GDPR (S01 E11): I dati dei minori
I minori sono degli attori molto importanti nella società dell'informazione, soprattutto con riferimento al trattamento dei loro dati.
L'importanza dei minori nella società dell'informazione
I minori, in rete e sui social network, sono considerati ormai un nuovo mercato, un esercito di piccoli consumatori i cui dati hanno un valore incalcolabile per tutte le società/piattaforme, e non solo per quelle che offrono prodotti o servizi mirati ai bambini e agli adolescenti.
In molti Paesi, quali ad esempio l’Italia, la prima connessione in rete avviene tra i 7 e gli 8 anni. Ciò comporta che già verso i 13 anni di età un minore ha almeno 5 anni di “vita” online durante la quale ha espresso preferenze, tenuto comportamenti facilmente rilevabili e, soprattutto, seminato dati. In altre parole, sono soggetti facilmente profilabili, al fine di generare nuovi, preziosi contenuti da quelli già esistenti. Non deve quindi apparire strano che la normativa sulla data protection si occupi anche dei minori, individuandoli come soggetti da tutelare con maggior attenzione nell’era tecnologica attuale.
Il Regolamento UE 2016/679 offre così maggiori tutele nei confronti dei minori, i quali, come specificato nel Considerando n. 38, meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate, nonché dei loro diritti in relazione al trattamento dei dati personali. Sono, allora, tre i motivi per cui il GDPR prevede una tutela rafforzata: la loro età, l’invasività della società tecnologica e la presunzione che non conoscano la legge e i loro diritti.
Il GDPR, in quest’ottica, rafforza la disciplina in tema di protezione dei dati personali, prevedendo specifiche modalità di applicazione dei principi sulla privacy e riconoscendo precisi diritti agli interessati. Questa specifica protezione dovrebbe riguardare, in particolare, l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili utente.
L’Articolo 8 prevede innanzitutto che, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali è lecito ove il minore abbia almeno 16 anni.
Nel caso in cui, invece, abbia un’età inferiore, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Il consenso di tale figura non sembra invece essere necessario nel quadro dei servizi di prevenzione o consulenza forniti direttamente a un minore.
Gli Stati membri possono anche stabilire un’età inferiore a tali fini, senza però scendere sotto la soglia dei 13 anni.
In ogni caso, il titolare del trattamento è tenuto ad adoperarsi in modo ragionevole per verificare la corretta prestazione o autorizzazione del consenso, in considerazione delle tecnologie disponibili.
Il Paragrafo 3, infine, precisa che quanto dettato dalla disposizione in esame non pregiudica il diritto generale degli Stati membri in tema di contratti, riferendosi nello specifico alle norme riguardanti la validità, la formazione o l’efficacia di un contratto nei confronti di un minore.
Il primo punto su cui opera il Regolamento è, allora, la richiesta del consenso al genitore. Si tratta di un aspetto molto innovativo ma, al contempo, delicato. La raccolta del consenso del genitore dovrà infatti essere perfezionata con modalità che non “burocratizzino” eccessivamente l’operazione (se i controlli fossero troppo accurati e richiedessero troppo tempo, ci sarebbe il rischio di migrazione dei clienti verso altri servizi) e che, al contempo, non siano falsificabili dal minore stesso (ossia, occorrerà fare in modo che il minore non si possa sostituire agevolmente al genitore al momento del conferimento del consenso online).
La peculiare figura del minore è presa in considerazione anche da un’altra disposizione del GDPR, ossia l’Articolo 12, dedicato all’informativa in tema di trattamento dei dati personali.
L’Articolo dispone che il titolare del trattamento debba fornire informazioni e comunicazioni all’interessato adottando misure appropriate, e in particolare in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro. Ciò si rivela particolarmente importante nel caso in cui l’interessato sia un minore, in quanto tale – come detto – meritevole di una protezione specifica.
Anche l’Articolo 57, nel delineare i compiti spettanti a ciascuna autorità di controllo sul proprio territorio, fa espresso riferimento ai minori, stabilendo che sono oggetto di particolare attenzione le attività volte a promuovere la consapevolezza e a favorire la comprensione riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento destinate specificamente ai minori.
Anche questo secondo punto apre a considerazioni molto interessanti e innovative: se il primo diritto in capo a un interessato è quello di essere informato, i minori devono essere informati con un linguaggio a loro comprensibile, con informative che abbandonino burocrazia e termini giuridici (per loro) incomprensibili e forniscano invece loro piena consapevolezza di che cosa sta per capitare ai dati che si riferiscono a loro.
Infine, merita di essere menzionata la nuova tutela contenuta nell’Articolo 17 e disposta a favore del soggetto interessato che richieda la cancellazione dei propri dati. Si tratta del c.d. diritto all’oblio, ossia il diritto alla cancellazione dei propri dati personali, che nel GDPR riceve un “rafforzamento” rispetto alla precedente normativa.
Infatti, oltre all’obbligo del titolare del trattamento di procedere senza ingiustificato ritardo alla cancellazione dei dati personali dell’interessato che ne faccia richiesta, è altresì previsto l’obbligo per i titolari che abbiano reso pubblici i dati personali in questione di informare della richiesta di cancellazione anche gli altri titolari che li trattano, ricomprendendo qualsiasi link, copia o riproduzione degli stessi.
Tale diritto, come specificato nel Considerando n. 65, è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minorenne, dunque non pienamente consapevole dei rischi derivanti dal trattamento, e decida – in un momento successivo – di eliminare un certo tipo di dato personale. L’interessato, prosegue il Considerando, dovrebbe poter esercitare tale diritto indipendentemente dal fatto di non essere più minore.