Il consenso al trattamento dei dati del minore per i servizi online

Il trattamento di dati comuni di soggetti minori (tra i quali, pertanto, non rientrano le categorie particolari di dati indicate dall'art. 9 GDPR) che sia basato sul consenso, è disciplinato dall'art. 2-quinquies  d.lgs. n. 196/2003 (“Codice Privacy”). Tale articolo rubricato “consenso del minore in relazione ai servizi della società dell'informazione” attua l'art. 8, par. 1 GDPR ed è stato introdotto dall'art. 2, comma 1, lett. f) d.lgs. n. 101/2018.

Secondo l'art. 2-quinquies, comma 1, il minore che abbia compiuto 14 anni può esprimere il consenso al trattamento dei propri dati personali “in relazione all'offerta diretta di servizi della società dell'informazione” mentre, sempre con riguardo a tali servizi e sempre per i trattamenti rientranti nell'art. 6, par. 1, lett. a) GDPR, il trattamento di dati personali del minore di età inferiore ai 14 anni è lecito se fondato sul consenso prestato da chi esercita la responsabilità genitoriale.

La norma sopra richiamata introduce, quindi, un doppio regime (come l'art. 8 GDPR) per la prestazione del consenso c.d. “digitale”, variabile a seconda dell'età del soggetto minore:

• gli ultra quattordicenni – nel caso di offerta diretta di servizi della società dell'informazione – possono prestare direttamente il loro consenso informato al trattamento;
• i minori di quattordici anni, invece, con riguardo ai medesimi servizi di cui sopra, necessitano di un consenso prestato da chi esercita la responsabilità genitoriale, nel rispetto di quelle che sono le disposizioni codicistiche (artt. 2,316 e 317 c.c., secondo cui la responsabilità è esercitata da entrambi i genitori, salvo casi di impedimento).

Pertanto, se in linea generale per il trattamento di dati personali di minori occorre il consenso degli esercenti la responsabilità genitoriale, in via d'eccezione per i soli trattamenti di dati comuni concernenti l'offerta diretta di servizi della società dell'informazione (art. 8 GDPR e art. 2-quinquies Codice Privacy) il consenso può essere reso direttamente dal minore (per l'Italia, dal minore quattordicenne): al di fuori di tali casi il consenso torna a dover essere manifestato dai genitori.

In ogni caso, per i servizi di prevenzione o consulenza direttamente forniti al minore (es. servizi online a tutela dell'infanzia, come Telefono Azzurro) il consenso del genitore non è richiesto (si veda il Considerando 38 GDPR).

L'art. 2-quinquies si applica, infatti, solo all'offerta diretta dei servizi della società dell'informazione, ossia quei servizi prestati “normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi” (art. 1, par. 1, lett. b) Direttiva 2015/1535/UE): estensivamente, secondo la dottrina, nel novero di tali servizi, rientrerebbero anche i social network, i giochi online, i servizi di messaggistica istantanea e sarebbero ricompresi anche i trattamenti effettuati mediante cookie.

Inoltre tali servizi devono essere resi mediante “offerta diretta” ai minori: anche tale inciso è interpretato in termini estensivi, facendovi rientrare, quindi, tutti i servizi che, anche solo potenzialmente, sono destinati ai minori.

Il secondo comma dell'art. 2-quinquies statuisce che “al fine di rendere significativo il consenso” del minore il titolare del trattamento deve rendere un'informativa che sia chiara, semplice e facilmente accessibile (si vedano, art. 12 e Considerando 58 GDPR). Pur nel caso di consenso prestato dal genitore, comunque, il diritto alla trasparenza e alla chiarezza, stante il suo carattere di “diritto permanente” non viene meno (Linee Guida in materia di trasparenza, WP29): il minore non perde quindi tale diritto per il semplice fatto che il consenso sia stato prestato dal responsabile genitoriale.

Da un punto di vista pratico, qualora si rientri nei casi di cui all'art. 2-quinquies, gli operatori economici devono verificare con ragionevole certezza l'età del soggetto interessato (si vedano, in tal senso, i Provvedimenti del Garante per la protezione dei dati personali nei confronti di TikTok, 22 gennaio 2021 [doc. web n. 9524194] e 7 luglio 2022 [doc. web n. 9788429]) e, tale verifica deve tener conto del rischio inerente al trattamento.

Per i casi di basso rischio potrebbe ritenersi valida un'autodichiarazione dell'interessato ma, se quest'ultimo afferma di aver raggiunto l'età per il consenso digitale, il titolare del trattamento nel rispetto del principio di accountability e di minimizzazione, dovrà verificare la veridicità di tale dichiarazione, con adeguati meccanismi. Nei casi ad alto rischio potrebbe essere opportuno chiedere ulteriori prove per consentire al titolare del trattamento di rispettare le disposizioni dell'art. 7 GDPR (es. pagamento mediante carta di credito di una modesta somma, per verificare l'identità dell'intestatario del sistema di pagamento; conferma telefonica dell'identità; invio di un questionario con domande cui potrebbe rispondere solo il genitore ecc.), pur prestando attenzione a non adottare tecniche troppo “invasive”.

Da ultimo si precisa come la norma non incide sulla validità del contratto sottostante il servizio della società dell'informazione che, quindi, resta regolato dalla disciplina nazionale di riferimento (doppio binario: per i contratti online l'infra-quattordicenne può prestare validamente il consenso al trattamento dei dati ma, per concludere validamente un contratto, è comunque richiesta l'interposizione dei genitori).