Euro

The european project Training Activities to Implement the Data Protection Reform (TAtoDPR) has received funding from the European Union’s Rights, Equality and Citizenship (REC) Programme of the European Union under Grant Agreement No. 769191

The contents of this Journal represent the views of the author only and are his/her sole responsibility. The European Commission does not accept any responsibility for use that may be made of the information it contains.

Home / ISSUES / Issue / Privacy e minori nell'era digitale. Il consenso al trattamento dei dati dei minori all'indomani ..

back print content


Privacy e minori nell'era digitale. Il consenso al trattamento dei dati dei minori all'indomani del Regolamento UE 2016/679, tra diritto e tecno-regolazione

Ilaria Amelia Caggiano

The article deals with the topic of data protection of minors in the digital environment, focussing on the issue of consent to data processing (privacy digital consent) given by a minor.

Drawing on the identification of the interests to be protected referring to minors’ personal data, especially in the digital domain, I analyze the new rule on minors’ digital consent laid down by Reg. (EU) 2016/679 in order to verify its ability to meet these interests, also with a comparison with US law.

Section 3 of the article puts the issue of the minors’ digital consent to personal data in relation with the privacy consent in general and the discipline of consent in contract law.

The article concludes that the relevant discipline on this topic cannot be determined only by law(legal tool) or technology (technological tool), but techno-regulation and law need to be integrated.

Summary:

La privacy dei minori d’età nello spazio digitale. - La costellazione delle fonti in materia di Internet, minori e privacy. - Il consenso al trattamento dei dati del minore d’età dalle ambiguità del d.lgs. 196/2003 all’art. 8 del Regolamento (UE) 2016/679 (cd. consenso privacy digitale): l’ambito di applicazione e il rapporto con il consenso contrattuale - Consenso privacy versus capacità negoziale: i requisiti dell’atto di prestazione del consenso privacy dentro e fuori lo spazio digitale. - Possibile interpretazione dell’art. 8 e tutela del minore. - I problemi posti dal trattamento dei dati personali di minori in ambiente virtuale. La risposta giuridica e quella tecnologica: rapporto tra diritto e tecno-regolazione. - NOTE


La privacy dei minori d’età nello spazio digitale.

Il processo di riduzione della complessità del reale ad informazioni divulgabili e commerciabili (c.d. datafication) ha reso di centrale importanza il problema della gestione di tali informazioni e della tutela della sfera privata personale di ogni soggetto cui tali informazioni sono riferibili. La oggettivizzazione in entità patrimonialmente valutabili delle informazioni relative agli individui rende il rilievo di tali informazioni incidente ogni aspetto della vita delle persone fisiche, sì da richiederne una particolare attenzione in sede di regolamentazione.

Il concetto di privacy, che, secondo il significato originario coniato in ambiente anglosassone, andava riferito all’intimità della vita privata e alla difesa della stessa verso le incursioni dall’esterno[1], si è di conseguenza modificato divenendo polisemico e venendo riguardare non più soltanto il diritto alla riservatezza in senso stretto, ma il diritto alla protezione dei dati personali, che è il termine adottato negli atti legislativi europei ad indicare la situazione giuridica di riservatezza come non ingerenza nelle informazioni riferibili alla persona. Esso rileva ormai come autonomo diritto fondamentale (art. 8 Carta diritti fondamentali UE e considerando 1 Reg. 2016//679) [2], pur potendosi riflettere se non residui ancora sul piano rimediale una mancanza di autonomia rispetto ad altri diritti della personalità (riservatezza in senso stretto, immagine, nome), in ragione della non configurabilità di un danno serio, ove manchi la lesione di questi ultimi[3].

A parte queste considerazioni in punto di tassonomie giuridiche, eccezionale cautela e, quindi, esigenze di protezione potenziate, vengono  in considerazione quando i dati personali, di ogni tipo e in ogni momento raccolti, si riferiscono a particolari categorie di soggetti vulnerabili, tra cui i minori di età, da più parti identificati come i soggetti più deboli in assoluto della società umana.

In generale, la particolare condizione del minore non soltanto dà origine ad un’articolazione di diritti specifici che ne compongono lo statuto, ma anche ad una particolare “coloritura semantica” dei diritti della persona di cui è titolare, e quindi anche del diritto alla protezione dei dati, nonché alla prevalenza dei diritti e dell’interesse del minore nel bilanciamento rispetto ad altri diritti e interessi[4].  Ciò, ad esempio, può significare una più frequente emersione del diritto all’oblio quando il trattamento di dati abbia riguardato un minore[5].

Sul terreno della tutela della privacy, il minore esige di essere particolarmente protetto da un’esposizione o sovraesposizione di dati per i possibili rischi sullo sviluppo della personalità, per l’esteso tracciamento della persona (profilazione) nel corso dell’intera vita, per i furti di dati o di identità, che se relativi al minore possono avere ripercussioni più gravi. Se ciò è vero, si pone però la questione di quali possano essere gli strumenti di tutela più idonei al fine di limitare il numero di trattamenti.

Sotto questa specola può essere analizzato il problema del consenso del minore al trattamento dei propri dati. Il consenso – come noto -  è stato da sempre inquadrato dal legislatore come uno strumento di scelta per dell’interessato nell’esercizio del diritto fondamentale relativo ai suoi dati personali. Dell’effettività di tale strumento in termini di protezione dei dati contro i rischi per le libertà individuali, cioè sull’attitudine a rappresentare esercizio di scelta consapevole e funzione di filtro, si può dubitare[6], e questa analisi circa la effettività va valutata anche con riguardo alla norma sul consenso dei minori.  Innanzi tutto, v’è da determinare a chi spetti la prestazione del consenso negli atti di autodeterminazione informativa (cd. consenso privacy), in caso di titolarità del diritto in capo ad un minore, che è problematica comune agli altri diritti della personalità.

Il problema è stato posto dal legislatore (ad esempio, europeo e statunitense) nei termini di individuazione di particolari requisiti legali d’età per manifestare l’autorizzazione al trattamento dei dati personali e quindi di fissazione in astratto di una soglia alla quale ascrivere una raggiunta consapevolezza del minore. Le opzioni possibili s’imperniano sulla consueta idea che la protezione del minore, qui relativa ai suoi dati personali, possa essere assicurata con il prevedere una sua incapacità al compimento dell’atto, sì da richiedere il controllo – tramite la sostituzione – da parte dei titolari della responsabilità genitoriale, cui tuttavia si contrappone l’idea che la formazione del fanciullo debba vederlo protagonista e/o partecipe degli atti che compie.

La tutela della privacy del minore va poi contestualizzata nello spazio digitale, in relazione al quale la valutazione sui rischi e le vulnerabilità per il minore e gli spazi di una possibile tutela si arricchiscono. L’ambiente digitale è infatti spazio di affermazione delle capacità individuali ma anche luogo che per la sua pervasività e assenza di limiti  genera insidie e pericoli che coinvolgono anche lo sviluppo psichico-cognitivo del minore[7]. I pericoli della comunicazione in ambiente digitale derivano dal prolungato tempo di esposizione e utilizzo di strumenti digitali che veicolano dati personali, dai contenuti non controllati circolanti sul web a scapito di persone con una coscienza/ capacità di comprensione del reale non ancora completamente formate[8]. Questi aspetti si traducono nel rischio di danni esponenziali, allo sviluppo della personalità ma anche alla persona più in generale (si pensi solo esemplificativamente al recente fenomeno della Blue Whale), considerata la permanenza sul web e l’utilizzo degli strumenti informatici sin dalla nascita (cd. natività digitale).

I minori deliberatamente utilizzano i propri dati personali o si espongono al tracciamento o alla profilazione per effetto della diffusione dei servizi di geo-localizzazione o simili, divenendo poi oggetto di offerte di servizi specifici che possono incidere sulla loro formazione o portare a lesioni nella formazione della propria identità o reputazione. La condivisione dei dati, anche sensibili, è in grado di condizionare altri aspetti della personalità, che spesso ricevono specifica protezione (identità personale, riservatezza, immagine).

In questo quadro, una normativa sulla protezione dei dati può essere considerata funzionale anche ad evitare pericoli per la salute, l’integrità psichica e l’adeguata crescita del minore o che il minore divenga persona offesa in relazione a fattispecie di reato (addescamento e pedopornografia) o fattispecie altamente lesive per la sua crescita equilibrata (cyberbullismo).

Nello spazio digitale sorgono altre problematiche specifiche, come la sovraesposizione del minore che, nativo digitale, anche in ragione dell’esibizionismo dei genitori, si trova ad essere spesso online, anche prima di nascere, “sotto forma di ecografia”[9]. Si dà origine così ad una identità digitale che precede quella anagrafica e che non risponde alla proiezione del sé voluta dall’individuo una volta maturo[10]. Di frequente avviene che l’intimità della vita del figlio sia violata a causa della diffusione di informazioni da parte del genitore e/o che lo riguardano, ma che coinvolgono anche il figlio[11].  E una volta adulti potrebbe essere difficile cancellare le tracce dal web. Tali esemplificazioni dimostrano come l’ambiente virtuale non solo amplifichi le già anticipate problematiche del diritto all’oblio del minore ma, in punto di prassi, tenda ad abbassare la soglia di attenzione e controllo degli stessi titolari della responsabilità genitoriale, che consentono la diffusione e il trattamento dei dati personali contrari all’interesse del minore.

Ciò riporta al più generale problema della mancata ponderazione, anche da parte del maggiore di età, che le richieste di autorizzazioni privacy sono in grado di sollecitare e, quindi, se la sostituzione o intervento del genitore (recte titolare della responsabilità genitoriale) possano effettivamente tutelare il minore.

Infine, nello scenario tecnologico, la scelta sui requisiti di capacità dell’atto di autorizzazione al trattamento dei dati personali va valutata alla luce degli strumenti attraverso i quali si esprime il consenso e della possibilità di controllare chi sia ad esprimerlo.

Alla luce di quanto sommariamente su esposto, le scelte di policy recentemente compiute dal legislatore europeo in materia vanno valutate in base agli interessi da tutelare, ai mezzi previsti, al grado di attuabilità della previsione nella realtà tecnologica e quindi al loro significato in concreto in termini di protezione del minore.


La costellazione delle fonti in materia di Internet, minori e privacy.

Le principali carte internazionali in materia di protezione dei minori si occupano del rapporto tra minori e tecnologie dell’informazione contenuto avendo riguardo al contenuto delle informazioni divulgate dai mass media e prescrivendo che debbano essere utili alla loro salute e al loro benessere sociale, spirituale e morale[12]. Più raramente vi è il riferimento alla protezione dei dati dei minori, in via generale, mentre viene altrove ribadito il diritto alla riservatezza del minore, assente, però, nella Convenzione Europea di Strasburgo sull’esercizio dei diritti dei minori, ove compare il riferimento alla sfera comunicativa del minore come suo diritto all’ascolto[13].

Gli atti legislativi che si occupano della tutela dei minori, a livello europeo e nazionale, nonché numerosi strumenti di soft law intercettano e colpiscono fenomeni e rischi specifici, quali, a mero titolo esemplificativo, la pedopornografia infantile, la ludopatia, il cyberbullismo[14].

Si tratta di condotte che hanno una qualche ricaduta indiretta sulle attività di trattamento di dati, posto che la trasmissione o diffusione telematica di dati personali ne è alla base e che le finalità illecite rendono illecito il trattamento anche quando lo stesso sia stato autorizzato[15]

Appare poi consolidato a livello legislativo e deontologico (da parte dei giornalisti) il divieto di diffusione su larga scala da parte dei media di contenuti, sensibili o meno, riguardanti i minori[16] .

Su un versante più specifico mirante alla protezione dei dati dei minori, i rischi connessi alla diffusione dei dati personali sono stati oggetto di attenzione da parte dell’Unione europea nell’ambito del programma pluriennale per la protezione dei bambini che usano Intenet e altre tecnologie di comunicazione (Programma Safer Internet)[17] , il quale affronta problemi dell’Internet l’utilizzo da parte dei minori degli strumenti digitali e dell’accesso ad Internet.

 Altri strumenti di soft law come il Codice di autoregolamentazione Internet e minori 2003, sottoscritto tramite associazioni firmatarie, da imprese operanti su Internet[18], si occupano della tutela dei dati dei minori, mentre la Carta dei diritti dei minori in rete, 3 febbraio 2004, del Consiglio nazionale degli utenti presso Autorità per le garanzia delle comunicazioni, proclama (solo) il diritto alla riservatezza delle comunicazioni del minore, al nome, all’immagine e alla dignità ma non alla protezione dei dati personali[19].

In un tale scenario, un ruolo centrale assume oggi la regolamentazione contenuta nel recente Regolamento (UE) 2016/679 (anche noto come GDPR), che in più punti richiama l’attenzione sulla protezione dei minori rispetto ai dati personali, invertendo il silenzio dei precedenti testi normativi in materia[20].

Dal regolamento si ricava come tutela della privacy, con riguardo al minore, vada intesa come non solo come “minimizzazione dei dati” a lui relativi (art. 5, par. 1, c) reg. 679/2016), che è principio generale della materia, o come limite al legittimo interesse del titolare del trattamento (art. 6, par. 1, f)), ma come restrizione agli utilizzi per finalità di marketing o creazione di profili utente ma in generale ad ogni raccolta di dati relativi a minori (con. 38, reg. 679/2016), o, nell’ottica del “consenso informato”, come trasparenza delle informazioni (cons. 58). La protezione del minore dev’essere altresì oggetto di specifica attenzione da parte del titolare del trattamento in sede di adozione di misure di gestione del rischio (in ottemperanza al principio dell’accountability, cons. 75 reg. 679/2016) e delle autorità di controllo (art. 57).

Sembra emergere chiaramente come gli strumenti della prevista tutela vadano dal potenziamento degli strumenti dell’informazione, visti in funzione della formazione di un consenso consapevole, alla previsione di regole per i trattamenti, costruite come obiettivo imposto al titolare reso responsabile dell’adozione di specifiche regole tecniche che realizzino la protezione dei dati personali.


Il consenso al trattamento dei dati del minore d’età dalle ambiguità del d.lgs. 196/2003 all’art. 8 del Regolamento (UE) 2016/679 (cd. consenso privacy digitale): l’ambito di applicazione e il rapporto con il consenso contrattuale

Il nuovo regolamento sulla protezione dei dati personali (GDPR) disciplina il consenso al trattamento dei dati da parte del minore, rappresentando il primo atto a livello europeo che affronta questo aspetto. Tale approccio colma una lacuna della precedente normativa, europea e nazionale, e ha l’obiettivo di far fronte alle problematiche riscontrate nell’utilizzo del web da parte dei minori (minore come soggetto attivodell’informazione) secondo alcuni studi empirici[21]. Nel 2015, ad esempio, il gruppo delle 29 Autorità garanti europee, con lo studio Sweep _ Children’s Privacy ha raccolto i dati delle 29 Autorità Garanti condotta su 1494 siti web e apps rivolte a bambini. Lo studio rivela molti problemi come informative privacy non adeguate ai minori, eccessiva raccolta di dati dai minori, frequente rivelazione di dati di minori a terze parti[22]. Ciò anche in ragione del fatto che – aggiungiamo noi – Internet e le tecnologie digitali consentono modalità di navigazione/utilizzo anonimi. Pertanto è altamente probabile che il minore non venga indentificato e così non venga approntata una qualche modalità di tutela ex ante.

Sul piano della normativa interna previgente, il cd. codice privacy italiano (d. lgs. 196/2003), applicabile per intero fino al 24 maggio 2018, nulla dice in via generale circa i requisiti di capacità per la prestazione del consenso privacy e quindi sulla idoneità del minore a prestarlo[23].

Le uniche due norme che richiamano la capacità di agire di chi presta il consenso presenti nella normativa nazionale (art. 24 e art. 82 cod. privacy)[24] sono riferite a situazioni speciali, o secondo un’altra interpretazione, addirittura, eccezionali (quindi non applicabili analogicamente) e nel caso di trattamento necessario per la salvaguardia della vita o incolumità di un individuo (art. 24), il richiamo alla capacità di agire può essere considerato inutile o in contrasto con i principi dell’ordinamento poiché relativo a ipotesi in cui risultano in gioco beni supremi dell’ordinamento in cui il consenso non dovrebbe essere neppure necessario[25].  

In assenza di una norma generale espressa, nell’ordinamento italiano si era fatta strada la tesi che il minore potesse autorizzare il trattamento dei dati, salvo l’accertamento della sua capacità naturale[26]. A tale tesi si sono contrapposte letture volte a richiedere l’accertamento più o meno stringente della capacità di agire in capo all’interessato al trattamento[27].

La nuova normativa europea prevede, invece, nel solo caso di utilizzo di sistemi digitali, che il minore di anni 16 debba essere assistito o sostituito nella prestazione del consenso al trattamento dei dati personali da parte dell’esercente la responsabilità genitoriale. L’ambito di applicazione materiale della norma, limitato ai servizi della società dell’informazione, a ben vedere non induce necessariamente ad un diverso inquadramento del consenso privacy sul piano generale. Si impone, tuttavia, un’esegesi della disposizione volta a verificare anche i margini della sua applicazione negli ordinamenti nazionali, in considerazione della discrezionalità concessa agli Stati Membri.

L’art. 8 del Reg. 2016/679  (Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione) più specificamente prevede:

Qualora si applichi l’art. 6, paragrafo 1, lettera a) (“quando l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento dei dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore a 13 anni.

Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, formazione o l’efficacia di un contratto rispetto a un minore[28].

La norma può essere vista in parallelo con lo statunitense Children’s Online Privacy Protection Act 1998 (COPPA), in vigore dal 2000, un testo legislativo dedicato, il quale però prevede una regolamentazione molto più articolata: l’età del consenso digitale fissata a 13 anni, una lunga lista di metodi di verifica dell’identità del genitore, la rappresentanza dei genitori nella prestazione del consenso, l’obbligo del “titolare” di adottare misure di sicurezza e il divieto di sollecitare dati non necessari al trattamento[29].

La norma europea, invece, fissa l’età del consenso digitale ai 16 anni, con possibilità per gli Stati Membri di abbassarla fino a 13, prevedendo per i minori di età inferiore alla soglia prescelta che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale. Come detto, anche al fine di una riflessione interna agli Stati Membri in ordine alle scelte in materia, appare opportuna una valutazione del contenuto della disposizione.

L’ambito di applicazione della norma europea è limitato all’“offerta diretta di servizi della società dell’informazione”, ai sensi della direttiva (UE) 2015/1535, art. 1, richiamato da art. 4 Regolamento:servizi prestati normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario dei servizi, tra cui, primariamente, rientrano i social network e piattaforme di condivisione come You tube[30]. Il contratto online relativo a beni o servizi da consegnarsi o prestarsi fisicamente, coerentemente a quanto previsto dalla giurisprudenza della Corte di Giustizia, può essere considerato servizio della società dell’informazione[31].

La norma può essere interpretata, inoltre, nel senso di riguardare tutti i servizi utilizzabili da minori, anche se ciò viene scoperto in seguito in base all’utilizzo di feedback (principio della conoscenza effettiva)[32]. Anche in questo caso il servizio può ritenersi diretto ai minori.

La medesima disciplina non è invece direttamente applicabile alle manifestazioni di consenso privacy espresse con altri mezzi, lasciando impregiudicata la qualificazione giuridica dell’istituto del consenso al trattamento dei dati personali.

La norma (art. 8 ult. co.) conferma, inoltre, la netta scissione tra i limiti e le condizioni del consenso privacy rispetto al consenso contrattuale (o negoziale). L’oggetto della norma è limitato alle condizioni di liceità del consenso al fine del trattamento dei dati. Non incide, invece, sulla eventuale validità del contratto[33] dei servizi della società dell’informazione cui si accompagna il trattamento dei dati personali, per la quale bisognerà verificare non necessariamente la capacità di agire del minore ma il suo margine di autonomia e se si tratta di contratto che il minore può concludere autonomamente in base al diritto dello Stato Membro[34]. In punto di disciplina, inoltre, vengono introdotti meccanismi autorizzatori per i consensi “sotto – soglia” (per i minori di età inferiore ai 16 anni o diversa soglia prevista dallo Stato Membro) che sono sconosciuti alla sfera dell’agire del minore in ambito patrimoniale, quanto meno nel diritto italiano[35].

La scissione tra consenso contrattuale e consenso privacy pone diverse questioni.

  1. a) In astratto, il minore (es. dodicenne) potrebbe validamente stipulare un contratto (es. di vita quotidiana, acquisto di un video-gioco o di un app) ed essere “sotto-soglia” per la prestazione del consenso al trattamento dei dati (per cui soltanto sarebbe richiesto l’intervento del genitoread adiuvandum o in sostituzione).
  2. b) Per altro verso, il minore potrebbe autonomamente fornire il consensoprivacysenza poter validamente stipulare un contratto (in casi opposti al primo (es. nel biennio 16 – 18 anni).

Potrebbe, quindi, darsi una valida prestazione del consenso ai fini della liceità del trattamento ma l’annullabilità del contratto (per il minore) (sub b)), ovvero un contratto valido perché conforme alle normali esigenze di sviluppo della personalità (per l’infrasedicenne) ma non lecito il trattamento dei dati (sub a)).

Questa possibilità, peraltro, varia secondo che il trattamento sia necessario o meno alle prestazioni dedotte nel contratto, divenendo nel primo caso superflua la prestazione di un consenso espresso al trattamento dei dati (art. 6, lett. b))[36].

Nel caso di trattamenti necessari per l’esecuzione del contratto, la mancanza di esclusioni espresse nonché la limitazione dei requisiti di capacità del consenso al trattamento alle ipotesi previste ex art. 6, lett. a) Reg. 2016/679 (cioè al consenso espresso) esclude l’applicazione dell’art. 8 in caso in cui il trattamento sia lecito ai sensi della lettera b), cioè quando il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Di talchè, si può argomentare che la valida stipula di un contratto comporti la liceità dei trattamenti necessari (sub a)), mentre l’invalidità del contratto travolge evidentemente la necessità del trattamento dei dati. Pertanto non appare necessario il consenso dei genitori al trattamento dei dati che sia strettamente necessario all’esecuzione derivanti da un contratto che il minore può concludere autonomamente. Anche per gli atti di consenso al trattamento diffusi nella pratica sociale e di limitato contenuto di pericolosità si può argomentare che rientrino negli atti minuti della vita quotidiana (rilascio del numero di telefono; autorizzazione alla pubblicazione sul profilo di un amico).

Nel caso in cui il trattamento non sia necessario all’esecuzione della prestazione, l’autonoma rilevanza dei due consensi riemerge. Come detto l’inciso di cui alla prima parte del paragrafo 1, limita il consenso proprio alle ipotesi in cui il trattamento non sia strettamente necessario all’esecuzione della prestazione oggetto del contratto, senza i quali cioè il servizio non sarebbe erogato (art. 8 lett. b)). In tali casi, semplicemente, la mera validità di un contratto non comporta la liceità dei trattamenti non necessari (ad es. per la profilazione, spesso “spinta” come avviene nei più comuni social network), laddove non vi sia un consenso privacy regolarmente espresso. Di contro, in virtù del collegamento negoziale, potrebbe argomentarsi che l’invalidità del contratto cui accede il trattamento dei dati non necessario (e pur legittimamente espresso) potrebbe far cadere anche quest’ultimo.

Si tratta di questioni che, essendo connesse all’emersione dell’invalidità del consenso contrattuale del minore (che nella giurisprudenza è scarna se non inesistente) potrebbero del pari non generare controversie. Ma il problema, in sede di introduzione della nuova disciplina, va posto, non escludendosi che una diversa rilevanza della problematica potrebbe emergere di fronte nei casi di profilazione molto pervasiva.


Consenso privacy versus capacità negoziale: i requisiti dell’atto di prestazione del consenso privacy dentro e fuori lo spazio digitale.

Come si è anticipato, altra questione che può porsi con riferimento alla previsione sopra citata riguarda la sua incidenza sulla qualificazione giuridica del consenso privacy e la capacità richiesta in generale per l’atto che manifesta il consenso al trattamento dei dati. Può sostenersi in proposito che la norma non assuma rilievo in via generale, in ragione dell’ambito di applicazione limitato all’”offerta diretta di servizi della società dell’informazione”, rimanendo la questione qualificatoria risolvibile in base alle categorie generali, alla stregua di quanto elaborato in dottrina in relazione alla disciplina anteriore al Regolamento 2016/679.

Sul piano generale, sotto il vigore delle previgenti normative,  in assenza di dati legislativi la qualificazione dell’atto di consenso in generale è stata variamente operata in dottrina[37].

Si è ritenuto che per una valida prestazione del consenso privacy sarebbe sufficiente la sola capacità di intendere e di volere[38] e che pertanto non sia prescritta nessuna soglia di età ma un accertamento in concreto della capacità naturale.

Peraltro, è opinione consolidata che gli atti nei quali si estrinsecano le libertà fondamentali della persona siano esclusi dalla regola dell’incapacità negoziale, salva solo l’interferenza del genitore o del tutore giustificata dalla funzione di educazione e cura[39].

Più specificamente, si è avanzata l’idea di riconoscere, in vari ambiti, un’autonoma prestazione del consenso al minore capace di discernimento, intesa quest’ultima non solo come concetto sotteso (quale presupposto di efficacia delle norme che lo prevedono) al diritto all’ascolto del dodicenne o all’accertamento concreto di tale capacità per l’infra-dodicenne, o al consenso del quattordicenne all’adozione, ma anche come categoria che travalicherebbe i confini dell’ascolto del minore, e sottesa a tutte le ipotesi in cui il minore è legittimato allo svolgimento di atti di talché la fissazione di soglie di età è vista come presunzione legale di capacità di discernimento[40].

I “labili confini” della capacità di discernimento e le diverse ipotesi in cui esso è previsto meriterebbero una più attenta riflessione a livello di ricostruzione sistematica anche in termini di differenziazione rispetto alla “mera” capacità di intendere e volere. Appare, pertanto, non chiara la  individuazione del caso simile a quello non normato o la definizione del principio generale, che non è possibile condurre in questa sede, a voler tacere dell’altro rischio connesso al margine di discrezionalità in capo al giudicante.

Può apparire, maggiormente condivisibile invece, per ragioni sistematiche e di certezza, la tesi che sostiene l’applicazione analogica della normativa speciale sul diritto d’autore e segnatamente dell’art. 108 della l. 633/1941 che “l’autore che abbia compiuto 16 anni di età ha la capacità di compiere tutti gli atti giuridici relativi alle opere da lui create e di esercitare le azioni che ne derivano”[41]. Il minore ultra sedicenne può, nel caso delle opere dell’ingegno, prestare autonomamente il consenso, sia nel caso in cui lo stesso abbia natura patrimoniale sia non patrimoniale. Per i minori di 16 anni, i genitori prestano il consenso nell’esercizio del loro potere di rappresentanza, seppure con l’obbligo di ascolto del figlio[42].

Rispetto a quest’ultima interpretazione, la norma “dispositiva” (nel senso di far salva la diversa previsione del legislatore nazionale) di cui all’art. 8 del Reg. (UE) 2016/679, con la previsione della soglia degli anni 16, appare coerente e, a questi fini, il legislatore nazionale potrebbe considerare l’opportunità di non modificarla. Inoltre, la specificazione che per gli  infra-sedicenni il trattamento possa essere anche solo autorizzato dai genitori risponde al diffuso bisogno di riconoscere ai grandi minori una sempre maggiore autonomia.


Possibile interpretazione dell’art. 8 e tutela del minore.

Si passi ora a guardare nel dettaglio il contenuto della disposizione, al fine di verificarne la funzionalità rispetto alla ratio di protezione del minore contro i rischi sui propri dati personali.

  1. (L’autorizzazione). Una delle maggiori novità, anche sul piano sistematico, è la previsione, in relazione al consenso del minore infra-sedicenne (o di età inferiore alla più bassa soglia prevista dal legislatore nazionale), della possibilità non solo che il genitore (recteil titolare della responsabilità genitoriale) possa rappresentare legalmente il figlio (che è la regola normalmente prevista per l’agire dell’incapace dall’ordinamento italiano e da altri ordinamenti anche con riguardo al consenso al trattamento dei dati) ma che il genitore possa autorizzare il trattamento dei dati personali[43].

In verità, questa possibilità di controllo preventivo mediante autorizzazione e non solo sostituzione (che è la regola della rappresentanza legale) era stata già ritenuta ammissibile nel nostro ordinamento, con riguardo in generale all’agire dell’incapace, in base ad una interpretazione funzionale della norma sulla rappresentanza legale del minore [44], che richiede che l’atto ricada nella sfera di controllo del genitore o del tutore, e che pertanto può far ritenere questa esigenza soddisfatta anche quando il rappresentante legale autorizzi previamente l’atto. Un tale sistema è in grado di valorizzare la funzione educativa del genitore nella costruzione della personalità del soggetto, senza mortificare la libertà decisionale del minore in un regime intermedio tra rappresentanza e autonomia[45]. L’espressa previsione, pur speciale con riguardo al consenso privacy digitale, può rappresentare una scelta opportuna, anche considerando il fatto che si verte in tema di libertà fondamentali, necessitanti l’esercizio da parte del titolare.

  1. (La soglia dei 16 anni).Nodo cruciale della norma è rappresentato dalla previsione di un’età per la liceità del consenso, di cui può discutersi se sia da considerarsi adeguata per le finalità di tutela del minore[46].

La storia dell’art. 8 del GDPR rivela l’assenza di una riflessione dedicata sui requisiti richiesti. Viene introdotta nel 2012 poco prima della pubblicazione della proposta, prevedendo un limite di 13 anni e il Gruppo di Lavoro dell’art. 29 suggerì che l’ambito di applicazione fosse esteso al di fuori dei servizi della società dell’informazione. Non seguì alcuna discussione in senso al Parlamento europeo e il Consiglio ha deviato innalzando la soglia a 16 anni e adottando l’approccio flessibile, che conferisce agli Stati Membri la possibilità di prevedere soglie più basse fino a 13 anni[47]. Peraltro, nessuna indicazione correttiva o di specificazione è prevista nella proposta di regolamento E-privacy[48].

Il risultato è quindi una riproduzione, sul punto, della legge federale statunitense – il già citato COPPA, Children’s Online Privacy Protection Act – , che subordina il trattamento dei dati personali di minori di età, lì inferiore ai 13 anni, al consenso documentabile dei genitori, modificato nell’ordinamento europeo con il limite di 16 anni, adattato da un approccio flessibile, che lascia spazio ad una normativa potenzialmente disarmonica negli Stati Membri[49].

Come anticipato, un’ottica di effettività di tutela richiede di verificare se, posta la dubbia utilità del consenso privacy digitale in via generale, la particolare previsione dell’intervento in sostituzione o come autorizzazione del genitore sulla navigazione del minore possa effettivamente meglio garantire una maggiore ponderazione nell’autorizzare i trattamenti dei dati.

Ferme restando le criticità evidenziate nei comportamenti che la dimensione virtuale può indurre negli stessi genitori[50], l’opzione del legislatore europeo può apparire condivisibile, come pure la soglia d’età prescelta, non solo per ragioni di coerenza sistematica (come visto nell’ordinamento nazionale rispetto alla disciplina di altri diritti della personalità), ma altresì giustificandosi in ragione dello sviluppo emotivo del minore[51]. Difatti, le scelte in materia di trattamento dati, in relazione alle diverse finalità, richiedono a ben vedere un adeguato sviluppo intellettivo ed emotivo. Non solo, nonostante la comune percezione e la velocità e spesso la superficialità con cui si acconsente al trattamento, tali scelte hanno un impatto di lungo periodo o espongono a pericoli che richiedono una decisione ponderata e una scelta responsabile (si pensi all’esempio delle conseguenze della profilazione o della condivisione volontaria delle informazioni personali), ma la condivisione dei dati richiede un adeguato sviluppo, anche per evitare che quelle scelte possano portare a conseguenze nella sfera emotiva che il minore non sia in grado gestire. Inoltre, come detto, gli strumenti per la protezione dei dati possono essere considerati un primo livello di tutela indiretta rispetto a condotte illecite aventi ad oggetto dati personali (es. cyberbullismo).

Ciò evidenziato, il problema che si pone è, piuttosto, legato al funzionamento delle tecnologie utilizzate, soprattutto con riguardo alla creazione di profili, e al se l’identificazione di un utente minore impedisca successive modifiche autonome alle impostazioni e comporti una minore condivisione di dati da parte del prestatore (ad es., in termini di pubblicità comportamentale)[52], ovvero altre misure di protezione, come la navigazione protetta attivata dal controllo parentale. Mancando tali limitazioni (che allo stato tuttavia non sono state pienamente poste in essere in via spontanea nell’ambito ad esempio dei social network, società di diritto straniero), si rischia che l’iniziale controllo da parte del titolare della responsabilità genitoriale venga posto nel nulla.

  1. (I metodi di verifica di prestazione del consenso). L’astratta bontà della previsione che prevede l’intervento del titolare della responsabilità genitoriale nella prestazione del consensoprivacynon dice, tuttavia, se esso sia effettivamente realizzabile (e non invece facilmente aggirabile) non solo in caso di creazione di identità digitali ma anche al momento della richiesta autorizzazione/sostituzione né se esso possa incidere effettivamente sulla quantità / qualità dei trattamenti eseguiti, che è la specifica finalità di tutela sui dati dei minori.   

 Sotto il primo profilo, il regolamento, che richiede solo implicitamente la verifica dell’età del minore, affronta, in via approssimativa però, il problema della identificazione del titolare della responsabilità genitoriale, rimettendo al titolare del trattamento e alla sua responsabilità il compito di individuare i criteri più idonei con i mezzi ragionevoli in considerazione delle tecnologie disponibili[53].

La questione avrebbe potuto essere disciplinata in via più specifica e meno affrettata, in considerazione del fatto che il problema dell’anonimato sul web e nei programmi informatici o e quindi dell’utilizzo anonimo o pseudo-anonimo di questi da parte del minore rappresenta il principale (vero) rischio da affrontare prima di valutare ogni disciplina relativa all’accesso del minore all’internet.

In una prospettiva di comparazione, il problema è stato diversamente disciplinato dalla normativa statunitense che suggerisce una serie di meccanismi di verifica: l’utilizzo di una carta di credito che preveda per ogni singola operazione una notifica al suo titolare; la connessione del genitore con il personale dell’app/programma/piattaforma tramite video conferenza; la verifica della identità del genitore con tramite documento di identità e altri[54].

Tali metodi saranno evidentemente recepiti anche in ambito europeo per l’operare nel mercato digitale dei players statunitensi, ma può sostenersi che il legislatore abbia perso l’occasione di indicare i criteri cui ispirarsi nei diversi canali di comunicazione in base al rischio per il minore (es. possibili tipologie di controllo differenziato nell’acquisto di beni o servizi distinti per tipologia, nella creazione di profili che comportano una permanenza e la creazione di identità digitali, l’accesso a piattaforme di giochi, anche d’azzardo).

In quest’ottica potrebbe oggi pensarsi, sempre con riguardo alle ipotesi che espongano a maggiori rischi per il minore, anche all’utilizzo di sistemi biometrici di identificazione del genitore (tramite impronte digitali, firma, riconoscimento facciale o iride). Si tratta di una prospettiva non presa in considerazione (o esclusa) nei documenti e linee guida in materia che invece rimandano la possibilità di controlli più incisivi nel caso di dubbi, ma che invece su larga scala è idonea a meglio garantire l’applicazione della norma, laddove se ne valorizzi l’importanza e non la si renda recessiva rispetto al principio di minimizzazione dei dati[55].

Come detto, i metodi di verifica che  in ogni caso verranno a determinarsi per effetto della presenza di players statunitensi e in base alle tecnologie disponibili, e a meccanismi concorrenziali potrebbero essere sostanzialmente conformati sulla normativa statunitense.  Per cui la mancata previsione specifica in sede di prescrizione legislativa potrebbe essere in certo modo recuperata dai meccanismi di concorrenza economica indirizzata dalla soft law (codici di condotta o linee guida delle autorità).

  1. (Il consenso di uno o di entrambi i genitori?). Altra problematica che la norma in verità non chiarisce riguarda l’intervento del titolare o dei titolari della responsabilità genitoriale. La disposizione utilizza il singolare (il titolare), potendo lasciar intendere la sufficienza del consenso o autorizzazione anche di un solo genitore.

Da un punto di vista sistematico, tuttavia, si pone il problema della coerenza con altre ipotesi di esercizio delle libertà fondamentali, come in caso di pubblicazioni di immagini di minori, anche alla luce di recente giurisprudenza che richiede la manifestazione di volontà di entrambi i genitori[56].


I problemi posti dal trattamento dei dati personali di minori in ambiente virtuale. La risposta giuridica e quella tecnologica: rapporto tra diritto e tecno-regolazione.

Come accennato in fine al paragrafo che precede, la possibile interazione tra dettato normativo e meccanismi normativi extra-giuridici, i quali rispetto all’induzione verso determinati comportamenti o scelte sono qualificabili come spinta gentile, può suggerire una riflessione conclusiva sulle problematiche emerse in tema di consenso al trattamento dei dati dei minori e sulle loro soluzioni possibili.

Sono state lumeggiate le considerazioni critiche circa l’adeguatezza del consenso in generale e di quello genitoriale, in particolare, quale strumento di possibile tutela dei dati personali direttamente da parte dell’interessato o del titolare la responsabilità genitoriale[57]. Sull’illusorietà del consenso quale vuoto formalismo, si rammenta come rimettere la scelta del trattamento dei dati nelle mani dell’individuo significhi far ritenere che il rischio sia assunto consapevolmente dall’interessato, in virtù del consenso informato prestato dallo stesso. Le evidenze offerte dagli studi empirici dimostrano, tuttavia, che vi è una endemica impossibilità concreta, anche da parte anche dei maggiorenni, di essere consapevoli delle scelte fatte online di coglierne le conseguenze pratiche, ciò unita anche ai fattori reputazionali dei fornitori del servizio (es. Google). In tal modo, il consenso informato diventa un’agevole soluzione per i Provider di sfruttare dati personali in maniera ampia, anche per scopi molto distanti rispetto a quelli iniziali di raccolta dei dati sottoponendo richieste di consenso per finalità ulteriori. Queste considerazioni richiamano l’interprete alla necessità di non sovrastimare l’impatto in termini di tutela del “consenso privacy parentale”[58], anche alla luce degli ostacoli operativi.

Fatta questa preliminare considerazione, nell’ottica di un’interpretazione della normativa esistente di tutela del minore, due problemi fondamentali sono emersi dallo scenario tecnologico e normativo: la possibilità di aggirare con la creazione di profili falsi il limite di età da parte dei minori, abili nativi digitali; la difficoltà, per i responsabili del trattamento ma anche dei titolari della responsabilità genitoriale, di controllare e limitare i contenuti della navigazione o l’utilizzo di software da parte dei minori, tra l’altro sotto questo profilo emergendo questioni di riservatezza dei figli rispetto ai genitori.

Rispetto a queste problematiche, nell’ambiente digitale è illusorio pensare che la risposta possa essere soltanto giuridica e quindi risolvibile esclusivamente dalla nuova disposizione che si è commentata, ma, come si è visto, non può che passare per lo sviluppo e le soluzioni offerte dalla tecnologia[59].

Con riguardo a queste ultime, si è segnalato che, a fronte del problema dell’anonimia o pseudoanonimia della navigazione, meccanismi di autenticazione sempre più attendibili possono essere sviluppati in ambito tecnologico fino all’utilizzo di sistemi biometrici, già commercializzati (impronte digitali, riconoscimento facciale o iride). Il problema che si pone nel caso di autenticazione biometrica è rappresentato dalla ulteriore immissione di dati, anche dei minori stessi e della tutela[60]. Si potrebbe dire di assistere al paradosso che per proteggere il minore dal trattamento dei suoi dati (unitamente ad altri pericoli) si è costretti ad immettere più dati personali, dei genitori. Ma, come detto, se si considera la ratio di tutela della protezione dei minori e si intende darvi concreta/possibile attuazione, l’applicazione del principio di minimizzazione dei dati potrebbe essere diversamente bilanciato rispetto alla protezione del minore.

Il nodo cruciale, dopo la corretta identificazione del minore nell’accesso a beni o servizi, è rappresentato, per quei servizi che comportano una durata nell’utilizzo, dallo sviluppo di tecnologie di navigazione/impiego protetti sempre più intelligenti.

Per entrambe le problematiche evidenziate, parrebbe allora che la soluzione risieda nelle leggi dell’informatica o della tecnologia. Lo sviluppo tecnologico, però, può essere visto non solo come una corrente – a-direzionale, ma come un flusso che deve essere guidato da strumenti normativi.

Lo si è visto nell’applicazione del principio della privacy by design[61], che nel caso del consenso privacy digitale, è il criterio per definire le modalità di prestazione e di controllo del consenso medesimo. Nello spazio giuridico europeo, tale principio può essere specificato in strumenti di soft law per meglio orientare i titolari di trattamento, state il principio dell’accountability a loro carico. Esso rappresenta l’alternativa europea alla specificazione da parte dell’hard law delle tecnologie adottabili, com’è nell’esperienza statunitense in tema di verifica del consenso digitale[62]

In questo senso, come si è visto, appare in ogni caso indispensabile che lo sviluppo tecnologico sia indirizzato in maniera consapevole, quanto meno dalle autorità di settore. Nel rapporto tra diritto e tecno-regolazione, una prospettiva di integrazione appare opportuna e inevitabile e può vivere dell’apporto delle fonti non direttamente vincolanti[63].

L’integrazione tra diritto e tecnologia emerge anche con riguardo alla normazione delle attività di trattamento, per le quali, a tutela dei minori, il diritto prescrive una limitazione di quelle possibili. Limitazione che, inevitabilmente, va programmata e garantita con tecnologie adeguate.  

In questo senso, le cautele per la profilazione ai fini di marketing e per altre finalità delle attività riconducibili a minori, come indicato dal considerando 38: i minori meritano una specifica protezione con riguardo ai loro dati personali. … Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi a minori.

Anche tale profilo rappresenta uno strumento di valutazione delle misure organizzative di tutela privacy di competenza e responsabilità del titolare (art. 24 Reg.), che andrebbero lette secondo una interpretazione rigorosa e tutelante l’interesse del minore.

Accanto a questi strumenti, possono, infine, aggiungersene di eminente “giuridici” come la possibile evoluzione delle regole di responsabilità dei gestori dei contenuti sul web (insieme a motori di ricerca, social network, tutti riconducibili alla figura degli ISP, Internet Service Provider), non solo per violazione della normativa dei dati personali, che potrebbero interessare le condotte a danno dei minori. Vi è, infatti, un sempre più ampio orientamento che mira a superare l’esclusione di responsabilità da illecito, attualmente prevista, quando i Provider svolgano un ruolo attivo, come avviene per le attività di indicizzazione e organizzazione di contenuti digitali diffusi online per conseguire utili d’impresa, filtraggio contenuti per categorie tematiche, sfruttamento commerciale mediante raccolta pubblicitaria, ottimizzazione della presentazione dei contenuti, promozione di offerte e contenuti digitali[64].

La funzione di deterrenza che potrebbe essere così sviluppata rappresenta un portato esclusivamente giuridico che non può essere considerato ininfluente, anche nel segno di un rinnovato ruolo incisivo delle scelte politiche sullo sviluppo economico e sociale.

Nel libro The Offensive Internet, Saul Levmore e Martha Nussbaum, per spiegare l’Internet, utilizzano la metafora del villaggio e di esso presentano i principali pericoli per gli abitanti: ad esempio, alla loro reputazione e riservatezza, attraverso l’utilizzo della parola[65].

Ma Internet, come ogni villaggio, anche se con le proprie peculiarità, può essere disciplinato e limitato da regole, che disciplinano il comportamento dei suoi abitanti e prevedono sanzioni per chi le viola.

Il diritto è chiamato oggi ad operare rispetto ad uno spazio immateriale con cui si rapportano individui in carne ed ossa, ma non si tratta di un’operazione impossibile. Come ha sempre fatto rispetto alla vita delle comunità, può avere gli strumenti per regolare anche il nuovo villaggio globale.


NOTE

* Il testo, ampliato e integrato con le note di commento, riprende la relazione svolta al Convegno intitolato «Il diritto di famiglia nell’era digitale», tenutosi a Napoli in data 24 ottobre 2017 ed organizzato dall’Università degli Studi “Suor Orsola Benincasa”, Facoltà di Giurisprudenza, in collaborazione con EFL (European Association for Family and Succession Law).

[1] Su privacy e riservatezza, cfr. C. M. Bianca, Diritto civile, I, La norma giuridicaI soggetti, 2002, p. 180. La distinzione è legislativamente espressa, chiaramente, anche dall’art. 2 d. lgs. 196/2003 (cd. cod. privacy).  

[2]  Per l’orientamento che ha dubitato dell’autonoma configurabilità del diritto alla protezione dei dati come diritto soggettivo, P. M. Vecchi, sub art. 2, in La protezione dei dati personali Commentario al D. Lgs. 30 giugno 2003, n. 196 a cura di C. M. Bianca e  F. D. Busnell, Padova, 2007, p. 20 ss.

[3] Sul punto, ci sia consentito rinviare al nostro Il consenso al trattamento dei dati personali tra Nuovo Regolamento Europeo e analisi comportamentale, in corso di pubblicazione.

[4]   La specificazione del contenuto del diritto in virtù del soggetto titolare è evidente anche ove si intenda la privacy come riservatezza in senso stretto. In questo caso, l’esigenza di tutela della vita privata del minore si fa particolarmente incisiva nei confronti dei genitori. Ma non si dimentichi neppure l’inverso rapporto tra la tutela della riservatezza della madre e diritto all’informazione del figlio nell’adozione: l’accesso alle informazioni dell’adottato (art. 28 l. 184/1983) viene bilanciato con il diritto della madre che abbia dichiarato di non voler essere nominata e che può essere ascritto alla tutela della sua riservatezza. Una panoramica generale, anche se anteriore alla novella sulla filiazione, è in V. Corriero, Privacy del minore e potestà dei genitori, in Rass. dir. civ., 2004, p. 998 ss.

[5] In proposito, si veda cons. 65 Reg. (UE) 2016/679.

[6] L. Gatt, R. Montanari e I. A. Caggiano, Consenso al trattamento dei dati personali e analisi giuridico-comportamentale. Spunti di riflessione sull’effettività della tutela dei dati personali, in Politica del diritto, 2017, p. 339 ss.

[7] Rientrano in queste ipotesi le più generiche comunicazioni con altri utenti: comunicazioni online con soggetti sconosciuti; esposizione a contenuti generati da altri utenti e promuoventi l’anoressia, l’autolesionismo, l’utilizzo di droghe, il suicidio; incontri dal vivo con persone conosciute online per la prima volta; il cyberbullismo; immagini di lesioni ad altri bambini, scambio di immagini a sfondo sessuale. In proposito può vedersi, lo studio iniziale della Commissione Europea nell’ambito della strategia Better Internet for Children, COM (2012) 196  (final).

[8] In via generale rispetto all’utilizzo delle tecnologie digitali, sono stati previsti specifici interventi legislativi, come la protezione in materia di pubblicità ingannevole, o la garanzia di anonimato rispetto al diritto di cronaca. Vedi infra note 14 – 16, nonché, per pratiche commerciali scorrette, art. 21, co. 4, cod. cons.

[9] Indagine AVG, multinazionale della sicurezza informatica, sui bambini di età inferiore ai due anni. La medesima indagine rivela che il 68% è già iscritto a social network e il 7% ha già una mailbox. P. Lorusso, L’insicurezza dell’era digitale. Tra cybercrimes e nuove frontiere dell'investigazione, Milano, 2011, p. 59.

[10] Sull’identità digitale, in generale, G. Alpa, L’identità digitale e la tutela della persona. Spunti di riflessione, in Contratto impr., 2017, p. 723 ss. e P. Serrao d’Aquino, Digito ergo sum: la tutela giuridica della persona dagli algoritmi, in <www.questionegiustizia.it>.

[11] Garante Privacy,  n. 75 del 23 febbraio 2017 (registro dei provvedimenti), in materia di violazione del diritto alla riservatezza della figlia minore in ragione dell'avvenuta pubblicazione (cd. post) da parte della madre della stessa, all'interno del proprio profilo Facebook, di due sentenze emesse dal Tribunale di Tivoli (relative alla cessazione degli effetti civili del matrimonio), nelle quali sono trattati aspetti riguardanti l'intimità della vita familiare concernenti, in particolare, la figlia, identificabile dal tenore del provvedimento. Il Garante sostiene la tesi della violazione degli artt. 50 e 52, co 5, cod. privacy, in ragione della natura potenzialmente “aperta” del profilo Facebook (la natura chiusa del profilo e la sua accessibilità a un numero ristretto di “amici” non è sostenibile per il Garante, in ragione del fatto che esso è agevolmente modificabile, da “chiuso” ad “aperto” in ogni momento da parte del titolare, nonché della possibilità per qualunque “amico” ammesso al profilo stesso di condividere sulla propria pagina il post rendendolo, conseguentemente, visibile ad altri utenti (potenzialmente tutti gli utenti di Facebook). La definizione dei social come luoghi aperti al pubblico è in Cass., 12 settembre 2014, n. 37596, disponibile sulla banca dati Lex24. La problematica è molto ampia ed è stata nuovamente affrontata anche dalla giurisprudenza di merito (Trib. Roma, 23 dicembre 2017 – giudice dott.ssa M. Velletti) che ha condannato la madre di un ragazzo sedicenne, già decaduta dalla responsabilità genitoriale, a rimuovere le foto pubblicate sul social network Facebook e a pagare al tutore e al marito la somma di diecimila euro in caso di inosservanza (art. 614 bis c.p.c.). Il provvedimento, che dà rilievo al diritto all’autodeterminazione dei grandi minori oltre che ad una valutazione dei danni provocati dalla condotta del genitore, è conforme ad un indirizzo già espresso dalla giurisprudenza di merito, la quale sulla base della funzione educativa dei genitori e dei diritti dei figli alla propria immagine e dati personali, sanziona le condotte che danneggino i diritti dei minori (Trib. Mantova, 19 settembre2017; Tribunale Brescia, 2 settembre 2017, n. 2610; Tribunale Livorno, 30 gennaio 2013, n. 94 tutte disponibili nella banca dati Lex24).

[12] Si occupano della tutela del minore, con attenzione alle informazioni divulgate dai mass media, Convenzione ONU su diritti dell’infanzia e dell’adolescenza, del 20 novembre 1989, ratificata dall’Italia con legge n. 176 del 27 maggio 1991, la quale riceve attuazione in Italia anche tramite l’operato del Garante dell’infanzia. Si veda, in particolare,  l’art. 17 relativo alle informazioni divulgate dai mass media utili alla salute e al loro benessere sociale, delle quali si prescrive la finalizzazione al benessere spirituale e morale del minore.

[13]  La convenzione ONU, art. 16, riconosce il diritto dei bambini ad avere una vita privata e a non ricevere intromissioni in casa e fuori casa. La convenzione di Strasburgo è stata dottata dal Consiglio d'Europa il 25 gennaio 1996, ed è entrata in vigore il 1° luglio 2000. È stata firmata dall'Italia al momento dell'adozione e ratificata con legge n. 77 del 20 marzo 2003.

[14] Convenzione del Consiglio d’Europa sulla criminalità informatica, adottata a Budapest il 23. 211. 2001 (art. 9 prevede l’obbligo per gli stati di sanzionare la pornografia infantile); Raccomandazione della Commissione del 14 luglio 2014 sui principi per la tutela dei consumatori e degli utenti dei servizi di gioco d'azzardo online e per la prevenzione dell'accesso dei minori ai giochi d'azzardo online. Da ultimo, in ambito nazionale, può vedersi la l. 29 maggio 2017, n. 71 Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo.

[15] Es. art. 1, co. 2, l. 71/2017 «Ai fini della presente legge, per cyberbullismo si intende qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo».

[16] In questo quadro si collocano la previsione di cui all’art. 13 d.P.R. 448/98  che vieta la pubblicazione e la divulgazione, con qualsiasi mezzo, di notizie o immagini idonee a consentire l’identificazione del minorenne comunque coinvolto nel procedimento penale (previsione estesa dall’art. 50 del  d. lgs. 196/2003 anche a procedimenti giudiziari diversi da quelli penali) e quanto previsto dalla cd. Carta Treviso, documento e codice deontologico dei giornalisti, aggiornato con norme a tutela dei minori e della loro privacy.

[17] Commissione europea, Valutazione finale del programma pluriennale dell’UE per la protezione dei bambini che usano internet e altre tecnologie di comunicazione (programma Safer Internet) COM (2016) – 364 final; Commissione europea, Strategia europea per un Internet migliore per i ragazzi (Strategia BIC), COM (212) 196 final.

[18] Il codice prevede all’art. 3.5 (Profilazione e trattamenti occulti) che «Nel rispetto del Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), l’Aderente non esegue alcuna profilazione dell’Utente minore né alcun trattamento dei suoi dati personali senza la previa autorizzazione espressa, a seguito di informativa chiara e trasparente sulla tipologia delle profilazioni che l’Aderente medesimo intende effettuare e sull’uso che di tali informazioni intende fare, da parte di chi esercita la potestà genitoriale». La riservatezza e tutela dei dati personali è prevista come espressa finalità del codice.

[19] Carta Diritti dei Minori in Rete, approvata dal Consiglio Nazionale degli utenti presso l'Autorità per le Garanzie nelle Comunicazioni in data 3 febbraio 2004.

[20] La cd. direttiva madre (1995/46/CE) non conteneva alcun riferimento alla tutela dei minori mentre il vigente codice privacy (d. lgs. 2003/296) contiene pochi riferimenti, sostanzialmente ribadendo e ampliando l’ambito di precedenti normative.

[21] Va precisato che vale anche per il contesto digitale l’unica norma di riferimento è contenuta nel regolamento 2016/679 (GDPR) all’art. 8, che pur nella sua formulazione generale è particolarmente confacente (pensata) alla realtà virtuale, mentre nessuna norma specifica è contenuta nella proposta di cd. e-privacy regulation COM (2017) 10 final (Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58 EC).

[22] Solo il 15% di siti web e app avevano verificato o impedito a minori di accedere al sito o app; l’applicazione non funzionava (per cui anche un minore di anni 10 poteva accedere) o che era solo passiva (pop-up indicante che un minore sotto una determinata soglia di età non avrebbe potuto accedere al sito). Solo il 24% dei siti e app incoraggiava il coinvolgimento dei genitori.

[23] Pur in assenza di specifica disciplina, il Garante Privacy italiano ha teso a richiedere agli esercenti la potestà (recte responsabilità) genitoriale la prestazione del consenso al trattamento. Così, decreto 30 novembre 2015 [doc. web 1212652, minori e trattamento a fini di marketing], con riguardo ad una ipotesi che difficilmente avrebbe potuto prescindere dal consenso genitoriale, quale che sia la tesi cui si aderisce.

[24] Art. 24, co. 1, lett. e) (Il consenso non è richiesto) quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica l’art. 82, co. 2.

Art. 82, co. 2, lett. a) L’informativa e il consenso al trattamento dei dati personali possono altresì intervenire senza ritardo, successivamente alla prestazione, in caso di:

  1. a)impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato, quando non è possibile acquisire il consenso da chi esercita legalmente la potestà (…)
  2. 4:dopo il raggiungimento della maggiore età l’informativa è fornita all’interessato anche ai fini dell’acquisizione di una nuova manifestazione del consenso quando questo è necessario.

[25] S. Patti, Consenso, sub art. 23), in Aa. Vv. La protezione dei dati personali. Commentario a cura di C.M. Bianca e F. D. Busnelli, t. I, Padova (Cedam), 2007, p. 544 ss.

[26] V. infra al paragrafo successivo.

[27] Per una ricognizione della dottrina, I. A. Caggiano, Il consenso al trattamento dei dati personali tra Nuovo Regolamento Europeo e analisi comportamentale, in corso di pubblicazione.

[28] Linee guida nell’interpretazione della norma sono state fornite dal Working Party art. 29: Art. 29 Data Protection Working Party,  Guidelines on Consent under Regulation 2016/679, 17 EN/WP259

[29] Children’s Online Privacy Protection Act of 1998, 15 U.S.C. 6501–6505, §312.5   Parental consent, disponibile sul sito della Federal Trade Commission <www.ftc.gov>.

[30] Va, peraltro, ricordato, come, la nuova normativa si applichi anche agli ISP transfrontalieri, art. 3, para 2: Il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato […].

[31] Art. 29 Data Protection Working Party,  Guidelines on Consent under Regulation 2016/679, cit., p. 24.

[32] Così anche in COPPA, § 312.2, nella definizione di Web site, «sec. 2) A Web site or online service shall be deemed directed to children when it has actual knowledge that it is collecting personal information directly from users of another Web site or online service directed to children».

[33] Ciò è, evidentemente, portato dalla natura del diritto alla protezione dei dati personali come libertà fondamentale, che si sottrae alle regole della negozialità tout court. Secondo l’insegnamento tradizionale, infatti, gli atti nei quali si estrinsecano le libertà fondamentali della persona sono esclusi dalla regola dell’incapacità negoziale, salva solo l’interferenza del genitore o del tutore giustificata dalla funzione di educazione e cura. L’interferenza dei genitori sull’esercizio delle libertà fondamentali può ammettersi solo in quanto obiettivamente ed effettivamente giustificata dalla funzione di educazione e cura e che man mano che il minore matura la capacità di fare le proprie scelte di vita (collegata alla capacità di discernimento) viene meno la ragione del suo assoggettamento ad una scelta esterna. Sulla capacità di discernimento, F. Ruscello, Minore età e capacità di discernimento: quando i concetti assurgono a “supernorme”, in Fam. dir., 2011, p. 404 ss.

[34] Sulle condizioni del consenso contrattuale del minore nelle diverse esperienze giuridiche, cfr. G. Alpa, Il contratto I, Fonti, teorie, metodi, in Trattato Cicu-Messineo, Milano, 2014, p. 731.

[35] Come noto, il sistema italiano, sulla scia di quello francese, adotta il modello “rigido” che considera il minore quale incapace legale, salvi – spesso anche notevoli – adattamenti. V. G. Alpa, Fonti, teorie, metodi, cit., p. 736 ss.

[36] Il consenso espresso al trattamento non è necessario se: «il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso» (art. 6 Reg. 2016/679), previsione già presente nella direttiva madre e nel d.lgs. 196/2003 (cod. privacy) all’art. 24.

 

[37] Una panoramica, con riguardo ai diritti della persona, è in A. Nicolussi, Autonomia privata e diritti della persona, in Enc. dir. Annali IV, Milano, 2007, p. 133 spec. p. 149. Per il consenso al trattamento dei dati personali, la dottrina si è molto spesa a partire dalla l. 675/1996. Sul punto S. Sica, Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, in Riv. dir. civ., 2001, p. 621 ss. e per una panoramica ci sia consentito rinviare ancora al nostro Il consenso al trattamento dei dati personali tra Nuovo Regolamento Europeo e analisi comportamentale, in corso di pubblicazione.

[38] Sulla sufficienza della capacità d’intendere e di volere, S. Patti, op. loc. cit.

[39] In materia di esercizio delle libertà fondamentali da parte del minore, non può tralasciarsi la disciplina e dottrina sul consenso del minorenne ai trattamenti sanitari, su cui, ex plurimis L. Lenti, Il consenso informato ai trattamenti sanitari per i minorenni, in Tratt. Biodiritto , II, I diritti in medicina diretto da Rodotà e Zatti, p. 417 ss.

[40] A. Sassi, F. Scaglione e S. Stefanelli, Le persone e la famiglia, IV, La filiazione e i minori,  in Trattato di dir. civ. diretto da Sacco, Padova, 2016. In senso contrario, F. Ruscello, Minore età e capacità di discernimento, cit., p. 408.

[41] G. Resta, Autonomia privata e diritti della personalità, Napoli, 2005, spec. p. 307 ss.

[42] Norme analoghe in materia di pubblicazione di generalità e immagine di minorenni testimoni e altri soggetti nei processi penali, salvo che il minorenne che ha compiuto 16 anni ne abbia consentito la pubblicazione (art. 13 d.pr.448/1988) e la l. 97/1967 in materia di trattamento dei dati e attività lavorative di carattere pubblicitario o spettacolo ma con l’autorizzazione della direzione provinciale del lavoro e con l’assenso scritto dei genitori (minori con  incapacità speciale lavorativa, per gli infra-quattordicenni).

[43] Può qui precisarsi come si sia in presenza di un duplice utilizzo del termine. Il consenso privacy di per sé può essere qualificato come un’autorizzazione (, che, nel caso di esercizio da parte di un minore, può essere autorizzato, cioè a sua volta essere oggetto di altro atto autorizzatorio da parte del genitore.

[44] C. M. Bianca, Diritto civile, I, La norma giuridica, cit., p. 238.

[45] C. M. Bianca, ult. op. loc. cit.

[46] In senso critico rispetto all’adozione della soglia dei 16 anni, e a favore invece della più bassa soglia dei 13, L. Bolognini – C. Bistolfi, L’età del consenso digitale. Uno studio dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati e del Centro Nazionale Anti-Cyberbullismo, disponibile online al sito <www.anticyberbullismo.it> , p. 1 ss., spec. p. 17.

[47] Cfr. M. Macenaite – E. Kosta, Consent for processing children’s personal data in the EU: following in US footsteps?, in Information & Communications Technology Law, 26:2, p. 146 ss., spec. 160 ss. , che esprimono forti critiche sull’approccio adottato per non aver fatto tesoro dell’esperienza statunitense, né, in ogni caso, averla superata sulla base di studi empirici.

[48] Proposta di Regolamento E-privacy, cfr. supra nota  21.

[49] Questa flessibilità potrebbe portare i prestatori di servizi a dover verificare, in base alla residenza dell’interessato, e non alla loro principale sede di stabilimento,  i diversi limiti di età richiesti. Così Art. 29 Data Protection Working Party,  Guidelines on Consent cit., p. 24 s.

[50] V. testo corrispondente nt. 9 ss.

[51] V. Comitato Nazionale bioetica, Violenza Media e minori 25 maggio 2001. Il parere attinge a ricerche condotte in ragazzi tra i 12 e i 20 anni che dimostrano come la corteccia frontale, da cui dipendono la pianificazione e organizzazione di molti comportamenti, la regolazione dell’emotività e l’inibizione di risposte non appropriate, maturi molto più lentamente di altre aree della corteccia cerebrale. La maturazione emotiva non coincide necessariamente con quella cognitiva per cui paura ansia insicurezza possono essere dovute al fatto che l’adolescente capisce più di quanto possa tollerare sul piano emotivo.

[52] Ad esempio, Facebook, a parte una serie di reminder rivolti ai minori in funzione educativa, come misure specifiche, evita che le informazioni di contatto di coloro che sono identificati come minorenni compaiano nelle ricerche al pubblico e disattiva la condivisione della posizione come impostazione predefinita. Cfr. il link <https://www.facebook.com/help/473865172623776>.

[53] Si rammenta che l’art. 8 del Regolamento prevede che «Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili»

[54] Secondo il COPPA, §312.5 (Parental consent).

[…] (1) An operator must make reasonable efforts to obtain verifiable parental consent, taking into consideration available technology. Any method to obtain verifiable parental consent must be reasonably calculated, in light of available technology, to ensure that the person providing consent is the child's parent. (2) Existing methods to obtain verifiable parental consent that satisfy the requirements of this paragraph include:

(i) Providing a consent form to be signed by the parent and returned to the operator by postal mail, facsimile, or electronic scan;

(ii) Requiring a parent, in connection with a monetary transaction, to use a credit card, debit card, or other online payment system that provides notification of each discrete transaction to the primary account holder;

(iii) Having a parent call a toll-free telephone number staffed by trained personnel;

(iv) Having a parent connect to trained personnel via video-conference;

(v) Verifying a parent's identity by checking a form of government-issued identification against databases of such information, where the parent's identification is deleted by the operator from its records promptly after such verification is complete; or

(vi) Provided that, an operator that does not “disclose” (as defined by §312.2) children's personal information, may use an email coupled with additional steps to provide assurances that the person providing the consent is the parent. Such additional steps include: Sending a confirmatory email to the parent following receipt of consent, or obtaining a postal address or telephone number from the parent and confirming the parent's consent by letter or telephone call. An operator that uses this method must provide notice that the parent can revoke any consent given in response to the earlier email.

[55] Sul punto, tuttavia, Art. 29 Data Protection Working Party,  Guidelines on Consent cit., p. 25 s., coerentemente con il principio di minimizzazione dei dati, con precedenti documenti e con le politiche dei Garanti Privacy sulle tecnologie biometriche: «Age verification should not lead to excessive data processing. The mechanism chosen to verify the age of a data subject should involve an assessment of the risk of the proposed processing. In some low-risk situations, it may appropriate to require a new subscriber to a service to disclose their year of birth of to fill out a form stating they are (not) a minor. If doutbts arise the controller should review their age verification mechanisms in a given case and consider whether alternative checks are required» […] «In low-risk cases, verification of parental responisbility via email may be sufficient. Conversely, in high-risk cases, it amy be appropriate to ask for more proof».

[56] Trib. Mantova, 19 settembre 2017, in  Il quotidiano giuridico (Wolters Kluwer), con nota di C. Moretti, disponibile sul sito <www.quotidianogiuridico.it>.

[57] Le stesse considerazioni critiche possono, quindi, estendersi alle regole di trasparenza, come noto, potenziate con riguardo ai minori di età. Cfr. art. 12 e cons. 58 Reg. 2016/679: «Qualsiasi informazione o comunicazione che riguardi minori dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente» (cons. 58).

[58] M. Macenaite – E. Kosta, Consent for processing children’s persoanl data etc., cit., p. 185 ss.

[59] Ciò è ben chiaro, inoltre, al Garante Privacy italiano, secondo cui:  «L’idea di fissare una soglia di età nel mondo digitale per proteggere i minori dai  pericoli della rete rischia di essere una soluzione puramente convenzionale: non solo per la difficoltà di stabilire presuntivamente una rigida correlazione tra età e consapevolezza digitale, ma soprattutto per la facilità di eludere simili criteri di accesso. Maggiori criticità emergono rispetto a metodi di accertamento documentale dell’età, certamente più efficaci, ma che implicherebbero, se generalizzati, una raccolta di dati massiva, peraltro in un contesto in cui, al contrario, essa dovrebbe essere ridotta al minimo necessario. L’idea di poter rendere il web un’area ad accesso “limitato”, cui concedere l’ingresso ai soli maggiorenni provandone l’età con un documento di identità si tradurrebbe quindi in una schedatura di massa. Schedatura peraltro effettuata da soggetti privati che finirebbero per aumentare ulteriormente il loro potere, detenendo una sorta di anagrafe della popolazione mondiale, in palese controtendenza rispetto alla filosofia che permea il nuovo  Regolamento europeo in materia di protezione dati. Il rischio ulteriore consiste nel fatto che all’oggetto proibito si acceda comunque per altra via, o eludendo i controlli con furti di identità o muovendosi nel ben più pericoloso deep web, dove le insidie sono di certo maggiori» (dichiarazione del Garante Antonello Soro riportata sul sito <www.f4crnetwork.com>).

[60] Sui problemi e l’approccio del Garante italiano alla biometria, v. Garante Privacy, Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014, n. 513 del 12 novembre 2014 [doc. web n. 3556992].

[61] Cfr. Reg. (UE) 2016/679, Art. 25, §1. «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati»Interessanti spunti sulla privacy by design sono in L. Merla, Droni, privacy e tutela dei dati personali, in Informatica e dir., 2016, p. 29 – 45, spec. p. 35.

[62] Più ampiamente sull’approccio incentrato sul rischio nella disciplina del trattamento dei dati personali, A. Mantelero, Responsabilità e rischio nel Reg. UE 2016/679, in Nuove leggi civ. comm. , 2017, p. 144 ss.

[63]  A. C. Amato, Tecno-regolazione e diritto. Brevi note su limiti e differenzeDir. info, 2017,  p. 147 ss.; E. Maestri, Il minore come persona digitale. Regole, tutele e privacy dei minori sul Web, in Annali online della Didattica e Formazione Docente, 2017, p. 1.

[64] Sulla necessità di un superamento, possibile anche sul piano interpretativo, delle limitazioni di responsabilità contenute nel d. lgs. 70/2003, attuazione della direttiva 2000/31/CE, con riguardo alle attività di mere conduit, caching, hosting  (artt. 14 - 16), si veda E. Tosi, Contrasti giurisprudenziali in materia di responsabilità civile degli hosting provider – passivi e attivi – tra tipizzazione normativa e interpretazione evolutiva applicata alle nuove figure soggettive dei motori di ricerca, social network e aggregatori di contenuti, in Riv. dir. ind., 2017, p. 56 ss. Per un commento alla disciplina, F. Signorelli, Profili di responsabilità del Provider nell’e-commerce, in Aa. Vv., Commercio elettronico, a cura di V. Franceschelli, Milano, 2001, p. 555.

[65] S. Levmore e M. Nussbaum, The Offensive Internet, Harvard (HUP), 2010.


  • Giappichelli Social