Quel...Diavolo di consenso (parte 5)

Parte 5: Consenso digitale e minori

Consenso digitale e minori: binomio particolarmente complesso, in ragione dell'intersecarsi della disciplina (speciale) in materia di protezione dei dati personali con la disciplina (generale) della capacità giuridica, nonché della responsabilità e rappresentanza genitoriale.

L'esigenza di particolare protezione è richiamata dal considerando n. 38, in ragione della posizione maggiormente vulnerabile del soggetto minore:
I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore.
"Mein Vater, mein Vater, und hörest du nicht / Was Erlenkönig mir leise verspricht?"
( Erlkönig - J. W. von Goethe )


Il precipitato normativo è dunque contenuto nell'art. 8.1 GDPR, per cui:
Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.
L'art. 2-quinquies D.lgs. 196/03, introdotto Dal d.lgs. 101/2018 il quale fissa il limite per la prestazione del consenso c.d. "digitale" a quattordici anni:
In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni puo’ esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della societa’ dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di eta’ inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, e’ lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.
La limitazione della capacità di agire del minore infraquattordicenne riguarda pertanto il consenso digitale, ovverosia il consenso prestato in relazione all'offerta diretta di servizi della società dell'informazione, nozione estesa dalla CGUE (così rimarca anche l'art.29WP) a tutti i contratti e servizi conclusi o altrimenti trasmessi online.

Al secondo paragrafo dell'art. 2-quinquies è dunque rimarcata (coerentemente con l'art. 12 GDPR) la particolare importanza di impiegare un linguaggio nel rendere le informazioni relative alle attività di trattamento (e dunque: le conseguenze circa il consenso prestato) che garantisca la comprensione da parte dell'interessato:
In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.
La norma fa comunque salve tutte le disposizioni nazionali relative alla capacità di agire dei minori (art. 8.3 GDPR):
Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.
Ciò comprende anche la rappresentanza, nonché l'art. 1426 c.c. (Raggiri usati dal minore), il quale fa salvo il contratto stipulato dal minore che, per mezzo di raggiri, abbia occultato la propria minore età. Ad ogni modo, in ragione del dovere di diligenza di accertare la capacità giuridica della controparte contrattuale, non è sufficiente che il minore si sia dichiarato maggiorenne ma che abbia in qualche modo superato talune verifiche.

L'art. 8.2 GDPR prescrive la ragionevolezza delle verifiche del consenso digitale:
Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.
Tale criterio di ragionevolezza e proporzionalità è dovuto anche in ragione del principio di minimizzazione, e va regolato secondo i rischi del trattamento e la tecnologia disponibile in accordo con il principio di responsabilizzazione del Titolare il quale, nel caso specifico, dovrà valutare quali misure siano adeguate per l'acquisizione del consenso digitale.

La disposizione dell'art. 8.2 GDPR potrebbe essere letta, in modo estensivo e al di fuori del perimetro della sola data protection, come un criterio di valutazione per la validità del contratto concluso online dal minore (infraquattordicenne e non) anche al fine di definire l'ambito applicativo dell'art. 1426 c.c. e limitare così l'annullabilità dell'eventuale contratto stipulato online.

Essere GDPReady è...tutelare i minori nella società dell'informazione.

Commenti