Documentazione

Minori e GDPR

Nella mia attività, ho bisogno di trattare dati personali di minori. C’è qualcosa che dovrei sapere?

Alcune disposizioni del GDPR stabiliscono regole specifiche per il trattamento di dati personali riferiti a minori di età, in particolare l’articolo 8, paragrafo 1:

Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Analizziamo più nel dettaglio questa clausola:

  • In primo luogo, a differenza del resto del GDPR, questa disposizione si applica solo ai servizi online (“servizi della società dell’informazione”).

  • L’aspetto più importante è che si applica solo se l’offerta di servizi della società dell’informazione è espressamente, esclusivamente o principalmente destinata ai bambini. È questo il caso in cui ci si rivolge espressamente ai bambini (ad esempio con un linguaggio informale e infantile), in cui i prodotti, i servizi o i contenuti offerti sono destinati specificamente ai bambini (ad esempio letteratura per bambini, giochi, risorse per la scuola, etc.) o, ovviamente, in cui l’offerta è espressamente limitata ai bambini (“solo per bambini”).

    Non è invece sufficiente offrire o vendere beni, servizi o contenuti che possono essere adatti ai bambini o che comprendono articoli a misura di bambino. Pertanto, se vendi giocattoli online, ciò non implica necessariamente che il tuo e-commerce sia “offerto direttamente ai bambini”.

  • Si applica solo nel caso in cui la base giuridica del trattamento dei dati personali è il consenso.
    Quindi, se vendi suonerie per smartphone ai ragazzi, i dati personali raccolti al momento dell’acquisto (nome, cognome, indirizzo e-mail, dettagli di pagamento) saranno “necessari all’esecuzione di un contratto di cui l’interessato è parte” e quindi coperti dalla base giuridica contrattuale (articolo 6, paragrafo 1, lettera b).

    Se, tuttavia, si desidera utilizzare l’indirizzo e-mail dell’interessato anche per l’invio di newsletter sulle proprie suonerie, sarà necessario raccogliere il suo consenso, in quanto il trattamento dei dati personali per finalità di marketing non rientra nell’ambito del contratto. Qui è dove l’articolo 8 diventa rilevante: se l’interessato ha meno di 16 anni, è necessario ottenere il consenso anche dai genitori.

  • Per “minori” l’articolo 8 del GDPR intende ragazzi e bambini di età inferiore ai 16 anni. Il GDPR, tuttavia, consente agli Stati Membri di abbassare l’età a 13 anni. L’Austria ad esempio ha abbassato la soglia a 14.

Se ritieni che tali condizioni valgano nel tuo caso, dovresti assolutamente implementare un ulteriore passaggio nel tuo servizio online: verificare l’età dei tuoi utenti. A questo scopo, sarà sufficiente una finestra pop-up con la domanda “Quanti anni hai?” o “In che anno sei nato?”.

Come posso ottenere il consenso dei genitori o far sì che essi autorizzino il consenso dei loro figli?

L’articolo 8 ti offre due possibilità: o raccogli il consenso direttamente dai genitori dell’interessato, oppure fai in modo che i genitori “autorizzino” il suo consenso. Il trattamento dei dati personali non può essere effettuato prima che una di queste due opzioni sia stata attuata.

Ma come fare per sapere chi sono i genitori, e avere il loro consenso? Non esiste una risposta chiara a questa domanda. I commentatori hanno indicato vari metodi per verificare l’identità e raccogliere il consenso, tra cui:

  • invio di una copia del passaporto o della carta d’identità via e-mail;
  • invio di una lettera di consenso o di autorizzazione firmata dai genitori via e-mail;
  • elaborazione degli ordini online attraverso la carta di credito dei genitori;
  • consenso/autorizzazione dei genitori espressi telefonicamente.

Tutti questi metodi comportano un pesante onere per tutte le parti interessate. Pertanto, alcuni commentatori hanno sottolineato che il ben noto metodo del “double-opt-in” potrebbe essere utile anche a questo scopo.

Esempio

Una ragazzo di 14 anni vuole iscriversi a una newsletter. Dopo aver dichiarato di aver compiuto 14 anni, deve fornire a) il proprio indirizzo e-mail, al quale eventualmente verranno inviate le newsletter e b) l’indirizzo e-mail dei genitori. Dopo l’iscrizione, sia l’interessato che i genitori ricevono un’e-mail automatica che chiede di confermare l’iscrizione e conferma che i genitori acconsentono al trattamento dei dati personali del figlio.

Naturalmente, si potrebbe sostenere che a un adolescente smaliziato basterebbe meno di un minuto per creare dei falsi indirizzi di posta elettronica per i suoi genitori. Ma in un certo senso, lo stesso ragionamento si applica a qualsiasi altra procedura di autenticazione: alla fine, è responsabilità dei genitori prevenire tali abusi da parte dei loro figli.

Come regola d’oro, si dovrebbe sempre scegliere il metodo di autenticazione in base al rischio potenziale derivante dal trattamento dei dati personali. Nell’esempio della newsletter, dove il rischio è molto basso, la procedura del doppio accesso potrebbe essere considerata sufficiente.

Dall’altra parte, potrebbe essere molto più rischioso raccogliere il consenso dell’interessato per rendere alcuni dei suoi dati personali pubblicamente disponibili su internet: in questo caso dovresti optare per un metodo di autenticazione più complesso ma più sicuro, come la richiesta di presentazione del passaporto o di altri documenti d’identità.

Leggi anche