Tutela della privacy dei minori rafforzata con il GDPR: chi apre l'account Facebook dell'infrasedicenne figlio di genitori separati?

É ormai noto quanto i nostri dati personali (quelli anagrafici, le nostre immagini e, in generale, tutte le informazioni che ci definiscono) siano un “terreno di conquista” da parte di coloro che, a vario genere, operano sul web. Questi dati, mediante l'uso di software sempre più complessi, vengono scomposti, ricomposti, diffusi, comunicati: in altri termini “trattati” da coloro che li raccolgono; possono essere venduti e poi utilizzati da soggetti anche diversi da coloro cui erano stati originariamente comunicati per finalità di ogni genere, dalla propaganda politica, alle iniziative commerciali.

Le nuove frontiere tecnologiche hanno dunque reso, nei fatti, desueta la precedente direttiva UE 95/46/CE, anche semplicemente considerando che, all'atto della sua promulgazione, il web 2.0 era lontano da venire, che Internet muoveva i suoi primi passi e che gli smartphone non erano neppure immaginabili.

Per tale motivo, il 25 maggio 2018 entrerà in vigore il nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali, meglio noto come GDPR (General Data Protection Regulation). Nato da un'iniziativa della Commissione Europea per proteggere la privacy dei cittadini e dei residenti all'interno dell'Unione Europea, il Regolamento si applica:

i) a tutti coloro, anche stranieri (p.e. Facebook) che offrano prodotti o servizi, gratuitamente o a pagamento, all'interno dei Paesi UE, anche se aventi residenza all'estero (considerando 23; art. 3, par. 2, Reg. n. 679/2016);

ii) ai titolari del trattamento di dati che siano stabiliti in un Paese Ue anche se il trattamento sia effettuato fuori dall'UE (art. 3, par. 1, Reg. n. 679/2016).

Il GDPR si compone di 99 articoli e:

i) introduce regole chiare sull'informativa per il trattamento dei dati personali e per il rilascio del consenso;

ii) definisce i limiti al trattamento automatizzato dei dati personali;

iii) specifica i diritti e l'esercizio di questi da parte dei titolari, così da fornire una cornice sufficientemente chiara all'interno della quale potranno muoversi i cittadini;

iv) indica i parametri a cui dovranno attenersi coloro che trattano i dati, nonché i limiti per la portabilità dei dati;

v) introduce il principio della responsabilizzazione (accountability) da parte del titolare del trattamento;

vi) stabilisce un sistema sanzionatorio, anche particolarmente severo, per le eventuali violazioni delle norme.

In Italia, come noto, la questione del trattamento dei dati personali è stata affrontata prima dalla l. n. 675/1996 (in attuazione della direttiva UE 95/46/CE) e poi dal c.d. Codice sulla privacy (d.lgs. n. 196/2003). Molti dei principi e dei meccanismi contenuti nelle norme italiane si possono ritrovare, seppure affinati e ammodernati in considerazione dell'evoluzione che ha interessato il sistema delle nuove tecnologie (basti pensare alla nascita e all'esplosione dei c.d. social network), nel Regolamento UE.

Come tutti i Regolamenti, anche il GDPR è immediatamente efficace in tutti i Paesi UE e, dunque, anche in Italia. Purtuttavia, il quadro complessivo prevede che i singoli Stati possano emanare norme di raccordo e di modifica di precedenti disposizioni anche, parzialmente, in deroga ai principi indicati nel GDPR (vedi considerando 8 del Regolamento).

In Italia è all'esame degli organi competenti lo schema di decreto legislativo (giusta la delega contenuta nell'art. 13 l. n. 163/2017) che dovrebbe armonizzare il c.d. Codice della privacy alla normativa europea.

Il Regolamento parte dalla constatazione della diffusa percezione presso il pubblico che le «operazioni on line comportino rischi per la protezione delle persone fisiche» (considerando 9) e si prefissa, dunque, l'obiettivo di tutelare la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale (art 1, par. 2), considerato un diritto fondamentale in ossequio all'art. 8, par. 1, della Carta dei diritti fondamentali dell'Unione Europea, nonché ai sensi dell'art. 16, par.1, del Trattato sul funzionamento dell'Unione europea (considerando 1).

Si tratta, nell'ottica comunitaria, di un diritto che va contemperato (considerando 4) con altri principi di pari rango gerarchico (p.e. il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica) tenendo conto dell'evoluzione tecnologica che ha interessato (e che interesserà) ogni aspetto della vita contemporanea.

Per raggiungere l'obiettivo prefisso, il Regolamento innanzitutto fornisce (in linea con quanto già previsto dal nostro d.lgs. n. 196/2003) la definizione di dato personale, che viene inteso come «qualsiasi informazione riguardante una persona fisica identificata o identificabile»; più precisamente, si considera identificabile «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4 Reg. n. 679/2016).

I dati personali possono essere dunque trattati (raccolti, diffusi, utilizzati, etc.) in presenza di determinate condizioni (art. 6 Reg. n. 679/2016), tra le quali quella più ricorrente consisterà nel consenso al trattamento da parte dell'interessato; tale consenso, peraltro, deve essere richiesto in maniera chiara, facilmente intellegibile (art. 7, par. 2, Reg. n. 679/2016) e che deve essere facilmente revocabile (art. 7, par. 3, Reg. n. 679/2016). Ove poi si tratti di dati sensibili (cioè quelli che evidenziano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, nonché i dati genetici e biometrici intesi a identificare in modo univoco una persona fisica, oppure ancora i dati relativi alla salute, alla vita sessuale o all'orientamento sessuale, ecc.) il consenso deve essere esplicito relativamente a detti dati e la tutela è rafforzata (art. 9 Reg. n. 679/2016).

L'interessato ha il diritto di accesso ai dati (art. 15 Reg. n. 679/2016), quello di chiedere la rettifica di fatti errati o modificati (rettifica da effettuarsi «senza ingiustificato ritardo», art. 16 Reg. n. 679/2016) e quello di chiederne l'eliminazione definitiva (c.d. diritto all'oblio, art. 17 Reg. n. 679/2016) anche mediante cancellazione di qualsiasi link di riferimento contenente i dati cancellati (il diritto all'oblio soccombe per «l'esercizio del diritto alla libera di espressione o informazione per l'accertamento e la difesa di un diritto in sede giudiziaria»).

L'interessato ha poi il diritto di opporsi, a determinati condizioni, alla prosecuzione del trattamento dei suoi dati personali (art. 21 Reg. n. 679/2016).

Secondo un'indagine Ipsos del 2017 (cfr. www.savethechildren.it), il 58% dei ragazzi accetta che una app acceda ai propri contatti, 9 ragazzi su 10 non fanno nulla per proteggere la loro immagine, 1 su 10 utilizza carte prepagate per acquisitare on line servizi riservati agli adulti e 1 su 5 poi confessa di inviare immagini intime (e probabilmente il numero potrebbe essere maggiore); il 97% dei ragazzi possiede uno smartphone, conosce gli effetti della “registrazione” (e dunque la cessione di dati personali a terzi) e, pur dicendosi preoccupato, la considera il giusto prezzo per l'accesso a determinati servizi o contenuti, anche se non è pienamente a conoscenza del fine per cui i dati sono raccolti.

L'indagine conferma dunque da un lato l'estrema vulnerabilità, anche sotto tale profilo, dei minori e, dall'altro, quanto i dati che li riguardano possano essere appetibili per gli “operatori della società dell'informazione”, interessati alle attività di profilazione a fini di marketing o, in casi estremi, per orientare l'opinione dei minori e formarne le coscienze.

Il GDPR ha mostrato una particolare attenzione alla questione, innovando e rafforzando la precedente disciplina, sulla base della constatazione che «i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali»; specifica protezione che dovrebbe riguardare «l'utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore» (considerando 38).

In particolare l'art. 8 Reg. n. 679/2016 prevede che il consenso al trattamento dei dati personali possa essere rilasciato dal minore solo se abbia almeno 16 anni; il par. 1 prevede però che i singoli Stati Membri possano stabilire un'età inferiore per l'espressione dal valido consenso, purché non inferiore ai 13 anni. L'Italia, al momento, sembra orientata a mantenere il più rigido limite (16 anni) previsto nel Regolamento Europeo.

Per i minori ultrasedicenni (o in alcuni Paesi ultratredicenni) il GDPR riserva dunque una specifica protezione che si esplica anche nell'obbligo di utilizzare, al momento dell'informativa sul trattamento dei dati e della richiesta di consenso e, in ogni caso, in tutte le operazioni di trattamento dei dati, un linguaggio chiaro e semplice che possa, appunto, essere facilmente compreso da un minorenne, poco sensibile o avvezzo a uso di termini ”legali” o comunque di difficile comprensione (considerando 58 e art. 12 Reg. n. 679/2016).

Per gli infrasedicenni (o gli infratredicenni) il consenso deve essere prestato dagli esercenti la responsabilità genitoriale (nella maggior parte dei casi, dunque, padre e madre).

Il problema sarà costituito dalle modalità per verificare l'età dei minori (infra o ultrasedicenni) e per la raccolta del consenso da parte degli esercenti la responsabilità genitoriale: dovrà essere trovato, e solo la prassi potrà farlo, un ragionevole compromesso tra l'esigenza di evitare una facile elusione della norma, specialmente da parte degli stessi minori (spesso tecnologicamente più avanzati dei loro genitori) e quella di impedire un'eccessiva burocratizzazione della procedura che avrebbe l'effetto contrario a quello voluto dal GDPR.

I minori sono “maggiormente tutelati” anche nell'esercizio del diritto all'oblio (art. 19 Reg. n. 679/2016), giacchè tale diritto «è in particolare rilevante se l'interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet. L'interessato dovrebbe poter esercitare tale diritto indipendentemente dal fatto che non sia più un minore» (considerando 65); ciò sta a significare che dovrebbero essere utilizzati strumenti che rendano più facile la cancellazione dei dati personali il cui trattamento è stato autorizzato dall'interessato quando era minorenne.

L'art. 8 Reg. n. 679/2016 prevede che il consenso all'uso dei dati personali del minore infrasedicenne sia espresso dai soggetti esercenti la responsabilità genitoriale. Ciò sta a significare che ogni iscrizione a siti, apertura di casella elettronica, creazione di account personali, siti personali, pagine di social network (es. account instagram o whatsapp) di un infrasedicenne dovrà essere espressamente autorizzato dai genitori. Finché la famiglia è unita, il problema non si pone oppure, se si pone, è destinato a essere risolto all'interno delle mura domestiche.

Cosa accade invece in caso di rottura della coppia genitoriale (separazione, divorzio, scioglimento della famiglia di fatto)?

Il GDPR deve, in questo, interfacciarsi con gli artt. 337-bis ss. c.c. che prevedono, come noto, tre modelli di affidamento:

i) l'affido condiviso che è la regola. In questo caso la responsabilità genitoriale è esercitata da entrambi i genitori che concordano le scelte per il figlio; se previsto dal Giudice o dagli accordi delle parti le decisioni ordinarie sono assunte dal genitore con cui il figlio convive, quelle più importanti su scuola educazione e istruzioni invece sono sempre prese insieme;

ii) l'affidamento esclusivo, che impone comunque che le scelte più importanti siano sempre assunte da entrambe i genitori;

iii) l'affidamento superesclusivo che, invece, concentra tutto il potere decisorio su un genitore.

Il problema del consenso non si pone dunque per l'affidamento superesclusivo né, probabilmente, per quello esclusivo, ma invece sussiste per l'affidamento condiviso. É certo che, ove i genitori non abbiano optato (come è sempre saggio fare) per il regime di esercizio disgiunto della responsabilità per le decisioni di ordinaria amministrazione, ma abbiano scelto il condiviso puro, il consenso dovrà essere esercitato da entrambi, fermo restando che potrebbe essere sufficiente l'autorizzazione al titolare del trattamento dei dati (p.e. al momento dell'apertura di un account) di un solo genitore che abbia ottenuto dall'altro l'autorizzazione, anche verbale, per farlo.

Nelle altre ipotesi invece la soluzione alla domanda (il consenso deve essere espresso da un genitore o da entrambi) è più complessa, giacché involge la natura della decisione assunta: è questione ordinaria (e allora il consenso può essere espresso da un solo genitore) o di maggior interesse (e allora ci vuole il consenso di entrambi)?

Si dovrebbe optare, nell'attuale quadro normativo, per la seconda qualificazione, giacché l'art. 1 Reg. n. 679/2016 definisce il diritto alla protezione dei dati personali come diritto e libertà fondamentale, in armonia con l'art. 8 par. 1 della Carte dei diritti fondamentali dell'Unione Europea e con l'art. 16, par. 1, del Trattato sul funzionamento dell'Unione Europea.

Né, peraltro, possono dimenticarsi le pronunzie giurisprudenziale che, prima dell'entrata in vigore del Regolamento, hanno precisato che la diffusione dell'immagine del minore su Internet (e non solo) necessita del consenso di entrambi i genitori (Trib. Roma, 23 dicembre 2017; Trib. Mantova, 19 settembre 2017; Trib. Roma, 27 giugno 2014; si veda anche G.O. Cesaro, Genitore pubblica sui social network foto e notizie del figlio minore: interviene d'ufficio il Giudice, in ilFamiliarista.it). Una volta chiarito che la protezione dei dati personali è un diritto fondamentale, è evidente che la cessione a terzi della facoltà di “trattarli” e dunque diffonderli, usarli, cederli etc. difficilmente potrà essere considerata come questione di ordinaria amministrazione, con la conseguenza che i genitori dovranno aprire insieme un account Facebook o Instagram per il proprio figlio, e sempre congiuntamente dovranno agire per tutte quelle operazioni sul web che comportino la divulgazione di uno o più dati personali.

É evidente che il GDPR non poteva disciplinare anche ipotesi come quelle sopra indicate, anche perché, è bene ricordarlo, l'esercizio della responsabilità genitoriale è disciplinato in maniera non uniforme nei Paesi UE. É altrettanto evidente che, tuttavia, con l'attuale (e doverosa) strutturazione del GDPR si crea il rischio di aprire tra i genitori un altro fronte di contenzioso, con una massa di ricorsi ex art. 709-ter c.p.c. nell'ipotesi in cui uno di essi sia favorevole e uno contrario alla diffusione dei dati; il rischio, in buona sostanza, è che operazioni anche apparentemente innocue possano essere strumentalizzate. Perciò, forse, si potrebbe auspicare un intervento legislativo oppure la creazione di un indirizzo giurisprudenziale consolidato che aiuti i genitori, anche quelli poco tecnologici, a districarsi sul confine tra web e diritto.