La notizia che Whatsapp ha alzato da 13 a 16 anni l’età minima per l’utilizzo dei suoi servizi all’interno dell’Unione Europea ha richiamato vasta attenzione sul tema della protezione dei dati personali rispetto ai minori.
Di conseguenza si sono accesi i riflettori sull’art.8 del GDPR, che è certamente l’innovazione più importante del nuovo Regolamento in materia di tutela specifica dei minori in rete, anche se non va trascurato il Considerando 38, che contiene raccomandazioni e principi relativi che vanno oltre la stessa norma appena citata.
Sul rapporto tra social e minori Agendadigitale.eu ha recentemente pubblicato un interessante intervento di Boccia Arlieri che esamina la questione dal punto di vista sociologico e comportamentale. In questo articolo si sostiene, con riferimenti e analisi convincenti, che oggi già a 13 anni i minori sono in grado di conoscere e analizzare i servizi offerti dalla rete, e in particolare l’uso dei social. Essi, o almeno la grande maggioranza di loro, sarebbero dunque in grado di poterli usare in modo responsabile e consapevole. Non solo: secondo Boccia Artieri l’uso dei servizi della società dell’informazione, e in particolare dei social è importante per la formazione della personalità dei ragazzi nella società digitale.
Privacy dei minori sui social, con il GDPR: così tuteliamo i loro interessi
Ne consegue che secondo questo studioso abbassare l’età di accesso a questi servizi a 13 anni, come l’art. 8 del GDPR consente di fare agli Stati, è il modo migliore per tutelare il best interest dei minori, così come la Convenzione sui diritti dell’infanzia e dell’adolescenza richiede. Di qui il suo auspicio che il legislatore italiano voglia utilizzare la facoltà consentita dall’art. 8 di abbassare l’età minima prevista per il libero accesso alla rete dai 16 anni previsti nel GDPR fino ai 13 che il GDPR stesso fissa come limite minimo, oltre il quale neanche gli Stati possono scendere.
La Commissione Finocchiaro, nello schema presentato al Ministro della Giustizia per l’attuazione della delega relativa all’adeguamento della legge italiana al GDPR, ha suggerito di fissare in 14 anni l’età minima per l’accesso a tali servizi nei casi previsti dall’art.8, ma spetta al Governo assumere la decisione finale.
L’articolo di Boccia Artieri e le molte reazioni che, anche da parte di giuristi esperti in materia di GDPR, si sono avute a seguito della decisione di Whatsapp obbligano a qualche approfondimento e chiarimento.
Età dei minori e consenso trattamento dati, così si applica il GDPR
Innanzitutto è bene dire che l’art. 8 del GDPR si applica solo quando ricorrano alcune condizioni specifiche.
In primo luogo è necessario che vi sia una offerta relativa ai servizi della società dell’informazione rivolta direttamente al minore.
In secondo luogo occorre che questa offerta diretta, fatta cioè direttamente al minore, comporti per la sua accettazione, e soprattutto per la legittimità dei trattamenti di dati personali, il consenso esplicito dell’interessato. Consenso che ovviamente deve essere adeguatamente informato, ed esprimibile liberamente dalla persona destinataria dell’offerta.
L’art. 8 non riguarda dunque qualunque trattamento on line di dati che si riferiscano ai minori, né qualunque servizio della società dell’informazione al quale i minori possano accedere.
La norma si applica solo ai servizi oggetto di offerta diretta, e nel cui ambito i trattamenti di dati siano legittimi solo se basati sul consenso informato dell’interessato.
Inoltre, per come è formulata, la norma riguarda specificamente la fase dell’offerta del servizio e sempre che l’accettazione, per la natura dei trattamenti che si vogliono fare, primi fra tutti quelli di profilazione o di marketing, comporti un consenso informato dell’interessato. Consenso che deve riguardare non solo l’accettazione dell’offerta ma anche i trattamenti di dati che questa comporta e le relative finalità che il titolare intenda perseguire. Finalità che, spesso, fanno oltre la pura prestazione del servizio proposto.
Va inoltre sottolineato con chiarezza che l’art. 8 si applica solo se il destinatario della proposta ha meno di sedici anni o comunque dell’età fissata dalla legge nazionale. In questo caso, e solo in questo caso, l’art. 8 dispone che il consenso, necessario per i trattamenti relativi ai servizi oggetto dell’offerta, non possa essere espresso direttamente soltanto dal minore ma debba essere dato anche da chi ne ha la potestà genitoriale.
La disposizione non riguarda dunque in via generale la possibilità o meno di accedere ai servizi della società dell’informazione, non si rivolge direttamente ai minori né ne limita la loro possibilità di accedere alla rete.
Che cosa impone la norma GDPR per i minori
E’ evidente dunque che la norma non intende affatto precludere ai minori di 16 anni o, nella più ampia delle ipotesi, di 13 l’accesso alla rete e ai suoi servizi.
Impone invece che chi si rivolge direttamente a una persona per offrire un servizio della società dell’informazione, e ne richiede il consenso informato per poter legittimamente trattare i suoi dati personali, abbia l’onere di accertarsi che l’interessato sia in grado di prestare validamente tale consenso. A questo scopo, e solo per questo, fissa in sedici anni l’età necessaria affinché tale consenso sia valido ai fini della legittimità dei trattamenti, salvo appunto diversa decisione nazionale che, comunque, non può scendere sotto i tredici anni.
Merita inoltre sottolineare che la norma riguarda soltanto la legittimità del consenso al trattamenti di dati personali ma non incide sulla validità del contratto sottostante (ovviamente ove vi sia un contratto, cosa che non sempre è richiesta anche quando il consenso è comunque necessario ai fini del trattamento legittimo dei dati).
Il recente parere del Working Party art. 29 “Guidelines on consent under Regulation 2016/679”, pubblicato in via definitiva il 10 aprile 2018 (Opinion n. 259), è chiarissimo nel precisare che il consenso di cui all’art. 8 non riguarda la validità di eventuali contratti che sia necessario stipulare fra provider e user ai fini della fornitura del servizio. Il regime giuridico dei contratti resta sempre disciplinato dalla legislazione nazionale o da quella del foro competente a decidere eventuali controversie relative al servizio.
Anche così circoscritta la portata della norma, va detto che l’applicazione dell’art.8 pone problemi complessi sia con riferimento alla informativa che deve accompagnare la richiesta di consenso, sia riguardo alle modalità che il provider offerente deve adottare per verificare se la persona a cui si rivolge può autonomamente esprimere il suo consenso o sia necessario invece quello di chi ne ha la responsabilità genitoriale.
I problemi dell’informativa al minore
Per quanto riguarda l’informativa da dare nell’ambito di applicazione dell’art. 8 è necessario che il proponente tenga conto in modo adeguato della possibilità o meno per un minore di comprendere ciò di cui lo si informa. Il Working Party 29, nelle Linee guida già citate, è molto esplicito e rigoroso su questo punto.
A questo va aggiunto che la richiesta del consenso al trattamento dei dati impone sempre cautele particolari, sia per individuare a chi spetti fornirlo sia per definire quando e come esso debba essere dato, e in che forma.
Nel caso dell’art.8 inoltre il tema è reso ancora più complesso dal fatto che, a seconda dell’età dell’interessato, esso può essere validamente dato dall’interessato stesso o, invece, è necessario quello di chi ha la responsabilità genitoriale.
Questo obbliga il fornitore del servizio ad adottare anche le misure necessarie per poter stabilire con ragionevole certezza sia se l’interessato sia o meno in età adeguata, sia se la persona che eventualmente esprime il consenso a suo nome eserciti effettivamente la responsabilità genitoriale nei suoi confronti.
Anche su questi aspetti le Linee Guida del Working Party si soffermano a fondo, individuando anche livelli diversi di modalità e accorgimenti che chi fa l’offerta deve adottare a tale scopo, a seconda dei rischi che i trattamenti dei dati connessi al servizio offerto possono comportare per il minore.
Perché il GDPR dà una forte tutela al minore
Da un lato, dunque, l’art. 8 ha contenuto ed effetti più limitati di quanto in questi giorni molti mostrano di credere. Da un altro lato, però, esso è solidamente ancorato proprio all’esigenza di tutelare il minore da chi si rivolge direttamente a lui per offrire servizi della società dell’informazione che richiedono, per essere legittimamente posti in essere, il suo consenso informato.
Una norma che, per dirla con Boccia Altieri, è fondata proprio sulla necessità di prendersi cura del minore e sulla valutazione del suo best interest. La norma non ha come scopo limitare l’uso della rete e dei servizi che essa mette a disposizione. Essa vuole tutelare il minore dal rischio di essere “abbindolato” da chi offre in rete servizi, spesso anche molto onerosi, senza curarsi affatto dell’età di colui al quale l’offerta è fatta e della sua capacità di comprendere ciò che essa comporta sotto il profilo dei trattamenti dei suoi dati e degli eventuali rischi che ne possono derivare.
Si tratta di una tutela importante, che dà seguito anche alla raccomandazione del Considerando 38 nella parte in cui afferma che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.
L’obiettivo, dunque, è quello di assicurare al minore di sedici anni (o dell’età fissata dalla legge nazionale) una tutela rafforzata in ordine ad offerte di servizi della società dell’informazione a lui direttamente rivolte, quando queste richiedono il suo consenso. Tutela che consiste, lo si ripete ancora una volta, nel fatto che non basta il consenso prestato dall’interessato ma occorre quello di chi ne ha la potestà genitoriale.
Del resto che l’obiettivo sia la tutela del minore è reso ancora più evidente dal fatto che il già citato Considerando 38 specifica anche che “il consenso del titolare della responsabilità genitoriale non deve essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente ai minori”.
E’ chiaro lo scopo di questa parte del Considerando, al quale le Linee Guida del WP29 prestano la massima attenzione stabilendo anche i conseguenti limiti che deve avere l’applicazione dell’art. 8. Si deve infatti evitare che questa norma possa ostacolare la messa a disposizione dei minori di servizi essenziali alla loro tutela quali, ad esempio, quelli previsti anche dalla legge italiana sul cyber bullismo, o quelli posti in essere in molti Paesi da organizzazioni anche private, di sostegno all’infanzia e ai minori, come fa tra gli altri Telefono azzurro in Italia.
Infine, pur restando fermo che, come già detto, l’art. 8 non incide affatto sugli eventuali contratti sottostanti, che continuano a essere regolati dalle leggi specifiche, la norma è un deterrente anche rispetto ai frequentissimi casi in cui minori non consapevoli, e privi della capacità giuridica di farlo, stipulano contratti anche molto onerosi, rispetto ai quali l’altro contraente spesso fa valere, a propria tutela, la sua supposta buona fede.
Due sottolineature ancora, per completezza.
Whatsapp, GDPR e minori: due chiarimenti importanti
La prima riguarda la ormai famosissima decisione di Whatsapp, che presenta due profili, entrambi importanti.
- Il primo, che essa concerne solo i servizi prestati ai residenti nella UE
- il secondo, che fissa l’età per accedere ad essi in 16 anni per tutti, senza eccezioni legate alle leggi nazionali.
Entrambi questi aspetti hanno specifiche spiegazioni giuridiche.
La limitazione del divieto ai soli servizi resi nel territorio dell’UE è coerente con la posizione assunta da molti social e in particolare dalla galassia Facebook.
Seguendo la linea di Google, molte OTT sostengono che il GDPR riguarda solo i cittadini o i residenti in UE e nella misura in cui questi utilizzano i servizi sul territorio dell’Unione.
Il secondo profilo poggia su un punto specifico delle già citate Linee Guida del WP29. Pur comprendendo bene che in molti casi può essere difficile per il soggetto proponente accertare con sicurezza se il destinatario dell’offerta è o no minore ai sensi dell’art. 8, il Working Party 29 raccomanda che non si adottino tecniche troppo invasive, specialmente quando i trattamenti non comportino rischi eccessivi per le persone.
Allo stesso tempo però, e non poteva essere altrimenti, le Linee Guida ribadiscono che il provider che fa l’offerta debba accertarsi se l’età dell’interessato consente ad esso di esprimere personalmente il consenso informato o sia necessario, invece, il consenso parentale.
Di fatto Whatsapp ha risolto il problema con un colpo di spada: specificando che l’accesso ai servizi della piattaforma è consentito solo ai maggiori di 16 anni ha espresso con chiarezza che nessuna offerta relativa a tali servizi si rivolge, per decisione dell’offerente stesso, a chi abbia meno di tale età.
Una scelta comprensibile, fatta per evitare costosi e rischiosi accertamenti. Essa però ha l’effetto, chiaramente difficile da accettare da parte degli utenti, di impedire il legittimo accesso alla piattaforma anche i giovani europei minori di 16 anni che prima potevano utilizzarne i servizi al compimento dei 13 anni di età. Si tratta insomma di una scelta evidentemente molto “forte” per le conseguenze che provoca, tanto più che si applica anche ai coloro che utilizzino il servizio nel territorio di Stati che hanno scelto di abbassare il limite di età rispetto a quello previsto dall’art.8.
Un aspetto, questo, sul quale certamente è necessario riflettere, anche per possibili future modifiche del GDPR. Una riflessione alla quale l’articolo di Boccia Arlieri e le considerazioni in esso contenute possono dare un contributo prezioso.
