Il GDPR vieta Facebook ai minori di 16 anni: fake news?

di Simone Vernikov

Una semplice ricerca sul nostro motore di ricerca preferito [1] rivela il grado di diffusione virale di questa notizia.
La Stampa, già nel 2015, titolava che “L’Unione Europea vieta Facebook ai minori di 16 anni”[2]: colpa del titolista? Non importa, è il 2015: non siamo ancora in quella splendente era delle nostre vite in cui di privacy si parla anche al supermercato.
Eppure, complice l’imminente 25 maggio, data in cui il Regolamento 679/2016 diventerà pienamente applicabile, da qualche mese a questa parte il termine “GDPR” sembra avere soppiantato la sorella maggiore “Blockchain” nel grado di permeabilità ed onnipresenza assunto all’interno della nostra quotidianità.
Per questo trovo meno giustificabile, specialmente se proveniente da specialisti del settore, parlare di “Aumento dell’età minima per adeguarsi al GDPR”. Ed il motivo è semplice: nulla, all’interno del GDPR, vieta l’utilizzo di Facebook, Whatsapp, Instagram, Twitter ai minori di 16 anni.

Cosa dice il GDPR

La norma di riferimento sul tema è contenuta nell’articolo 8 del GDPR, che qui si riporta:
“Articolo 8 GDPR
1. Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni. 4.5.2016 IT Gazzetta ufficiale dell’Unione europea L 119/37
2. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.
3. Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.

L’articolo 8(1) GDPR prevede tre condizioni a cui subordinare la propria applicabilità:
a) L’utilizzo della condizione di legittimità di cui all’articolo 6, paragrafo 1, lettera a), ovverosia il consenso; [3] b) Un trattamento che riguardi l’offerta diretta di servizi della società dell’informazione;
c) Un destinatario minore di anni 16 o quanto diversamente stabilito dagli Stati membri, fino ad un limite minimo di 13;

La prima condizione: il consenso quale condizione di liceità del trattamento

La prima condizione richiamata dal GDPR è anche la maggiormente travisabile – e travisata – da parte dei media e di alcuni professionisti. Il testo della norma però non lascia alcun dubbio: il limite d’età si applica solo qualora il trattamento sia coperto dal consenso quale sua base legittimante.
Ne risultano quindi esclusi i trattamenti che si avvalgano di una diversa condizione di liceità, in primo luogo quella di cui all’articolo 6, comma 1, paragrafo b) [4]: la necessità del trattamento per l’esecuzione di un contratto (o di misure precontrattuali), di cui l’interessato è parte.
Nell’impianto del GDPR, il consenso ricopre certamente un ruolo privilegiato, dato il rafforzamento delle cautele predisposte nei suoi confronti e preso atto che è sostanzialmente il consenso a permettere, con una certa sicurezza[5], la possibilità di trattamenti di “ampio respiro” che travalichino i confini chiusi e determinati delle altre condizioni di liceità; ad esito analogo si perviene anche mediante l’utilizzo del legittimo interesse, i cui confini di applicazione sono tuttavia più sfumati: sarà sicuramente utile – se non necessario – attendere l’evoluzione della giurisprudenza in materia[6].
Un trattamento basato sull’esecuzione di un contratto è invece, per legge, limitato a quanto sia “necessario” alla sua esecuzione. Benché necessario non significhi essenziale, il trattamento dev’essere mirato e proporzionato all’esito a cui quell’obbligazione contrattuale tende[7]: qualunque finalità che fuoriesca dal recinto delimitato dalle necessità contrattuali dovrà forzatamente avvalersi di una diversa condizione di legittimità, normalmente il consenso o il legittimo interesse.

Occorrerebbe quindi individuare, con riferimento all’utilizzo dei social network, quali siano i trattamenti necessari (e dunque mirati all’esecuzione del contratto, nonché proporzionati alle finalità del titolare) coperti dall’articolo 6, comma 1, paragrafo b). Sicuramente lo sono tutti i trattamenti legati all’utilizzo sostanziale delle piattaforme social, quali l’inserimento dei dati di registrazione ed il loro successivo trattamento per finalità di mera gestione del social network. Sono invece escluse tutte le forme di trattamento che travalichino tali confini: il marketing, la profilazione, i trasferimenti per finalità estranee alla sola gestione tecnica della piattaforma.
Un secondo limite si rinviene nella possibilità di trattare dati particolari (c.d. “sensibili”[8]): tale divieto è derogabile solamente in presenza di specifiche condizioni di legittimità[9], non interamente sovrapponibili con quelle di cui all’art. 6 comma 1. Tra queste, un ruolo predominante è ricoperto dal consenso, di cui all’articolo 9, comma 2, lettera a), che certamente incorrerebbe nei limiti sopra richiamati. Maggiori perplessità pone invece la previsione di cui all’articolo 9, comma 2, lettera e) [10], legittimante il trattamento di dati particolari ove manifestamente resi pubblici dall’interessato. Nel caso in cui l’interessato abbia volontariamente rinunciato alla protezione rafforzata dei propri dati sensibili, rendendoli volontariamente e chiaramente pubblici, il loro trattamento, pur nei limiti delle finalità per i quali sono stati originariamente diffusi [11], sarebbe lecito. Il garante europeo ha affermato che l’interpretazione della norma dev’essere comunque restrittiva: nel contesto di un social network, ad esempio, occorrerebbe valutare se la pubblica manifestazione di determinati dati sia stata prevedibile in quanto tale, manifesta e volontaria [12].
In conclusione, ne deriverebbe la necessità di prevedere un social network (o altra tipologia di servizio) senza riutilizzo per finalità di marketing diretto, indiretto o di profiling dei dati acquisiti da parte dei minori, nonché privo di acquisizione di dati particolari ex. articolo 9, se non entro i limiti sopra delineati.
Un social network – del tutto – gratis, insomma.

La seconda condizione: l’offerta di servizi della società dell’informazione

L’articolo 4(25) richiama la Direttiva 2015/1535, che ricomprende in tali servizi quelli che sono “prestati normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”.
La Direttiva puntualizza poi ciascun elemento, definendo
“«a distanza»: un servizio fornito senza la presenza simultanea delle parti;
«per via elettronica»: un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici;
«a richiesta individuale di un destinatario di servizi»: un servizio fornito mediante trasmissione di dati su richiesta individuale”.
L’allegato I della direttiva contiene un elenco non esaustivo di servizi che non sono ricompresi nella predetta definizione [13].
Sul tema dei servizi della società dell’informazione si è espressa anche la Corte di Giustizia Europea: nelle sentenze C-108/09 e C-434/15 sono stati precisati ulteriormente i confini della definizione. Nel primo caso, è stato ritenuto che un servizio di vendita online di beni e servizi fosse oggetto della direttiva sul commercio elettronico a prescindere che la vendita riguardasse dispositivi medici (nel caso in specie delle lenti a contatto) e dalla necessità di un previo consulto medico; nel secondo, è stato riconosciuto che un servizio d’intermediazione basato sulla selezione di conducenti non professionisti, nei confronti dei quali eserciti un determinato controllo (verificando, ad esempio, il prezzo massimo della corsa, la qualità dei veicoli, le capacità e il comportamento dei conducenti), non sia da considerare un servizio della società dell’informazione, ma un servizio di trasporto [14].

La terza condizione: un destinatario minore di 16 anni (o meno)

Tale previsione non desta particolari criticità, se non gli eventuali problemi di armonizzazione sia con le disposizioni in tema di capacità d’agire e di validità dei contratti stipulati da minori, sia con la possibilità di determinare autonomamente l’età minima da parte degli Stati Membri, salvo il limite minimo di 13 anni.
Con riferimento al primo elemento, si evidenzia che il GDPR non interferisce con le norme interne in materia di diritto civile; è fatto salvo quanto determinato da ciascun Stato Membro, al fine di individuare il momento in cui si acquisisca la capacità di porre in essere atti negoziali. I due regimi non sono naturalmente sovrapponibili, ma si applicano simultaneamente: un valido consenso può legarsi ad un negozio invalido e viceversa.
Per quanto riguarda il secondo elemento, si segnala che la prima bozza di Codice Privacy [15] prevedeva, in applicazione della deroga prevista dall’articolo 8 comma 1 del GDPR, l’abbassamento ad anni 14 del limite minimo.
La seconda bozza di Codice Privacy ha innalzato nuovamente tale limite ai 16 anni, senza dunque modifiche sostanziali rispetto al testo del Regolamento.

La verifica e la revoca del consenso

L’articolo 9 comma 2 prevede altresì che il titolare si “adoperi in ogni modo ragionevole” per verificare che il consenso sia effettivamente prestato o autorizzato da chi ha la responsabilità genitoriale, “in considerazione delle tecnologie disponibili”.
Coerente col principio di responsabilizzazione di cui all’articolo 5 comma 2 [16], il GDPR non indica specifiche misure tecniche da adottare. Per analogia è da ritenersi applicabile l’articolo 7 comma 1 [17]: il titolare deve essere in grado di dimostrare il consenso, idealmente mediante forme di verifica e conservazione dei dati ad esso relativi, specialmente nei casi ad alto rischio [18]. L’operazione potrebbe avvenire sia mediante un controllo e-mail, sia mediante controlli più invasivi (i.e. verifiche bancarie, documentali, fotografiche): la responsabilità di individuare la modalità più corretta ricade comunque sul titolare, in ossequio ai principi sopra richiamati.
Infine, è fatta salva la possibilità per il minore di revocare il consenso prestato precedentemente, una volta raggiunta l’età stabilità per il suo valido rilascio. Il titolare dovrebbe, in virtù dei principi di correttezza, liceità e trasparenza, informare il minore di tale possibilità; in assenza di revoca, il consenso rimane valido e perdura fino a diverso intervento dell’interessato. E’ fatto naturalmente salvo ogni trattamento correttamente svolto in precedenza, al netto dei diritti di rettifica o cancellazione.

Conclusioni

Il consenso rappresenta certamente una copertura più sicura e completa al trattamento dei dati personali, rendendo possibile l’utilizzo di quest’ultimi per finalità ulteriori rispetto a quelle necessarie alla mera esecuzione del contratto (che, nel caso dei social network, si concretizzerebbe nell’utilizzo ordinario della piattaforma e di alcuni servizi ad essa connessi) e possedendo confini più delineati rispetto a quelli del legittimo interesse, la cui necessità di bilanciamento comporta certamente un elemento di rischio maggiore per il titolare.
Le cautele richieste ad un servizio online nel rapporto con un minore sono maggiori rispetto all’ordinario, sia nella fase di acquisizione del consenso (mediante la predisposizione di adeguate misure tecniche che ne consentano verifica e conservazione), sia durante il trattamento dei dati, sia in tutte le fasi successive, con speciale accento ai diritti dell’interessato e agli obblighi che ne derivino (a partire da un’informazione chiara e semplice, alla predisposizione di adeguate misure per revocare il consenso, rettificare od eliminare i dati che lo riguardano). Si tratta infatti di costi presumibilmente non controbilanciati dalla possibilità di utilizzo “libero” – o meno problematico – di dati personali a fini di marketing, profilazione e rivendita, motivo che ha portato certe piattaforme (si pensi al gruppo Facebook) ad imporre un limite unico ed uniforme a 16 anni, risolvendo tout court il problema nel miglior modo possibile: non affrontandolo – per ora.
Tuttavia, è scorretto affermare che tale condizione di liceità sia l’unica a disposizione di un minore di 16 anni o che la necessità del consenso rappresenti un ostacolo giuridicamente insuperabile.
Sostenere che il GDPR imponga il limite dei 16 anni per l’utilizzo dei servizi della società dell’informazione è, in buona sostanza, una fake news.


[1] No Bing, mi dispiace: però, grazie di averci provato
[2] http://www.lastampa.it/2015/12/16/societa/lunione-europea-vieta-facebook-ai-minori-di-anni-FgVcsgVKFcq1YaINrl3hmL/pagina.html
[3] Articolo 6, paragrafo 1, lettera a): “L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”
[4] “b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;”
[5] E al netto del rispetto delle condizioni previste per il consenso stesso,  come la libertà di espressione dello stesso richiamata dal considerando 44 e codificata all’articolo 7, co. 4; in caso di squilibrio evidente dalle parti non sarà dunque invocabile nemmeno il consenso quale base validante il trattamento: ne è un esempio il rapporto di lavoro, come da indicazione dei Garanti Europei all’Opinion 1/2007.
[6] Benché il legittimo interesse fosse già previsto nella precedente normativa, in particole all’articolo 7 della Direttiva 95/46/CE e all’articolo 24 del Codice Privacy italiano, la valutazione sul bilanciamento d’interessi si imperniava sui principi di prevenzione ed autorizzazione, per cui la stessa non era rimessa al titolare sulla base del diverso principio di responsabilizzazione, come ora accade (o dovrebbe accadere) con l’applicabilità del GDPR, ma sostanzialmente demandata all’autorità garante.
[7] Information Commissioner Office, Lawful basis for processing, Contract
[8] Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […]  dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
[9] Articolo 9 comma 2.
[10] “e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;”
[11] Si veda il decalogo del Garante Privacy del 29.05.2003 in tema di riutilizzabilità dei dati pubblici rinvenuti su internet, nello specifico riferito ad indirizzi email.
[12] WP29, WP258, relativa alla Direttiva 2016/680 per un contenuto omogeneo rispetto a quanto previsto dal Regolamento 2016/679.
[13] Direttiva 2015/1535, Allegato I, disponibile presso: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32015L1535&from=EN.
[14] Non trovando dunque applicazione né la direttiva sul commercio elettronico, né l’articolo 56 TFUE.
[15] Qui i testi dei provvedimenti: https://www.cyberlaws.it/2018/bozza-nuovo-codice-privacy-2018/
[16] Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione».
[17] Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
[18] Così raccomandano i Garanti europei, nell’Opinion WP259 rev.01 del 10.04.2018


Autore: