WhatsApp e GDPR: davvero per i minori occorre un'età minima?

Complice una campagna mediatica e di marketing divenuta negli ultimi tempi davvero martellante, è oramai noto ai più che dal 25 maggio 2018 sarà finalmente efficace il General Data Protection Regulation (GDPR), ovverosia il nuovo Regolamento UE in materia di protezione dei dati personali che si propone l’ambizioso obiettivo di portare a compimento quel processo di armonizzazione delle legislazioni dei diversi Stati europei già iniziato con la Direttiva 95/45/CE (in attuazione della quale, tra l’altro, era stato adottato il nostro Codice Privacy, ovverosia il D. Lgs. 196/2003). Ebbene, una delle “implicazioni” (o presunte tali) del GDPR che più di recente ha polarizzato l’attenzione dell’opinione pubblica è stata quella correlata alla decisione del noto servizio di messaggistica WhatsApp di limitare l’accesso al servizio agli utenti che non abbiano compiuto i 16 anni d’età. Secondo le prime prospettazioni e secondo quel che la piattaforma ha lasciato intendere con la comunicazione inviata agli utenti, infatti, si tratterebbe di una modifica imposta proprio dalle più restrittive norme dettate dal nuovo Regolamento. Qual è, però, davvero il rapporto tra WhatsApp e GDPR?

GDPR: cambia tutto davvero?

Muoviamo da un dato certo: la novità rappresentata dall’entrata in vigore (e dall’acquisto di efficacia) del GDPR è sicuramente importante, soprattutto in un’ottica sistematica europea in virtù della piena unificazione normativa che per tali vie sarà possibile conseguire. Tanto precisato, però, un profilo veramente importante da mettere in luce rispetto al nuovo regolamento è che esso – nonostante le informazioni contrastanti che troppo spesso si ritrovano in proposito – non realizza alcuna “rivoluzione“ nella materia della protezione dei dati personali: anche se non mancano profili innovativi di significativo rilievo, l’impostazione di fondo resta in buona sostanza la medesima rispetto al passato e ciò anche in considerazione del fatto che sia la legislazione UE (Direttiva 95/45/CE), sia le singole legislazioni nazionali risultavano già particolarmente rigorose in ordine alla tutela dei dati personali.

Senza pretese di completezza e analiticità può allora affermarsi che il Regolamento ammoderna e adegua le (previdenti) disposizioni a tutela della privacy, rendendo la relativa disciplina maggiormente sintonica rispetto a un contesto quale quello attuale, profondamente mutato rispetto agli anni ’90, in ragione della massificazione del ricorso alla rete Internet e, conseguentemente, della poderosa fluidità e pervasività che assumono oggi i trattamenti di dati sia sul piano quantitativo che su quello qualitativo. Ciò detto, allora, le modifiche di portata generale, schematicamente, possono ricondursi

• a una significativa valorizzazione dell’effettività del potere decisionale degli interessati, specie quando il trattamento dei dati è basato sul consenso;
• a un rafforzamento delle misure di tutela della riservatezza dei dati, come l’introduzione del data protection officer e l’obbligo di segnalazione dei cdd. data breach;
• all’attribuzione di un ruolo più operativo e meno burocratico alle Autorità Indipendenti istituite per la protezione dei dati personali (per l’Italia il Garante privacy) e la creazione di un apposito Comitato che fungerà da Authorities UE.

Il comunicato di WhatsApp

Analizzate le direttrici di fondo del nuovo Regolamento, resta da verificare in che modo le relative previsioni abbiano potuto incidere sulla decisione di WhatsApp di elevare l’età minima per l’utilizzo dei servizi di messaggistica.

La modifica è stata apportata il 24 aprile 2018 allorquando, nella sezione “Informazioni sui nostri Servizi” della pagina che contiene i Termini di servizio e l’informativa sulla privacy, è comparso il seguente paragrafo: «Se risiede in un Paese nella Regione europea, l’utente deve avere almeno 16 anni per utilizzare i nostri Servizi (o l’età superiore necessaria nel suo Paese affinché sia autorizzato a registrarsi e a usare i nostri Servizi). Se risiede in qualsiasi altro Paese ad eccezione di quelli nella Regione europea, l’utente deve avere almeno 13 anni per utilizzare i nostri Servizi (o l’età superiore necessaria nel suo Paese affinché sia autorizzato a registrarsi e a usare i nostri Servizi). Oltre ad avere l’età minima richiesta per usare i nostri Servizi in base alle leggi applicabili, ove l’utente non abbia l’età richiesta per poter accettare i Termini nel suo Paese, il suo genitore o il suo tutore devono accettarli a suo nome». Inoltre, in una sorta di abstract denominato “Aggiornamenti chiave” si precisa che «Per usare WhatsApp, è necessario avere almeno 16 anni».

Nella versione precedente (ovverosia quella con ultima modifica al 25 agosto 2016), invece, si prevedeva che «l’utente deve avere almeno 13 anni per utilizzare i Servizi (o l’età superiore necessaria nella sua nazione affinché sia autorizzato ad usare i nostri Servizi senza il consenso dei genitori)». Che le recenti modifiche di WhatsApp siano collegata al nuovo Regolamento privacy, poi, è reso esplicito dalla piattaforma, che afferma: «Il prossimo mese, l’Unione europea aggiornerà la sua legislazione in materia di privacy per richiedere maggior trasparenza riguardo all’utilizzo delle informazioni delle persone online. WhatsApp sta aggiornando i Termini di servizio e l’Informativa sulla privacy nei paesi in cui verrà applicata la legge nota come regolamento generale sulla protezione dei dati (GDPR)».

Le modiche che la piattaforma sembra riconnettere al GDPR, allora, possono sintetizzarsi in questi termini:

• l’utilizzo di WhatsApp è consentito solamente a coloro che abbiano compiuto i 16 anni d’età. È tuttavia previsto che, ove le legislazioni nazionali prevedano una soglia di età più alta per registrarsi e usare i servizi, la soglia venga automaticamente elevata in conformità;
• oltre l’età minima richiesta per l’utilizzo, è richiesto che l’utente possa validamente accettare i Termini di utilizzo secondo la legislazione del suo paese; diversamente, occorrerà l’intervento dell’esercente la responsabilità genitoriale ovvero del tutore.

Limitando la nostra indagine ai soli minori e tralasciando le altre ipotesi in cui un soggetto non ha la libera disponibilità della propria sfera giuridica (ad es. interdizione), occorre precisare che questa seconda previsione, assente nella versione 2016 dei Termini di servizio, in verità risulta (o, meglio, risulterebbe) ancor più limitativa di quella relativa all’età minima per l’utilizzo e ciò per una ragione estremamente semplice: nel nostro Paese (come praticamente in tutti gli altri) i minori d’età non possiedono la piena capacità d’agire, ovverosia la legittimazione a disporre del proprio patrimonio instaurando, modificando o estinguendo rapporti giuridici. Per questo motivo, ai sensi dell’art. 320 c.c. «i genitori congiuntamente (o quello di essi che esercita in via esclusiva la responsabilità genitoriale) rappresentano i figli […] fino alla maggiore età […] in tutti gli atti civili e ne amministrano i beni. Gli atti di ordinaria amministrazione […] possono essere compiuti disgiuntamente da ciascun genitore». Ciò posto, chiaramente nessun minore potrà validamente accettare i Termini di utilizzo di WhatsApp, sicché la relativa fruizione dovrebbe senz’altro dirsi preclusa in assenza dell’intervento del genitore.

Una problematica di più ampia portata, poi, è quella dell’eventuale difetto di accordo tra i genitori, specie in caso di separazione dei coniugi o divorzio: qui, infatti, solo di recente si sta acquisendo contezza dell’importanza della tutela della baby web reputation e gli orientamenti giurisprudenziali paiono assestarsi lungo un crinale particolarmente rigoroso.

WhatsApp e GDPR: la portata delle novità introdotte…

A parte questo aspetto, occorre porsi alcuni interrogativi circa le modifiche apportate da WhatsApp, verificando:

1. entro che limiti possano veramente dirsi di portata innovativa;
2. quali riflessi esse potranno concretamente avere sull’utilizzazione da parte dei minori d’età della piattaforma;
3. se si tratti di modifiche imposte o anche solo “suggerite” dal GDPR.

Con riferimento al primo quesito, la risposta non può non assumere una dimensione composita. In particolare, sicuramente può dirsi innovativa la previsione che “preclude” l’utilizzo di WhatsApp agli infra-sedicenni a fronte della previgente soglia fissata a 13 anni. Solo apparentemente innovativa, invece, è la (neo introdotta) necessità di ottenere il consenso da parte dei genitori per l’accettazione dei Termini del servizio e, di conseguenza, per l’utilizzazione dello stesso. Ciò perché, come si è visto, l’impossibilità per gli incapaci di disporre validamente della propria sfera giuridica è recata direttamente dal codice civile (tralasciando, peraltro, le ulteriori fonti che dettano disposizioni a tutela dei minori), sicché anche in passato l’accettazione compiuta dall’utilizzatore al momento dell’installazione dell’applicazione sul proprio smartphone poteva considerarsi senz’altro giuridicamente invalida, soprattutto con riferimento agli atti di disposizione di situazioni soggettive (ad esempio quella relativa alla diffusione del proprio ritratto). Utilizzando WhatsApp, infatti, si attribuisce al relativo gestore di una «licenza globale, non esclusiva, senza royalty, che può essere concessa in sub-licenza e trasferibile per utilizzare, riprodurre, distribuire, creare lavori derivativi, visualizzare ed eseguire le informazioni (compresi i contenuti) che carica, invia, memorizza o riceve sui nostri Servizi o tramite essi […]» e una tale decisione ovviamente non può essere assunta validamente da un incapace, in virtù degli ovvi riflessi che ciò importa sulla propria sfera giuridica.

Con riguardo invece al secondo quesito, quel che occorre premettere è che si apprezza uno scarto estremamente significativo tra la realtà fattuale e quella giuridica. Da più parti, infatti, si sono posti fondati dubbi sulle modalità con cui WhatsApp possa verificare il rispetto dei requisiti d’età o l’effettiva esistenza del consenso degli esercenti la responsabilità genitoriale (o di chi di essi fa le veci) giacché, ad esempio, non risulta che la piattaforma pretenda l’esibizione di un documento d’identità dell’utilizzatore ovvero l’invio di una dichiarazione da parte del genitore. Da queste premesse, allora, si è ricavata la conclusione – erronea, come si dirà – che le limitazioni introdotte (o precisate) da WhatsApp non siano altro che un flatus vocis, ovverosia meri codicilli legali inseriti per salvaguardare formalmente la posizione giuridica della piattaforma, ma senza alcun concreto riverbero sulla possibilità per i minorenni (e gli infra-sedicenni) di utilizzare la popolare app di messaggistica. Si tratta, per la verità, di un convincimento errato: il contratto stipulato con un incapace (quale è il minore) è infatti annullabile ai sensi dell’art. 1425 c.c. e, se pure è vero che l’annullabilità resta esclusa quanto il minore ha – con raggiri – occultato la sua età, la semplice dichiarazione da lui fatta di essere maggiorenne non è di ostacolo all’impugnazione del contratto (art. 1426 co. I e II c.c.). Ma v’è di più: non potendo il minore validamente prestare il consenso al trattamento dei dati che lo riguardano, le attività compiute dalla piattaforma con i dati in predicato dovranno essere considerate come effettuate senza consenso e, dunque, come illecite. Va peraltro precisato che, gravando sul titolare del trattamento l’onere della prova in ordine all’esistenza del consenso (rectius di un valido consenso), il semplice fatto che il minore abbia dichiarato di esser maggiorenne, ovvero di aver dichiarato di essere autorizzato dai genitori, ovvero ancora l’aver personalmente “spuntato” una casella relativa ad una dichiarazione di consenso dei genitori, non dovrebbero essere circostanze sufficienti a escludere la responsabilità del titolare del trattamento, proprio perché è suo onere quello di procedere – con adeguata e congrua diligenza – a verificare l’identità (e l’età) della sua controparte contrattuale. Di tanto, del resto, si ha conferma proprio attraverso le previsioni del GDPR che all’art. 8 par. 2 precisa che «il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili».

…e l’incidenza del nuovo Regolamento

Resta da analizzare l’ultimo quesito, ovverosia quello relativo al rapporto tra WhatsApp e GDPR o, meglio, alla effettiva incidenza del GDPR nella decisione di WhatsApp di apportare le modifiche sopra analizzate. Ebbene, in proposito occorre fugare in maniera netta ogni forma di equivoco: non è affatto vero che il GDPR escluda la possibilità di erogare a minori di 16 anni servizi come quelli offerti da WhatsApp; anzi, a ben vedere il Regolamento non dice (né potrebbe dire, giacché diversamente eccederebbe le competenze dell’UE) che i minori non possono esser parti di un contratto quale quello sotteso all’utilizzo dell’app di messaggistica. Per verificare questo asserto, vediamo, allora, nel dettaglio cosa prevede il GDPR con riferimento ai minori.

Ebbene, al Considerando nr. 38 si precisa che «i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore».

Al Considerando 58, invece, si puntualizza che «quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente».

Il Considerando 65, poi, fa riferimento al diritto dell’interessato di ottenere la rettifica dei dati personali che lo riguardano ed il cd. “diritto all’oblio“, specie rispetto ai trattamenti cui l’interessato ha acconsentito «quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento». 

Il Considerando 78, da ultimo, esclude l’ammissibilità delle decisioni automatizzate proprio rispetto ai trattamenti che involgano minori.

Come si vede, la parte argomentativa del GDPR non preclude affatto la possibilità al minore di essere parte di un rapporto contrattuale in seno al quale si verifica il trattamento dei suoi dati personali e, anzi, disciplinando alcune specifiche ipotesi (tutela rafforzata, diritto alla rettifica e all’oblio, divieto di profilazione) a contrario implicitamente di ciò conferma la ammissibilità. Da dove ricava allora WhatsApp la (presunta) limitazione legislativa in forza della quale esclude dal servizio i minori di 16 anni? Verosimilmente dall’art. 8 del GDPR, ove si precisa che, se il trattamento è basato sul consenso «per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. (co. I) Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni» (co.II).

Dunque è senz’altro vero che il GDPR menziona la soglia dei 16 anni (modificabile verso il basso fino a 13 anni dalle singole legislazioni nazionali), ma giammai per precludere l’accesso ai servizi all’infra-sedicenne, bensì solo per pretendere che, per servizi a lui prestati, il consenso sia prestato o autorizzato dai genitori (o chi ne fa le veci). Dunque, come è stato messo in rilievo da ‘Agendadigitale’, estremizzando il ragionamento, potrebbe dirsi che l’art. 8 del GDPR neppure si rivolge direttamente ai minori e, in ogni caso, per certo non limita la fruizione da parte degli stessi dei servizi della società dell’informazione: la norma in parola, infatti, semplicemente onera il prestatore dei servizi (diretti al minore) di ottenere il consenso dell’esercente la potestà ovvero l’autorizzazione di questi ove il destinatario del servizio prestato abbia meno di 16 anni.

Per quale motivo, allora, WhatsApp ha affermato – in maniera neppure troppo indiretta – che il GDPR ha imposto le restrizioni d’età di cui s’è detto? Va escluso, come detto, che ciò sia dovuto ad una preclusione dettata dal GDPR. Senza contare, peraltro, che lo stesso GDPR consente agli Stati membri di abbassare la soglia al di sotto della quale è necessario il consenso del genitore fino a 13 anni, con la conseguenza che la soglia “fissa” dettata da WhatsApp risulterebbe, in ipotesi, addirittura più rigorosa. Verosimilmente, allora, la scelta di Whatsapp è legata dall’esigenza di evitare di impelagarsi in complessi (e quindi pericolosi) accertamenti dell’età degli utenti (intra o ultra-sedicenni): evitando drasticamente di fornire il servizio a tutti coloro che non hanno compiuto i sedici anni, infatti, la piattaforma si cava d’impaccio, non dovendo più procedere ad acquisire il consenso o l’autorizzazione dell’esercente la potestà genitoriale. Sarebbe sufficiente, quindi, il (valido) consenso dell’ultra-sedicenne, senza necessità di ulteriori verifiche o interventi di terzi.

L’art. 8: una norma che contraddice se stessa?

Questo, però, a patto di limitarsi a analizzare i primi due paragrafi dell’art. 8 GDPR. Perché al momento in cui si va a leggere il terzo, arriva il colpo di scena: mentre il primo paragrafo, infatti, come si è visto rende (o sembra rendere) lecito il trattamento effettuato sulla base del consenso prestato direttamente dal minore ultra-sedicenne, il paragrafo terzo stabilisce che «il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore». E allora, se come si è detto, il minore d’età a norma del codice civile non è titolare della capacità d’agire e quindi i negozi da questi stipulati sono annullabili e se il GDPR non deroga (per espressa previsione) alle norme nazionali in materia di formazione, validità ed efficacia dei contratti, sembra doversi concludere che anche nel caso in cui l’ultra-sedicenne presti il consenso (in una dimensione contrattuale) ciò dia luogo a un negozio annullabile. La conclusione, pertanto, pare paradossale e si risolve in una vera e propria contraddizione in termini: quel consenso che, a norma del paragrafo primo, il minore ultrasedicenne sembra legittimato a prestare, a norma del paragrafo terzo dà luogo pur sempre ad un negozio annullabile.

Non paiono peraltro convincenti le obiezioni di coloro i quali hanno evidenziato che il trattamento dei dati personali non presuppone necessariamente una “sottostante” vicenda contrattuale. Anzitutto si tratta di un ragionamento che, ove pure si volesse ammettere in astratto, certamente non vale per il caso che qui occupa: allorché si accettano i Termini e le condizioni di un servizio come WhatsApp, resta francamente molto difficile revocare in dubbio che si stia stipulando un contratto e, segnatamente, un contratto per adesione ai sensi dell’art. 1342 c.c.

In secondo luogo, poi, in termini assoluti sembra altrettanto difficile ipotizzare che un trattamento di dati possa collocarsi al di fuori di una dimensione contrattuale allorché il fondamento del trattamento sia individuato nel consenso. I dati personali, infatti, costituiscono oramai per pacifica acquisizione dei “beni”, ovverosia ciò che, a norma dell’art. 810 c.c. può essere oggetto di diritti: se così è, allora, allorquando di un bene si dispone per mezzo del consenso, quel che si sta concludendo è né più né meno di un contratto, ovverosia un accordo per mezzo del quale si costituiscono, modificano o estinguono rapporti giuridici di patrimoniali (art. 1321 c.c.). Del resto, della “distonia” tra GDPR e singole legislazioni nazionali pare conscio anche il WP29 che, nell’elaborare le linee guida relative al “consenso” così come disciplinato dal GDPR, precisa che «[…] i requisiti per un valido consenso in ordine all’uso dei dati dei minori fanno parte di un quadro giuridico che deve essere considerato come separato dal diritto contrattuale nazionale». Ne consegue, secondo il WP29 che «entrambi i regimi giuridici possono essere applicati simultaneamente e il campo di applicazione del GDPR non include l’armonizzazione delle disposizioni nazionali del diritto contrattuale».

Cosa accade quando i regimi entrano in contrasto in maniera radicale, però il WP29 si guarda bene dal precisarlo e, per scoprirlo, occorrerà attendere le prime pronunce della giurisprudenza in tema. Per quanto riguarda rapporto tra WhatsApp e GDPR, comunque, tali considerazioni sembrano comportare, sul piano applicativo, che – quantomeno in Italia – troverà sempre applicazione l’ultima parte delle condizioni di servizio, non potendo il minore acconsentire validamente né registrarsi alla piattaforma senza il consenso espresso dall’esercente la potestà genitoriale.