Audizione del professor Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali, sui disegni di legge nn 1136, 1160 e 1166 (Tutela dei minori nella dimensione digitale)

Senato della Repubblica -  8a Commissione (Ambiente, transizione ecologica, energia, lavori pubblici, comunicazioni, innovazione tecnologica)

(10 luglio 2024)

- IL VIDEO DELL'AUDIZIONE 

Ringrazio la Commissione per quest’occasione di confronto su di un tema, peraltro, particolarmente caro a me e al Garante che ho l’onore di presiedere, quale appunto quello della tutela dei minori nel digitale. 

I disegni di legge affrontano questo tema da prospettive diverse, con impostazioni in parte comuni e soluzioni talora complementari. 

Muovendo dalle questioni comuni, esse riguardano anzitutto l’innalzamento della soglia di età per il consenso digitale (ad eccezione del ddl 1166) e procedure di age verification, misure specifiche per la cancellazione dei contenuti relativi a minori, norme su sharenting e baby influencer. 

Per quanto riguarda la soglia di età per il consenso digitale, con tutti i limiti delle presunzioni legali e ferma restando la discrezionalità politica propria di quest’opzione, può essere utile ripercorrere le ragioni della scelta adottata dal legislatore interno nel 2018, in sede di adeguamento dell’ordinamento interno al Regolamento generale sulla protezione dei dati personali, (UE) 2016/679 (infra: GDPR). L’art.8 del GDPR legittima, infatti, gli Stati membri alla previsione della soglia di età per il “consenso digitale” nella fascia compresa tra 13 e 16 anni. 

Lo schema di decreto legislativo  di adeguamento al GDPR, adottato in attuazione dell’art. 13 della legge di delegazione europea per il 2017 (l. n. 163 del 2017), nella versione diffusa a seguito della prima approvazione preliminare da parte del Consiglio dei Ministri, individuava in proposito quella dei quattordici anni quale soglia di età alla quale il consenso del minore al trattamento dei suoi dati personali, nel contesto della offerta diretta di servizi della società dell’informazione, dovesse ritenersi valido.

In sede di redazione del testo del decreto inviato alle Camere (AG 22), il legislatore ha invece ritenuto di non avvalersi della facoltà rimessa al legislatore nazionale di individuare, ai fini della prestazione del consenso da parte del minore, un’età inferiore a quella dei sedici anni. Recependo, tuttavia, le indicazioni offerte nell’ambito dell’istruttoria legislativa sul testo, in sede di approvazione definita del decreto legislativo, il Governo ha tuttavia poi individuato nei 14 anni la soglia di età a tal fine preferibile (cfr. art 2-octies d.lgs. 196 del 2003 e s.m.i.). 

In favore di tale scelta si era, infatti, ricordato - anche da parte del Garante - come quella dei 14 anni rappresentasse un’età alla quale l’ordinamento italiano già riconosce al minore una sia pur parziale capacità di agire in determinati ambiti. Significativa, in tal senso, la legge sul cyberbullismo (l. n. 71 del 2017), che legittima il minore ultraquattordicenne a richiedere in nome e per conto proprio, al gestore del sito internet sul quale siano pubblicati propri dati personali pregiudizievoli, la rimozione dei contenuti lesivi. La legge riconosce anche al minore della stessa età la legittimazione ad adire il Garante per la protezione dei dati personali per ottenere la rimozione dei contenuti pregiudizievoli, in caso di inerzia o non individuabilità del titolare del trattamento. Analoga opzione avrebbe poi percorso il legislatore, nel 2021, rispetto al revenge porn, legittimando appunto i minori ultraquattordicenni alla proposizione di istanze di blocco del caricamento dei contenuti intimi (art. 144-bis dlgs 196 del 2003, introdotto dall’art. 9 d.l. 139 del 2021, conv. mod. l. 205 del 2021).

Alla stessa età, peraltro, sia pur in altra branca dell’ordinamento, l’art. 97 c.p. ricollega il termine della presunzione assoluta di inimputabilità penale del minore. Per altro verso, il minore ultraquattordicenne ha diritto di prestare il proprio consenso all’adozione (art. 7, c. 2, l. n. 184 del 1983). Sarebbe parso, pertanto, incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per avvalersi di un social network. 

Si rilevava, inoltre, come fosse preferibile individuare, a tal fine, un’età quantomeno prossima e non eccessivamente superiore a quella in cui, di fatto, allora (e a fortiori oggi, dopo la pandemia) i ragazzi accedono ai social network o, comunque, ai servizi della società dell’informazione, per non rendere la norma del tutto ineffettiva perché troppo lontana dalle istanze sociali. 

Valuterà, dunque, il legislatore, anche sulla base di queste considerazioni, la soglia di età che ritenga maggiormente idonea a coniugare esigenze di tutela del minore e di riconoscimento di una sua, pur parziale, capacità di autodeterminazione (e quindi di discernimento) in una dimensione, quale quella digitale, in cui è ormai inscritta la parte prevalente della vita degli adolescenti. Certamente, va garantita un’adeguata pedagogia digitale: una formazione, cioè, completa del minore all’utilizzo della rete, tale da consentirgli di vivere l’esperienza del digitale in maniera responsabile. In questa prospettiva, certamente condivisibili sono le norme in tal senso orientate presenti, in particolare, nei ddl 1160 e 1166, nonché la tutela specifica, di natura emergenziale, prevista dall’art. 6 ddl 1136. 

Ciò che, tuttavia, è indispensabile, benché non agevole garantire – anche alla luce dell’esperienza maturata dal Garante in questi anni – è un sistema efficace di verifica dell’età dell’utente, che coniughi l’esigenza di un controllo effettivo con quella di evitare una “schedatura” massiva, tanto più di minorenni. 

A tal fine – per non cristallizzare in scelte legislative soluzioni tecniche, inevitabilmente mutevoli nel tempo – è opportuno demandare la disciplina di dettaglio a fonti caratterizzate dalla necessaria duttilità, come possono essere i provvedimenti dell’Agcom individuati dai ddl 1136 e 1160, sul modello peraltro già delineato dal “decreto Caivano” (d.l. 123 del 2023) e che proprio in questi giorni si sta attuando, con il parere del Garante sullo schema di provvedimento. La differenza tra le soluzioni proposte, sul punto, dai due ddl riguarda essenzialmente la limitazione, prevista dal ddl 1136, dell’obbligo di verifica dell’età alle sole piattaforme che registrino un numero di accessi unici mensili superiore a quello stabilito con il citato provvedimento dell’Agcom. La modulazione degli obblighi in ragione della rilevanza della piattaforma è già propria della disciplina unionale (Digital Services Act soprattutto) ma ne va valutata la coerenza con l’esigenza, che questo ddl persegue innalzando l’età di accesso autonomo alla rete, di una tutela rafforzata del minore on line. E questo, anche in relazione all’obbligo (invece) generale di protezione on line dei minori di cui all’art. 28 del Digital Services Act, che si applica indistintamente alle piattaforme in ragione della sola loro accessibilità ai minori. 

Rispetto a questo ddl, va anche segnalata un’esigenza di maggiore coordinamento tra la prevista abrogazione dell’art. 2-quinquies, c.1, d.lgs. 196 del 2003 (che disciplina appunto la legittimazione del minore ultra14enne alla prestazione, in via autonoma, del consenso al trattamento dei propri dati personali in relazione all’offerta di servizi della società dell’informazione e la prestazione, per gli infra14enni, del consenso da parte degli esercenti la responsabilità genitoriale) e la norma di cui all’art. 3. Essa, infatti, riguarda un tema in parte diverso, ovvero la soglia di età per la valida conclusione di contratti con fornitori di servizi della società dell’informazione, con la conseguente legittimità del trattamento dei soli dati personali necessari all’esecuzione del contratto.

Dunque non vi è coincidenza, quanto ai presupposti di legittimità del trattamento, tra l’oggetto dell’abrogazione (che riguarda il consenso, peraltro sempre revocabile dell’ultraquattordicenne ) e l’oggetto della nuova normativa, che concerne la necessità contrattuale e che dunque non assorbe interamente le questioni correlate alla disciplina della capacità di autodeterminazione del minore on line. Laddove, dunque, il legislatore intenda elevare la soglia di età del consenso, sarebbe preferibile operare direttamente sull’art. 2-quinquies d.lgs. 196 del 2003, come ad esempio dispone il ddl 1160.

Per quanto concerne la disciplina della diffusione dei contenuti relativi a minori, è certamente apprezzabile la previsione, di cui ad esempio all’art. 2, c.4, ddl 1160, della legittimazione del minore ultraquattordicenne all’esercizio autonomo del diritto all’oblio (preferibilmente senza riferimento all’art. 17 Gdpr), anche con procedure speciali quale quella, appunto richiamata, di cui all’art. 2 della legge sul cyberbullismo e anche rispetto ai contenuti diffusi dai genitori o con il suo consenso. Tale legittimazione speciale dell’ultra14enne è tuttavia poco coerente con l’innalzamento a 16 anni, operato dall’art. 4 dello stesso ddl, della soglia di età per il consenso digitale e con la conseguente attribuzione agli esercenti la responsabilità genitoriale della legittimazione a prestare il consenso per il trattamento dei dati del minore infrasedicenne (art. 2-quinquies, c.1, secondo periodo, dlgs 196 del 2003 come novellato dall’art. 4 del ddl 1160). E’ dunque opportuno che tali previsioni siano armonizzate, così da non determinare antinomie sul punto. 

Rispetto all’art. 2 del ddl 1160 è comunque opportuna la previsione di cui al comma 3 sullo “sharenting”, che positivizza l’indirizzo giurisprudenziale prevalente sulla natura di straordinaria amministrazione dell’atto di consenso alla disposizione dell’immagine del minore e del conseguente necessario esercizio congiunto da parte dei genitori, con il coinvolgimento del figlio. Sarebbe tuttavia opportuno chiarire se tale intervento genitoriale sia necessario anche per la pubblicazione di immagini da parte del minore stesso (ad esempio sul suo account social) o costituisca, invece, presupposto di legittimità dell’atto dispositivo dell’immagine del minore da parte di terzi. 

Apprezzabile è anche la “positivizzazione” dei principi della Carta di Treviso, tale da conferire loro valore e forza di legge. 

Le norme sull’impiego dei minori nell’ambito delle piattaforme digitali (benché i vari ddl si differenzino sull’individuazione dell’autorità competente al rilascio delle autorizzazioni) sono certamente condivisibili, in quanto estendono a una fattispecie sempre più frequente le tutele e i limiti previsti dalla disciplina giuslavoristica. Opportuna è poi la previsione dell’obbligo di rimozione dei contenuti diffusi in assenza della richiesta autorizzazione. La sanzione dell’inosservanza di tale obbligo andrebbe tuttavia più correttamente ricondotta al sistema sanzionatorio sancito dal Gdpr e dal dlgs 196 del 2003, per identità di bene giuridico tutelato. 

In conclusione, dunque, la materia della tutela del minore on-line e, in particolare, dello sfruttamento della sua immagine e dello sharenting, merita indubbiamente l’introduzione di norme specifiche, che nei ddl sono – pur con le segnalate esigenze di coordinamento sistematico dei testi – correttamente prefigurate.

Vi ringrazio.