La tutela del minore nel nuovo regolamento europeo sulla protezione dei dati personali. Nuovi poteri e doveri per i genitori e gli avvocati

autore: M. Coccato - C. Serraiotto

Sommario: 1. Introduzione: evoluzione sociale e normativa del diritto alla privacy: dalla tutela della riservatezza alla tutela del dato personale. - 2. Il concetto di “dato personale”. - 3. Tutela del dato personale come tutela del diritto all’identità personale nella società dell’informazione. - 4. Il GDPR in generale: le principali obbligazioni di compliance per le aziende ed i professionisti. - 5. La tutela del dato dei minori: poteri e doveri per gli avvocati. - 6. La tutela avverso il trattamento illecito di dati personali. - 7. Diritto del minore ultrasedicenne a prestare il consenso al trattamento dei propri dati personali: eccezione alla regola o conferma di un mutamento in atto?



1. Introduzione: evoluzione sociale e normativa del diritto alla privacy: dalla tutela della riservatezza alla tutela del dato personale



Il presente scritto ha lo scopo di approfondire la tematica della tutela dei dati personali, specialmente per il caso in cui i dati appartengano a minori. Si tratta di un diritto formatosi piuttosto di recente ma che, per rilevanza sociale ed economica, ha assunto ad oggi portata fondamentale. Il diritto alla protezione dei dati personali è solitamente noto come diritto alla privacy. In realtà, il c.d. Diritto alla privacy – la cui nascita viene fatta risalire ad una pubblicazione scientifica degli avvocati americani Warren e Braideis intitolata Right to be let alone, 15 dicembre 1980, Harward Law Rewiew, 4, 193-220 – consiste nel diritto alla riservatezza inteso quale diritto ad escludere altri dalla conoscenza di vicende strettamente personali e famigliari1 . Tale nuovo diritto è nato in un contesto storico caratterizzato da un intenso sviluppo tecnologico, caratterizzato dall’invenzione della macchina da stampa rotativa e della fotografia istantanea; strumenti in grado di permettere con rapidità la diffusione di una sempre maggior quantità di informazioni, suscettibili di riguardare dettagli e particolari della vita privata delle persone. In Italia, il diritto alla privacy, inteso come diritto alla riservatezza, ha trovato un primo riconoscimento in giurisprudenza, grazie alla sentenza n. 2129 del 27 maggio 1975 della Corte di Cassazione (che nel 1956 l’aveva negato). La Suprema Corte afferma che l’ordinamento riconosce il diritto alla riservatezza, che consiste nella tutela di quelle situazioni e vicende strettamente “personali e famigliari le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi, e senza offesa per l’onore, la reputazione o il decoro, non sono giustificati da interessi pubblici preminenti”. Per come delineato da dottrina e giurisprudenza, si tratta, pertanto, di un diritto a contenuto negativo (non far conoscere, non divulgare), statico e limitato nell’oggetto (valendo solo per vicende riservate e non per le informazioni)2 . Dagli anni ’70, sviluppo e diffusione delle nuove tecnologie informatiche hanno condotto ad un mutamento del concetto di privacy, portando a dare rilevanza, non tanto al diritto alla “non intrusione nella vita privata”, quanto piuttosto ai dati personali trattati a mezzo di elaboratore. Si passa dalla tutela della privacy alla tutela del dato personale3 . In tal senso, la Convenzione di Strasburgo n. 198/1981 sulla “Protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale”, ratificata dall’Italia con l. 21 febbraio 1989 n. 98, detta principi fondamentali in ordine al trattamento automatizzato di dati personali (già ponendo principi sulla qualità dei dati, i quali devono essere ottenuti in modo lecito e corretto, registrati per scopi determinati e legittimi; adeguati, pertinenti e non eccessivi, ecc.; e ponendo la questione della sicurezza degli stessi contro la distruzione o la diffusione non autorizzata). Pochi anni dopo, il 24 ottobre 1995, è intervenuta la Comunità europea con la direttiva 95/46/CE del Parlamento europeo e del Consiglio, attuata in Italia con la l. 31 dicembre 1996 n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” che, pur senza statuire in modo diretto un diritto alla protezione dei dati personali, afferma un diritto alla protezione dei dati anche quando determina la compressione di altri diritti (ad esempio all’informazione o alla libertà di impresa), rendendo necessario un bilanciamento.

Per effetto delle innovazioni tecniche e dei conseguenti interventi normativi, nasce un nuovo diritto distinto da quello alla riservatezza: il diritto alla protezione dei dati personali. Secondo la dottrina, tale diritto “consiste nel diritto del soggetto cui i dati si riferiscono a esercitare un controllo, anche attivo, su detti dati che si estende dall’accesso alla rettifica”4 o, per dirla con le parole del Garante, nel “diritto di un soggetto di controllare l’insieme delle informazioni che al medesimo si riferiscono e che, quindi, costituiscono il suo riflesso e delineano lo stesso suo essere nella società dell’informazione”5 . Sempre il Garante ha indicato che “la privacy cammina ormai su due gambe: la riservatezza e il controllo. Alla prima si addice il silenzio, all’altra la trasparenza”6 . Si passa, pertanto, da una libertà negativa di non subire interferenze nella propria vita privata (diritto alla riservatezza), ad una libertà positiva di esercitare un controllo sul flusso delle informazioni. In tal senso, il diritto alla protezione del dato personale viene inteso come diritto all’autodeterminazione informativa, ossia alla scelta di ogni soggetto di autodefinirsi e determinarsi. Infatti, a livello comunitario nella Carta dei diritti fondamentali dell’Unione Europea, approvata il 7 dicembre 2000, si distingue diritto alla riservatezza dal diritto alla protezione del dato ed in tal senso: all’art. 7 si riconosce il diritto alla protezione della vita privata e familiare, nel proprio domicilio e delle sue comunicazioni inteso come diritto alla riservatezza; mentre all’art. 8, tra i diritti di libertà, si afferma il diritto alla protezione dei dati di carattere personale (da trattare secondo il principio di lealtà, per finalità determinate e in base al consenso della persona o altro fondamento previsto dalla legge). La tutela del dato personale ha trovato definitiva ed ufficiale consacrazione nel nostro ordinamento con il d.lgs. 30 giugno 2003 n. 196, il c.d. Codice in materia di protezione dei dati personali. All’art. 1 sancisce che “chiunque ha diritto alla protezione dei dati personali che lo riguardano” e all’art. 2 garantisce che il trattamento avvenga nel rispetto dei diritti delle libertà fondamentali con particolare riferimento a diritto alla riservatezza, identità personale e della protezione dei dati personali. Il Codice, composto da 186 articoli, riunisce e razionalizza il corpo normativo esistente, recependo la direttiva 2002/58CE sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, prevedendo un disciplinare tecnico in materia di misure minime di sicurezza. Nei periodi successivi all’emanazione del codice, da punto di vista tecnico e sociale, si è assistito a una vera e propria rivoluzione determinata sia dalla diffusione di Internet, e con esso l’e-commerce (e quindi di un interesse particolare degli operatori economici a intercettare nuova domanda presso i consumatori partendo proprio dall’analisi e dall’uso dei dati personali, anche nell’ottica del principio digital first) da un lato, e gli attacchi informatici effettuati allo scopo di rubare i dati personali per trarne profitto, dall’altro; sia dalla nascita ed immediata diffusione dei social network, specialmente di Facebook. Paiono significative in tal senso le dichiarazioni rilasciate da Mark Zuckerberg, fondatore del social network, in occasione di un’intervista nel 2012. Lo stesso, infatti, alla domanda se il tema della privacy rivestirà un’importanza sempre maggiore, ha risposto: “Certamente. Ma bisogna capire che le cose sono molto cambiate negli ultimi sei anni. E che il concetto di privacy che ho io non è lo stesso che ha mio padre ed è diverso da quello di una ragazza di quattordici anni… Sei anni fa nessuno voleva che le proprie informazioni personali fossero sul web, oggi il numero delle persone che rende disponibile il proprio cellulare su Facebook è impressionante. Per i miei genitori la privacy era un valore, per i miei coetanei condividere è un valore”. Proprio tali fattori hanno indotto il legislatore comunitario ad intervenire nuovamente in materia di protezione dei dati personali, emanando il regolamento, noto anche con l’acronimo GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. La normativa in commento nel presente contributo, ha richiesto un lungo iter di approvazione dal 2012 al 2016, giungendo alla pubblicazione in GUCE il 4 maggio 2016, entrando in vigore il 25 maggio 2016 e con la fissazione del termine finale per l’adeguamento al 25 maggio 2018, determinato dall’esigenza delle istituzioni comunitarie di contemperare la disciplina dei dati trattati nell’Unione, con gli interessi commerciali degli operatori dell’Internet.



2. Il concetto di “dato personale”



Il concetto di dato personale è centrale nell’assetto della normativa privacy: esso, assieme alla nozione estesissima di trattamento, determina l’ambito di applicazione materiale del GDPR. Per vero, oltre all’ambito di applicazione materiale, vi è quello territoriale, che, segnatamente, determinano il campo di applicazione complessivo della normativa. Il primo riguarda la tipologia e la finalità del trattamento (si distingue a seconda che sia interamente o parzialmente automatizzato ovvero non automatizzato) e deve avere ad oggetto i dati personali delle persone fisiche. Se il trattamento non è automatizzato, invece, tali dati devono essere contenuti in archivi affinché trovi applicazione la normativa in parola7 . Il secondo, l’ambito di applicazione territoriale, riguarda invece il territorio in cui si trovano il titolare, il responsabile e l’interessato. Nel dettaglio, il titolare o il responsabile possono essere stabiliti all’interno dell’UE o anche al di fuori, ma il regolamento si applica comunque, se il trattamento riguarda l’offerta di beni o servizi, o il monitoraggio dei comportamenti di soggetti interessati che si trovino nel territorio dell’Unione. Chiarito ciò, si può ben sin d’ora comprendere come il campo di applicazione del Regolamento sia più esteso rispetto al vecchio Codice Privacy. In linea con il Codice Privacy (d.lgs. 196/2003 così come novellato dal d.lgs. 101/2018), anche nel GDPR l’elemento focale che caratterizza il dato personale è la sua idoneità ad identificare la persona fisica. È questa infatti il solo centro di protezione della normativa europea. Come noto, il GDPR tutela quali “dati personali”, solo quelli della persona fisica, non anche quelli delle persone giuridiche8 . Lo stesso articolo 4 GDPR dà una definizione espressa di dato personale, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘interessato’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”9 . Come si può notare, si tratta di una definizione, per così dire, “flessibile”: proprio questa flessibilità consente di adattare la definizione di dato personale al mutare rapido del progresso tecnologico. Troppo spesso il dato normativo cristallizza, o tenta di cristallizzare, una realtà che, se ancorata alla tecnologia, si evolve in maniera ancora più rapida. Tuttavia, la definizione ricalcata dal Regolamento, data la sua elasticità, ben consente di ricomprendere le varie tipologie di dati che rientrano nella nozione di dato personale, ancorché connesse in qualche modo alla tecnologia. Si tratta, in buona sostanza, di informazioni che riguardano una persona individuata (e quindi distinguibile) o che può essere identificata mediante l’ausilio di informazioni aggiuntive. Scendendo nel dettaglio gnoseologico, con l’espressione “qualsiasi informazione” si vuole indicare qualsiasi “forma” di informazione, anche le meta-informazioni (ossia le informazioni sulle informazioni)10, e le informazioni minime. A tal riguardo giova ribadire che non sembra assumere alcun rilievo la veridicità o meno dell’informazione, né la sua dimostrabilità. Essenziale risulta invece, il giudizio di prossimità, ossia, il collegamento tra l’informazione e la persona fisica: deve cioè essere un’informazione suscettibile di essere qualificata alla stregua di “dato personale” così come evincibile dalla definizione del Regolamento poc’anzi menzionata. Per vero, tale aspetto non convince taluni commentatori, posto che così si renderebbe oggetto di valutazione prognostica circa tale collegamento, un giudizio che dovrebbe invece rimanere pressoché oggettivo. Con l’intento forse di semplificare una nozione così lata di dato personale, e dunque un’applicazione materiale così estesa della normativa europea, la stessa formula un elenco non tassativo ma meramente esemplificativo, al fine di indirizzare l’interprete: “un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Con l’espressione “identificata o identificabile” si indica il terzo elemento della definizione. Tale concetto riguarda il collegamento tra l’identificativo ed il contenuto informativo che consentono funzionalmente l’identificazione della persona fisica. Ciò vale anche se tale collegamento non è certo ma anche solo probabile. E la probabilità dipende dai mezzi che si utilizzano per individuare il predetto collegamento. La capacità di identificare la persona fisica, in altre parole, va valutata con riferimento alle qualità intrinseche del dato, ossia valutando se lo stesso è idoneo ad essere associato ad un determinato soggetto (es. il nome, il cognome) senza necessità di ulteriori collegamenti con altri dati. In secondo luogo, va considerato il rapporto c.d. “mediato”, ossia si deve considerare la capacità del dato di consentire l’identificazione del soggetto anche attraverso il collegamento con altri dati. Quando tale collegamento si interrompe, si ha il c.d. dato anonimo, o pseudonimo11. Per vero, è bene distinguere i due concetti: il dato anonimo è un dato irreversibilmente dissociato dal suo titolare, e pertanto essendo rotto definitivamente il rapporto, non è più considerato un dato personale. Lo pseudonimo è il risultato della c.d. pseudonimizzazione, ossia l’attribuzione a quel soggetto di un codice, anziché direttamente del proprio dato identificativo (es. nome e cognome)12. Ecco allora che tale processo non esclude definitivamente l’identificabilità del soggetto, ma la maschera temporaneamente. Da qui è possibile risalire al soggetto unendo allo pseudonimo delle informazioni aggiuntive, di talché il rapporto, a differenza dell’anonimizzazione, non è irreversibilmente interrotto. Ciò premesso, è bene considerare che il concetto di dato personale è una macro-categoria, all’interno della quale vi sono diverse tipologie di dati: vi è il dato personale comune, quello sensibile (c.d. particolare), ed il dato giudiziario. Per ognuno di essi il GDPR fornisce una definizione: in particolare i dati sensibili sono disciplinati all’art. 9, ed i dati giudiziari all’art. 10. Vi sono poi ulteriori specificazioni, quali ad esempio: i dati genetici (quelli relativi alle caratteristiche genetiche ereditarie o acquisite, che forniscono informazioni sulla sua fisiologia o sulla salute, e che risultano dall’analisi di un campione biologico), ed i dati biometrici (quelli ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica. Lo sono ad esempio, l’impronta digitale, la scansione dell’iride o, ancora, la scansione del volto)13.

Identificare la tipologia di dato personale che si intende trattare, è fondamentale in primis perché a ciascuno di essi è dedicata una diversa tutela, o meglio, un diverso livello di protezione, e dunque di intensità della tutela, e secondariamente, perché la base giuridica che rende lecito il trattamento del dato varia a seconda che sia, ad esempio, un dato comune ovvero sensibile14. Tra i dati comuni si individuano il nome, il cognome, l’indirizzo email, perfino gli indirizzi IP. Gli stessi possono contare diverse basi giuridiche quali, ex art. 6 co I il consenso dell’interessato, l’esecuzione di un contratto di cui l’interessato è parte, ovvero l’esecuzione di misure precontrattuali, l’adempimento di un obbligo legale, la salvaguardia di interessi vitali dell’interessato, l’esecuzione di un compito di interesse pubblico ed infine, il legittimo interesse. Al ricorrere di una di queste basi giuridiche, il trattamento del dato personale comune è consentito. La valutazione circa la legittimità del trattamento, è invece un passaggio successivo che va vagliato sulla base del rispetto di una serie di principi generali e di condizioni di legittimità indicate espressamente dalla normativa. Posso cioè in altre parole avere una base giuridica (es. il consenso) ma trattare poi quel dato in modo illecito sulla base della nozione che di trattamento si può applicare a quella categoria di dato. In particolare, la liceità del trattamento è espressamente disciplinata all’art. 6, ed essa contempla, al suo interno, una valutazione, tra le altre, circa la finalità del trattamento15. I dati sensibili sono invece definiti e disciplinati all’art. 9. Sono i dati idonei a rivelare l’origine razziale, etnica, le opinioni politiche, le convinzioni religiose, filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, quelli relativi allo stato di salute, alla vita sessuale, e all’orientamento sessuale della persona. Per essi vige un ferreo divieto di trattamento, salvo il consenso esplicito dell’interessato (per cui non manifestabile per fatti concludenti), ovvero le ulteriori “speciali” condizioni per il trattamento previste dall’articolo in parola. I dati giudiziari sono invece, quelli riguardanti le condanne penali o i reati, e sono disciplinati all’art. 10. In relazione ai dati personali poi, il GDPR prevede una serie di diritti per l’interessato, alcuni già previsti dal d.lgs. 196/2003, altri invece di nuovo conio, quale ad esempio il diritto alla portabilità, il diritto all’oblìo ed il diritto di non subire profilazioni e decisioni automatizzate. Si prevede infatti, il diritto di accesso, il diritto di rettifica e cancellazione, il diritto alla limitazione del trattamento ed il diritto di opposizione. Si aggiunga a ciò l’istituto dello sportello unico, in base al quale il titolare del trattamento ha il diritto di rivolgersi all’Autorità di controllo capofila per tutta l’UE. L’interessato invece, per segnalare le violazioni dei dati personali, può rivolgersi all’Autorità di protezione del proprio paese, qualunque sia il luogo in cui trattamento è effettuato. Venendo alla nozione di trattamento, esso è individuato dallo stesso Regolamento come “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati su dati personali o insiemi di dati”. Rientrano nella nozione, ex art. 4: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. In via di principio, rientrano nella nozione di trattamento tutte quelle situazioni in cui il dato personale non è più nell’esclusiva disponibilità dell’interessato. Per quanto riguarda i principi generali del trattamento, enucleati dall’art. 5 e descritti dal Considerando 39, essi sono: la liceità, la correttezza e la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, la limitazione della loro conservazione, la loro esattezza e l’aggiornamento, l’integrità e la riservatezza. In ogni fase del trattamento del dato personale dovranno essere adottate le politiche, nonché attuate le misure di sicurezza per garantire il pieno rispetto dei principi menzionati. Ciò contribuisce a rendere lecito il trattamento.



3. Tutela del dato personale come tutela del diritto all’identità personale nella società dell’informazione



Come indicato nel precedente paragrafo, il Garante privacy italiano ha ben presente il valore dei dati personali, intesi appunto come insieme di informazioni che si riferiscono ad un soggetto che costituiscono il suo riflesso e delineano lo stesso suo essere, costituendo parte e proiezione dell’identità della persona e, quindi, della sua immagine sociale. In tal senso, il diritto alla protezione del dato personale ha trovato fondamento costituzionale, così come gli altri diritti alla personalità, all’art. 2 cost. inteso da dottrina e giurisprudenza come clausola aperta e generale a tutela del libero e integrale svolgimento della persona umana16. In dottrina è stato specificamente indicato che “il diritto alla protezione del dato personale e i diritti della personalità ad esso limitrofi quali il diritto all’identità personale, il diritto di rettifica, il diritto alla riservatezza il diritto alla protezione dei dati personali, il diritto alla reputazione, il diritto all’immagine e il diritto al nome sono volti tutti a tutelare un unico bene giuridico: l’identità. Identità vista nelle sue molteplici forme ed espressioni: le informazioni concernenti un soggetto, la sua immagine sociale, la sua immagine sulla stampa, la sua immagine fisica, il suo nome”17. I diritti umani, ed in particolare il diritto all’identità, hanno assunto nuove forme di rilevanza proprio con l’avvento del fenomeno Internet che, in quanto a modalità e persistenza di diffusione delle informazioni, non ha precedenti.

In ordine alle modalità di diffusione, la pubblicazione nella rete di qualsivoglia informazione (personale, aziendale, pubblicitaria…), con qualsivoglia forma (testuale, grafica, immagini, foto, audio, film, ecc.) ha una visibilità ed un eco privo di barriere spaziali (in quanto visibile in tutto il mondo connesso) e temporali (essendo comunicati in tempo reale e con una persistenza non controllabile dall’utente). Per il profilo che ci occupa, le caratteristiche della rete devono, da un lato, essere oggetto di tutela come fonte di informazione18, mentre dall’altro devono svolgersi in sicurezza, consentendo la tutela della privacy, della libertà di espressione e dei diritti umani. Si parla in tal senso, di tutela dell’identità elettronica e della reputazione digitale, che deve esplicarsi sotto i profili qualitativi, quantitativi e temporali. L’identità personale nel web, infatti, dipende sia dalle informazioni inserite dalla persona interessata direttamente, sia, essendo interattivo, da quelle inserite da terzi, vere o false che siano. Caratteristica della rete è proprio quella di consentire una “democrazia pura”, senza alcun vaglio preventivo di veridicità e pertinenza del materiale pubblicato19. In relazione alla persistenza delle informazioni immesse in rete, la stessa rappresenta uno dei particolari problemi per la conservazione della reputazione digitale, specialmente per i minori, atteso che “la persona è ciò che è in un determinato momento storico e l’identità muta col tempo”20. Come meglio si dirà nel prosieguo, il nuovo Regolamento sulla protezione dei dati personali fissa espressamente in modo cogente il c.d. diritto all’oblio, fino ad ora scarsamente tutelato nei fatti.



4. Il GDPR in generale: le principali obbligazioni di compliance per le aziende ed i professionisti



Riassumere integralmente un intervento normativo così complesso in poche righe è pressoché arduo, e risulterebbe forse didascalico ed approssimativo. Tuttavia, senza alcuna pretesa di esaustività, si possono tracciare alcune significative coordinate sottese al GDPR. Com’è noto, lo stesso non è intervenuto ex novo nel panorama giuridico, ma si è inserito nel solco della legislazione vigente tracciata dal Codice Privacy. Per cui, alcuni adempimenti risultano solo rimodulati, altri non sono affatto mutati, altri ancora risultano invece totalmente nuovi. Tra gli elementi da rimodulare vi è sicuramente l’informativa, ed in particolare la richiesta dei consensi. Tra gli adempimenti nuovi o rivisitati vi è sicuramente il data breach, ma anche la DPIA (valutazione d’impatto). Tra i vecchi adempimenti, vi rientrano senz’altro, ad esempio, gli adempimenti relativi all’email marketing21. Ciò che in realtà balza subito agli occhi, è il cambio di prospettiva: a mutare è l’impostazione stessa di approccio alla normativa privacy. Non più un adempimento “passivo” e troppo spesso “meramente formale” della normativa, bensì un approccio basato sul rischio e sul principio dell’accountability. Del resto, è tipico della normativa europea guardare alla più alla sostanza che alla forma. Ed ecco allora, la previsione di una serie di adempimenti, certo espressamente previsti dal GDPR, la cui applicazione pratica è però lasciata all’interprete, o meglio, al titolare del trattamento. È lui infatti, a disegnarne, sulla base delle coordinate non sempre generiche ma talvolta anche specifiche della regolamentazione europea, la concreta applicazione delle stesse. È questo infatti che sceglie il “se” applicarle, ed il “come applicarle” e assume la responsabilità delle scelte che effettua, in molti casi discrezionalmente. A questo grande margine di discrezionalità, fa da contro partita una responsabilizzazione del titolare, appunto la c.d. accontability22. Lo si lascia cioè libero di valutare quali misure tecniche ed organizzative adottare, ma devono essere “adeguate” per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in modo conforme al Regolamento. Si è poi “innalzata l’asticella”, ossia il livello di protezione accordato e richiesto per il trattamento dei dati personali. Se infatti il vecchio Codice Privacy, all’art. 33 e all’Allegato B, prevedeva le c.d. misure “minime” di sicurezza, elencandole, il Regolamento, all’art. 32, richiede che queste misure tecniche ed organizzative siano “adeguate” per garantire un livello di sicurezza, appunto, adeguato al rischio. Nel dettaglio, e solcando gli aspetti pratici, possiamo dire che le principali obbligazioni di compliance previste sono: l’attuazione di una modalità di trattamento dei dati improntata sul principio della sicurezza del dato, perseguibile seguendo i criteri di c.d. privacy by design e by default, al fine di garantire che vengano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento, secondo quanto previsto all’art. 25. Più nel dettaglio, la privacy by design si sostanzia nelle protezione dei dati fin dalla progettazione, ed in particolare, la necessità di ridurre al minimo il trattamento dei dati personali mediante la predisposizione di misure tecniche ed organizzative, quali ad esempio la pseudonimizzazione23. La privacy by default significa invece che la tutela della protezione del dato personale deve diventare l’impostazione predefinita, in modo tale che risulti necessario in qualche modo “forzare” un sistema congegnato per impostazione predefinita, per riuscire a trattare più dati di quelli necessari al perseguimento della singola finalità, ovvero per eseguire un trattamento diverso rispetto a quello predeterminato24.

Vi è poi la previsione dell’obbligo di tenuta del registro delle attività di trattamento previsto all’art. 30, imposto in capo al titolare ed al responsabile del trattamento, istituito con il precipuo scopo di poter dimostrare, ai fini dell’accountability, di essere “compliance” al Regolamento. Per alcuni rievoca il vecchio documento programmatico sulla sicurezza. Si tratta, in buona sostanza, di uno strumento di “auto-consapevolezza” posto che, nel redigerlo, è previamente necessario svolgere una mappatura di tutti i trattamenti effettuati, anche per categorie, individuandone, la base giuridica, le finalità del trattamento, le categorie di interessati, i destinatari dei dati, il termine ultimo di cancellazione dei dati, le misure di sicurezza riferite allo stesso, le categorie dei destinatari a cui i dati personali saranno comunicati, siano essi soggetti terzi o meno, e se è previsto il trasferimento dei dati verso un paese terzo. L’obbligo, allo stato, è previsto per la quasi totalità dei soggetti che trattano dati personali, posto che l’art. 30, dopo una fervida illusione di applicazione limitata ad imprese ed organizzazioni con più di 250 dipendenti, inserisce una serie di eccezioni alla regola, ricomprendendo quali destinatari dell’obbligo, tra gli altri casi più specifici, il generalissimo caso in cui il trattamento non sia occasionale. Ed anche qui, la valutazione circa l’occasionalità o meno del trattamento non è individuata quantitativamente in modo predefinito, ma è lasciata al titolare tale valutazione quantitativa-relativa. Solo quindi in ipotesi di occasionalità del trattamento, al di sotto della soglia quantitativa indicata, è possibile evitare la tenuta del registro. È necessario poi salvaguardare la sicurezza dei dati, conformemente a quanto previsto all’art. 32, facendo in modo che titolare e responsabile mettano in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza “adeguato al rischio”. Di qui l’approccio basato su rischio, punto cardine per analizzarlo in via preventiva ed attuare quindi a cascata le misure di sicurezza che il titolare o il responsabile ritengono di porre in essere, come richiesto dal principio di auto-responsabilità (c.d. accountability) di cui in precedenza si discorreva. Se dall’analisi di questo rischio, emerge che per il tipo di trattamento, o l’uso di nuove tecnologie, considerata la natura, l’oggetto, il contesto, e le finalità del trattamento il rischio per i diritti e le libertà delle persone fisiche è “elevato”, il titolare del trattamento, prima di procedere al trattamento stesso, pone in essere la c.d. valutazione d’impatto (art. 35) ossia la DPIA (“data processing impact assesment”)25. Essa si compone di due fasi: una prima volta a stimare i rischi per i diritti e le libertà delle persone fisiche che minacciano di sopravvivere a seguito del trattamento di dati personali, e una seconda che prevede di trattare quel rischio prendendo delle decisioni in ordine alle modalità per gestire tali rischi, attuando delle misure volte ad escluderli o attenuarli. Di qui l’approccio basato sul rischio menzionato. L’articolo 35 definisce poi i casi in cui è obbligatorio procedere alla DPIA26. Qualora a seguito della valutazione d’impatto il rischio permanga, è necessario attivare la c.d. consultazione preventiva all’Autorità di controllo. Se poi durante il trattamento si verifica un data breach, ossia la violazione dei dati personali, intesa, ai sensi dell’art. 4 GDPR quale “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” è necessario effettuare la notifica al Garante, entro un termine massimo di 72 ore27. Se poi la violazione del dato personale rischia di cagionare un pericolo elevato per i diritti e le libertà delle persone fisiche, il titolare comunica la violazione stessa anche all’interessato senza ingiustificato ritardo. È fatto obbligo al titolare, altresì, di tenere un registro di tutte le violazioni di dati subite. Ulteriore grande novità è una nova figura, che è quella del Responsabile della protezione dei dati, anche noto con l’acronimo DPO o RDP, a seconda che si voglia adottare un approccio internazionale ovvero patriottico nel definirlo. Disciplinato agli artt. 37 e ss. – all’interno dei quali si prevedono anche casi di nomina obbligatoria – questo soggetto è caratterizzato da una competenza specialistica e da un’ampia autonomia nello svolgere il proprio ruolo “ponte” tra il titolare ed il Garante28. Questi, nello svolgimento della propria attività deve considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Riferisce direttamente al titolare ovvero al responsabile tutte le criticità rilevate nel trattamento dei dati, essendo un soggetto deputato a vigilare sul rispetto della normativa29. Insomma, l’approccio basato sul rischio, il principio dell’accountability, l’adozione di misure di sicurezza adeguate, la valutazione d’impatto sembrano ridisegnare e ridefinire la natura giuridica stessa della responsabilità nel trattamento dei dati. E così si scorge, nemmeno troppo timidamente, che la responsabilità oggettiva sembra lasciare timidamente il passo ad una responsabilità che si avvicina moltissimo a quella per colpa30.



5. La tutela del dato dei minori: poteri e doveri per gli avvocati



Il GDPR si occupa specificamente del problema della tutela del dato personale dei minori, dettando i principi nei considerando e le norme cogenti nella parte normativa.

In tal senso, il considerando n. 38 prevede che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”. Il Regolamento, pertanto, considera i minori come destinatari di una protezione particolare in quanto sono meno consapevoli dei rischi, delle conseguenze, delle misure di salvaguardia e dei diritti in relazione al trattamento. Tale protezione assume rilevanza in special modo per i dati personali usati a fine di marketing, creazione di profili di personalità o di utente (es. avere un proprio profilo su whatsapp, facebook o altri social network), e la raccolta di dati di minori all’atto dell’utilizzo di servizi forniti a lui direttamente (per esempio, la profilazione o il marketing nell’utilizzo o acquisto di un gaming on line). Per tali casi, l’articolo 8 del GDPR interviene a tutela del minore dettando le “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”, ossia, incidendo sulla liceità della base giuridica del trattamento. In tal senso, è previsto che, qualora sia necessario il consenso dell’interessato minore, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini, purché non inferiore ai 13 anni. Quindi, le condizioni per fornire un valido consenso sono: che il minore abbia compiuto almeno 16 anni (salvo per gli Stati membri che prevedano un’età inferiore, ma in ogni caso mai minore di 13 anni); che il consenso sia stato prestato in sua vece da soggetto munito di responsabilità genitoriale; che il minore sia stato autorizzato dal titolare di detta responsabilità. Incombe sul titolare del trattamento l’onere di adoperarsi “in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili”. Ad oggi non è ancora chiaro come provvederanno in tal senso i provider, anche se risulta che alcuni social network si stiano attrezzando con misure tecniche quali, ad esempio, il riconoscimento facciale o altri strumenti di rilievo biometrico. In ogni caso, il considerando precisa che il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore. Il GDPR tutela, pertanto, direttamente i minori condizionando il Titolare in ordine alla base giuridica del trattamento. I dati dei minori non sono, invece, considerati di per sé dati “particolari” ai sensi dell’art. 9 del GDPR, tranne rientrino nelle categorie già analizzate.

Il problema si pone in ordine agli adempimenti che lo studio legale che si trovi a dover trattare dati di minori deve ottemperare. In primo luogo, già il Codice Deontologico Forense dispone che “L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali (art. 13); L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali. L’obbligo del segreto va osservato anche quando il mandato sia stato adempiuto, comunque concluso, rinunciato o non accettato (art. 28)”; e direttamente sui minori “Nei rapporti con gli organi di informazione l’avvocato deve ispirarsi a criteri di equilibrio e misura, nel rispetto dei doveri di discrezione e riservatezza; con il consenso della parte assistita, e nell’esclusivo interesse di quest’ultima, può fornire agli organi di informazione notizie purché non coperte dal segreto di indagine. L’avvocato è tenuto in ogni caso ad assicurare l’anonimato dei minori (art. 18)”. Pertanto, l’avvocato indipendentemente dal GDPR è già vincolato a obblighi di segretezza dei dati personali del cliente o, come specificato, della parte assistita. Proprio il concetto di parte assistita è applicabile ai minori, in quanto è possibile che il legale si trovi a patrocinare una controversia in cui assiste un minore, mentre il cliente che conferisce l’incarico sia il genitore. L’avvocato, in qualità di Titolare del trattamento dei dati personali dei suoi clienti/assistiti, necessita di una base giuridica che ne legittimi il trattamento. Per il particolare settore legale la base giuridica, ad oggi e in attesa di emanazione del decreto legislativo di coordinamento tra Codice della Privacy e GDPR, può rintracciarsi, per i dati che devono essere trattati per far valere un diritto in giudizio, nell’autorizzazione generale del Garante n. 2/2002 e successive proroghe. Nel caso in cui l’incarico concerna un procedimento stragiudiziale, sarà invece, necessario acquisire il valido consenso dell’interessato. Per tale ipotesi, se si tratta di dati di minori, il Considerando 38 specifica che “Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”; se i servizi di consulenza vengono prestati per il tramite del soggetto esercente l’attività genitoriale, dovrà invece fornire il consenso tale soggetto. Non si ritiene in tal senso applicabile la deroga di cui all’art. 8 del GDPR, in quanto la stessa è relativa all’offerta diretta di servizi della società dell’informazione ai minori. Oltre al consenso al trattamento, l’avvocato che assiste un minore, dovrà aver cura di fornire idonea informativa anche al diretto interessato, per l’eventuale esercizio dei suoi diritti. In ordine alle misure organizzative e tecniche da osservare in ottemperanza ai principi di privacy by design e by default, oltre a quanto già osservato, pur non trattandosi di dati “particolari” potrebbe essere conforme a dimostrare l’accountability del Titolare oltre che rispettoso del codice deontologico, la crittografia o anonimizzazione dei dati dei minori.



6. La tutela avverso il trattamento illecito di dati personali



Se si parla di tutela giurisdizionale bisogna in primis, distinguere la tutela avverso un provvedimento dell’Autorità Garante, e secondariamente, la tutela avverso un trattamento illecito di dati personali da parte del titolare ovvero del responsabile del trattamento. Tra i meccanismi di tutela elencati dal GDPR è infatti, previsto che sia l’attività di controllo dell’Autorità, sia quella dei titolari e dei responsabili sia sottoposta al vaglio giurisdizionale. Nel primo caso, si prevendono due ipotesi: la persona fisica o giuridica è stata interessata da una decisione dell’Autorità, ovvero abbia proposto reclamo senza che questa si sia attivata conformemente al Regolamento. Sul punto si sancisce, infatti, all’art. 78, il diritto di proporre un ricorso giurisdizionale per il caso in cui l’Autorità di controllo, a seguito di un reclamo presentato dall’interessato, non lo tratti, ovvero non lo informi entro tre mesi dello stato o dell’esito del reclamo. L’interessato infatti, qualora ritenga che un trattamento abbia violato o violi i principi e le disposizioni del Regolamento, ha, tra le altre forme di tutela che a breve vedremo, il diritto di proporre reclamo all’Autorità. Tale forma di tutela si aggiunge a quella giurisdizionale ed a quella amministrativa. Rispetto al vecchio Codice Privacy non si ripropone il trittico “segnalazione, reclamo e ricorso”, facendo forse presumere che il reclamo equivalga oggi al ricorso. L’istituto del reclamo, previsto oggi all’art. 77, appare molto simile a quello disciplinato all’art. 141 del Codice Privacy. Orbene, fermo il diritto per l’interessato ad esperire il ricorso amministrativo o giurisdizionale, qualora si ritenga leso nei propri diritti, ha altresì il diritto di proporre reclamo all’Autorità di controllo. Ora, per quel che concerne il ricorso avverso un provvedimento dell’Autorità di controllo, è bene notare che essendo essa un’autorità amministrativa indipendente si pone il problema del sindacato giurisdizionale sui provvedimenti delle Authorities. In via di principio, infatti, il sindacato del giudice sui provvedimenti delle Autorità amministrative indipendenti è di tipo “intrinseco” debole. Nel senso che il giudice, nel vagliare il provvedimento impugnato, non si potrebbe sostituire all’autorità, ma dovrebbe limitarsi a rivedere il processo decisionale caratterizzato da una discrezionalità tecnica che ha portato alla decisione, e valutato che vi sia un errore, dovrebbe rimettere il giudizio all’autorità, senza quindi sostituirsi ad essa per emanare egli stesso il provvedimento epurato dall’errore. Di qui l’espressione di “sindacato intrinseco debole” ossia non sostitutivo. Sul punto il GDPR stesso sembra avere istituito un sindacato giurisdizionale pieno. Il controllo giurisdizionale tracciato dalla normativa europea opera sulle decisioni giuridicamente vincolanti dell’Autorità, sia come un secondo grado di giudizio attivato dal reclamo ex art. 77, in questo caso innanzi all’autorità giurisdizionale ordinaria (non già innanzi all’autorità amministrativa indipendente), sia come strumento per contestare un’inerzia dell’Autorità per i casi di ritardata comunicazione circa lo stato del procedimento, ovvero per i casi di diniego di giustizia, operando dunque come un vero e proprio strumento di enforcement31. Legittimati attivi ad agire avverso il provvedimento dell’Autorità sono gli interessati stessi, ma anche gli enti rappresentativi, conformemente a quanto previsto ex art. 80, sia quali mandatari degli interessati, sia autonomamente, a tutela dei diritti degli interessati, se tale diritto è riconosciuto dal diritto dello stato membro. Il Regolamento segna espressamente due punti cardine nella tutela: il diritto ad un ricorso giurisdizionale effettivo sia nei confronti dell’autorità di controllo, sia nei confronti del titolare o del responsabile. Venendo dunque alla seconda forma di tutela, ossia quella avverso il titolare o il responsabile, il Regolamento, sul punto, prevede due forme di tutela per l’interessato che si ritenga leso: il reclamo, (come già detto) ed il ricorso giurisdizionale. In questo caso però il ricorso non si pone come una forma di tutela successiva ed ulteriore rispetto al reclamo, bensì come forma alternativa immediatamente attivabile dall’interessato che si ritenga leso da un atto di trattamento del titolare ovvero del responsabile. Il Regolamento mantiene infatti fermo il diritto alla tutela alternativa in sede giurisdizionale, come già previsto nel vecchio Codice Privacy (art. 152 d.lgs. 196/2003), sia nei confronti del titolare sia avverso le decisioni dell’Autorità di controllo. Cambiano però le regole relative al riparto di giurisdizione e si prevedono più fori facoltativi. Per quanto riguarda invece la legge applicabile, in mancanza di indicazioni sul punto da parte del Regolamento, facendo riferimento al Regolamento 1215/2012, verrà applicata la lex fori in ottemperanza al principio di territorialità della legge processuale. Il ricorso va proposto innanzi al giudice dello stato membro ove abbia sede il titolare o il responsabile, oppure innanzi al giudice dello stato membro ove l’interessato risiede abitualmente. La tutela può poi essere indirizzata direttamente anche nei confronti del titolare del trattamento, esercitando i diritti previsti dal Regolamento: ad esempio, revocando per quel tipo di trattamento il consenso previamente rilasciato, ovvero esercitando il diritto di opporsi al trattamento, ovvero ancora chiedendo la rettifica, la limitazione, l’accesso o la cancellazione (il diritto all’oblio). Invero, proprio con riferimento alla cancellazione, essa, ex art. 17, prevede dei presupposti che ne legittimano la richiesta: se i dati eccedono la finalità per i quali sono stati raccolti o trattati, se interviene la revoca del consenso precedentemente rilasciato, se l’interessato esercita il diritto di opposizione (art. 21 par. I e II), l’eliminazione derivi da un obbligo legale, ovvero i dati sono stati trattati illecitamente. Proprio con riferimento a quest’ultima ipotesi, si consideri il pervadente ruolo che i Social esercitano sulla vita dei minori, andando a creare un’identità digitale che talvolta sovrasta ed annienta l’identità reale. Di qui la necessità di prevedere una serie di tutele aggiuntive e “rafforzate” per i minori. Lo stesso art. 8 del Regolamento statuisce che il consenso al trattamento dei dati per i minori che lo rilasciano alla società dell’informazione, è legittimo se è prestato dal minore che abbia compiuto 16 anni. Se più giovane, il consenso deve essere prestato o autorizzato dal titolare della responsabilità genitoriale. Ebbene la previsione di una tutela che si traduca nella richiesta di cancellazione esercitata direttamente nei confronti del titolare del trattamento, per i casi in cui il consenso non sia stato legittimamente prestato con riguardo al minore rappresenta una tutela quanto più fondamentale al fine di richiedere che vengano eliminati i dati del minore in possesso del titolare – società dell’informazione. Se infatti si considera la rapidità di questa forma di tutela stragiudiziale rispetto al dover proporre un reclamo ovvero un ricorso giurisdizionale, se ne comprende l’immensa importanza. Trattamenti illeciti di dati personali dei minori possono essere immensamente più dannosi, proprio per la vulnerabilità del minore, rispetto a quelli commessi nei confronti degli adulti, e dunque la rapidità di cancellazione degli stessi, ovvero di loro correzione risulta di fondamentale importanza. Si considerino infatti i gravi rischi ai quali sono quotidianamente esposti i minori nel trattamento dei loro dati in Rete, ed in particolare nei Social Network, dati che sono spesso i minori a contribuire a determinarne una diffusione “incontrollata”, oltre che pregiudizievole. Ecco che la cancellazione del dato, potenzialmente dannoso oppure già dannoso, richiesta direttamente al titolare, può essere forse la prima e la più efficace misura per eliminare dal panorama digitale dati che possono pregiudicare una persona peraltro debole e molto spesso inconsapevole delle ricadute che ne derivano.



7. Diritto del minore ultrasedicenne a prestare il consenso al trattamento dei propri dati personali: eccezione alla regola o conferma di un mutamento in atto?



Il GDPR in esame32 prevede33 norme direttamente rivolte ai minori, espressamente disponendo che il consenso al trattamento dei dati personali dei medesimi sia legittimo se è prestato dal minore che abbia compiuto 16 anni e precisando che resta nella discrezionalità degli stati membri abbassare tale soglia di età sino a 13 anni. In un caso e nell’altro se ne desume che il consenso al trattamento dei dati personali è validamente prestato dal minore almeno quattordicenne. In materia di minori, il consenso al trattamento dei dati personali è regolamentato, su base statisticamente preponderante, per l’accesso dei medesimi ai social network. La c.d. base giuridica del trattamento è, in altre parole, costituita dall’adesione del minore al social, sulla base di un contratto di servizi che sortisce effetti giuridici anche se non prevede il pagamento di un corrispettivo monetario. Lo scambio, il sinallagma contrattuale generalmente individuato nei contratti con i quali si determinano i diritti del provider della piattaforma social e degli utenti e si regolamentano le modalità di fruizione dei servizi riguarda proprio il trattamento dei dati dell’aderente, che li “cede” – acconsente a che siano trattati – a fronte della possibilità di potersi esprimere ed interagire con gli altri soggetti presenti nel social (vale a dire, di divulgare i propri dati). L’assenza di un corrispettivo monetario non priva tale contratto di contenuto patrimoniale, atteso che i dati acquisiti dal provider con l’adesione dell’utente al social hanno (è circostanza ormai nota a tutti) un valore economico. Se per il GDPR è sufficiente che il minore (ultraquattordicenne) esprima il consenso al trattamento dei propri dati in via autonoma, se ne può desumere che quando, come è nella maggior parte dei casi, la base giuridica di detto trattamento sia il contratto con il quale si aderisca a un social, anche per il valido perfezionamento di esso non sia richiesta la maggiore età dell’aspirante utente ma si consideri sufficiente avere raggiunto quella, diversa e inferiore, che il GDPR indica (da 13 a 16 anni, come visto supra). Ciò in quanto, in concreto, l’adesione alla piattaforma social da parte dell’utente non implica che il consenso al trattamento dei propri dati. Sembra quindi posta una rilevante eccezione (nonostante la precisazione di cui al comma 3 dell’art. 8, v. nota 1) al principio per il quale la capacità di agire, vale a dire la capacità di esercitare i diritti dei quali si è titolari in quanto giuridicamente capaci, si acquista al compimento della maggiore età. Vi è da dire che da anni si assiste a un progressivo ridimensionamento di detto principio; inizialmente i minori sono stati intitolati a disporre direttamente di determinate, particolari situazioni giuridiche originate da fatti suscettibili di verificarsi a prescindere dal raggiungimento della maggiore età (riconoscimento del figlio), ovvero connesse alle nozze del minorenne, per ciò stesso abilitato ad occuparsi personalmente dei propri affari (in questi due casi la precocità dell’esperienza esistenziale muove il legislatore a una presunzione di capacità prima del compimento della maggiore età); vanno poi menzionati i casi in cui la situazione esistenziale del minorenne può cambiare radicalmente (adozione, riconoscimento) e in ordine ai quali il legislatore ha ritenuto indispensabile che egli, se abbia raggiunto i dodici anni, possa esprimersi sul punto; se quattordicenne, possa subordinare alla propria volontà la produzione di effetti novativi sul proprio status. E ancora: vi è un ampio novero di situazioni giuridiche in cui il minore va “ascoltato” quando “capace di discernimento” o comunque, ultradodicenne. Questo diritto all’ascolto è declinato dalla legislazione interna in ossequio sì al disposto delle convenzioni internazionali che pongono e disciplinano i diritti dei minori, ma anche in ragione del progressivo ampliamento che alla persona del minore come soggetto di diritti è stato fatto spazio nella più recente legislazione in tema di diritto di famiglia (si pensi, in particolare, alle novelle in tema di affido condiviso del 2006, in tema di filiazione del 2012 e 2013). Diretta conseguenza di questo nuovo modo di considerare la persona del minore è l’avere sostituito la potestà genitoriale con la responsabilità genitoriale, che pone l’accento sull’atteggiamento di rispetto verso le istanze dei figli che i genitori devono adottare quando assumano decisioni che li riguardino. Al minore come oggetto di intervento giudiziale, come mero destinatario degli effetti di un procedimento, si sta sostituendo con sempre maggior ampiezza e consapevolezza la figura del minore soggetto di diritti, che, proprio in quanto tale, è anche titolare del diritto ad essere ascoltato nelle controversie che lo riguardano se abbia “capacità di discernimento”. Questa capacità di discernimento, che legittima il minore ad esercitare il diritto ad essere ascoltato e quindi a fornire elementi utili all’assunzione di provvedimenti che lo riguardino, viene in gioco quando si tratti di vedere estrinsecati i diritti della personalità del minore medesimo (si pensi anche, per una declinazione più “forte” di una norma risalente, al diritto del figlio di essere educato secondo le proprie inclinazioni, per individuare le quali è pure e sempre più necessario confrontarsi con il minore in questione quando e se in grado di discernimento). La capacità di discernimento rende attuale e concreta la necessità di tenere nel debito conto l’opinione del minore quando si tratti di stabilire ambito, sviluppo e articolazione dei diritti della personalità siccome declinati anzitutto dall’art. 2 Cost. e dalle altre disposizioni che impattino sulla vita e le scelte del minore. La rilevanza costituzionale di questi diritti, insieme alla giusta consapevolezza che essi attengono al nucleo fondamentale della persona, che può manifestarsi e deve essere tutelato anche molto prima che sopraggiunga la maggiore età, induce il legislatore ad abilitare il minore ad esprimere la propria visione e a far constare le proprie determinazioni non appena questi sia in grado di farlo; più importante è il diritto, meno limitativa deve risultare la nozione di discernimento da tenere in considerazione a che il minore sia ascoltato. La capacità di discernimento, in forza della quale si abilita il minore all’esercizio dei suoi diritti di personalità, non si applica però al diritto delle obbligazioni e dei contratti, in relazione ai quali si ricorre piuttosto al concetto di capacità naturale, rectius, “di intendere e di volere”. In questo campo la regola dell’acquisto della capacità di agire al compimento della maggiore età (salva l’eccezione del minore emancipato propter nuptias) è più rigida, attesa la necessità di salvaguardare la certezza del traffico giuridico e di tutelare l’affidamento dell’altro contraente. È vero anche che detta regola è delimitata da rimedi elastici: da un lato il contratto stipulato dal minore è annullabile, e non nullo, permettendo a chi debba tutelare il minore di valutare la convenienza dell’affare concluso, se del caso mantenendolo valido ed efficace; dall’altro, quando il contratto concluso ed eseguito attenga alle esigenze quotidiane e abbia rilevanza economica contenuta, si finge esso sia stato stipulato dal minore quale rappresentante del genitore; in quanto rappresentante dovendo solo essere capace di intendere e di volere, e non capace di agire. Quale la particolarità che la normativa prevista dal GDPR in tema di minori impone di considerare? Come si viene dal dire, la regola dell’acquisto della capacità di agire si declina, in ambito contrattuale, con precisione, vale a dire che esso scatta con il raggiungimento della maggiore età. La normativa europea in tema di trattamento dei dati personali pone un’eccezione rilevante, che sembra aprire a una vera e propria capacità contrattuale del minore prima di quel momento. Come si diceva supra, il GDPR prevede che il minore ultrasedicenne o, se lo stato membro ritenga di abbassare detta età, anche solo ultraquattordicenne, possa esprimere un valido consenso al trattamento dei propri dati personali. Di tale consenso il GDPR si occupa in relazione, soprattutto, ai contratti con i quali i provider disciplinano l’accesso degli utenti alle proprie piattaforme social. Detti contratti, pur non prevedendo un corrispettivo che l’utente debba versare, hanno ad oggetto un contenuto che ha valore economico, e che è rappresentato appunto dal trattamento dei dati personali dell’utente che il provider è autorizzato, in forza di detto contratto, ad effettuare (“se è gratis, il prodotto sei tu”). Il consenso che il minore è abilitato ad autonomamente e validamente prestare in ragione delle previsioni del GDPR e quindi in tema di trattamento dei propri dati riguarda il contenuto del contratto che rappresenta la base giuridica del trattamento medesimo. Se ne desume che, consentendo al trattamento dati, il minore stia in realtà disponendo (altrettanto validamente) di un prodotto (i propri dati) oggetto del contratto di adesione al social, e quindi sta sottoscrivendo validamente quel contratto, o quella clausola contrattuale. Come va inquadrata questa particolarità? Può essere considerata una vera eccezione alla regola dettata dalla normativa interna in tema di acquisto della capacità di agre con il raggiungimento della maggiore età oppure si colloca nel più variegato panorama dell’esercizio dei diritti di personalità riservati al minore? La risposta è nella natura del diritto di ciascun soggetto sui propri dati personali, che ha una componente anche patrimoniale ma attiene preponderantemente alla sfera dei diritti della personalità, inerendo alla identità di ciascuno. È quindi in ragione della natura personale del diritto a disporre dei propri dati, che attiene specificamente ai diritti della personalità, che la validità del consenso al loro trattamento da parte di soggetti minorenni viene disposta senza per questo stravolgere il quadro normativo in tema di acquisto della capacità di agire con la maggiore età; ma non va sottovalutata la portata potenzialmente dirompente delle conseguenze in ambito contrattualistico che tale consenso, per le ragioni dette supra, può comportare. A prescindere dalla precisazione che la stessa norma in commento dispone.

NOTE

1 In ambito comunitario tale diritto ha trovato un primo fondamento normativo nella Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (firmata a Roma, il 4 novembre 1950 e ratificata dall’Italia con legge 45 agosto 1955 n. 848) all’art. 8 per cui “Ogni persona ha diritto al rispetto della sua vita privata e familiare, del proprio domicilio e della propria corrispondenza”.

2 G. finoCChiaro, F. Delfini (a cura di), Diritto dell’Informatica, Milano, 2014, 154.

3 La tutela del dato personale è indicata spesso anche come information privacy, informational privacy, data privacy da cui si evince che oggetto del diritto è l’informazione o il dato, anche se potrebbe trattarsi di termini non coincidenti e se intesa in questo senso, può ancora oggi parlarsi di tutela della privacy, non intesa come diritto alla riservatezza (finoCChiaro, Delfini, op. cit., 153).

4 finoCChiaro, Delfini, op. cit., 153.

5 MelChionna (a cura di), Il diritto alla protezione dei dati personali, Rimini,

2004, 34, per cui “il rispetto all’identità personale costituisce uno degli strumenti posti a difesa dell’autodeterminazione informativa e quindi del diritto al controllo della veridicità temporale dei propri dati personali in quanto riflesso dinamico della proiezione sociale di sé stessi effettuata tramite un trattamento”.

6 S. roDotà, relazione annuale 1997 in https://www.garanteprivacy.it/web/ guest/home/docweb/-/docweb-display/docweb/1343289 (ultima consultazione 15 luglio 2018).

7 Per archivio deve intendersi qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati.

8 Per vero, le parti contraenti possono scegliere, nel rispetto del diritto nazionale, di estendere la protezione anche ai dati delle persone giuridiche (Corte EDU, Bernh Larsen Holding AS e a. c. Norvegia, n. 24117/08, 14 marzo 2013). I legislatori nazionali rimangono infatti liberi di esercitare la propria discrezionalità in materia (CGUE, causa riunite C-92/09 e C 93/09, Volker und Markus Schecke GbR e Hartmut Eifert c. Land Hessen, 9 novembre 2010, punto 5353).

9 Il ventiseiesimo considerando, infatti, specifica: “Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”.

10 L. boloGnini, E. pelino, C. biStolfi (a cura di), Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 44-48.

11 F. pizzetti (a cura di), Privacy e diritto europeo alla protezione dei dati personali: dalla Direttiva 95/46 al nuovo Regolamento Europeo, Milano, 2016, 190-192. 12 Essa è definita dal GDPR come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata

o identificabile”.

13 Si veda sul punto il Considerando 34: “È opportuno che per dati genetici si

intendano i dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti”. Si veda anche il Considerando 53 “Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi”.

14 Per un approfondimento sul punto si veda anche G. buSia, L. liGuori, O. polliCino (a cura di), Le nuove tecnologie della privacy e nelle tecnologie digitali, Roma, 2016, 35 ss.

15 Si veda in particolare M. MaGlio, M. polini, N. tilli (a cura di), Manuale di diritto alla protezione dei dati personali, Rimini, 2017, 164 ss.

16 Cfr. in dottrina ex plurimis, P. zatti, Il diritto all’identità e l’applicazione diretta dell’art. 2 cost., in G. alpa, M. beSSone, L. boneSChi (a cura di), Il diritto all’identità personale. Un seminario promosso dal centro di Iniziativa Giuridica Pietro Calamandrei e dal Centro Studi e Documentazione Giuridica, Padova, 1981, 55. In giurisprudenza si veda Cass. 22 giugno 1985 n. 3769 che qualifica la posizione come diritto soggettivo alla stregua dei principi fissati dall’art 2 cost in tema di difesa della personalità cella complessità ed unitarietà di tutte le sue componenti “tale diritto mirando a garantire la fedele e completa rappresentazione della personalità individuale del soggetto nell’ambito della comunità, generale e particolare, in cui tale personalità individuale è venuta svolgendosi, estrinsecandosi e solidificandosi, trova fondamento giuridico positivo della sua tutela nell’art. 2 cost. clausola aperta e generale di tutela del libero ed integrale svolgimento della persona umana”.

17 finoCChiaro, Delfini, op. cit., 162.

18 In tal senso relativamente ai minori si ricorda la Convenzione di New York sui diritti dell’infanzia del 20 novembre 1989 per cui il diritto alla libertà di espressione del minore comprende “la libertà di ricercare, ricevere e divulgare informazioni e idee di ogni specie, indipendentemente dalle frontiere, sotto forma orale, scritta, stampata o artistica e con ogni altro mezzo a scelta del fanciullo”. La Carta prevede numerose norme che vincolano i media alla tutela del minore ed è stata espressamente richiamata nell’Allegato A del Codice della Privacy, assumendo valore normativo cogente.

19 In tal senso una recente sentenza di merito ha evidenziato come ritenere che l’utente di Internet sia un utente smaliziato, che naviga abitualmente, sicuro di ciò che cerca nel sistema informatico ed in grado di discernere i contenuti offerti “è un’immagine corrispondente ad una fetta minoritaria degli utenti del sistema, utopistica con riguardo all’utente medio. Cfr. P. SaMMarCo, Il motore di ricerca, nuovo bene della società dell’informazione: funzionamento, responsabilità e tutela della persona, in D. inf., 2006, 631 ss.

20 finoCChiaro, Delfini, op. cit., 163.

21 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), Gazzetta Ufficiale n. l. 201 del 31 luglio 2002.

22 Per una panoramica sul punto, si veda: buSia, liGuori, polliCino, op. cit., 25 ss., ma anche MaGlio, polini, tilli, op. cit., 167.

23 Commissione Europea, Cosa significa protezione dei dati “fin dalla progettazione” e “di default”?, disponibile a https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-design-and-default/what-does-data-protection-design-and-default-mean_it (ultima consultazione 13 luglio 2018).

24 A. CiCCia MeSSina, N. bernarDi (a cura di), Privacy e Regolamento Europeo, Milano, 2017, 85 ss.

25 Il Garante francese ha implementato un software gratuito per effettuare la valutazione d’impatto, scaricabile al seguente link (https://www.cnil.fr/fr/ outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil), ultima consultazione 12 luglio 2018. Offre quindi un percorso guidato per la DPIA in linea con le indicazioni fornite dal WP29 sul punto.

26 Per vero non si tratta di un nuovo adempimento, posto che l’obbligo per il titolare di procedere ad una valutazione dei trattamenti era già stato previsto dalla Direttiva 95/46/CE, che prevedeva l’obbligo generale di notificazione all’Autorità per ogni trattamento. Tale obbligo era stato attuato, in recepimento della direttiva, con gli artt. 37 del CPDP.

27 La violazione dei dati, se non affrontata tempestivamente può comportare, secondo il Considerando n. 85 “danni fisici, materiali o immateriali alle persone fisiche, ad esempio [...] discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata”. Ecco perché si rende necessaria la notifica al Garante. Si veda sul punto per un approfondimento anche boloGnini, pelino, biStolfi, op. cit., 10 ss., ma anche Gruppo di lavoro Art. 29 per la protezione dei dati, Guidelines on Personal data breach notification under Regulation 2016/679, WP 250 rev1, ottobre 2017, modificate il 6 febbraio 2018 disponibili a http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.

28 La figura è descritta anche dal WP29 per la protezione dei dati nel Report on the obligation to notify the national supervisory authorities, the best use of exceptions and simplification and the role of the data protection officers in the European Union.

29 Questa figura era invero già prevista in alcuni ordinamenti, quali la Francia, il Lussemburgo, la Germania, la Svezia ed i Paesi Bassi.

30 Lo stesso parere n. 3/2010 del WP29 definisce l’accountability come caratterizzata da due livelli: un primo riguardante una serie di obblighi normativamente previsti e quindi di scelte per così dire “vincolate”, ed un secondo livello di scelte su base volontaria. Due sarebbero gli elementi principali: l’adozione di misure di sicurezza idonee al rischio sotteso al trattamento dei dati, la necessità di dimostrare di avere adottato tali misure.

31 boloGnini, pelino, biStolfi, op. cit., intero contributo, ma anche P. Marini (a cura di), Regolamento Privacy Ue: reclami ricorsi e azioni per il risarcimento del danno, in Quotidiano Web & Tech Pluris, 2017, consultabile al link http://www. quotidianogiuridico.it/documents/2017/06/26/regolamento-privacy-ue-reclami-ricorsi-e-azioni-per-il-risarcimento-del-danno (ultima consultazione 13 luglio 2018).

32 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

33 Considerando n. 38: “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”; art. 8: “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione 1. Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni”. 4 maggio 2016 IT Gazzetta ufficiale dell’Unione europea l. 119/37 2. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. 3. Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.