GDPR e consenso dati personali, può essere richiesto direttamente al minore ultraquattordicenne?

da Orizzontescuola

di Avv. Bruno Cantarone

Dato il tempo trascorso dalla fatidica data del 25 maggio 2018, che ha segnato l’inizio dell’effettiva applicazione del GDPR in tutti gli Stati membri dell’Unione Europea, oggi capita sovente al professionista designato quale Responsabile della Protezione dei Dati di assumere l’incarico in sostituzione di altro soggetto che, di norma nell’anno precedente, ha ricoperto quello stesso ruolo prima di lui.

La prima conseguenza che tale fisiologico avvicendamento comporta per il nuovo RPD è quella di dover valutare l’apparato documentale che costituisce il lascito tangibile di chi lo ha preceduto nell’incarico (registro delle attività di trattamento; atti di nomina; informative; formule di consenso; ecc.), allo scopo di decidere – nell’interesse del Titolare del trattamento – se sia più utile conservarlo (magari, apportandovi le modifiche necessarie) ovvero soppiantarlo del tutto, optando per l’adozione della “propria” modulistica, quella che ogni professionista che si rispetti ha artigianalmente elaborato e continuamente migliorato nel corso del tempo e dell’esperienza, e che costituisce, per così dire, la “dote” materiale che egli porta con sé.

Proprio in questa situazione, è capitato al sottoscritto RPD di imbattersi in una Informativa sul trattamento dei dati personali che, fornita dal suo predecessore ad una scuola secondaria di secondo grado del triveneto, attribuiva la manifestazione del consenso necessario per il trattamento dei dati personali in taluni casi specifici (riprese audiovisive e fotografie; varie comunicazioni a terzi, come Compagnie di assicurazione, agenzie di viaggio, alberghi, ecc., di dati riguardanti lo stato di salute, ovvero di dati anagrafici a soggetti pubblici e privati), al “minore che ha compiuto i quattordici anni”, con espresso riferimento all’”art. 2-quinquies Decreto Legislativo 101/2018”.

E’ stata l’occasione propizia, per questo RPD subentrante, per revocare in dubbio le ragioni del suo dissenso, effettuando, con umiltà ed onestà intellettuale, la seguente revisione critica dell’intero argomento.

Il necessario punto di partenza della disamina è costituito dall’art. 2, comma 1, del Codice Civile che, come regola generale, ricollega alla maggiore età (fissata, è a tutti noto, al compimento del diciottesimo anno) la cd. “capacità di agire”, ossia la capacità di compiere personalmente ed autonomamente atti validi di amministrazione dei propri interessi.

Ne consegue che, prima del raggiungimento di quella soglia (minima) di età, il soggetto – quand’anche il suo grado di maturità risulti, di fatto, elevato – è da ritenersi legalmente incapace e, come tale, protetto dall’istituto della minore età, che è appunto uno degli strumenti di salvaguardia che il Codice Civile appresta, a seconda dei casi, per impedire che un soggetto privo della capacità di discernimento che normalmente possiede l’individuo adulto e maturo, possa compiere atti pregiudizievoli.

Questa rigida regola generale della incapacità legale del minore è tuttavia temperata nel Codice Civile da vari limiti, come ad esempio la possibilità che leggi speciali stabiliscano un’età inferiore in materia di capacità a prestare il proprio lavoro, abilitando il minore “all’esercizio di diritti ed azioni che dipendono dal contratto di lavoro” (art. 2, comma 2).

Il caso che più rileva nella disamina in corso è però quello contenuto nello stesso art. 2, comma 1, che attribuisce al minore “la capacità di compiere tutti gli atti per i quali non sia stabilita un’età diversa” dai 18 anni: ad esempio, il minore ultrasedicenne può essere ammesso dal Tribunale a contrarre matrimonio (art. 84, comma 2) e può riconoscere il figlio naturale (art. 250, comma 5).

Di conseguenza, per sciogliere il dubbio se un alunno di almeno 14 anni di età possa validamente esprimere il proprio consenso al trattamento dei dati personali che lo riguardano, bisogna chiedersi se quella manifestazione di volontà sia configurabile quale atto per il quale è stabilita un’età diversa dai 18 anni (ai sensi dell’art. 2, comma 1).

Un appiglio in tal senso potrebbe essere in apparenza costituito proprio dall’art. 2-quinquiesche il D. Lgs. 101/2018, adeguando la normativa nazionale alle disposizioni del Regolamento UE 2016/679 (GDPR), ha introdotto direttamente all’interno del Codice in materia di protezione dei dati personali, il D. Lgs. 196/2003.

Tale norma interna, che abbassa il limite di età all’uopo stabilito dall’art. 8 del GDPR (16 anni), consente infatti al minore che ha compiuto i quattordici anni di esprimere il consenso al trattamento dei propri dati personali “in relazione all’offerta diretta di servizi della società dell’informazione”, mentre riserva a chi esercita la responsabilità genitoriale l’analogo consenso, nel caso di minore che quella età minima non ha ancora raggiunto.

In generale, l’espressione “società dell’informazione”, usata per la prima volta nel 1973 da Daniel Bell, ordinario di sociologia a Harvard, definisce il tratto caratteristico della moderna società post-industriale: giunta al culmine del processo di industrializzazione, essa deve – per continuare a crescere – orientare i suoi sforzi verso la produzione di servizi immateriali piuttosto che di beni materiali.

Nello specifico, per definire la nozione di “servizio della società dell’informazione” il GDPR (art. 4, n. 25), rinvia all’art. 1, comma 1, lett. b) della Direttiva (UE) 2015/1535, che per tale intende “qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”.

Quindi un quattordicenne italiano può direttamente e validamente esprimere il consenso al trattamento dei propri dati personali solo se esso, in definitiva, è funzionale alla fruizione di un servizio online (per esempio, quello offerto dai social network), cioè di un servizio, sempre in base alla citata Direttiva:

  • erogato senza la presenza simultanea delle parti;
  • inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici;
  • fornito mediante trasmissione di dati su richiesta individuale.

Fuori da questo perimetro dei “servizi della società dell’informazione”, la soglia di età stabilita dall’art. 2-quinquies del vigente Codice in materia di protezione dei dati personali (D. Lgs. 196/2003) è destinata a perdere ogni efficacia, né sussistono ragioni per applicarla “estensivamente”, legittimando il minore (ultraquattordicenne) ad esprimere il consenso al trattamento dei dati personali anche in casi diversi o, peggio ancora, in qualunque caso.

A questa conclusione conduce innanzitutto la lettera dello stesso dell’art. 2-quinquies che appunto, espressamente limita e ricollega l’eccezione del riconoscimento della capacità di agire ad un minore di 14 anni di età, solo al compimento dello specifico atto del rilascio del consenso al trattamento dei propri dati personali “in relazione all’offerta diretta di servizi della società dell’informazione” (e non in relazione ad altri servizi).

Trattandosi poi di “eccezione” alla regola generale stabilita dall’art. 2, comma 1, del Codice civile, che fissa a 18 anni l’età per l’acquisto della capacità di agire, l’art. 14 delle Preleggi ne impedisce l’applicazione analogica fuori dei casi in essa considerati.

Quale ulteriore argomento di cautela è da aggiungere inoltre il Considerando 38 che nel GDPR, in linea di principio, giudica i minori meritevoli di “una specifica protezione relativamente ai loro dati personali, in quanto possono essere o meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.

Per tutte queste ragioni, il consenso al trattamento dei dati personali del minore (anche ultraquattordicenne) – nei pochi casi in cui è necessario in ambito scolastico – non rientra nell’alveo di applicazione dell’art. 2-quinquies del D. Lgs. 196/2003 e deve pertanto essere rilasciato solo da chi esercita la responsabilità genitoriale, non potendo essere rimesso alla volontà di un soggetto legalmente privo di capacità di agire.