Minori e trattamento dati personali.

 Il GDPR (acronimo di General Data Protection Regulation) è stato emanato con il regolamento UE 679 del 2016 ma il Regolamento europeo sulla privacy è entrato in vigore il 25 maggio 2018 delineando un nuovo quadro normativo in materia di protezione dei dati personali.

Esso pone molte nuove regole e importanti adempimenti che gli Stati membri devono rispettare. In Italia la sua disciplina è stata completata con il decreto legislativo numero 101/2018, di adeguamento della normativa italiana alle norme europee.

In particolare, con riferimento ai minori di età, è l'art. 8 del GDPR a fare riferimento al consenso del trattamento dati del minore allorquando va fornito un servizio. Ma cosa si intende per dato personale? Si tratta di qualsiasi informazione riguardante una persona fisica identificata o identificabile e cioè quella persona che può essere identificata direttamente o indirettamente con particolare riferimento ad esempio al nome, un dato riguardante l'ubicazione, un identificativo on line o a uno o più elementi che consentono di individuare l'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale ( art. 4 del GDPR).

Per quanto concerne i minori e cioè coloro che non hanno compiuto i 18 anni di età e non hanno ancora quindi capacità di agire, trattasi di un soggetto che pur essendo titolare di diritti non può esercitarli autonomamente e occorre quindi l'intervento del suo rappresentante legale.

Pertanto, colui che esercita su quel minore la responsabilità genitoriale dovrà agire in sua vece come rappresentante legale. Al minore è cioè preclusa ex art. 1425 c.c. la possibilità di compiere atti negoziali che altrimenti sarebbero annullabili.

Difatti, nel nostro ordinamento la capacità di agire e quindi di manifestare validamente e coscientemente la propria volontà nel compimento degli atti giuridici, si acquisisce al compimento del diciottesimo anno di età.

Anche nell'ambito del trattamento dei dati personali, nei contratti tra utente e social network si considera la ridotta capacità di contrarre contratti.

Gli Stati membri UE hanno ritenuto che il consenso al trattamento dei dati dei minori non può essere considerato lecito e quindi prestato se non ha raggiunto l'età di 13 anni lasciando, però, ad ogni stato membro la possibilità di alzare tale limite anagrafico.

L'Italia ha scelto di portare tale limite a 14 anni compiuti (art. 2, comma 1, lettera f), del D.Lgs. 10 agosto 2018, n. 101) per l'accesso ai servizi social e similari per la creazione di profili personali. Una riduzione rispetto a quanto previsto dall'art. 8 GDPR 2016/679, che individua il limite a 16 anni.

Quest'ultimo articolo, si riferisce unicamente al consenso del trattamento dati del minore, nell'ambito della fornitura di un servizio della società dell'informazione in merito all'offerta diretta di servizi. Se tali servizi sono rivolti a maggiorenni non si applicherà l'art. 8 GDPR.

La direttiva intende per social networking qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi e comprende tutti in servizi "social networking" e le app degli smartphone.

È lecito il consenso al trattamento dei dati personali del minore quattordicenne (compiuti), diversamente, il consenso al trattamento dei dati di un infraquattordicenne può essere prestato lecitamente ma solo con il benestare di chi esercita la responsabilità genitoriale o di chi ne fa le veci.

Il Titolare del trattamento ha l'obbligo di adoperarsi attivamente utilizzando tutte le tecnologie a lui disponibili per verificare l'età del soggetto che ha prestato il "consenso digitale" o che il consenso sia stato prestato o autorizzato dal genitore o da chi ne fa le veci, poiché esercente la responsabilità genitoriale.

Il Titolare deve dimostrare di aver adottato controlli ragionevoli in merito all'ottenimento di un valido consenso informato dei dati del minore, volti a verificare la veridicità di quanto dichiarato e deve informare il minorenne della possibilità di cancellare, modificare o revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha prestato.

Al raggiungimento del diciottesimo anno di età il consenso prestato o autorizzato dal rappresentante legale, continuerà a legittimare il titolare del trattamento nell'utilizzo dei suoi dati personali.

Il Titolare del trattamento può non fondare il legittimo trattamento dei dati personali del minore (dati comuni) sul consenso, ma sull'esecuzione del contratto e l'interessato in questo caso potrà esercitare il diritto all'oblio motivato ex art. 17.1.d) GDPR e far cessare l'uso dei suoi dati chiedendo di annullare il contratto sottoscritto durante la minore età.

Un caso in cui non è dovuto il consenso dell'esercente la responsabilità genitoriale è quando trattasi di servizi destinati direttamente a minori (consultori o centri abusi).

Relativamente alle modalità da utilizzare per comunicare con minori, l'articolo 58 del Regolamento afferma: "Il principio della trasparenza impone che le informazioni destinate al pubblico o all'interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell'operazione fanno sì che sia difficile per l'interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online. Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente».

Tutto ciò diviene ancora più importante se pensiamo all'aumento esponenziale di casi di bullismo e cyberbullismo.

La legge 71/2017 entrata in vigore proprio a seguito dell'aumento preoccupante di tali fenomeni e che riguarda nello specifico il fenomeno del cyberbullismo, prevede che il minore ultraquattordicenne, il genitore o l'esercente la responsabilità che abbia subito un atto di tal tipo, può inoltrare al titolare del trattamento o al gestore del sito internet o del social media un'istanza per l'oscuramento, la rimozione o il blocco di qualsiasi dato personale del minore diffuso in internet.

Entro le ventiquattro ore successive al ricevimento dell'istanza il titolare del trattamento o il gestore del sito deve comunicare l'adempimento o meno della richiesta fatta dal minore o da chi per lui.

Entro le quarantotto ore successive alla comunicazione dell'istanza se il titolare non provvede, o comunque nel caso in cui non sia possibile identificare il titolare del trattamento o il gestore del sito internet o del social media, l'interessato può rivolgere analoga richiesta, mediante segnalazione o reclamo, al Garante per la protezione dei dati personali (GPDP), il quale, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi degli articoli 143 e 144 del decreto legislativo 30 giugno 2003, n. 196.

La Legge ha previsto tra le modalità di intervento, quello dell'ammonimento del questore il quale in tali casi convoca il minore con il rappresentante legale e lo ammonisce ed avverte di astenersi dal compimento di atti di molestia o altro nei confronti dell'istante . Gli effetti dell'ammonimento cessano con il raggiungimento della maggiore età.