Negli ultimi anni abbiamo tutti imparato a conoscere il GDPR (General Data Protection Regulation), questo ha portato a un inasprimento ulteriore delle norme previste per la protezione dei dati personali e di fatto ci siamo ritrovati a dover dare il consenso esplicito al trattamento dei dati, spesso anche se ci sembrava assurdo dover autorizzare azioni quotidiane che venivano compiute. Ciò che molti non sanno è che all’interno del regolamento c’è l’articolo 8 che si occupa della protezione dei dati del minore, questa parte del codice viene anche denominata GDPR Kids.
GDPR Kids e trattamento dati personali del minore
Tale articolo stabilisce che in caso di offerta di servizi a minore, il consenso al trattamento dei dati può essere dato solo dal minorenne che abbia però compiuto i 16 anni di età. Ritenendosi che tale età sia quella in cui il minore comunque maturi una certa capacità di discernimento e quindi possa disporre almeno dei suoi dati personali.
Il regolamento stesso prevede che i vari Paesi Membri nell’adeguarsi alla disciplina del GDPR Kids, possano derogarvi, pone però un limite, lo stesso è fissato a 13 anni, cioè si può derogare al limite dei 16 anni e stabilirne uno più basso, ma comunque questo non può essere inferiore a 13 anni.
Adeguamento dell’Italia al GDPR Kids
L’Italia ha preferito derogare all’articolo 8 del GDPR Kids. Tale passaggio è avvenuto con il decreto legislativo 101 del 2018 il cui obiettivo è armonizzare la normativa italiana rispetto al GDPR. In Italia il limite per fornire autonomamente il consenso al trattamento dei dati personali è 14 anni. Per i ragazzi di età inferiore a 14 anni il consenso deve essere dato da chi esercita la responsabilità genitoriale ed è compito del titolare del trattamento, cioè dell’azienda che fornisce il servizio, verificare che effettivamente il consenso sia prestato da tali soggetti.
La scelta del legislatore è frutto di un tentativo di bilanciamento tra la tutela del minore e la sua libertà di espressione, pensiero e desiderio di partecipare alla vita sociale. L’articolo del decreto specifica che l’obiettivo è fare in modo che il minore possa esprimere il consenso per poter avere accesso all’ “offerta diretta di servizi della società dell’informazione”.
Perché questo appunto? Il caso concreto è molto semplice, tutti conosciamo i social media, la normativa degli stessi, in particolare quelli “gestiti” da Mark Zuckerberg, prevede che il minore possa iscriversi al compimento dei 13 anni di età. Questo dato va però concordato con le disposizioni legislative dei vari Paesi che usufruiscono dei servizi.
In base al nostro decreto legislativo di adeguamento al GDPR Kids, un minore può iscriversi già a 14 anni senza il consenso dei genitori, quindi può accedere ai servizi della rete autonomamente e anche disporre della propria immagine, contattare persone, insomma fare ciò che può fare un qualunque adulto. I social network come Facebook, Instagram, Tik Tok e altri, sono solo un esempio dei servizi a cui i minori possono accedere in modo autonomo dai 14 anni e senza alcun filtro, quindi senza avere limiti alle pubblicità a cui possono accedere e alle inserzioni/annunci.
Rischio dipendenza e cyberbullismo
Per quanto riguarda l’accesso ai social network, il nostro legislatore ha considerato come elemento da tenere in considerazione per fissare il limite d’età in cui il minore può autonomamente dare il consenso, il rischio di dipendenza e la possibilità che i minori possano essere vittime di cyberbullismo. Si tratta sicuramente di problemi non marginali per l’infanzia.
A ciò deve aggiungersi che all’interno del decreto legislativo non si prevede nessun altra distinzione tra il trattamento dei dati personali degli adulti e dei minori, infatti non si esclude in alcun modo che i dati forniti dai minori attraverso i social ricevano tutela attraverso l’esclusione dalla profilazione automatizzata, di fatto quindi costantemente e quotidianamente sono raccolti migliaia di dati dei minori con tutte le conseguenze che ne derivano.
Working Party articolo 29
Per, in un certo senso, contenere gli effetti dell’applicazione del GDPR Kids, che può anche essere derogato dagli stati Membri, si è tenuto il Working Party dell’articolo 29, si tratta di un gruppo di lavoro a cui partecipano le Autorità Garanti dei Paesi Membri. Da questo “summit” sono emerse delle indicazioni che però non hanno una particolare forza vincolante e allo stesso tempo hanno fatto emergere delle falle nel sistema di protezione dei minori.
Nel fascicolo prodotto emerge che i minori devono essere considerati soggetti vulnerabili e di conseguenza le organizzazioni/aziende dovrebbero astenersi dal profilarli per scopi di marketing. I minori infatti possono essere più facilmente influenzabili dalla pubblicità comportamentale, ad esempio nei giochi online, come sottolineato dal Working Party, potrebbero essere raccolti dati di profilazione volti a determinare quanto un minore possa essere propenso a spendere soldi nel gioco e questo rappresenta un danno economico e allo stesso tempo potrebbe indurre una ludopatia.
A tali precisazioni del Working Party non corrisponde però una regolamentazione severa volta a tutelare, ma delle raccomandazioni e un invito all’autoregolazione che in pratica nessuno accoglie.
GDPR Kids e legge per il contrasto al cyberbullismo
In Italia la possibilità di accedere ai servizi della rete a 14 anni fornendo il proprio consenso informato è accompagnata dall’articolo 2 delle legge sul cyberbullismo, legge 71 del 2017, questa prevede che già a 14 anni il minore possa autonomamente chiedere ai gestori dei servizi di rimuovere, oscurare o bloccare i propri dati personali. Di conseguenza può esercitare da solo le azioni in tutela dei diritti violati. Invero appare a chi scrive una misura poco attuabile per diversi motivi, cioè il minore vittima della rete difficilmente da solo è in grado di azionare tali diritti (spesso neanche li conosce) e difficilmente si rivolge agli adulti. Allo stesso tempo sappiamo tutti che rimuovere dei contenuti dalla rete una volta immessi è praticamente impossibile.
Sicuramente preparare/educare alla rete potrebbe essere una soluzione, ma sperare in genitori che autonomamente svolgano tale ruolo è molto utopistico e anche in questo caso ci sono diversi motivi, il primo è che spesso i genitori non hanno gli strumenti per educare alle rete, frequentemente si parla di analfabetismo funzionale digitale, in altri casi c’è scarsa attenzione, ecco perché abbassare l’età per prestare il consenso al trattamento dei dati rispetto al GDPR Kids doveva essere accompagnato da un percorso istituzionalmente garantito per educare alla rete.