Art. 8 GDPR — Condizioni applicabili al consenso dei minori

Commento

Il quadro generale

L'art. 8 GDPR introduce una tutela rafforzata per i minori nei servizi della società dell'informazione. Il considerando 38 spiega la ratio: i minori meritano specifica protezione perché possono essere meno consapevoli di rischi, conseguenze, garanzie e diritti relativi al trattamento dei dati. La specifica protezione si applica in particolare all'utilizzo di dati personali a fini di marketing, profilazione e creazione di profili di utenti, e alla raccolta di dati relativi ai minori quando si utilizzano servizi offerti direttamente al minore. L'art. 8 è la traduzione operativa di questa scelta valoriale.

La soglia di età

Il par. 1 fissa la regola generale: il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Gli Stati membri possono prevedere per legge un'età inferiore, purché non inferiore a 13 anni. L'Italia, con l'art. 2-quinquies del D.Lgs. 196/2003 (introdotto dal D.Lgs. 101/2018), ha fissato la soglia a 14 anni. Il legislatore italiano ha cercato un equilibrio tra autodeterminazione del minore in adolescenza avanzata e tutela rafforzata nelle fasi pre-adolescenziali. Sotto i 14 anni il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Servizi della società dell'informazione

L'art. 8 si applica solo ai servizi della società dell'informazione (SSI) offerti direttamente al minore. La nozione è quella della Direttiva 2015/1535/UE: qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale del destinatario. Rientrano social network, piattaforme video, app mobile, gaming online. Non rientrano trattamenti scolastici obbligatori, trattamenti sanitari, registri pubblici, attività amministrative: per questi il consenso del minore non è base appropriata e si ricorre a interesse pubblico, obbligo legale, contratto con il genitore. La giurisprudenza ha incluso anche servizi gratuiti finanziati pubblicitariamente.

Sforzi ragionevoli di verifica

Il par. 2 impone al titolare di adottare sforzi ragionevoli per verificare che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale, tenendo conto delle tecnologie disponibili. Il livello di sforzo è proporzionato al rischio: per servizi a basso rischio basta una dichiarazione contestuale, per profilazione massiva o trattamenti di categorie particolari serve verifica più rigorosa (carta di identità del genitore, autenticazione SPID, OTP a numero certificato). L'EDPB ha sollecitato sviluppo di sistemi standardizzati di age verification. La giurisprudenza del Garante ha sanzionato piattaforme social per assenza di filtri d'età efficaci.

Rapporto con la disciplina civilistica

Il par. 3 chiarisce che il par. 1 non pregiudica le disposizioni generali del diritto contrattuale degli Stati membri relative alla validità, formazione o efficacia di un contratto rispetto a un minore. La protezione GDPR sul consenso al trattamento dei dati si somma alla disciplina civilistica della capacità d'agire (art. 2 c.c. italiano: 18 anni per atti negoziali, salvo eccezioni e tutele del minore di età ex artt. 320 ss. c.c. sulla responsabilità genitoriale). Il minore di 14-17 anni può prestare consenso al trattamento ma non vincolarsi contrattualmente per atti eccedenti l'ordinaria amministrazione: i due piani sono distinti.

Prassi del Garante

Il Garante italiano è intervenuto più volte: provvedimenti su social network per assenza di controllo età, sanzioni su piattaforme che hanno profilato minori sotto soglia, prescrizioni a scuole sull'uso di app didattiche senza base adeguata, indicazioni sul registro elettronico e DAD. La regola pratica per ogni operatore digitale è: chi rivolge servizi a un pubblico potenzialmente minorile deve adottare meccanismi proattivi di age verification, informativa adattata in linguaggio accessibile (art. 12), restrizione di trattamenti ad alto rischio (profilazione, pubblicità comportamentale). EDPB e Garante hanno emanato linee guida e strumenti tecnici di buona prassi.

Regola pratica e checklist operativa

Per ogni operatore digitale che si rivolge a pubblico potenzialmente minorile: (i) implementare age gating al primo accesso; (ii) per utenti sotto 14 anni in Italia, raccogliere consenso del genitore con verifica proporzionata al rischio (SPID, OTP, ID); (iii) adattare l'informativa in linguaggio accessibile al minore (art. 12); (iv) restringere o disattivare trattamenti ad alto rischio (profilazione pubblicitaria, targeting comportamentale); (v) documentare scelte e prove. Il privacy-by-design (art. 25) è qui particolarmente stringente.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.