Alla luce dei più recenti cambiamenti della realtà socio economica realizzati con l’avvento della rete e della diffusa fruibilità dell’accesso alle tecnologie digitali, il diritto interno ed europeo sono chiamati ad individuare rimedi e tecniche di tutela più adeguati per governare la complessità del fenomeno e degli interessi di varia natura ad esso sottesi. In questa prospettiva, un delicato settore di indagine è quello che riguarda la tutela della personalità dei minori nell’ambito del mondo digitale: soggetti vulnerabili, destinatari immediati e diretti di una gran parte dei servizi della società digitale dell’informazione con la quale si interfacciano quotidianamente e, non di rado, senza il filtro del controllo dell’adulto. Scopo dell’indagine è, quindi, quello di analizzare le questioni sottese al rapporto tra minori e nuove tecnologie, con particolare riferimento alla protezione dei dati personali degli stessi (quali soggetti interessati del trattamento), ed, altresì, di verificare se la risposta normativa predisposta dal legislatore europeo sia adeguata all’effettiva tutela del minore nel mercato digitale. In quest’ottica, le soluzioni individuate dal legislatore e dalla giurisprudenza non sono univoche in tal senso, anche tenuto conto delle esigenze di bilanciamento tra tutela delle persone e libera circolazione delle informazioni. Il Regolamento UE 2016/679 si è posto l’obiettivo di tutelare i più giovani nei contesti virtuali ove risultano maggiormente esposti a causa di una minore consapevolezza dei rischi insiti nella rete, distinguendo tra il trattamento dati dei minori e quello dei soggetti adulti. Il cuore della disciplina in tema di tutela dei minori è contenuto nell’art. 8 del Regolamento. Esso prevede la validità giuridica del trattamento dei dati personali effettuato dai social networks e da altre società che operano nell’ambito dei servizi offerti dalle società dell’informazione, ma mantiene ferme le regole in materia di incapacità di agire del minore in relazione ad altri contratti. Al di fuori dei servizi offerti dalle società di informazione, permane, quindi, il limite generale dei 18 anni previsto dall’ordinamento per l’espressione di un valido consenso al trattamento dei dati personali. Tuttavia, il sistema delineato dal Regolamento si espone a contraddizioni, in quanto il minore potrebbe essere legittimato a disporre dei propri dati, ma non avere la capacità di agire in relazione al contratto connesso al trattamento. Le antinomie sono ancor più evidenti ove si consideri che nei vari Paesi sono diverse le regole in materia di capacità e che diverse sono le soglie di età per il trattamento dei dati. La normativa europea sulla protezione dei dati personali, quindi, rappresenta la base di partenza di un percorso di tutela dei dati dei minori nei cui confronti vi sono stati recenti interventi normativi e di indirizzo strategico internazionale ed europeo rappresentati, principalmente, dal Reg. UE 2022/2065 relativo a un mercato unico dei servizi digitali (del 19 ottobre 2022) (c.d. Digital Service Act), dal Commento generale n. 25 adottato dal Comitato delle Nazioni Unite sui diritti dell’Infanzia, dalla Dichiarazione europea sui principi digitali per un decennio digitale (del 23 gennaio 2023) e, da ultimo, anche dal Reg. UE 2024/1689 (del 13 giugno 2024) che stabilisce regole armonizzate sull’intelligenza artificiale (c.d. AI Act). Dal punto di vista squisitamente privatistico si pone, innanzitutto, il problema della coerenza logica e dogmatica tra capacità di agire e capacità di prestare il proprio consenso al trattamento dei dati personali. Verranno così esaminati con particolare attenzione i due temi del consenso del minore ai dati personali, e, di conseguenza, i temi della capacità dell’agire negoziale, da un lato, e dell’agire inerente i propri dati personali, dall’altro, il rapporto con l’asserita idea che il minore non sia in grado di stipulare contratti, ma sia in grado di “cedere” i propri dati, la propria identità, di mettersi a nudo davanti al mondo. L’esame dell’evoluzione della disciplina sui dati personali ha consentito di prendere atto che il diritto alla privacy, oggi, rispetto all’ultraquattordicenne (in Italia), si atteggia come diritto alla protezione dei dati personali di cui il medesimo “attribuisce” il diritto al trattamento in funzione dell’ottenimento del servizio e/o contenuto digitale nell’ambito dell’operazione di scambio dati/servizi in cui il dato costituisce la controprestazione a fronte del servizio offerto e, quindi, rispetto alla partecipazione all’attività economica prescritta dall’art. 8 del GDPR che, a sua volta, diventa strumentale alla realizzazione del diritto medesimo. Nella prospettiva della individuazione di adeguati strumenti di tutela civilistica, è stato fatto, altresì, riferimento alle ipotesi di diffusione illegittima di dati dei minori attuata da parte di terzi diversi dai genitori, richiamando i progetti di legge attualmente all’esame del Parlamento, che prescrivono sul punto un appropriato divieto di sfruttamento a fini di profitto dei dati personali dei minori raccolti a seguito di pubblicazione online da parte di utenti. Con riferimento, invece, all’ipotesi di interazione del minore con le società dell’informazione e, quindi, al contratto di scambio dati/servizi, l’indagine ha permesso di evidenziare che gli istituti principali attraverso i quali la normativa europea intende garantire la pienezza e l’autenticità della sua scelta contrattuale sono l’informativa, l’individuazione di adeguati strumenti di verifica dell’età, il diritto all’oblio, in tale contesto da intendersi come diritto alla cancellazione dei dati, l’imposizione di obblighi nei confronti dei titolari e/o responsabili del trattamento, ispirati a una maggiore responsabilizzazione e consapevolezza dei rischi derivanti da raccolte e trattamenti (i.e.: progettazione by design e principio della c.d. minimizzazione dei dati), unitamente agli strumenti di regolazione e coregolazione. La soft law, invero, assume un ruolo di rilievo a garanzia dell’effettività della protezione del minore nell’accesso al web. Quest’ultima, infatti, fornisce indicazioni circa le istanze di tutela che emergono nella materia del trattamento dei dati personali, anche dei minori, da parte delle società dell’informazione, così da supportare gli Stati nella gestione del fenomeno, e consente un adeguamento dei principi europei e nazionali in tale settore. E in merito all’interazione del minore con le società dell’informazione, il GDPR ha previsto la possibilità che i titolari e i responsabili del trattamento elaborino codici di condotta, anche in tema di informazione e meccanismi di verifica dell’età, così disciplinando le modalità dell’esercizio del diritto a trattare i dati personali con riferimento a detti strumenti di tutela preventiva, che si può ritenere rappresentino il nucleo fondamentale della normativa del GDPR medesimo in tema di protezione del minore rispetto alla tutela dei suoi dati. L’indagine, inoltre, ha permesso di evidenziare che è stata istituita dalla Commissione una Task force per l’individuazione di strumenti di verifica dell’età comuni a tutta l’UE, tramite la predisposizione di un codice di condotta in attuazione del DSA e in coerenza con la Direttiva sui servizi media audiovisivi e il GDPR. Sul tema, inoltre, si ricorda che in Italia è attualmente all’esame della Commissione uno schema di regolamento adottato dall’AGCOM che disciplina le modalità tecniche e di processo per l’accertamento della “maggiore età” degli utenti, in attuazione dell’art. 13-bis della legge di conversione del Decreto Caivano. Esso si riferisce non soltanto ai contenuti di carattere pornografico indicati dalla norma, ma è stato raccomandato anche rispetto a contenuti che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori, cui il minore non può accedere fino al raggiungimento dei 18 anni. In tema di sistemi di verifica dell’età, da ultimo, si rileva che l’attuale iniziativa del legislatore interno appare muoversi nella direzione di voler disciplinare tali sistemi di verifica anche con riferimento a servizi e/o contenuti a visione libera e, quindi, rispetto a quelli ai quali è previsto l’accesso del minore ultraquattordicenne (art. 8 GDPR). Un ruolo fondamentale, inoltre, è rappresentato dall’educazione, quale forma di tutela preventiva del minore, anche contraente, in ambito familiare, scolastico e nel mercato. Dal quadro sopra delineato, pertanto, emerge che l’ormai acquisito principio di una graduazione della capacità di agire del minore richiede anche una graduazione, in ragione delle diverse fasce di età, delle misure predisposte a tutela dello stesso, al fine di garantire un bilanciamento tra esigenze di tutela della persona e quelle del mercato dell’economia digitale. Tutti i superiori strumenti giuridici sono nuovi e sono ancora sottoposti al vaglio della comunità scientifica e accademica. In una prospettiva de iure condendo, dunque, le sfide future saranno volte a elaborare ulteriori strumenti di tutela che siano il più possibile flessibili, efficienti e adeguati alle questioni connesse al settore della tecnologia e agli sviluppi delle conoscenze in tale ambito, ma anche alla particolare delicatezza del soggetto che, sebbene in evoluzione, assume comunque il ruolo di attore nel mercato sopra delineato. Così che al riconoscimento in capo al minore della titolarità, sul piano sostanziale, del diritto alla protezione dei dati personali, corrisponda l’effettiva possibilità di esercitare quel diritto.
La tutela dei dati personali dei minori nel mondo digitale
BOMBACI, Barbara
2025-05-13
Abstract
Alla luce dei più recenti cambiamenti della realtà socio economica realizzati con l’avvento della rete e della diffusa fruibilità dell’accesso alle tecnologie digitali, il diritto interno ed europeo sono chiamati ad individuare rimedi e tecniche di tutela più adeguati per governare la complessità del fenomeno e degli interessi di varia natura ad esso sottesi. In questa prospettiva, un delicato settore di indagine è quello che riguarda la tutela della personalità dei minori nell’ambito del mondo digitale: soggetti vulnerabili, destinatari immediati e diretti di una gran parte dei servizi della società digitale dell’informazione con la quale si interfacciano quotidianamente e, non di rado, senza il filtro del controllo dell’adulto. Scopo dell’indagine è, quindi, quello di analizzare le questioni sottese al rapporto tra minori e nuove tecnologie, con particolare riferimento alla protezione dei dati personali degli stessi (quali soggetti interessati del trattamento), ed, altresì, di verificare se la risposta normativa predisposta dal legislatore europeo sia adeguata all’effettiva tutela del minore nel mercato digitale. In quest’ottica, le soluzioni individuate dal legislatore e dalla giurisprudenza non sono univoche in tal senso, anche tenuto conto delle esigenze di bilanciamento tra tutela delle persone e libera circolazione delle informazioni. Il Regolamento UE 2016/679 si è posto l’obiettivo di tutelare i più giovani nei contesti virtuali ove risultano maggiormente esposti a causa di una minore consapevolezza dei rischi insiti nella rete, distinguendo tra il trattamento dati dei minori e quello dei soggetti adulti. Il cuore della disciplina in tema di tutela dei minori è contenuto nell’art. 8 del Regolamento. Esso prevede la validità giuridica del trattamento dei dati personali effettuato dai social networks e da altre società che operano nell’ambito dei servizi offerti dalle società dell’informazione, ma mantiene ferme le regole in materia di incapacità di agire del minore in relazione ad altri contratti. Al di fuori dei servizi offerti dalle società di informazione, permane, quindi, il limite generale dei 18 anni previsto dall’ordinamento per l’espressione di un valido consenso al trattamento dei dati personali. Tuttavia, il sistema delineato dal Regolamento si espone a contraddizioni, in quanto il minore potrebbe essere legittimato a disporre dei propri dati, ma non avere la capacità di agire in relazione al contratto connesso al trattamento. Le antinomie sono ancor più evidenti ove si consideri che nei vari Paesi sono diverse le regole in materia di capacità e che diverse sono le soglie di età per il trattamento dei dati. La normativa europea sulla protezione dei dati personali, quindi, rappresenta la base di partenza di un percorso di tutela dei dati dei minori nei cui confronti vi sono stati recenti interventi normativi e di indirizzo strategico internazionale ed europeo rappresentati, principalmente, dal Reg. UE 2022/2065 relativo a un mercato unico dei servizi digitali (del 19 ottobre 2022) (c.d. Digital Service Act), dal Commento generale n. 25 adottato dal Comitato delle Nazioni Unite sui diritti dell’Infanzia, dalla Dichiarazione europea sui principi digitali per un decennio digitale (del 23 gennaio 2023) e, da ultimo, anche dal Reg. UE 2024/1689 (del 13 giugno 2024) che stabilisce regole armonizzate sull’intelligenza artificiale (c.d. AI Act). Dal punto di vista squisitamente privatistico si pone, innanzitutto, il problema della coerenza logica e dogmatica tra capacità di agire e capacità di prestare il proprio consenso al trattamento dei dati personali. Verranno così esaminati con particolare attenzione i due temi del consenso del minore ai dati personali, e, di conseguenza, i temi della capacità dell’agire negoziale, da un lato, e dell’agire inerente i propri dati personali, dall’altro, il rapporto con l’asserita idea che il minore non sia in grado di stipulare contratti, ma sia in grado di “cedere” i propri dati, la propria identità, di mettersi a nudo davanti al mondo. L’esame dell’evoluzione della disciplina sui dati personali ha consentito di prendere atto che il diritto alla privacy, oggi, rispetto all’ultraquattordicenne (in Italia), si atteggia come diritto alla protezione dei dati personali di cui il medesimo “attribuisce” il diritto al trattamento in funzione dell’ottenimento del servizio e/o contenuto digitale nell’ambito dell’operazione di scambio dati/servizi in cui il dato costituisce la controprestazione a fronte del servizio offerto e, quindi, rispetto alla partecipazione all’attività economica prescritta dall’art. 8 del GDPR che, a sua volta, diventa strumentale alla realizzazione del diritto medesimo. Nella prospettiva della individuazione di adeguati strumenti di tutela civilistica, è stato fatto, altresì, riferimento alle ipotesi di diffusione illegittima di dati dei minori attuata da parte di terzi diversi dai genitori, richiamando i progetti di legge attualmente all’esame del Parlamento, che prescrivono sul punto un appropriato divieto di sfruttamento a fini di profitto dei dati personali dei minori raccolti a seguito di pubblicazione online da parte di utenti. Con riferimento, invece, all’ipotesi di interazione del minore con le società dell’informazione e, quindi, al contratto di scambio dati/servizi, l’indagine ha permesso di evidenziare che gli istituti principali attraverso i quali la normativa europea intende garantire la pienezza e l’autenticità della sua scelta contrattuale sono l’informativa, l’individuazione di adeguati strumenti di verifica dell’età, il diritto all’oblio, in tale contesto da intendersi come diritto alla cancellazione dei dati, l’imposizione di obblighi nei confronti dei titolari e/o responsabili del trattamento, ispirati a una maggiore responsabilizzazione e consapevolezza dei rischi derivanti da raccolte e trattamenti (i.e.: progettazione by design e principio della c.d. minimizzazione dei dati), unitamente agli strumenti di regolazione e coregolazione. La soft law, invero, assume un ruolo di rilievo a garanzia dell’effettività della protezione del minore nell’accesso al web. Quest’ultima, infatti, fornisce indicazioni circa le istanze di tutela che emergono nella materia del trattamento dei dati personali, anche dei minori, da parte delle società dell’informazione, così da supportare gli Stati nella gestione del fenomeno, e consente un adeguamento dei principi europei e nazionali in tale settore. E in merito all’interazione del minore con le società dell’informazione, il GDPR ha previsto la possibilità che i titolari e i responsabili del trattamento elaborino codici di condotta, anche in tema di informazione e meccanismi di verifica dell’età, così disciplinando le modalità dell’esercizio del diritto a trattare i dati personali con riferimento a detti strumenti di tutela preventiva, che si può ritenere rappresentino il nucleo fondamentale della normativa del GDPR medesimo in tema di protezione del minore rispetto alla tutela dei suoi dati. L’indagine, inoltre, ha permesso di evidenziare che è stata istituita dalla Commissione una Task force per l’individuazione di strumenti di verifica dell’età comuni a tutta l’UE, tramite la predisposizione di un codice di condotta in attuazione del DSA e in coerenza con la Direttiva sui servizi media audiovisivi e il GDPR. Sul tema, inoltre, si ricorda che in Italia è attualmente all’esame della Commissione uno schema di regolamento adottato dall’AGCOM che disciplina le modalità tecniche e di processo per l’accertamento della “maggiore età” degli utenti, in attuazione dell’art. 13-bis della legge di conversione del Decreto Caivano. Esso si riferisce non soltanto ai contenuti di carattere pornografico indicati dalla norma, ma è stato raccomandato anche rispetto a contenuti che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori, cui il minore non può accedere fino al raggiungimento dei 18 anni. In tema di sistemi di verifica dell’età, da ultimo, si rileva che l’attuale iniziativa del legislatore interno appare muoversi nella direzione di voler disciplinare tali sistemi di verifica anche con riferimento a servizi e/o contenuti a visione libera e, quindi, rispetto a quelli ai quali è previsto l’accesso del minore ultraquattordicenne (art. 8 GDPR). Un ruolo fondamentale, inoltre, è rappresentato dall’educazione, quale forma di tutela preventiva del minore, anche contraente, in ambito familiare, scolastico e nel mercato. Dal quadro sopra delineato, pertanto, emerge che l’ormai acquisito principio di una graduazione della capacità di agire del minore richiede anche una graduazione, in ragione delle diverse fasce di età, delle misure predisposte a tutela dello stesso, al fine di garantire un bilanciamento tra esigenze di tutela della persona e quelle del mercato dell’economia digitale. Tutti i superiori strumenti giuridici sono nuovi e sono ancora sottoposti al vaglio della comunità scientifica e accademica. In una prospettiva de iure condendo, dunque, le sfide future saranno volte a elaborare ulteriori strumenti di tutela che siano il più possibile flessibili, efficienti e adeguati alle questioni connesse al settore della tecnologia e agli sviluppi delle conoscenze in tale ambito, ma anche alla particolare delicatezza del soggetto che, sebbene in evoluzione, assume comunque il ruolo di attore nel mercato sopra delineato. Così che al riconoscimento in capo al minore della titolarità, sul piano sostanziale, del diritto alla protezione dei dati personali, corrisponda l’effettiva possibilità di esercitare quel diritto.Pubblicazioni consigliate
I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
