L’articolo 8 del GDPR, relativo alle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione, pone molti problemi interpretativi ed applicativi.
Da una rigorosa analisi letterale e sistematica della norma risulta che:
in relazione al trattamento di dati di minori di età, il Titolare del trattamento non può, a sua scelta, optare per la base giuridica del consenso quando ricorrono altre condizioni di liceità;
nell’ambito di applicazione dell’articolo 8, paragrafo 1, del GDPR sono compresi i servizi della società dell’informazione che non sono elemento di un contratto, rispetto al quale il minore di età sia incapace di agire;
ai fini dell’articolo 8 GDPR, il consenso del minore di età non è condizione di liceità del trattamento di dati personali appartenenti a particolari categorie riferiti al minore di età;
chi offre un servizio della società dell’informazione è obbligato a dichiarare motivatamente se il servizio offerto è di natura contrattuale oppure non contrattuale e se i servizi sono diretti solo a maggiori di età, oppure solo a minori di età, oppure indistintamente a maggiorenni e minorenni;
le regole, parametrate al rischio, relative alle tecniche da usare per la verifica della minore età, servono a misurare la responsabilità del Titolare. Peraltro, se si appura ex post che il servizio è stato in concreto fruito da una persona di età inferiore a quella ammessa, il trattamento deve in ogni caso cessare;
doveri e poteri assegnati dal Codice civile ai genitori (rappresentanza negli atti civili e adozione delle scelte relative alla istruzione ed educazione dei figli) si applicano anche a proposito delle decisioni relative alla fruizione dei servizi della società dell’informazione;
una proattività, tipica degli istituti ispirati all’accountability, è senz’altro dovuta dai genitori anche in relazione alla gestione del consenso al trattamento dei dati dei minori relativo ai servizi della società dell’informazione.
With reference to the terms and conditions applicable to the consent stated by minors involved in information society services, article 8 of the GDPR presents many issues related to its exact meaning as well as to the consequent effective actions to be taken.
A strictly literal and systematic analysis of the regulation proves that:
to legitimize the data processing of minors, the data controller is non enabled, at its free choice, to opt for the legal ground of consent if other conditions of lawfulness must be followed;
article 8 of the GDPR does not cover all information society services, but only the ones that cannot be included in a contract that the minor is not enabled to sign;
in accordance with article 8 of the GDPR, the consent of the minor is not a legal ground for the processing of special categories of personal data referring to the minors;
those who offer information society services are obliged to justifiably state whether the service offered is contractual based or non-contractual based and whether the services are directly offered only to adults or only to minors or without distinction to adults and minors;
the provisions, appropriated to the risk, relating to the tools to be implemented for the age verification of minors, are useful for assessing the responsibility of the controller. Moreover, if it is shown ex post that the service has actually been used by a person under the age of the allowed one, the processing must in any event cease;
the Italian Civil Code’s provisions about duties and powers conferred on parents (representation in civil acts and adoption of decisions relating to the education of children) also apply to decisions relating to the use of information society services;
parents must act proactively also in the management of consent to the processing of children’s data amid the provision of information society services.