Il curatore speciale del minore e l’applicazione della normativa privacy

Il quadro normativo

Il curatore speciale è una figura essenziale per garantire che i diritti del minore siano adeguatamente rappresentati, soprattutto in situazioni complesse o conflittuali (come procedimenti di separazione, affidamento, decadenza dalla responsabilità genitoriale, o cause patrimoniali). In sintesi, il curatore speciale è una figura di garanzia per tutelare i minori in contesti giudiziari, assicurando che le decisioni prese siano nel loro migliore interesse.

Per comprenderne appieno le implicazioni in materia di privacy, legate ai compiti e ai ruoli del curatore speciale, è necessario esaminare prima la disciplina generale che regola questa figura. Solo attraverso un'analisi delle sue funzioni, dei poteri conferiti e delle responsabilità connesse al suo mandato sarà possibile inquadrare le più delicate questioni di trattamento dei dati personali che ne derivano. Questa prima disamina consente di comprendere come la gestione delle informazioni, spesso particolarmente delicate, sia strettamente legata alla tutela dei diritti del minore e all'interesse superiore che il curatore è chiamato a rappresentare.

La disciplina civilistica di tale figura si rinviene soprattutto negli artt. 78-80 c.p.c., ovvero:

• trattasi di soggetto nominato – su richiesta delle parti o d'ufficio - per rappresentare un minore in procedimenti giudiziari, quando i suoi interessi potrebbero entrare in conflitto con quelli dei genitori o di altri rappresentanti legali, oppure quando i rappresentanti legali non possono o non vogliono agire in sua difesa;
• ai sensi dell'art. 78 c.p.c., la nomina di un curatore speciale è disposta nei casi di legge, ovvero: conflitto di interessi tra il minore e i suoi genitori (o altri rappresentanti legali); mancanza di rappresentanza adeguata del minore nei procedimenti giudiziari, in situazioni in cui i genitori siano assenti, incapaci o inadempienti, in casi di urgenza; altri casi previsti dalla normativa, quando è necessaria una protezione autonoma degli interessi del minore.

Il curatore speciale agisce come rappresentante autonomo del minore e ha il compito di rappresentarlo nei procedimenti giudiziari, proteggerne gli interessi (opponendosi ad atti o decisioni che possano danneggiarlo), prendere decisioni in nome e per conto del minore (limitatamente al procedimento giudiziario in cui è nominato)- in definitiva, garantisce che la volontà e il benessere del minore siano al centro delle decisioni giudiziarie.

La nomina è disposta dal giudice competente e specifica i limiti e l'ambito dei poteri del curatore. Inoltre l'art. 80 c.p.c. regola i casi in cui il curatore speciale può essere sostituito o revocato, per es. per inadempienza o conflitto di interessi.

La l. 149/2001 ha introdotto poi il quarto comma all'art. 336 c.c., istituendo la difesa tecnica per il minore e per tutti i soggetti coinvolti nei procedimenti riguardanti la responsabilità genitoriale (decadenza e limitazione) e la dichiarazione di adottabilità. Nella prassi sono stati frequentemente nominati come curatori avvocati disponibili ad assumere l'incarico, con modalità diverse a livello territoriale per la formazione degli elenchi dedicati.

La figura del curatore così istituita ha subito importanti aggiornamenti normativi, con la c.d. Riforma Cartabia del processo civile (attuata con d.lgs. 149/2022, entrato in vigore il 28 febbraio 2023). Questa novella ha colmato una lacuna perdurante nell'ordinamento italiano, rafforzando il ruolo del curatore e precisandone le competenze, sia processuali che sostanziali. Strutturandone in modo più dettagliato la figura, ha ampliato i poteri conferiti, garantendo una maggiore tutela dei diritti del minore nei procedimenti giudiziari.

Ora ai sensi degli artt. 78, 473-bis.7 e 473-bis.8 c.p.c., il curatore speciale è chiamato a rappresentare il superiore interesse del minore in procedimenti complessi, richiedendo un'approfondita valutazione prognostica e dinamica delle sue esigenze, spesso in collaborazione con reti sociali e familiari.

Il suo compito principale è di dare voce alle volontà e ai migliori interessi del minore. Si pensi al dover garantire al minore di poter esprimere la sua opinione, la propria identità (per es. orientamento sessuale, origine nazionale, religione, ecc.). Oltre a doversi tener conto dell'ambiente familiare e del mantenimento dei rapporti con membri della famiglia biologica, adottiva o affidataria, oltre che dei membri della famiglia “allargata”. Il curatore deve altresì garantire le cure, la protezione della sicurezza del minore (specie in situazioni di vulnerabilità), nonché i diritti fondamentali della salute e dell'istruzione.

Gli artt. 473-bis.7 e 473-bis.8 c.p.c. illustrano diversi casi in cui è obbligatoria la nomina del curatore, per es. in caso di dichiarazione di stato di abbandono del minore. La nomina è invece facoltativa quando i genitori sono temporaneamente inadeguati a rappresentare gli interessi del minore per gravi ragioni. Inoltre ora può essere lo stesso minore (di almeno 14 anni) a poter richiedere la nomina del curatore.

La riforma ha infine ampliato i poteri del curatore, con rappresentanza sia processuale che sostanziale, per es. in caso di intervento per la risoluzione di conflitti in caso di affidamento.

Non possiamo non accennare al fatto che molto spesso il curatore sia un avvocato, pertanto vincolato al rispetto delle relative norme professionali e deontologiche: il Codice Deontologico Forense sottolinea la centralità del segreto professionale e della riservatezza (v. artt. 13, 18 e 28). L'avvocato è infatti vincolato a mantenere il massimo riserbo su tutte le informazioni apprese nell'ambito della sua attività professionale, sia in giudizio che in sede stragiudiziale, anche dopo la conclusione del mandato. Questo obbligo si estende specificamente ai minori, per i quali l'avvocato deve assicurare l'anonimato, soprattutto nei rapporti con i media, nel rispetto del superiore interesse del minore. Gli obblighi di riservatezza si intrecciano e sovrappongono strettamente e proprio con quelli di protezione dei dati personali, come vedremo.

Il trattamento dei dati personali da parte del curatore, casi d'uso

Il curatore speciale del minore, nel suo ruolo, è pienamente soggetto alle disposizioni del GDPR (Regolamento (UE) 2016/679) e del Codice Privacy nazionale (d.lgs. 196/2003), in qualità di titolare del trattamento dei dati personali. Questo inquadramento deriva dal fatto che il curatore, nello svolgimento delle sue attività professionali, decide autonomamente le finalità e i mezzi del trattamento dei dati personali del minore, dei familiari e di altri soggetti coinvolti nel procedimento. La sua posizione come titolare implica la piena responsabilità per la gestione, la sicurezza e la protezione dei dati, secondo i principi fondamentali del GDPR. Essendo un professionista, non può considerarsi il suo trattamento dei dati come un'attività occasionale o accessoria, bensì quale parte integrante e centrale delle sue funzioni. Infatti tratta – potenzialmente - dati particolari e giudiziari, sia di minori che terzi, spesso in contesti di alta sensibilità, come procedimenti di affidamento, decadenza della responsabilità genitoriale o dichiarazioni di adottabilità. Questo trattamento richiede una rigorosa applicazione dei principi di liceità, correttezza e trasparenza, nonché il rispetto delle misure tecniche e organizzative previste dal GDPR.

Oltre a comportare la tenuta di un registro delle attività di trattamento (art. 30 GDPR): questo obbligo deriva direttamente dalla natura delle sue attività (sistematiche, continuative) e che non possono rientrare nelle eccezioni previste dall'art. 30.5 GDPR (per i casi in cui la tenuta del registro non è richiesta: difatti le eccezioni  ivi previste si applicano esclusivamente ai titolari o responsabili che effettuano trattamenti occasionali, oltre che in assenza di dati particolari o giudiziari, nonché di rischi per i diritti e le libertà degli interessati).

Nello svolgimento del proprio mandato, il curatore speciale si trova inevitabilmente a raccogliere e trattare dati personali del minore, inclusi quelli particolari ex art. 9 GDPR nonché, se del caso, anche quelli giudiziari penali ex  art. 10 GDPR. Questo solleva interrogativi su come conformarsi al GDPR che richiede, tra l'altro, l'attenta scelta di rigide basi giuridiche e finalità per il trattamento dei dati, soprattutto quando si tratta di soggetti vulnerabili. Nonostante l'importanza del ruolo del curatore speciale, l'attuale normativa non fornisce indicazioni specifiche su come affrontare tali obblighi in modo pratico, lasciando spazio a incertezze interpretative e a rischi di non conformità.

Possiamo ipotizzare alcune fattispecie tipiche di attività del curatore, come prefigurate dalle norme civilistiche, con relativi profili potenziali di trattamento dei dati personali:

1. raccolta di informazioni sul minore: il curatore speciale deve acquisire una vasta gamma di informazioni relative al minore per rappresentarlo efficacemente. Queste informazioni possono includere informazioni anagrafiche (es. nome, cognome, data di nascita, residenza), stato di salute fisica e mentale, condizioni familiari (es. relazioni con i genitori o familiari, conflitti, situazioni di abuso o trascuratezza) e dati scolastici (es. rendimento, rapporti con docenti e compagni). Questa fase comporta un trattamento di dati particolari ex art. 9 GDPR, in particolare quelli sanitari e relativi a situazioni personali delicate;
2. comunicazioni con enti e professionisti: per svolgere il suo compito, il curatore può dover interagire con una serie di soggetti, tra cui enti e professionisti coinvolti: includono servizi sociali e assistenti sociali, istituzioni scolastiche, strutture sanitarie o mediche, e professionisti specializzati, come psicologi, pedagogisti e altri esperti, che collaborano per valutare e supportare il minore nei procedimenti giudiziari. Queste comunicazioni possono comportare lo scambio di dati personali e sensibili del minore e dei familiari. È quindi fondamentale che il curatore garantisca il rispetto dei principi di minimizzazione dei dati (trattando e condividendo solo le informazioni strettamente necessarie per le finalità specifiche del caso, evitando dettagli superflui o eccedenti rispetto agli scopi) e di sicurezza delle informazioni (adottando misure tecniche e organizzative adeguate, come la crittografia per le trasmissioni digitali, la riservatezza nelle comunicazioni verbali e scritte e l'accesso limitato ai soli soggetti autorizzati);
3. accesso agli atti processuali: il curatore ha diritto di accedere a tutti gli atti processuali relativi al minore. Questi atti possono contenere dati processuali e familiari: comprendono dati giudiziari civili e/o penali (es. provvedimenti, testimonianze, relazioni peritali) e informazioni relative a terzi, come i genitori o i tutori legali, rilevanti per il caso del minore. Il trattamento di questi dati richiede una gestione particolarmente attenta, considerando la loro natura spesso delicata e la necessità di rispettare altresì la riservatezza processuale;
4. redazione di memorie e istanze: nell'esercizio del suo ruolo, il curatore è chiamato a redigere documenti legali che possono includere valutazioni del caso, includendo analisi della situazione familiare e del minore, relazioni sulle condizioni di vita e proposte di soluzioni mirate a garantire la tutela e il miglior interesse del minore. Questi documenti contengono dati personali che devono essere trattati in conformità con i principi di liceità, correttezza e trasparenza previsti dal GDPR;
5. ascolto del minore: il curatore è spesso chiamato a svolgere l'ascolto del minore, raccogliendo dichiarazioni che possono rivelare dati personali e preferenze del minore, comprendendo situazioni di abuso o trascuratezza, opinioni personali sulle relazioni familiari e preferenze riguardo all'affidamento o altre decisioni giudiziarie, utili per rappresentarne al meglio gli interessi. Questa attività comporta il trattamento di dati particolarmente sensibili (sia particolari che ad alto rischio) e che devono essere protetti con misure tecniche e organizzative adeguate;
6. interazione con il giudice e altre parti: il curatore speciale deve rappresentare il minore nei procedimenti giudiziari, interagendo con i soggetti giuridici coinvolti, ovvero giudici e uffici giudiziari, avvocati delle altre parti e altri curatori o tutori, che partecipano ai procedimenti legali relativi al minore. In queste interazioni, il curatore può condividere dati personali del minore e dei suoi familiari, nel rispetto del principio di minimizzazione e stretta necessità;
7. conservazione e archiviazione di dati e documenti: i dati raccolti dal curatore devono essere conservati in modo sicuro per tutto il tempo necessario allo svolgimento del mandato. La gestione della documentazione richiede la protezione fisica di dati e documenti, come fascicoli cartacei, oltre alla idonea sicurezza dei dati digitali, con misure già accennate in precedenza.

Gli adempimenti GDPR chiave del curatore, la criticità delle basi giuridiche

Presentati alcuni scenari senza pretesa di esaustività si può comunque fare una breve cernita dei principali adempimenti dovuti in ambito data protection. Precisato che - caso per caso - potrebbero darsi mille particolarità da soppesare, ben ardue da prevedere in anticipo, e che potrebbero mutare le priorità e gli adempimenti effettivamente dovuti.

Si parte dal presupposto che possiamo avere diverse criticità legate alla natura particolarmente “sensibile”, di alto rischio potenziale delle informazioni gestite e al delicato contesto in cui queste vengono raccolte e utilizzate. Le principali aree di rischio e le relative disposizioni del GDPR da rispettare richiedono preventiva valutazione e adeguato assetto di tutela, per evitare violazioni e garantire una tutela adeguata dei diritti coinvolti.

A premessa, sottolineiamo che la chiave applicativa della normativa in parola è quella dell'accountability - cioè la responsabilizzazione del titolare del trattamento, che deve sia rispettare le norme del GDPR che essere in grado di dimostrare in ogni momento la propria conformità. Questo principio richiede un approccio proattivo, in cui il titolare (in questo caso il curatore speciale) deve adottare misure tecniche e organizzative adeguate per garantire la protezione dei dati personali, documentare le scelte compiute e i criteri seguiti, e valutare costantemente i rischi associati ai trattamenti effettuati.

L'accountability implica anche la trasparenza nei confronti degli interessati e delle autorità competenti, assicurando che ogni trattamento sia giustificato da una base giuridica valida e accompagnato da strumenti che ne attestino la regolarità, come informative chiare, registri delle attività di trattamento e, ove richiesto, valutazioni d'impatto sulla protezione dei dati (DPIA). Questo approccio sposta il focus dal semplice rispetto formale delle regole a una gestione attiva e responsabile della protezione dei dati personali.

Venendo ai dati da trattare e sottoporre a tali misure, abbiamo enfatizzato come quelli di maggior tutela saranno anzitutto quelli “particolari” - come informazioni sanitarie, dettagli sulla vita familiare e sociale del minore (per es. referti e diagnosi mediche, anche psicologiche, su conflitti, abusi, ecc.; altri potrebbero riguardare convinzioni politiche e religiose, origini etniche e razziali, orientamenti sessuali) - nonché dati giudiziari relativi a provvedimenti o indagini penali. È cruciale garantire che tali dati siano raccolti e utilizzati solo per scopi strettamente legati al mandato del curatore, utilizzando basi giuridiche valide (v. gli artt. 6,9 e 10 GDPR), come obblighi legali o interessi pubblici rilevanti (per cui si vedano anche gli articoli pertinenti del Codice privacy nazionale, come l'art. 2-sexies, che disciplina il trattamento di dati particolari per finalità di interesse pubblico rilevante, e l'art. 2-octies, specifico per i dati relativi a condanne penali e reati - tali disposizioni stabiliscono che il trattamento debba essere strettamente funzionale alle finalità previste dalla legge, escludendo ogni utilizzo eccedente o non correlato). Al netto di queste due categorie di massima attenzione, potrebbero necessitare di altrettanta attenzione dati “comuni” ad alto rischio, per es. i dati sul rendimento scolastico, dati economici e patrimoniali oppure quelli giudiziari civili.

Per ogni categoria di dati, va ragionata la base giuridica – alla luce delle finalità specifiche – più pertinente per il singolo trattamento. Più precisamente, l'art. 6 GDPR individua le basi giuridiche generali per il trattamento dei dati, tra cui potranno essere pertinenti l'adempimento di un obbligo legale (art. 6, par. 1, lett. c) e l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (art. 6, par. 1, lett. e). Per i dati particolari, invece, l'art. 9 GDPR consente il trattamento solo in presenza di condizioni aggiuntive, come la necessità di protezione di interessi vitali o per finalità connesse a obblighi legali o amministrativi, purché previste dal diritto dell'Unione o degli Stati membri. La disciplina dei dati giudiziari penali si colloca nell'ambito dell'art. 10 GDPR, che richiede una base normativa specifica per tali trattamenti. In Italia, il già citato art. 2-octies del Codice Privacy prevede che i dati relativi a condanne penali o reati possano essere trattati solo se autorizzati da una norma di legge o da un regolamento che ne specifichi le finalità, e solo da soggetti competenti, come il curatore speciale, nell'ambito delle sue funzioni.

Esempi pratici di uso pertinente delle varie basi sono numerosi:

• quale adempimento di un obbligo legale (art. 6, par. 1, lett. c) GDPR) potrebbe rientrare il caso del curatore nominato per rappresentare il minore in un procedimento di decadenza della responsabilità genitoriale. In tale contesto, il tribunale richiede al curatore di produrre una relazione dettagliata sulla situazione familiare, includendo dati sui rapporti conflittuali tra i genitori e i potenziali effetti sul minore. La raccolta e il trattamento di queste informazioni avvengono per adempiere a un obbligo legale specifico, della normativa nazionale, che assegna al curatore il compito di tutelare gli interessi del minore;
• altra base invocabile è quella dell'esecuzione di un compito di interesse pubblico (art. 6, par. 1, lett. e) GDPR), come potrebbe accadere durante un procedimento di affidamento: il curatore raccoglie dati dai servizi sociali e da esperti psicologici per proporre una soluzione che garantisca il benessere del minore. Il trattamento dei dati familiari e delle valutazioni psicologiche si potrebbe configurare come necessario per eseguire un compito connesso all'interesse pubblico, ovvero assicurare che le decisioni del giudice si basino su informazioni accurate e complete riguardanti il minore;
• ancora, il trattamento di dati particolari per obblighi legali (9, par. 2, lett. b) GDPR) si potrebbe ipotizzare quando curatore si trova a dover accedere a informazioni mediche del minore, come un referto psichiatrico, per supportare una richiesta di affidamento speciale. La raccolta di questi dati sanitari è giustificata dall'obbligo legale di garantire che il giudice disponga di tutte le informazioni necessarie per proteggere gli interessi del minore. In base alla normativa italiana, il trattamento sarebbe consentito perché previsto da una disposizione che attribuisce tali responsabilità al curatore;
• non escludibile è il caso della protezione di interessi vitali del minore (9, par. 2, lett. c) GDPR, come potrebbe darsi in una situazione di emergenza, di concreto e immediato pericolo per la persona. Per es. se il minore è stato allontanato dalla famiglia per rischio di violenza domestica: il curatore raccoglie rapidamente informazioni dai servizi sociali e dagli operatori sanitari per assicurarsi che il minore riceva assistenza immediata e protezione. In questo caso, il trattamento dei dati particolari del minore potrebbe dirsi necessario per tutelare un interesse vitale: la sua sicurezza e incolumità;
• sempre sui dati particolari, va menzionato altresì che potrebbero trovare applicazione le autorizzazioni generali del Garante, in particolare la n. 3/2016 sul trattamento di dati particolari da parte di liberi professionisti (come il curatore), con relative prescrizioni (specie sulle misure di sicurezza). Tale autorizzazione consente il trattamento dei dati particolari esclusivamente nei limiti di quanto necessario per l'adempimento di obblighi di legge o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria - in conformità a quanto previsto dalla normativa nazionale e unionale;
• infine il trattamento di dati giudiziari e penali (art. 10 GDPR) può avvenire quando il curatore - nel rappresentare un minore in un procedimento penale contro un genitore accusato di abuso - raccoglie informazioni dai fascicoli giudiziari, comprese le testimonianze del minore e le indagini delle forze dell'ordine. Il trattamento di tali dati giudiziari potrebbe dirsi in conformità con l'art. 10 GDPR e l'art. 2-octies del Codice Privacy che autorizzano tale attività nell'ambito di finalità di giustizia e su base normativa specifica;
• circa il consenso come base (artt. 6, par. 1, lett. a) GDPR e 9, par. 2, lett. a) GDPR), ricordiamo che il GDPR prevede all'art. 8 che, per il trattamento dei dati personali dei minori nell'ambito dell'offerta diretta di servizi della società dell'informazione (per es. iscrizione a social network o app), sia necessario il consenso del minore solo se ha almeno 16 anni (14 anni in Italia ai sensi dell'art. 2-quinqieus del Codice Privacy), diversamente, il consenso deve essere fornito o autorizzato dal titolare della responsabilità genitoriale; questa disposizione non si applica nel caso in esame poiché il trattamento dei dati non avviene nell'ambito dei servizi della società dell'informazione ma è legato a finalità giudiziarie e di tutela legale.

Al netto di queste precisazioni, l'uso del consenso potrebbe nondimeno essere richiesto, in casi specifici, direttamente al minore: pensiamo all'ipotesi dell'ascolto volontario del minore stesso, o per acquisire l'autorizzazione a trattamenti psicologici o terapeutici non strettamente connessi al procedimento giudiziario. In tali situazioni il curatore potrebbe ritenere opportuno raccogliere il consenso del minore per garantire trasparenza e rispetto della volontà del soggetto coinvolto, specialmente quando il minore ha raggiunto un grado di maturità tale da essere in grado di esprimere consapevolmente le proprie preferenze. Questo approccio può rafforzare la fiducia del minore nel processo e allineare l'operato del curatore ai principi etici e di tutela previsti dalla normativa.

Sottesa a queste valutazioni correrà l'applicazione del principio di minimizzazione, centrale in questo contesto. Tale principio, sancito dall'art. 5.1 lett. c) GDPR, impone che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono raccolti. In pratica, il curatore deve:

1. valutare attentamente quali dati siano indispensabili per il perseguimento delle finalità specifiche del procedimento giudiziario o amministrativo;
2. evitare la raccolta o l'utilizzo di dati non strettamente pertinenti, specie quando tali dati siano accessibili nel contesto dell'incarico;
3. assicurare che i dati siano trattati in modo proporzionato, per es. omettendo informazioni superflue nelle comunicazioni con terzi o nei documenti ufficiali.

Un esempio pratico di applicazione del principio di minimizzazione si ha nell'ambito della raccolta di dati sanitari del minore. Se il procedimento richiede una valutazione psicologica, il curatore dovrebbe limitarsi a richiedere il rapporto clinico specifico, evitando di accedere a cartelle cliniche complete o ad altre informazioni sanitarie non pertinenti. Analogamente, per i dati giudiziari, il curatore dovrebbe raccogliere solo quei provvedimenti o elementi probatori strettamente rilevanti per il caso, escludendo documenti (o parti di documenti) che possano contenere informazioni su reati o procedimenti non rilevanti per l'interesse del minore.

Per capire quando il dato sia rilevante per tale interesse, il curatore deve valutare attentamente il collegamento diretto tra l'informazione e l'obiettivo del procedimento in corso. Questo significa considerare se il dato in questione contribuisce effettivamente a tutelare i diritti del minore o a supportare una decisione giudiziaria che incida sul suo benessere o sulle sue condizioni di vita. Se, poniamo caso, il procedimento riguarda l'affidamento del minore, saranno rilevanti solo quei dati che offrono elementi concreti sulla capacità genitoriale o sull'ambiente familiare, escludendo informazioni che non incidano direttamente sulla decisione del giudice.

Il curatore deve inoltre applicare criteri di proporzionalità, evitando di richiedere dati eccessivi rispetto alla specifica finalità del trattamento. Ciò comporta una collaborazione mirata con gli altri professionisti coinvolti come psicologi o assistenti sociali, per identificare le informazioni essenziali e definire chiaramente quali documenti o elementi probatori siano necessari. In caso di dubbio il curatore dovrebbe optare per un approccio prudente, richiedendo solo ciò che è strettamente indispensabile e documentare le ragioni della selezione dei dati raccolti, a garanzia del rispetto del principio di minimizzazione e della tutela della riservatezza del minore.

L'informativa privacy al minore

Va da sé che quanto sopra, specie quanto a dati trattati, finalità e basi giuridiche, sarà di interesse precipuo per la redazione dell'informativa dovuta ex artt. 13 e 14 GDPR da parte del curatore, in quanto titolare dei dati, ai vari soggetti interessati coinvolti, a partire dal minore. Difatti il considerando 38 GDPR recita proprio che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.

Minori di cui si dovrà considerare la vulnerabilità, l'età e la capacità di comprensione: l'informativa deve essere adattata al caso specifico, adottando un approccio inclusivo e personalizzato per aversi compiuta trasparenza. L'obiettivo è garantire che il minorenne, se capace di discernimento, comprenda in modo adeguato come e perché i suoi dati vengono trattati, nonché i diritti a sua disposizione.

Per rendere l'informativa efficace, il curatore dovrà:

1. utilizzare un linguaggio semplice e accessibile, evitando termini giuridici complessi e spiegando i concetti chiave in modo pratico; per es. anziché parlare di “basi giuridiche del trattamento”, può specificare che i dati vengono raccolti per tutelare il minore e garantire che le decisioni del giudice siano basate su informazioni complete e accurate;
2. personalizzare l'informativa in base all'età e alla maturità del minore, adattandola al grado di capacità di comprensione; per i minori più giovani, l'informativa può essere semplificata ulteriormente, utilizzando strumenti visivi come icone o diagrammi (o persino fumetti o audiovisivi) per spiegare i diritti e le modalità di trattamento;
3. integrare i principi di legal design, rendendo l'informativa non solo comprensibile, ma anche visivamente intuitiva; è possibile utilizzare schemi, colori e sezioni ben organizzate per distinguere chiaramente le informazioni chiave, come chi tratterà i dati, per quanto tempo e quali diritti il minore può esercitare;
4. adottare un approccio empatico e centrato sul minore, rassicurandolo sull'utilizzo dei dati e spiegando come queste informazioni saranno protette; si potrebbe evidenziare che solo persone autorizzate avranno accesso ai dati e che essi saranno utilizzati esclusivamente per tutelare i suoi interessi.

Il curatore deve inoltre garantire che i rappresentanti legali del minore (se presenti) ricevano una versione completa e dettagliata dell'informativa, nel rispetto delle esigenze di trasparenza previste dal GDPR. Da ultimo è importante prevedere adeguate modalità attraverso le quali il minore possa chiedere chiarimenti o esercitare i propri diritti, eventualmente proprio con l'assistenza del curatore stesso. L'adattamento dell'informativa, quindi, non è solo un obbligo formale, bensì un passaggio essenziale per rispettare la dignità e i diritti del minore, favorendo la sua comprensione e fiducia nel processo.

Peraltro il curatore stesso potrebbe dover esercitare, in nome e per conto del minore, i suoi diritti verso terzi: un esempio è quello del diritto all'oblio (art. 17 GDPR), soprattutto in situazioni in cui la presenza di informazioni personali su piattaforme online o in archivi pubblici possa ledere i suoi diritti o il suo benessere. Il curatore potrebbe richiedere la rimozione di contenuti che rivelano dettagli sensibili relativi a procedimenti giudiziari, conflitti familiari o situazioni di abuso, se questi risultano non più pertinenti, eccessivi o pubblicati senza base giuridica valida. In tal caso, il curatore motiverà la richiesta dimostrando l'impatto negativo sulla dignità o la reputazione del minore e documentare che la rimozione è necessaria per proteggere il suo interesse superiore, garantendo al tempo stesso il bilanciamento rispetto ai limiti posti dal GDPR (diritto di cronaca o motivi di interesse pubblico).

La valutazione di impatto privacy (dpia) del curatore

La valutazione d'impatto sulla protezione dei dati (c.d. “DPIA” – art. 35 GDPR) è uno strumento essenziale, previsto dal GDPR per trattamenti che comportano un rischio elevato per i diritti e le libertà degli interessati e così per anticipare, identificare e mitigare tali rischi prima che si concretizzino. La DPIA serve a garantire che i trattamenti siano progettati e condotti nel rispetto dei principi fondamentali del GDPR, come liceità, correttezza, minimizzazione e sicurezza - riducendo la probabilità di danni, abusi o violazioni.

Per il curatore speciale l'obbligo di effettuare una DPIA può sorgere frequentemente, data la delicatezza e la vulnerabilità dei dati trattati e dei soggetti coinvolti. In Italia, la verifica per i trattamenti va effettuata in base ai criteri dell'art. 35 GDPR (che individua i casi di obbligatorietà, come i trattamenti su larga scala di dati particolari o giudiziari, o quando il trattamento può comportare un monitoraggio sistematico e regolare), alle casistiche delle linee guida WP248 del WP29 (che fornisce linee guida sui trattamenti ad alto rischio, come quelli che coinvolgono soggetti vulnerabili o prevedono l'uso di nuove tecnologie) ma soprattutto alla luce dell'elenco del Garante italiano (provvedimento n. 467, 11 ottobre 2018, doc. web n. 9058979). L'Autorità ha identificato alcune situazioni tipiche di obbligatorietà: tra queste spiccano i trattamenti su larga scala di dati particolari o giudiziari, il monitoraggio sistematico di soggetti vulnerabili - come i minori - e l'uso di nuove tecnologie per la gestione dei dati. Per es. un curatore potrebbe essere coinvolto in un procedimento che richiede una perizia psicologica sul minore o lo scambio di informazioni tra più enti, come tribunali, servizi sociali e consulenti tecnici. Queste situazioni, per la loro complessità e il livello di rischio connesso, richiedono l'elaborazione di una DPIA, da archiviare internamente e mantenere aggiornata, a disposizione di eventuali autorità.

Nel concreto il curatore, attraverso la DPIA, deve analizzare ogni fase del trattamento dei dati: dalla raccolta alla trasmissione, fino alla conservazione. In un caso di affidamento, potrebbe dover raccogliere informazioni sanitarie del minore o dettagli su procedimenti giudiziari relativi ai genitori. La DPIA permette di identificare i potenziali rischi (perdita dei dati o accesso non autorizzato, ecc.) e di adottare misure per mitigarli (come la crittografia per la trasmissione sicura dei documenti o protocolli chiari per la condivisione con terzi).

DPIA significa anzitutto documentazione: ogni passaggio, dalla descrizione del trattamento all'individuazione delle misure di sicurezza, deve essere annotato. Questo non solo garantisce la conformità normativa bensì fornisce uno strumento pratico per controllare che ogni trattamento sia proporzionato e sicuro: se viene utilizzata una piattaforma digitale per l'archiviazione dei dati (come un cloud provider) sarà necessario verificare che rispetti i criteri di sicurezza stabiliti nella DPIA.

Un aspetto centrale e spesso frainteso nella redazione della DPIA è la valutazione dei rischi possibili per i diritti e le libertà degli interessati. Nel caso del curatore speciale del minore assume una pregnante rilevanza: il minore, infatti, è un soggetto vulnerabile e qualsiasi violazione della protezione dei suoi dati personali può avere conseguenze significative, non solo a livello giuridico, ma anche emotivo e sociale. La riflessione sui rischi deve partire dalla comprensione delle specifiche situazioni in cui il minore si trova e delle informazioni trattate. Per es. un rischio probabile da valutarsi potrebbe essere quello della stigmatizzazione sociale che può derivare dalla diffusione non autorizzata di dati ad alto impatto, come informazioni sulla salute mentale o sui conflitti familiari. Un'altra minaccia riguarda la compromissione della sicurezza personale del minore: in casi di violenza domestica o abusi, una gestione inadeguata dei dati potrebbe esporlo a ulteriori pericoli, qualora il contenuto sensibile arrivasse a chi potrebbe utilizzarlo in modo malevolo. Inoltre l'accesso non autorizzato ai dati potrebbe influire negativamente sulla riservatezza del minore, creando disagio psicologico o alterando le sue relazioni con i familiari. Ancora, la trasmissione di dati sanitari a un ente non autorizzato potrebbe portare a discriminazioni nel contesto scolastico o sociale del minore. La valutazione dei rischi deve quindi discernere non solo i rischi tecnici (la possibilità di un attacco informatico o di perdita di documenti, tra i tanti), di pari importanza sono le implicazioni umane e sociali del trattamento.

Del rischio è da considerarsi in ogni caso la durata: i dati trattati dal curatore possono permanere ad alto rischio per un lungo periodo, soprattutto se legati a procedimenti giudiziari. La perdita di un dato relativo a un procedimento penale, anche dopo la sua conclusione, potrebbe continuare a influire sulla reputazione e sulla serenità del minore.

La DPIA deve quindi identificare e valutare tutti questi potenziali rischi, prevedendo misure specifiche per mitigarli. Per es. può essere utile implementare politiche di limitazione dei dati condivisi, riducendo al minimo le informazioni trasferite a terzi e garantendo che siano strettamente pertinenti al caso. In tal senso sono pertinenti misure di pseudonimizzazione o anonimizzazione dei dati laddove possibile, riducendo così l'identificabilità diretta del minore.

Infine è importante ricordare che la DPIA non è statica: deve essere aggiornata ogni volta che le modalità di trattamento cambiano o si introducono nuovi strumenti. Per es. se il curatore passa da una gestione cartacea dei documenti a una gestione digitalizzata, la DPIA dovrà essere rivista per valutare i nuovi rischi e adeguare le misure di protezione.

Ulteriori punti di attenzione: i flussi di dati

Ci si potrebbe dilungare ancora molto sugli ulteriori adempimenti privacy connessi con l'attività di curatore. Scegliamo di concludere con il tema dello scambio di dati da e con terzi (servizi sociali, consulenti tecnici, medici o psicologi, ecc.) perché pone un ulteriore livello di complessità e di rischio. È necessario che i dati siano condivisi esclusivamente con soggetti autorizzati e strettamente per le finalità previste, formalizzando (o rispettando) accordi o protocolli specifici che assicurino la loro protezione durante tali scambi. In questo frangente risulta essenziale definire chiaramente il ruolo dei terzi coinvolti e i relativi adempimenti, distinguendo tra situazioni in cui operano come titolari autonomi del trattamento o come responsabili designati.

Nel caso in cui i terzi, come i servizi sociali o i consulenti tecnici d'ufficio, agiscano come titolari autonomi del trattamento, essi sono responsabili in modo indipendente della conformità normativa. Questo significa che devono adottare proprie misure di sicurezza e rispettare gli obblighi informativi nei confronti degli interessati, garantendo che i dati siano trattati solo per finalità strettamente connesse alla propria attività. In tali circostanze il curatore ha il compito di verificare che lo scambio di dati avvenga in modo proporzionato e su corrette basi giuridiche, condividendo solo le informazioni strettamente necessarie. Un esempio pratico di titolarità autonoma si verifica quando i servizi sociali intervengono per supportare il minore in una situazione di emergenza familiare. In tal caso, essi operano sulla base di una normativa specifica che attribuisce loro competenze autonome - il curatore deve limitarsi a fornire i dati necessari, evitando la condivisione di informazioni superflue.

Diversamente, quando i terzi agiscono come responsabili del trattamento ( ex art. 28 GDPR) designati dal curatore, è necessario formalizzare il rapporto tramite un contratto scritto che definisca con precisione le finalità del trattamento, gli obblighi di riservatezza e le misure di sicurezza da adottare. Per es. un consulente tecnico incaricato di redigere una perizia psicologica agisce su istruzioni specifiche del curatore, il quale deve monitorare il rispetto delle disposizioni contrattuali (verifica preliminare della compliance GDPR del responsabile, istruzioni del trattamento, misure di sicurezza) e verificare periodicamente l'adeguatezza delle modalità di trattamento. Questo tipo di relazione richiede un controllo più stretto da parte del curatore, poiché i dati sono trattati per suo conto.

Connesso al tema degli scambi è quello della conservazione dei dati: fascicoli cartacei e documenti digitali devono essere protetti da accessi non autorizzati e conservati solo per il tempo necessario al procedimento, applicando il principio di limitazione della conservazione. Misure tecniche e organizzative - come i già citati, crittografia e accessi controllati, in particolare - risultano essenziali per garantire la sicurezza. Inoltre, la sicurezza dei dati deve essere una priorità proprio negli scambi di informazioni con enti e tribunali o facendo uso di strumenti di comunicazione. L'utilizzo di sistemi sicuri e limitazioni agli accessi sono appunto fondamentali per prevenire perdite o accessi non autorizzati.

In conclusione

Il curatore speciale del minore è una figura centrale per garantire i diritti del minore in contesti giudiziari complessi, responsabilità che si estende anche alla gestione dei dati personali in conformità al GDPR. Come titolare professionale del trattamento, il curatore deve operare nel rispetto dei principi di liceità, minimizzazione, proporzionalità e trasparenza, adottando strumenti come il registro delle attività di trattamento e la DPIA per prevenire rischi e garantire la protezione dei dati.

L’attenzione alla privacy non è solo un obbligo normativo ma un elemento fondamentale per tutelare il minore e il suo benessere, per realizzare gli scopi di tutela a cui ambisce la recente Riforma Cartabia. La gestione degli scambi di dati con terzi e la comunicazione chiara al minore attraverso informative comprensibili sono passaggi cruciali per mantenere la trasparenza e rafforzare la fiducia nei procedimenti. Il curatore non è solo un rappresentante legale bensì un garante della dignità e dei diritti del minore, il cui operato deve sempre essere, in ogni frangente, guidato da responsabilità e sensibilità, così come implicato anche e proprio dalla normativa sui dati personali. Il tema andrà dunque affrontato con la dovuta competenza e formazione professionale, evitando di assumere incarichi di cui il curatore ignori come garantire la rispondenza alla normativa di protezione dei dati personali.

Questo rappresenta un’opportunità per gli operatori del settore per elevare ulteriormente gli standard del loro lavoro: investire in competenze sulla protezione dei dati personali non solo migliora la conformità legale, ma rafforza la necessaria fiducia delle famiglie e del sistema giudiziario. La crescente complessità delle normative richiede professionisti preparati, capaci di integrare le loro competenze giuridiche con una sensibilità concreta verso la gestione sicura e responsabile delle informazioni sensibili.

Sarebbe inoltre opportuno che ordini professionali, autorità competenti e altri enti rilevanti si attivassero per fornire strumenti pratici come linee guida, vademecum e modelli operativi mirati al rispetto della normativa privacy da parte dei curatori speciali: questi strumenti non solo faciliterebbero l’adozione delle migliori pratiche, offrirebbero altresì un supporto concreto ai professionisti nell’affrontare i propri compiti in un ambito in cui a rischi elevati non corrisponde sempre una conoscenza lavorativa adeguata di questi temi. 

Riferimenti

In dottrina e prassi sul tema:

Annoni– Thiene, Minori e privacy. La tutela dei dati personali dei bambini e degli adolescenti alla luce del Regolamento (UE) 2016/679, Napoli, 2019;

G. Fanelli, Brevi riflessioni sul curatore speciale del minore, in Judicium, 2023, 4, https://www.judicium.it/brevi-riflessioni-sul-curatore-speciale-del-minore;

Ordine degli avvocati di Brindisi, Linee guida sul curatore speciale del minore nei procedimenti civili, 2023, https://www.ordineavvocatibrindisi.it/linee-guida-sul-curatore-speciale-del-minore-nei-procedimenti-civili;

Fondazione Varenna, Linee guida del curatore speciale del minore, 2022, https://www.camereminorili.it/wp-content/uploads/2022/06/Linee-Guida-Curatore-speciale-del-minore-aggiornate-al-21-maggio-2022-1.pdf; CNF, Raccomandazioni per gli avvocati curatori speciali di minori, 2022, https://www.ordineavvocatiarezzo.it/files/CNF-raccomandazioni-curatore-speciale-minore.pdf;

L. Quadrini, Trattamento dati dei minori: guida alle norme (e alle zone grigie) del GDPR, in Agenda Digitale, 2024, https://www.agendadigitale.eu/sicurezza/privacy/trattamento-dati-dei-minori-guida-alle-norme-e-alle-zone-grigie-del-gdpr;

M.R. Allegri, Minori e diritto all’oblio, così il GDPR salva le nuove generazioni, in Agenda Digitale, 2020, https://www.agendadigitale.eu/sicurezza/privacy/minori-e-diritto-alloblio-cosi-il-gdpr-salva-le-nuove-generazioni