoperarsi al fine di accrescere la consapevolezza ed il coinvolgimento dei minori nelle scelte relative ai propri dati personali, ovviamente in proporzione con il grado di maturità dei piccoli interessati.
Ancora una volta, quindi, il GDPR mostra di essere il frutto di uno studio pragmatico della società digitale, ancor prima che giuridico.
Il nuovo approccio del Regolamento 679/2016 alla tutela dei dati personali dei minori
Già nell’art. 6 dedicato al principio di liceità infatti, il Regolamento 679/2016 definisce quale legittimo un trattamento che non pregiudichi interessi diritti e libertà dell’interessato, “in particolare se minore” e ciò in quanto come specificato al considerando n. 38 dello stesso i minori meritano una protezione specifica in quanto “ meno consapevoli dei rischi e delle conseguenze del trattamento” dei propri dati personali.
In tale ottica va letto quindi il successivo considerando 58 dedicato alla trasparenza che impone, dando così seguito alle indicazione del documento di lavoro di cui sopra, chiarezza ed un linguaggio semplice e comprensibile per qualunque comunicazione e informativa diretta ad un minore.
Premessi tali cenni, si pone spontaneamente una domanda: alla luce delle differenti normative nazionali in materia di capacità giuridica, chi è un minore ai sensi del GDPR?
La risposta è fornita dall’art. 8 del Regolamento che individua in 16 anni l’età minima per prestare validamente il consenso in relazione ai cd servizi della società dell’informazione.
Tale limite è tuttavia derogabile dalla legislazione nazionale degli stati membri, purchè non sia individuata in un’età inferiore ai 13 anni.
Normativa italiana ed europea a confronto sulla tutela dei dati personali dei minori
Ad un primo sguardo sembrerebbe, quindi, che rispetto alla normativa nazionale italiana per la quale come è noto la capacità giuridica si acquisisce con il compimento del 18° anno, la normativa europea risulti più permissiva.
Tuttavia, alla luce di una più attenta e sistematica analisi, l’abbassamento dell’età minima per prestare il consenso al trattamento dei dati personali risulta perfettamente coordinata alle previsioni di altre normative speciali, come, ad esempio, quelle vigenti in materia di prestazione del consenso agli atti sessuali.
Ed infatti, in perfetta continuità con quanto sin ora argomentato, il nuovo schema di decreto legislativo predisposto per l’attuazione del Regolamento 679/2016 e la conseguente abrogazione delle preesistenti norme nazionali, sfruttando la deroga concessa dall’atto europeo, prevede un’età minima di 14 anni, che risulta coerente, tra l’altro, anche con la recentissima legge n. 71/2017 in materia di cyberbullismo.
Appare, infatti, significativo il collegamento tra l’art. 17 del GDPR, letto in combinato con il considerando 65 e dedicato al diritto all’oblio, e la suddetta recentissima legge nazionale.
Come recita il considerando, infatti, il diritto ad essere “dimenticati” e, dunque, ad ottenere la cancellazione dei propri dati personali, in specie dalla rete, assume una particolare rilevanza se l’interessato ha prestato il consenso quando era minore ed in quanto tale “non pienamente consapevole dei rischi derivanti dal trattamento” con la precisa indicazione che “l’interessato dovrebbe poter esercitare tale diritto indipendentemente dal fatto che non sia più minore al momento della richiesta”. Similmente la legge 71/17 prevede che la vittima di cyberbullismo che ha compiuto 14 anni o i genitori esercenti la responsabilità genitoriale possano inoltrare una richiesta di oscuramento, rimozione o blocco di qualsiasi dato personale del minore diffuso in rete al titolare del trattamento o al gestore del sito o del social network, ovvero qualora questi ultimi non provvedano entro le successive 48 ore, rivolgersi direttamente al Garante della Privacy per ottenere tutela.
Alla luce delle considerazioni sin qui operate, quindi, appare evidente e lodevole lo sforzo, almeno teorico, compiuto dal Legislatore sia europeo che nazionale per fornire una tutela cd rafforzata ai dati personali dei minori, anche se allo stato attuale persistono problemi di applicazione pratica di non poco conto. Basti pensare alla discrepanza creata tra la possibilità di prestare un valido consenso (anni 14) e la possibilità poi di far concretamente valere i propri diritti violati (la capacità giuridica come detto si acquisisce al 18° anno) oppure alla difficoltà per il titolare di un trattamento di dati personali di verificare che, nel caso di un interessato minore di età, vi sia realmente un consenso validamente prestato da parte di chi esercita la responsabilità genitoriale.
Ancora una volta, quindi, in un settore normativo nuovo (rectius innovativo) ed in continuo e frenetico sviluppo come quello della data protection law, saranno gli operatori del diritto e le esperienze applicative a decretare il successo o il fallimento degli strumenti giuridici disponibili.
Lucrezia D’Avenia