Il Gdpr (General Data Protection Regulation), di cui abbiamo parlato diffusamente su Small Business Italia, è il nuovo Regolamento europeo sulla privacy in vigore da maggio 2018. Tra le altre disposizioni, il GDPR stabilisce l’età minima per dare, in maniera autonoma, il consenso per il trattamento dei propri dati personali.
Diciamo subito che il GDPR riguarda sia le PMI che i freelance e le ditte individuali, con adempimenti differenti perché queste ultime sono esentate – ad esempio – dalla nomina del DPO interno all’azienda.
GDPR ed età minima per il Consenso alla Privacy
La normativa Ue fissa questo tetto a 16 anni, ma ciascuno stato membro è libero di sceglierne una più bassa, a patto che non sia inferiore ai 13 anni. In linea con ciò, è scattata la decisione di WhatsApp, il colosso della messaggistica istantanea, di salire l’età minima a 16 anni dai 13 attuali.
Eppure il 73% degli under 13 usa questo strumento abitualmente e a questo punto potrebbe continuare a utilizzarlo, mentendo sull’età, come d’altronde fa su Facebook il 44% dei giovanissimi. Le ripercussioni di questa situazione hanno interessato il panorama giuridico italiano. Dieci le criticità riscontrate dalle istituzioni competenti: vediamole nel dettaglio.
Il parere del Garante dell’Infanzia sul GDPR
L’Autorità Garante per l’Infanzia e l’Adolescenza ha definito la questione complessa e di interesse politico e costituzionale. Da qui il parere inoltrato alla Presidenza del Consiglio dei Ministri e al Ministero della Giustizia, oltre che al Garante della Privacy.
Si tratta di un documento frutto di un ciclo di audizioni, in cui sono stati ascoltati psicologi, psichiatri, sociologi, giuristi e esperti in pedagogia e comunicazione. Inoltre si è tenuto conto dell’opinione delle principali associazioni di genitori e della consulta dei ragazzi interna all’Autorità.
Il significato della soglia di età minima
Secondo il Garante, la responsabilità di disporre dei propri dati non è connessa a un mero fattore anagrafico, ma riguarda la maturità di ciascun individuo, ma in ogni caso rimane condivisibile la soglia scelta dall’Unione Europea. Per favorire la capacità critica dei minori, uno strumento ormai imprescindibile è l’alfabetizzazione digitale, di pari passo con l’educazione familiare e cn le conoscenze apprese nell’esperienza quotidiana.
Necessità di competenze specifiche
Per avere una corretta consapevolezza di che cosa significhi autorizzare qualcuno al trattamento dei propri dati personali vanno implementate nei ragazzi le nozioni basilari di diritto e di economia, con programmi educativi ad hoc. Lo Stato italiano, a detta del Garante, non è ancora pronto su questo fronte così come lo è invece su temi sociali quali cyberbullismo o sexting.
GDPR e profilazione dei minorenni
La pubblicità comportamentale consiste nell’uso, da parte di alcune aziende, di informazioni sugli interessi degli utenti per proporre loro determinati prodotti. Si tratta dello stesso metodo visto con la questione di Cambridge Analytica e Facebook. Sull’adolescente in via di sviluppo, questa tecnica può avere effetti sulla formazione dalla personalità e dell’identità dello stesso incidendo sulla crescita.
Incidenze sulla crescita
Un marketing basato sulla pubblicità comportamentale potrebbe infatti illudere il giovane consumatore prospettandogli un mondo sempre in linea con le sue passioni. Una simile deriva potrebbe far avere al minore un’eccessiva autostima facendolo chiudere nelle proprie emozioni e lasciando poco spazio alla scoperta di altri punti di vista.
Le conseguenze sugli orientamenti della persona sono difficilmene quantificabili, ma è importante preservare la costruzione della propria identità. L’io deve formarsi in maniera creativa, attingendo sempre a più fonti diverse tra loro.
I 16 anni in Italia
Attualmente in Italia i 16 anni sono l’età in cui finisce l’obbligo scolastico e dalla quale è permesso al minore di lavorare, contrarre matrimonio o riconoscere un figlio. Inoltre, da un punto di vista culturale, la normativa sul diritto d’autore concede il pieno possesso del copyright agli scrittori con più di 16 anni.
Agli over 16 è riconosciuta anche la capacità di prestare il consenso per atti sessuali. A partire da quest’età sono pubblicabili dalla stampa le generalità dei minorenni imputati o testimoni di reati. Dunque l’ordinamento italiano da questo punto di vista è in linea con il Gdpr, individuando nei 16 anni un passaggio importante della maturazione individuale.
La Convenzione sui diritti dell’infanzia
A livello internazionale va considerata la posizione dell’Onu che nella Convenzione sui diritti dell’Infanzia e dell’Adolescenza del 1989 considera “fanciulli” tutti i minorenni. Il documento precisa che i ragazzi hanno il diritto di partecipare alla vita politica e sociale, ma in maniera leggera, senza eccessivi pesi, rimandando la maggior parte delle responsabilità ai loro genitori o tutori ed educatori.
Tenuto conto di ciò, dare ai 16enni e ai 17enni l’onere di decidere dei propri dati personali può risultare una decisione gravosa se non si prendono le dovute precauzioni.
GDPR e Protezione dei Minori
Il Gdpr non è impreparato da questo punto di vista, ma anzi precisa come i minori meritino “una specifica protezione” soprattutto per i dati usati a fini di marketing. Al fine di questa protezione, qualsiasi informazione e comunicazione che riguardi il trattamento di dati dei minori deve avere un linguaggio comprensibile in maniera chiara dagli over16, ossia “children friendly”.Per quanto riguarda servizi di prevenzione o consulenza, i minori sono invece considerati in grado di gestirsi autonomamente.
Il diritto all’oblio dei minori
Il Garante, nel parere inviato ai principali dipartimenti competenti, fa presente la necessità del diritto all’oblio. Si tratta di una garanzia di cui usufruisce chi chiede la rimozione dal web di notizie relative ai suoi trascorsi di cui non vuole più la reperibilità.
A tal proposito il Garante chiede che l’interessato abbia il diritto di poter chiedere la cancellazione dei dati non più necessari per le finalità esistenti quando sono stati raccolti. In particolare questo deve essere possibile nei casi in cui, all’epoca del consenso, l’individuo era minore e aveva quindi meno contezza dei rischi derivanti dal trattamento.
Per adeguarsi al gdpr ciascun sito web deve provvedere all’inserimento di un pagina privacy e all’informativa dei cookie di profilazione utilizzati – anche se di terze parti – ma non basta: l’utente deve avere la possibilità di continuare la navigazione anche se non vuole dare il consenso alla profilazione, e per fare questo si possono utilizzare dei plugin conformi al gdpr.
La profilazione dei minori secondo il GDPR
Un trattamento automatizzato non dovrebbe mai prevedere per un minore la profilazione cioè un’operazione di analisi riguardanti informazioni circa la situazione economica, la salute, le preferenze o gli interessi personali, l’ubicazione e gli spostamenti dell’interessato. Spesso la raccolta e l’elaborazione dei dati cosiddetti sensibili va oltre il limite consentito, ma, mentre gli adulti hanno gli strumenti critici per difendersi e prevenire il fenomeno, i mnori vanno tutelati.
La profilazione, secondo il Garante dell’infanzia, può essere consentita solo se a scopo di salvaguardare i diritti del fanciullo, in primo luogo quelli relativi alla sicurezza. In Italia la profilazione è regolamentata dal Garante della Privacy ed è autorizzata solo in base a richieste esplicite corredate da informative chiare, complete ed esaustive.