Consenso al Trattamento dei Dati di Minore

Il Consenso al Trattamento dei Dati di Minore in Italia è l'atto disciplinato da art. 8 Reg. UE 2016/679; art. 2-quinquies D.Lgs. 196/2003.

La base giuridica del trattamento, nel caso dei dati del minore sotto i quattordici anni, è il consenso del titolare della responsabilità genitoriale ai sensi dell'art. 6 par. 1 lett. a) GDPR. Tale consenso deve possedere i requisiti previsti dall'art. 4 n. 11 GDPR — libertà, specificità, informazione e inequivocabilità — e dall'art. 7 GDPR, che disciplina le condizioni di validità: non è ammessa la casella pre-spuntata, il consenso deve poter essere revocato in qualsiasi momento senza pregiudizio per la liceità del trattamento pregresso, e il Titolare deve poter dimostrare che il consenso è stato prestato (principio di accountability ex art. 5 par. 2 GDPR).

Il Garante per la Protezione dei Dati Personali, autorità di controllo indipendente istituita dal D.Lgs. 196/2003 e operante ai sensi dell'art. 51 GDPR, ha emesso numerosi provvedimenti sulla protezione dei minori in rete, coerenti con le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB). Il Considerando 38 del GDPR chiarisce che i minori meritano una protezione specifica, poiché possono essere meno consapevoli dei rischi, delle conseguenze e delle salvaguardie connesse al trattamento dei dati. Il provvedimento d'urgenza adottato dal Garante nei confronti di TikTok nel gennaio 2021 — che dispose il blocco temporaneo del trattamento per gli utenti italiani di età non verificabile — costituisce l'esempio più noto dell'applicazione concreta di questa disciplina protettiva.

La raccolta del consenso parentale non sostituisce l'obbligo del Titolare di fornire al genitore un'informativa chiara, concisa e trasparente ai sensi dell'art. 13 GDPR prima che il trattamento abbia inizio. L'informativa deve indicare l'identità e i recapiti del Titolare, le finalità e le basi giuridiche del trattamento, i destinatari dei dati, i periodi di conservazione e i diritti dell'interessato esercitabili dai genitori fino al raggiungimento dei quattordici anni. Forme specifiche di trattamento — come la profilazione comportamentale, il trasferimento a Paesi terzi extra-UE e l'elaborazione di categorie particolari di dati ex art. 9 GDPR — richiedono consenso esplicito e separato, e alcune di esse sollevano interrogativi etici che molti Titolari responsabili scelgono di risolvere evitando del tutto tali pratiche nei confronti dei minori.

Il Consenso al Trattamento dei Dati di Minore in Italia è necessario in tutte le circostanze in cui un Titolare del trattamento intende raccogliere o elaborare dati personali di un soggetto di età inferiore ai quattordici anni nell'ambito di servizi offerti direttamente ai minori, in particolare tramite mezzi digitali. La casistica è ampia e in costante espansione con la digitalizzazione dei servizi educativi, sportivi e ricreativi.

Iscrizione a piattaforme educative digitali: portali scolastici, piattaforme di e-learning, applicazioni di didattica a distanza, servizi di tutoraggio online e repository di materiali didattici. Anche gli istituti scolastici pubblici, quando affidano la gestione dei dati degli alunni a fornitori di servizi cloud (Google Workspace for Education, Microsoft Teams for Education), sono tenuti ad acquisire il consenso dei genitori ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies D.Lgs. 196/2003, verificando che i fornitori abbiano sottoscritto l'accordo di trattamento dei dati ex art. 28 GDPR.

Iscrizione a servizi sportivi, culturali e ricreativi: associazioni sportive dilettantistiche affiliate al CONI o agli enti di promozione sportiva, scuole di musica, danza e teatro, oratori parrocchiali, centri estivi, associazioni di scouting. Questi soggetti raccolgono dati anagrafici, dati sanitari (tesserino medico-sportivo, certificato di sana e robusta costituzione ex D.M. 24 aprile 2013), immagini fotografiche e audiovisive, che richiedono consensi separati per ciascuna finalità.

Utilizzo di applicazioni e servizi digitali rivolti ai minori: giochi online, servizi di streaming per bambini, app di intrattenimento e social network destinati alla fascia di età under-14. Il Titolare è tenuto a implementare misure tecniche appropriate per verificare l'età dell'utente e, ove necessario, richiedere il consenso del genitore prima di consentire l'accesso al servizio. Il Garante ha chiarito nelle proprie FAQ che la semplice autodichiarazione dell'utente di avere più di quattordici anni non costituisce verifica adeguata per servizi ad alto rischio.

Trattamento di immagini e video di minori: fotografie e riprese audiovisive in occasione di eventi scolastici, gare sportive, spettacoli teatrali o cerimonie di fine anno. Il consenso del genitore è necessario sia ai sensi del GDPR (l'immagine di un minore riconoscibile è un dato personale ex art. 4 n. 1 GDPR) sia ai sensi degli artt. 96-97 della L. 22 aprile 1941 n. 633 (Legge sul Diritto d'Autore), che richiedono il consenso dei rappresentanti legali del minore per la riproduzione e diffusione del ritratto. Per l'utilizzo delle immagini su siti web, social media o materiali promozionali, il consenso deve essere esplicito e specifico per ciascun canale di comunicazione.

Trattamento di dati sanitari del minore: quando la struttura sanitaria, lo psicologo, il pediatra o lo specialista tratta dati sulla salute del minore per finalità non strettamente cliniche urgenti, è necessario il consenso esplicito del genitore ai sensi dell'art. 9 par. 2 lett. a) GDPR, che disciplina il trattamento di categorie particolari di dati.

Partecipazione a concorsi, campagne promozionali e attività di marketing rivolte ai minori: qualsiasi raccolta di dati di minori per queste finalità richiede il consenso esplicito e separato del genitore, non potendo le imprese basarsi su altre basi giuridiche come il legittimo interesse ex art. 6 par. 1 lett. f) GDPR, che il Considerando 47 esclude espressamente quando l'interessato è un minore.

Il Consenso al Trattamento dei Dati di Minore in Italia deve contenere tutti gli elementi previsti dagli artt. 7, 8 e 13 GDPR e dall'art. 2-quinquies D.Lgs. 196/2003, strutturati in modo da essere comprensibili per il genitore e consentire al Titolare di dimostrare la validità del consenso ottenuto in conformità al principio di accountability.

Identità e recapiti del Titolare del trattamento: denominazione completa, sede legale, indirizzo e-mail e numero di telefono; se nominato, i recapiti del Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, obbligatorio per scuole, strutture sanitarie pubbliche e organizzazioni che trattano dati di minori su larga scala. La comunicazione dei recapiti del DPO consente al genitore di esercitare i propri diritti in modo diretto e documentato.

Dati identificativi del minore: nome, cognome, data di nascita e età al momento del rilascio del consenso. L'età è l'elemento determinante per stabilire se si applica la soglia dei quattordici anni prevista dall'art. 2-quinquies D.Lgs. 196/2003 o se il minore può già prestare autonomamente il consenso ai servizi della società dell'informazione.

Dati identificativi del titolare della responsabilità genitoriale: nome, cognome, qualità (genitore/tutore/affidatario), codice fiscale e documento di identità. Il Titolare del trattamento deve compiere ogni ragionevole sforzo per verificare che il consenso sia stato effettivamente rilasciato da chi esercita la responsabilità genitoriale sul minore (art. 8 par. 2 GDPR). Per trattamenti ad alto rischio, la verifica può avvenire tramite: invio del link di conferma alla casella e-mail del genitore; presentazione di copia del documento di identità; verifica tramite identità digitale SPID o CIE.

Elenco analitico delle finalità del trattamento: ogni finalità deve essere descritta in modo specifico e separata dalle altre, con l'indicazione della base giuridica corrispondente. Il genitore deve poter accettare o rifiutare autonomamente ciascuna finalità tramite checkbox distinti e non pre-spuntati. Finalità tipiche: gestione dell'iscrizione e del rapporto contrattuale; invio di comunicazioni informative sulle attività; pubblicazione di fotografie e video su sito web e social media; newsletter con finalità informative; finalità di marketing (richiedono consenso esplicito e separato).

Tipologia di dati personali trattati: indicazione precisa delle categorie di dati raccolti (dati anagrafici, recapiti, immagini, dati di navigazione, dati biometrici, dati sulla salute). Per le categorie particolari di dati ex art. 9 GDPR, il consenso deve essere esplicito e la sua raccolta giustificata da una delle basi previste dall'art. 9 par. 2 GDPR.

Periodo di conservazione dei dati: indicazione chiara di quanto tempo i dati del minore saranno conservati e delle condizioni che determinano la cancellazione anticipata. Il Titolare deve specificare che, al raggiungimento dei quattordici anni, inviterà il minore a prestare autonomamente il consenso o a confermarlo, e che i dati acquisiti con il consenso parentale non potranno essere ulteriormente trattati senza il consenso del minore divenuto capace.

Diritti dell'interessato esercitabili dai genitori: il modulo deve richiamare espressamente il diritto di accesso (art. 15 GDPR), rettifica (art. 16), cancellazione (art. 17 — c.d. diritto all'oblio), limitazione (art. 18), portabilità (art. 20) e opposizione (art. 21 GDPR). Deve altresì indicare il diritto di revoca del consenso in qualsiasi momento (art. 7 par. 3 GDPR) e il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (art. 77 GDPR) mediante apposito modulo disponibile sul sito del Garante all'indirizzo garanteprivacy.it.

Su forms-legal.com il modello di consenso per il trattamento dei dati del minore è conforme all'art. 8 GDPR, all'art. 2-quinquies D.Lgs. 196/2003 e alle linee guida EDPB 05/2020 sul consenso. Il modello è personalizzabile per scuole, associazioni sportive, piattaforme digitali, strutture sanitarie e qualsiasi soggetto che tratti dati di minori nel rispetto del quadro normativo italiano ed europeo.

La compilazione del Consenso al Trattamento dei Dati di Minore in Italia richiede di seguire con precisione i passaggi qui descritti, per garantire che il documento produca effetti giuridici validi e che il Titolare del trattamento possa dimostrare la conformità al GDPR in caso di ispezione del Garante.

Passo 1 — Identificare il Titolare del trattamento. Inserire la denominazione completa dell'organizzazione, la forma giuridica, la sede legale, la partita IVA o il codice fiscale, l'indirizzo e-mail dedicato alla privacy, il numero di telefono e, se nominato, le generalità e i recapiti del DPO (Responsabile della Protezione dei Dati ex art. 37 GDPR). Il DPO è obbligatorio per autorità ed enti pubblici, per soggetti che effettuano monitoraggio sistematico delle persone su larga scala e per chi tratta categorie particolari di dati su larga scala.

Passo 2 — Inserire i dati del minore. Nome, cognome, data di nascita (per verificare che il minore abbia meno di quattordici anni) e, se rilevante per il servizio, la classe frequentata o il gruppo di appartenenza. La data di nascita è il dato più importante: se il minore ha già compiuto quattordici anni, il consenso deve essere rilasciato dal minore stesso e non dal genitore.

Passo 3 — Identificare il genitore o tutore. Nome, cognome, codice fiscale, qualità (genitore esercente la responsabilità genitoriale, tutore nominato dal Tribunale, affidatario) e recapiti (e-mail, telefono). Allegare copia del documento di identità in corso di validità per adempiere all'obbligo di verifica ex art. 8 par. 2 GDPR. Per trattamenti che comportano rischi elevati per i diritti del minore, valutare se richiedere la conferma via e-mail o tramite SPID/CIE.

Passo 4 — Descrivere le finalità e i dati trattati. Compilare la sezione delle finalità in modo analitico ed esaustivo, elencando ogni singola finalità con la corrispondente tipologia di dati raccolta. Evitare formulazioni vaghe come «finalità organizzative». Preferire indicazioni specifiche: «invio di comunicazioni informative sulle attività del centro sportivo via e-mail», «pubblicazione di fotografie di gruppo su pagina Facebook dell'associazione».

Passo 5 — Predisporre checkbox separati e non pre-spuntati per ciascuna finalità. Ogni finalità deve essere accettata autonomamente dal genitore, che può scegliere di acconsentire ad alcune e rifiutare altre. Le finalità necessarie all'erogazione del servizio richiesto (es. gestione dell'iscrizione) possono avere come base giuridica l'esecuzione del contratto ex art. 6 par. 1 lett. b) GDPR e non richiedono consenso separato.

Passo 6 — Indicare le modalità e i tempi di revoca del consenso. Specificare chiaramente a chi il genitore deve inviare la comunicazione di revoca (indirizzo e-mail o postale), entro quale termine il Titolare cesserà il trattamento e, ove applicabile, rimuoverà i dati già pubblicati.

Passo 7 — Far sottoscrivere il documento. Il genitore o tutore firma il modulo indicando luogo e data. Per i moduli digitali, conservare il log del consenso con data, ora, indirizzo IP e versione dell'informativa al momento dell'accettazione, per poter dimostrare il consenso in conformità al principio di accountability ex art. 5 par. 2 GDPR.

Passo 8 — Archiviazione e conservazione. Conservare copia del consenso firmato, del documento di identità del genitore e dei log del consenso digitale per tutta la durata del trattamento e per almeno cinque anni dalla revoca o dalla cessazione del servizio. Questa conservazione è indispensabile per rispondere alle richieste di verifica del Garante ai sensi dell'art. 58 par. 1 GDPR e per dimostrare che il consenso è stato raccolto in modo conforme alla normativa.

Il Consenso al Trattamento dei Dati di Minore in Italia deve rispettare un insieme articolato di requisiti normativi che derivano principalmente dal Reg. UE 2016/679 (GDPR) e dal D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Art. 8 Reg. UE 2016/679 — condizioni applicabili al consenso dei minori: per i servizi della società dell'informazione offerti direttamente ai minori, il trattamento dei loro dati personali è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale per i soggetti di età inferiore alla soglia nazionale. La norma impone al Titolare l'obbligo di compiere ogni ragionevole sforzo per verificare che il consenso sia effettivamente rilasciato dal soggetto titolare della responsabilità genitoriale, tenuto conto della tecnologia disponibile.

Art. 2-quinquies D.Lgs. 30 giugno 2003 n. 196 — soglia di età in Italia: fissata a quattordici anni. Al di sotto di questa soglia, il trattamento dei dati personali per i servizi digitali è lecito solo con il consenso del titolare della responsabilità genitoriale. Tra i quattordici e i diciotto anni, il minore può prestare autonomamente il consenso ai servizi della società dell'informazione.

Artt. 4 n. 11 e 7 GDPR — requisiti del consenso: il consenso deve essere libero, specifico, informato e inequivocabile. Non sono ammesse caselle pre-spuntate o silenzio-assenso. Il Titolare deve essere in grado di dimostrare che il consenso è stato rilasciato validamente. La revoca del consenso deve essere sempre possibile e non deve pregiudicare la liceità del trattamento pregresso.

Art. 9 GDPR — categorie particolari di dati: per i dati sensibili del minore (dati sanitari, biometrici, relativi alle convinzioni religiose, all'origine etnica), il consenso del genitore deve essere esplicito ai sensi dell'art. 9 par. 2 lett. a) GDPR. L'esplicitezza richiede una dichiarazione positiva specifica e distinta rispetto al consenso generale al trattamento dei dati comuni.

Considerando 38 GDPR — protezione specifica dei minori: i minori meritano una tutela rafforzata, in particolare per finalità di profilazione e marketing diretto. Il Comitato Europeo per la Protezione dei Dati (EDPB), nelle linee guida 05/2020 sul consenso, ha specificato che i Titolari che si rivolgono ai minori devono adottare misure aggiuntive per assicurarsi che il consenso sia genuinamente proveniente dal genitore.

Art. 83 par. 5 GDPR — sanzioni: le violazioni delle norme sul consenso e sull'informativa GDPR per i minori possono comportare sanzioni amministrative fino a venti milioni di euro o fino al quattro per cento del fatturato mondiale annuo totale dell'esercizio precedente, se superiore. Il Garante italiano ha già inflitto sanzioni significative a piattaforme digitali che non rispettavano la normativa sulla protezione dei dati dei minori.

Linee guida EDPB e provvedimenti del Garante italiano: la Decisione del Garante n. 1 del 22 gennaio 2021 nei confronti di TikTok e i successivi provvedimenti in materia di age verification hanno consolidato l'interpretazione dell'obbligo di verifica dell'età e del consenso parentale nel contesto italiano ed europeo.

Il Consenso al Trattamento dei Dati di Minore in Italia è frequentemente inficiato da errori che ne compromettono la validità e espongono il Titolare del trattamento a procedimenti sanzionatori del Garante per la Protezione dei Dati Personali. Di seguito gli otto errori più ricorrenti riscontrati nelle verifiche ispettive.

Errore 1 — Raccogliere il consenso direttamente dal minore di quattordici anni. Ottenere la sottoscrizione del modulo di consenso dal minore stesso, ignorando la necessità del coinvolgimento del genitore o tutore, viola l'art. 2-quinquies D.Lgs. 196/2003 e l'art. 8 GDPR. Molte piattaforme consentono l'iscrizione inserendo una data di nascita fasulla: il Garante ha chiarito che l'onere della verifica spetta al Titolare, non al minore che dichiara di avere più di quattordici anni.

Errore 2 — Non verificare l'identità del genitore. Limitarsi a raccogliere un'autocertificazione dell'utente di essere il genitore senza alcuna misura ulteriore di verifica non soddisfa il requisito di «ogni ragionevole sforzo» previsto dall'art. 8 par. 2 GDPR per i trattamenti ad alto rischio. La verifica può essere proporzionale al livello di rischio: per servizi di basso rischio è accettabile la conferma via e-mail; per servizi ad alto rischio (profilazione, dati sanitari) occorrono meccanismi più robusti come la copia del documento di identità del genitore o la verifica tramite SPID.

Errore 3 — Consenso unico per tutte le finalità. Raccogliere con un unico atto il consenso del genitore per la gestione dell'iscrizione, la pubblicazione di fotografie, la profilazione e il marketing viola il principio di specificità del consenso previsto dall'art. 4 n. 11 GDPR. Ogni finalità di trattamento richiede un consenso autonomo e separato, espresso tramite checkbox distinto e non pre-spuntato.

Errore 4 — Non aggiornare il consenso al raggiungimento dei quattordici anni. Al compimento dei quattordici anni, il minore acquista la capacità di prestare autonomamente il consenso ai servizi digitali. Il Titolare che non provvede a notificare questo cambiamento al minore e a richiedere la conferma del consenso rischia di continuare a trattare dati sulla base di un consenso parentale che ha perso la propria base giuridica.

Errore 5 — Trattare dati del minore per finalità di marketing senza consenso esplicito. La profilazione comportamentale e il marketing diretto nei confronti dei minori richiedono il consenso esplicito e separato del genitore, non potendo il Titolare invocare il legittimo interesse ex art. 6 par. 1 lett. f) GDPR, escluso dal Considerando 47 per i trattamenti che riguardano i minori.

Errore 6 — Mancata indicazione del periodo di conservazione e delle condizioni di cancellazione. Il modulo deve specificare chiaramente per quanto tempo i dati del minore saranno conservati e descrivere le condizioni che determinano la cancellazione, inclusa quella conseguente alla revoca del consenso da parte del genitore o al raggiungimento della maggiore età.

Errore 7 — Assenza dell'informativa GDPR o informativa carente. Una liberatoria che non contiene o non richiama espressamente l'informativa ex art. 13 GDPR non adempie agli obblighi di trasparenza del regolamento europeo. Il Garante può sanzionare questa omissione ai sensi dell'art. 83 par. 4 GDPR con sanzioni fino a dieci milioni di euro.

Errore 8 — Non conservare la prova del consenso. Il Titolare che non archivia copia del consenso firmato, del documento di identità del genitore e dei log del consenso digitale non è in grado di dimostrare la conformità al GDPR in caso di ispezione del Garante o di reclamo dell'interessato, esponendosi a sanzioni per violazione del principio di accountability ex art. 5 par. 2 GDPR.