A pochi giorni dall’entrata in vigore del GDPR, prevista per il 25 maggio 2018, il decreto legislativo di armonizzazione non ha ancora assunto una forma definitiva, nonostante la sua approvazione debba avvenire entro il 21 maggio. È da poco pervenuta alla ragioneria generale dello Stato una seconda bozza del testo del decreto, caratterizzata da un contenuto che si discosta notevolmente da quello della precedente, risalente a marzo. Se quest’ultima prevedeva infatti un’abrogazione totale dell’attuale D.lgs. 196/2003, meglio noto come Codice della privacy, la nuova versione, che consta di 28 articoli, opta invece per una più delicata opera di abrogazione solo selettiva, arricchita da talune riformulazioni nonché da integrazioni dell’attuale testo.

Tra gli aspetti più significativi che differenziano la seconda bozza dalla prima, si segnala innanzitutto quello concernente l’art. 167 del Codice della Privacy, che sanziona penalmente il trattamento illecito dei dati personali. L’integrale depenalizzazione inizialmente pensata dal legislatore, che avrebbe portato anche all’abrogazione della norma in esame in un’ottica di sostituzione con sanzioni amministrative, è venuta meno nel nuovo testo, in base al quale, al contrario, non solo l’art. 167 rimarrebbe fermo, ma ad esso verrebbero aggiunte due ulteriori fattispecie, vale a dire la “Comunicazione e diffusione illecita di dati personali riferibili a un ingente e rilevante numero di persone” (art. 167bis), nonché la “Acquisizione fraudolenta di dati personali” (art. 167ter), punite rispettivamente con la reclusione da uno a sei anni e con la reclusione da uno a quattro anni.

Interessanti sono anche i profili relativi alla tutela dei soggetti infrasedicenni, poiché l’art. 2-quinquies della nuova bozza, coerentemente a quanto previsto dall’articolo 8 del GDPR, prevede che il trattamento dei dati personali del minore di età inferiore a sedici anni sia lecito a condizione che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale.

Anche in tal senso la nuova bozza si allontana dalla precedente, nella quale si ipotizzava invece un abbassamento di tale limite all’età di quattordici anni.

Resta da vedere quali misure verranno in concreto adottate dai principali social network per verificare l’effettiva età dei loro utenti.

Il servizio di messaggistica Whatsapp, di proprietà di Facebook, si è per ora limitato a richiedere una sorta di autocertificazione. Infatti, in seguito all’ultimo aggiornamento dell’applicazione, prima di poter accedere alle proprie chat è necessario confermare di avere compiuto sedici anni. Si tratta con tutta evidenza di una misura sostanzialmente inutile, dal momento che per gli infrasedicenni sarà sufficiente mentire sulla propria età, senza essere sottoposti ad alcun ulteriore controllo in ordine alla veridicità di quanto dichiarato, per poter continuare ad utilizzare l’app esattamente come prima.

Peraltro, anche incrociando i dati di Whatsapp con quelli di Facebook, il problema non verrebbe risolto, ben potendo l’utente falsificare la propria data di nascita all’interno del social network. Da questo punto di vista, appare pertanto complicato prevedere quale tipo di verifica potrà essere eventualmente introdotto affinché l’adeguamento al GDPR possa acquisire un reale significato.

Nell’ipotesi in cui il minore di sedici anni dichiari invece la propria reale età, Facebook (così come Instagram, sempre di sua proprietà) ha previsto di richiedere l’inserimento dell’indirizzo email di un genitore, di modo che quest’ultimo possa prestare il consenso all’utilizzo del social da parte del figlio.