In sintesi
- L'art. 2-quinquies fissa a 14 anni l'età minima per prestare validamente il consenso nei servizi della società dell'informazione.
- Per i minori di 14 anni il consenso è prestato dal titolare della responsabilità genitoriale.
- La soglia italiana è inferiore al default GDPR (16 anni, art. 8 GDPR) ma rientra nella forchetta consentita (13-16).
- L'informativa deve essere redatta con linguaggio chiaro e accessibile per i minori.
- Il titolare deve compiere ogni sforzo ragionevole per verificare l'età dell'interessato e l'effettività del consenso genitoriale.
- Il provvedimento del Garante del 16 gennaio 2020 ha colpito TikTok per assenza di verifiche dell'età.
Testo dell'articoloVigente
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. In attuazione dell’articolo 8, paragrafo 1, del Regolamento (UE) 2016/679, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La scelta italiana: 14 anni
L'art. 2-quinquies del Codice Privacy, introdotto dal D.Lgs. 101/2018, disciplina il consenso del minore in relazione all'offerta diretta di servizi della società dell'informazione. La norma si avvale del margine concesso dall'art. 8 GDPR, che fissa il default a 16 anni ma consente agli Stati membri di abbassarlo fino a 13. L'Italia ha scelto la soglia di 14 anni, in linea con altri ordinamenti europei (Spagna, Belgio). Per i minori di 14 anni il consenso è validamente prestato dal soggetto che esercita la responsabilità genitoriale, oppure assistito da questi.
Definizione di servizio della società dell'informazione
La norma riguarda i servizi della società dell'informazione come definiti dall'art. 1, par. 1, lett. b), della direttiva (UE) 2015/1535: qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Vi rientrano social network, motori di ricerca, app di messaggistica, piattaforme di gaming online, e-commerce. Restano fuori dall'ambito i servizi educativi tradizionali e i trattamenti per finalità di prevenzione o consulenza a tutela dello stesso minore.
Modalità di prestazione del consenso e verifica dell'età
Il titolare del trattamento deve verificare in modo concreto l'età dell'interessato e, se inferiore a 14 anni, ottenere il consenso del genitore. La verifica non può essere meramente formale (per esempio, casella da spuntare "ho 14 anni"): il GDPR e l'art. 2-quinquies richiedono ogni sforzo ragionevole tenendo conto delle tecnologie disponibili. I metodi accettati includono: verifica documentale (caricamento ID), validazione tramite carta di credito del genitore, sistemi terzi di age verification. Il provvedimento del Garante del 16 gennaio 2020 ha sanzionato TikTok proprio per l'assenza di efficaci sistemi di verifica.
Forma e contenuto dell'informativa per i minori
L'art. 2-quinquies, comma 2, impone che l'informativa rivolta al minore sia redatta con linguaggio particolarmente chiaro e accessibile, comprensibile per la fascia di età destinataria. Si tratta della specificazione italiana del principio dell'art. 12 GDPR (informazione concisa, trasparente, comprensibile). Buone prassi: linguaggio semplice, formato child-friendly (icone, infografiche, video), evitare gergo legale. Il Garante in più provvedimenti ha sanzionato titolari che usavano informative giuridicamente perfette ma incomprensibili per il pubblico minorile.
Conseguenze in caso di consenso invalido
Il consenso prestato in violazione dell'art. 2-quinquies è invalido: il trattamento è privo di base giuridica e illecito. Le conseguenze includono: sanzioni amministrative ex art. 83 GDPR (fino al 4% del fatturato annuo globale); ordine di cancellazione dei dati; obbligo di risarcimento ex art. 82 GDPR. Nei provvedimenti italiani (TikTok 2020-2021, Replika 2023) il Garante ha imposto blocco dei trattamenti per gli utenti di età non verificata e cancellazione dei dati.
Coordinamento con la disciplina civilistica
L'art. 2-quinquies opera in parallelo con la disciplina civilistica della capacità (artt. 2 c.c., 320 c.c. sulla rappresentanza legale dei genitori) e con le norme di protezione dei minori. Si segnala il decreto 'Caivano' (D.L. 123/2023, conv. L. 159/2023) che ha rafforzato i controlli sui contenuti accessibili ai minori. La giurisprudenza ha riconosciuto la responsabilità genitoriale anche per omissione nella vigilanza dell'uso di internet da parte dei figli (Cass. civ. n. 24683/2024).
Casistica: piattaforme social e gaming, provvedimenti del Garante
Il Garante è particolarmente attivo nella tutela dei minori online. Provvedimenti notori: a) TikTok (gennaio 2020): blocco temporaneo per assenza di age verification, sanzione successiva e impegno a sistemi rafforzati; b) Replika (febbraio 2023): blocco del chatbot per assenza di sicurezza per i minori, in violazione anche del provv. su AI; c) Roblox e altre piattaforme di gaming oggetto di istruttoria 2024 per esposizione di minori a contenuti inadatti. L'EDPB ha adottato linee guida specifiche sulla protezione dei minori online (versione 2023-2024). La compliance richiede investimenti significativi in age verification effettiva.
Coordinamento con il decreto Caivano e la legge UK Online Safety Act
Il decreto-legge 15 settembre 2023, n. 123 (cd. "Caivano"), convertito in L. 159/2023, ha rafforzato i controlli su contenuti accessibili ai minori, imponendo a piattaforme e ISP filtri parental control by default e age verification più stretta. La normativa italiana si allinea alle tendenze europee (Digital Services Act, DSA) e britanniche (UK Online Safety Act 2023). L'EDPB e il Garante sono coinvolti nell'attuazione del DSA per la profilazione dei minori e per la rimozione di contenuti illeciti. La compliance del 2025 in questo settore richiede coordinamento tra privacy, sicurezza dei minori, contrasto a contenuti illeciti.
Prassi e linee guida
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio 13enne: registrazione su social
Tizio, 13 anni, si registra su un social network. L'art. 2-quinquies richiede il consenso del titolare della responsabilità genitoriale. La piattaforma deve verificare l'età e, in caso di minori di 14 anni, ottenere consenso documentato del genitore. L'autodichiarazione dell'età non basta: il provv. Garante 16 gennaio 2020 ha sanzionato TikTok proprio per questo.
Caso 2: Caia 15enne: account autonomo
Caia, 15 anni, apre autonomamente un account social. Avendo superato la soglia dei 14 anni dell'art. 2-quinquies, il suo consenso è valido senza assenso parentale. L'informativa deve comunque essere redatta con linguaggio chiaro e accessibile, conforme all'art. 12 GDPR e all'art. 2-quinquies, comma 2.
Caso 3: Sempronio gestore piattaforma gaming
Sempronio gestisce una piattaforma di gaming online. Verifica l'art. 2-quinquies: deve implementare un sistema di age verification efficace (documenti, validazione genitoriale tramite carta di credito), non una semplice casella di spunta. La violazione comporta sanzioni amministrative fino al 4% del fatturato ex art. 83 GDPR.
Caso 4: Commento applicativo
L'art. 2-quinquies è la norma cardine per i servizi destinati o accessibili ai minori. La compliance richiede: scelta della soglia 14 anni; implementazione di age verification efficace; informativa child-friendly; meccanismo di consenso genitoriale documentato. Il Garante è particolarmente vigile su questo settore.
Domande frequenti
A che età un minore può prestare il consenso al trattamento dei dati in Italia?
A 14 anni. L'Italia ha scelto la soglia minima inferiore al default GDPR di 16 anni, avvalendosi del margine consentito dall'art. 8 GDPR (forchetta 13-16).
Come deve essere prestato il consenso per minori di 14 anni?
Dal titolare della responsabilità genitoriale, oppure dal minore assistito da questi. Non è sufficiente una mera autodichiarazione dell'età: serve verifica effettiva.
Come verificare l'età del minore?
Con ogni sforzo ragionevole, considerando le tecnologie disponibili: verifica documentale, validazione tramite carta di credito genitoriale, sistemi terzi di age verification. L'autodichiarazione non basta.
L'informativa per i minori ha requisiti speciali?
Sì. L'art. 2-quinquies, comma 2, richiede linguaggio chiaro e accessibile, comprensibile per la fascia di età. Buone prassi includono formato child-friendly con icone e video.
Cosa è successo con TikTok?
Il Garante con provv. 16 gennaio 2020 ha imposto a TikTok il blocco temporaneo dei trattamenti per utenti di età non verificata, riscontrando l'assenza di sistemi efficaci di verifica. La piattaforma è stata sanzionata per oltre 10 milioni di euro.
Vedi anche