L’essere on line ormai è parte integrante nella quotidianità di tutti noi ed, in particolare della vita dei ragazzi. Questo modo di vivere può essere vantaggioso o dannoso , ma comunque influisce in modo pressante nelle loro esperienze quotidiane: offre risorse sul piano simbolico e relazionale, per l’apprendimento, la creatività e la partecipazione. 

L’accesso ad internet unitamente al quadro sociale dove orbita il minore rimane la caratteristica che va ad incidere sui rischi e sui benefici che coinvolgono il minore.

L’analisi, però, non deve essere svolta relativamente alla quantità del tempo di navigazione, la quale influisce sul tempo sottratto alle lezioni ed alla socialità diretta, ma bisogna guardare la qualità che viaggia in stretta correlazione con il contesto sociale in cui opera il minore, in quanto quest’ultimo, insieme all’età, influenza  la navigazione.

Da ricerche effettuate, si è visto che il bullismo rimane l’elemento di maggior rischio, che genera più sofferenze, ma quello più diffuso è l’esposizione a contenuti ‘user generated negativi’: immagini violente, siti o discussioni che promuovono la discriminazione razziale, religiosa o di genere, siti dove si discute di autolesionismo o di anoressia e bulimia.

Vi è da dire che maggiore è il tempo di navigazione in internet, maggiore sarà il rischio, ma maggiore sarà anche la possibilità di poter far fronte a situazioni di pericolo con  l’acquisizione di competenze digitali. E in questo campo che la scuola deve svolgere la sua parte , in quanto fonte primaria per la formazione, in questo caso, digitale ed è il primo nucleo, dopo la famiglia, dove i ragazzi socializzano, prima in presenza e poi nelle varie chat con gli amici e il conseguente scambio di informazioni per via informatica.

Occorre, pertanto,  un’adeguata e precisa programmazione di azioni intente a rafforzare la sicurezza in rete, perché tutto possa essere usato e fruito correttamente.

In merito all’età del consenso digitale,  la questione è sorta con l’introduzione del cd. GDPR, approvato a livello di Comunità Europea, che all’art. 8, paragrafo 1, stabilisce che il consenso dell’interessato, nella fattispecie il minore, è validamente prestato qualora abbia compiuto i 16 anni e, conseguentemente, se il minore non ha compiuto l’età minima per il consenso,  il trattamento è lecito soltanto se e nella misura in cui il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale, salva la possibilità degli Stati membri di derogare il limite fino a 13 anni.

Nell’attuare il GDPR, il legislatore italiano ha, contemporanamente stabilito all’art. 2-quinquies del D.lgs. n. 101/2018 che il limite di età per il consenso valido non potrà essere inferiore ai 14 anni.

Bisogna chiedersi, ora, se la soglia minima dei 14 anni è garanzia di tutela per i minori oppure occorre un’ ulteriore analisi sulle vicende e riguardo le dinamiche del web, così da valutare un abbassamento a 13 anni e coinvolgere nella tutela anche le società che operano nel web, soprattutto quelle che offrono servizi ai minori.

La conseguenza che ogni Stato può stabilire una soglia di età diversa, ha comportato che l’operatore del servizio, al quale il minore deve fornire il consenso, dovrà tenere conto delle possibili diversità di norme presenti nei vari Stati e, dunque, non dovrà riferirsi semplicemente a quanto stabilito nello stato membro sede del suo stabilimento principale, considerando, altresì,che  il GDPR è applicabile anche ai Titolari non stabiliti nell’Unione europea che trattano dati di cittadini europei.

La scelta del legislatore italiano appare in linea con altre norme dell’ordinamento, che ricollegano al compimento del quattordicesimo anno d’età la facoltà di esercitare tutta una serie di diritti in determinati ambiti[1].

Inoltre, all’interno del GDPR si ha un’ ulteriore distinzione tra il consenso prestato in materia di contratti ovvero di protezione dei dati personali, con la conseguenza che i requisiti per la validità del consenso all’uso dei dati relativi a minori rientrano in un quadro giuridico da considerarsi distinto dal diritto contrattuale nazionale[2].

Bisogna anche dire che l’art.  8 GDPR si applica solo ai servizi oggetto di offerta diretta e il cui legittimo trattamento sia basato sul consenso informato dell’interessato e non riguarda qualunque trattamento online di dati che si riferiscano ai minori, né qualunque servizio della società dell’informazione al quale i minori possano accedere.[3]

A tal fine, è stata prevista una maggiore tutela per i minori in quanto sono  particolarmente vulnerabili nell’ambiente online e più facilmente influenzabili dalla pubblicità comportamentale.

L’inconsapevolezza dei minori relativamente ai rischi ed alle conseguenze, nonché dei diritti riguardo il trattamento dei dati personali quale la maggiore tutela per i minori, è ampiamente espresso nel Considerando 38 del GDPR dove viene espressa proprio un’ampia tutela.

Diversi studi hanno rilevato che le prassi di marketing attraverso i social media, i giochi online e le applicazioni mobile hanno un impatto evidente sul loro comportamento

Un punto che merita di essere segnalato è che ai sensi del considerando 38, il consenso di un genitore o del tutore non è richiesto nel contesto di servizi di prevenzione o consulenza offerti direttamente al minore. (es. Telefono azzurro).

Per la definizione di “servizio della società dell’informazione” l’art. 4, par. 25 GDPR rinvia all’art. 1, par. 1 lett. b) della direttiva 2015/1535 e lo descrive come qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.

Il tipo di servizio può assumere varie tipologie e può essere a distanza, ovvero un servizio fornito senza la presenza simultanea delle parti, per via elettronica, cioè un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici ed, infine, a richiesta individuale di un destinatario di servizi che consiste in  un servizio fornito mediante trasmissione di dati su richiesta individuale.

Alla definizione di “servizi” ha contribuito anche la Corte di Giustizia Europea, la quale in alcune sue pronunce, ha precisato alcune interpretazioni della specificazione in riferimento ad alcune società con riferimento ai “servizi compositi”.

Focalizziamo ed analizziamo le effettive misure di trasparenza destinate ai minori, le quali sono poi l’obiettivo finale per la loro tutela e rapportiamole con la loro età.

In prima battuta un linguaggio semplice e chiaro deve caratterizzare qualsiasi informazione e comunicazione che riguarda il trattamento dei dati personali dei minori, pertanto il titolare del trattamento che si rivolge a minori o che sa che i suoi beni o servizi sono utilizzati soprattutto da minori è tenuto a predisporre idonee  misure affinchè un minore possa capire facilmente quello che verrà fatto dei suoi dati, anche con fumetti e vignette.

Il diritto alla trasparenza sul trattamento dei dati è l’ulteriore garanzia per il minore che il titolare del trattamento è tenuto a garantire anche per gli adulti. Vi è da dire che i minori, come qualsiasi altro interessato non perdono i loro diritti alla trasparenza semplicemente per il fatto che il consenso è stato fornito/autorizzato dal titolare della potestà genitoriale.

Il rispetto della trasparenza avverrà attraverso l’adozione di un codice di condotta da parte della società di servizi, previsto dall’art. 40 GDPR.

Come si è detto all’inizio, il legislatore italiano ha optato per i 14 anni come età del consenso digitale, pertanto, se il minore afferma di aver raggiunto tale età l’età, il titolare del trattamento dovrà compiere ogni ragionevole sforzo per verificare la veridicità della dichiarazione in quanto se un minore presta il consenso senza avere l’età sufficiente il trattamento dei dati sarà illecito, mentre se il minore abbia un’età inferiore al consenso digitale (e. 13 anni), l’art. 8, par. 2, GDPR stabilisce che spetta alla società che offre i suoi servizi sulla base del consenso adoperarsi per verificare che il consenso sia effettivamente prestato o autorizzato dal genitore (o tutore).

Sarà il titolare a scegliere le misure appropriate da adottare per la valutazione dei rischi inerenti al trattamento e la tecnologia disponibile, in modo che possa dimostrare che il consenso sia pervenuto effettivamente da un genitore.

La conseguenza di un’eventuale violazione di tali prescrizioni normative sono sanzioni amministrative pecuniarie non di lieve entità.

Vediamo ora all’atto pratico, in quali azioni delle comunicazioni informatiche è applicata la maggior tutela.

Le azioni che maggiormente vengono attuate via web sono le profilazioni, che vengono legittimate attraverso il consenso esplicito ex art. 6, par. 1, lett. a).

Invero l’articolo 22 GDPR non opera distinzioni in merito al fatto che il trattamento riguardi adulti o minori. Vi è da dire che  il Considerando 71 prevede che le decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producono effetti giuridici o in modo analogo significativi non dovrebbero riguardare minori.

Proprio per la loro vulnerabilità, i titolari del trattamento dovrebbero astenersi dal profilarli per finalità di marketing in quanto al di fuori della portata della comprensione di un minore e pertanto del trattamento lecito. Ovviamente, ci possono essere casi particolari es.  tutela del benessere, per il quale è necessario che il titolare del trattamento prenda decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, aventi effetti giuridici o in modo analogo significativi in relazione ai minori.

Il Gruppo ex art. 29 giunge finanche a concludere che la soluzione normativa più adatta sia quella dei codici di condotta.

Tutto quanto detto fino ad ora è finalizzato a fornire un equilibrio tra la libertà di navigare in rete, ma con il senso di responsabilità.

Queste garanzie o l’auspicio all’applicazione di queste forme di tutela vengono meno nel mondo del cosiddetto web sommerso.

C'è una rete più profonda della rete internet, un deep web che un cittadino con semplici conoscenze informatiche non è normalmente in grado di navigare, non raggiungibile con i più noti motori di ricerca.

Il minore, in una rete dove non ci sono regole, si trova in una trappola che talvolta ha avuto esiti tragici.

In questa situazione di abisso del web risulta difficile monitorare e tutelare la figura del minore dagli attacchi di sconosciuti.

Vi è da dire che tale forma di navigazione sommersa viene adottata, talvolta, proprio per aggirare divieti, quale che possa essere l’età minima per l’adesione.

Questo è un altro motivo del perché bisogna evitare una maggiore restrizione (maggiore età per consenso) che produce un effetto “boomerang” evitabile con un’analisi più specifica degli obiettivi posti dai minori in rete e non proibire in modo ampio, per poi ritrovarsi maggiori navigazioni illecite senza nessun controllo.

Ad una prima lettura si è visto che le componenti che vanno ad incidere sul minore sono molte, pertanto bisogna creare intorno ai ragazzi “nativi digitali” uno scudo che li protegga, ma che nel contempo li renda liberi di navigare in tranquillità.

Il primo nucleo che può fornire questo apporto – che essendo la base, è la fonte primaria di protezione – è il controllo familiare.

La famiglia fornisce quell’educazione che porta ad esaminare il significato di ogni immagine, ogni testo che compare in rete, con un’ autoanalisi.

Dalle fondamenta dell’educazione si arriva ad un sicuro e solido collegamento tra la famiglia e la scuola.

Per svolgere al meglio ciò, si passa ad una vera e propria educazione digitale, che assume la connotazione di un’”educazione civica digitale”, in una comunità dove al mondo tradizionale si unisce un mondo virtuale, immateriale e molto pericolo.

Così come sarà indispensabile promuovere e rafforzare una solida alleanza educativa tra scuola e famiglia.

È questa la prima e più importante frontiera su cui tutti dobbiamo investire. Ma per fronteggiare uno scenario così articolato, dove l'uso interattivo delle nuove forme di comunicazione rende estremamente difficile proteggere i minori da loro stessi e da ogni possibile fenomeno illecito, è necessaria una decisa strategia di risposta sia da parte di tutte le istituzioni pubbliche che degli operatori privati, così come ripetuto dal Garante della Privacy.

In prima battuta sono i  gestori delle piattaforme tecnologiche, che devono minimizzare gli effetti prodotti dalla presenza e dalla persistenza in rete di espressioni violente, ingiuriose, diffamatorie nei confronti di minori, secondo modalità già sperimentate con riferimento alla pedopornografia, all'istigazione all'odio e, più recentemente, alla prevenzione dei fenomeni di estremismo in rete.

Negli ultimi tempi viene riproposto il bisogno di regole capaci di rendere inaccessibili alcuni siti ai minori.

La considerazione che sorge in modo naturale è quella che l’idea di avere una soglia di età nel mondo digitale per proteggere i minori dai pericoli della rete sia solo una soluzione meramente convenzionale, non solo per la difficoltà di stabilire, solo con presunzioni, una rigida correlazione tra età e consapevolezza digitale, ma soprattutto per la facilità di eludere simili criteri di accesso.

Anche se si volesse creare un controllo attraverso l’inserimento del documento d’identità del minore, tale azione sarebbe di gran lunga efficace, ma comporterebbe, nel contempo, un’immissione, sempre nella rete, di un numero di dati sensibili, azione tutt’altro benefica e da evitare in modo assoluto.

L'idea di poter rendere il web un'area ad accesso "limitato", cui concedere l'ingresso ai soli maggiorenni provandone l'età con un documento di identità si tradurrebbe quindi in una schedatura di massa.

Schedatura peraltro effettuata da soggetti privati che finirebbero per aumentare ulteriormente il loro potere, detenendo una sorta di anagrafe della popolazione mondiale, in palese controtendenza rispetto alla filosofia che permea il nuovo Regolamento europeo in materia di protezione dati.

Infine, ed è una considerazione di tipo prettamente psicologico, bisogna considerare che “il proibizionismo” comporta il rischio che il soggetto che vuole ottenere l’obiettivo proibito lo ottiene attraverso altre soluzioni, nella maggior parte delle volte di tipo illegale: nel campo dell’informatica basti pensare ai furti di identità o muovendosi nel ben più pericoloso deep web, dove le insidie sono di certo maggiori, come illustrato in precedenza.

Da un lato, dunque, sarebbe stato anacronistico non permettere ai minori di anni 16 di accedere alla comunicazione elettronica ed il legislatore italiano è stato abbastanza aperto ed anche lungimirante in merito alla maggior tutela, nel permettere a chi ha compiuti i 14 anni di accedere al web, in quanto è un diritto del minore intrattenere relazioni sociali e riconoscersi parte attiva della società.

Il GDPR è permeato dalla logica della protezione e della contestuale libera circolazione dei dati e con particolare riferimento all’uso della rete, tanto vale anche per i dati personali dei minori ai quali non intende precludere i suoi servizi.

È importante che gli Stati pongano una forte attenzione sul tema della protezione dei dati personali rispetto ai minori e forniscano alle imprese gli strumenti per favorire il ricorso a meccanismi di regolamentazione anche per il tramite di codici di condotta.

Non da ultimo,  occorre avviare un processo di “cultura digitale” che permetta ad adulti e a minorenni di incrementare la conoscenza delle tecnologie digitali e dei pericoli della rete affinché possano autodeterminarsi e sviluppare liberamente le loro potenzialità.

Sembra, insomma, che non solo a livello internazionale, ma soprattutto in sede europea, ci si stia muovendo in una direzione che tende a favorire l’inclusione dei più giovani sulla rete, non la loro esclusione, tutelandoli con diversi strumenti, molti dei quali auspicati anche nel presente lavoro.

In definitiva, un’ipotesi di modifica alla  legge nazionale che riduca la soglia anagrafica del consenso digitale a 13 anni sembra essere perfettamente in linea con gli stessi obiettivi dell’UE, con i suoi principi e con i diritti e libertà fondamentali da essa riconosciuti agli individui di ogni età, considerati, altresì, i profili psico-sociali della questione, assieme a quelli relativi alla sicurezza e a quelli giuridicamente rilevanti, affinchè ci sia la maggiore garanzia a tutela dei minori per ciascuno degli aspetti menzionati (sociali, giuridici, di sicurezza) anche in termini di apertura del libero mercato dei servizi online.

[1] In primis, la legge sul cyberbullismo (l. 29 maggio 2017, n. 71), che legittima il minore ultraquattordicenne a richiedere al gestore del sito internet o del social media di rimuovere, oscurare o bloccare la diffusione di un contenuto pregiudizievole che lo riguarda, ma, principalmente, il minore ultraquattordicenne può prestare il proprio consenso all’adozione (art. 7, co. 2, l. 4 maggio 1983, n. 184).

[2] Le norme relative ai requisiti di autorizzazione genitoriale nei confronti dei minori non pregiudicano “le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore”.

[3] Es. se il minore acquista online suonerie per smartphone, la raccolta dei dati (nome, cognome, indirizzo e-mail, dettagli di pagamento) sarà necessaria all’esecuzione di un contratto e pertanto il trattamento dei dati sarà lecito ai sensi dell’art. 6, par. 1, lettera b, GDPR.
Se, invece, il titolare intende utilizzare l’indirizzo e-mail del minore anche per l’invio di newsletter, sarà necessario raccogliere il suo consenso in quanto il trattamento dei dati personali per finalità di marketing non rientra nell’ambito del contratto.