NEWS

Minori e social network in Italia: le contraddizioni di un sistema di tutela mai applicato dal Garante Privacy

Un’analisi critica di alcune incongruenze tra normativa vigente e prassi del Garante per la protezione dei dati personali rivela un paradosso italiano su divieti che esistono da anni per tutelare i minori online, che però non vengono applicati dall’Autorità.

In questi giorni si torna a parlare di vietare l'accesso ai social network ai minori di 15 anni, sulla scorta delle esperienze francese e australiana. Ma prima di invocare nuove leggi, sarebbe opportuno interrogarsi su un fatto elementare: in Italia, norme a tutela dei minori nel mondo digitale esistono già dal 2018 e non sono mai state realmente applicate.

In un video postato su Linkedin, Guido Scorza ormai ex membro del Collegio del Garante Privacy ha recentemente affermato che "non serve una nuova legge per vietare l'accesso dei più giovani ai social. Il divieto c'è già nella legge italiana sull'intelligenza artificiale. Il punto, semmai, è farlo rispettare mentre ce ne siamo dimenticati".

L'affermazione, per quanto tecnicamente corretta, solleva un interrogativo ben più profondo: perché invocare oggi la nuova Legge 132/2025 sull'intelligenza artificiale quando dal 2018 disponiamo dell'art. 2-quinquies del Codice Privacy, rimasto sistematicamente lettera morta?

L'art. 2-quinquies del Codice Privacy - L'art. 2-quinquies del Dlgs. 196/2003, introdotto dal Dlgs. 101/2018 in attuazione dell'art. 8, par. 1, del GDPR, stabilisce infatti con chiarezza che:

"il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull'articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale."

La norma è cristallina: i minori di 14 anni non possono prestare autonomamente il consenso per l'iscrizione ai servizi della società dell'informazione, categoria che pacificamente include i social network.

L'art. 4 della Legge 132/2025 sull'intelligenza artificiale - L'art. 4, comma 4, della recente Legge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale (c.d. AI Act italiano), estende questo principio ai sistemi di intelligenza artificiale, prevedendo che "l'accesso alle tecnologie di intelligenza artificiale da parte dei minori di anni quattordici nonché il conseguente trattamento dei dati personali richiedono il consenso di chi esercita la responsabilità genitoriale".

Poiché oggi praticamente tutti i social network integrano funzionalità basate sull'intelligenza artificiale (algoritmi di raccomandazione, filtri, chatbot, moderazione automatica dei contenuti), questa norma si applica di fatto a tali piattaforme.

Una prima contraddizione: lo spot del Garante sui "13 anni" - Nel febbraio 2021, a seguito del tragico caso della bambina di Palermo deceduta per una challenge su TikTok, il Garante Privacy lanciò, in collaborazione con Telefono Azzurro, la campagna informativa "Se non ha l'età, i social possono attendere". Lo spot, trasmesso sulle principali reti televisive nazionali, aveva come obiettivo dichiarato quello di "evitare che si iscrivano alla piattaforma i minori di 13 anni".

Ma perché 13 anni e non 14, come prevede l'art. 2-quinquies del Codice Privacy italiano?

A quanto pare, la risposta è tanto semplice quanto inquietante: il Garante si è di fatto allineato al limite fissato dal Children's Online Privacy Protection Act (COPPA) statunitense e recepito nei Terms of Service delle piattaforme americane, anziché far valere il limite più elevato previsto dalla normativa nazionale. In altri termini, l'Autorità preposta alla tutela della privacy ha legittimato implicitamente una soglia di età inferiore a quella prevista dalla legge italiana.

Questo atteggiamento è emblematico di una prassi che ha caratterizzato l'approccio del Garante italiano: anziché imporre l'applicazione rigorosa della normativa nazionale, si è preferito assecondare le policy delle grandi piattaforme.

Una seconda contraddizione: la questione della base giuridica - Il problema più grave, tuttavia, riguarda la base giuridica del trattamento. L'art. 2-quinquies si applica esclusivamente ai trattamenti "fondati sull'articolo 6, paragrafo 1, lettera a), del Regolamento", vale a dire sul consenso dell'interessato.

Meta (Facebook, Instagram, WhatsApp) ha sistematicamente aggirato questa norma fondando il trattamento dei dati degli utenti non sul consenso, bensì sull'esecuzione contrattuale (art. 6, par. 1, lett. b) del GDPR. In pratica, accettando i Terms of Service, l'utente "conclude un contratto" con la piattaforma, e il trattamento dei dati diviene "necessario all'esecuzione" di tale contratto.

Questo meccanismo produce però conseguenze devastanti per la tutela dei minori:

a) Se la base giuridica è il contratto e non il consenso, l'art. 2-quinquies non si applica;
b) Conseguentemente, il limite dei 14 anni viene eluso;
c) I tredicenni (o addirittura i bambini più piccoli che dichiarano falsamente la propria età) possono iscriversi liberamente ai social.

Ma c'è di più. Si presuppone che un tredicenne sia in grado di "concludere consapevolmente un contratto" per servizi digitali complessi, quando l'ordinamento civile italiano richiede la capacità d'agire (18 anni) per la generalità degli atti negoziali, e comunque l'intervento dei genitori per gli atti di straordinaria amministrazione riguardanti minori, peraltro come se un giovane di quell’età potesse comprendere appieno gli effetti della condivisione online dei propri dati personali.

L'EDPB ha censurato Meta: perché il Garante italiano no? - Nel dicembre 2022, il Comitato Europeo per la Protezione dei Dati (EDPB) ha chiarito con decisioni vincolanti che "Meta ha elaborato illegalmente i dati personali per la pubblicità comportamentale" e che "la base giuridica contrattuale non è utilizzabile per finalità di personalizzazione dei servizi e di advertising comportamentale". Nel gennaio 2023, la Data Protection Commission irlandese, in qualità di autorità capofila, ha sanzionato Meta per 390 milioni di euro per violazione dell'art. 6 del GDPR.

Il Garante italiano, pur essendo pienamente a conoscenza di questa prassi elusiva - documentata in numerosi procedimenti europei - non ha mai adottato provvedimenti sanzionatori autonomi nei confronti di Meta per questo specifico profilo, limitandosi a interventi settoriali su questioni diverse (trasferimento dati verso USA, riconoscimento facciale, etc.).

Viene da chiedersi: se il divieto esisteva già dal 2018, perché il Garante non lo ha mai fatto rispettare? E perché oggi si invoca la L. 132/2025 come soluzione, quando il problema di fondo - l'elusione attraverso la base giuridica contrattuale - resta identico e irrisolto?

Le conseguenze giuridiche di una norma inapplicata - La mancata applicazione dell'art. 2-quinquies e, oggi, dell'art. 4 della L. 132/2025 produce conseguenze giuridiche di portata enorme che il Garante sembra sottovalutare:

- Nullità contrattuale: Tutti i contratti conclusi da infraquattordicenni con le piattaforme sono affetti da nullità per contrarietà a norma imperativa. Questo significa che milioni di rapporti contrattuali in essere sono giuridicamente viziati.

- Responsabilità civile: La nullità dei contratti sgretola le clausole di esenzione e limitazione di responsabilità che le piattaforme oppongono agli utenti. In caso di danni a minori (dipendenza, cyberbullismo, challenge pericolose, esposizione a contenuti inappropriati), le piattaforme non potranno trincerarsi dietro l'accettazione dei Terms of Service.

- Illiceità del trattamento dati: I dati degli infraquattordicenni trattati senza il consenso dei genitori sono trattati illecitamente. Le piattaforme sono quindi esposte a sanzioni amministrative e obblighi risarcitori.

La recente audizione del Presidente Stanzione: nuove perplessità - Il 7 ottobre 2025, il Presidente del Garante, prof. Pasquale Stanzione, è intervenuto in audizione davanti alla Commissione 8a del Senato sul DDL 1136 in materia di tutela dei minori nella dimensione digitale. In tale sede, Stanzione ha espresso perplessità sull'innalzamento della soglia di età a 15 anni, richiamando le ragioni che nel 2018 portarono a individuare nei 14 anni la soglia per il consenso digitale.

Sorprende che il Presidente difenda la soglia dei 14 anni quando, di fatto, tale soglia non è mai stata applicata.

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

Cosa dovrebbe realmente fare il Garante – Oltre a fornire spiegazioni plausibili sull’opacità del proprio operato in questo delicato ambito che riguarda la tutela sei minori, prima di invocare nuove leggi, sarebbe opportuno che l'Autorità Garante:

1. Avvii procedimenti istruttori nei confronti delle principali piattaforme social per accertare la base giuridica effettivamente utilizzata per il trattamento dei dati dei minori italiani;
2. Contesti formalmente l'utilizzo della base giuridica contrattuale per l'iscrizione ai social network, in linea con le decisioni dell'EDPB;
3. Imponga l'effettiva verifica dell'età e del consenso genitoriale per gli infraquattordicenni;
4. Applichi le sanzioni previste dal GDPR in caso di violazione;
5. Coordini con l'AGCOM l'adozione di sistemi efficaci di age verification, come peraltro previsto dal "decreto Caivano" (D.L. 123/2023).

Conclusioni - Il dibattito sull'innalzamento dell'età per l'accesso ai social rischia di essere fuorviante se non si affronta il nodo centrale: non servono nuove leggi, ma l'applicazione di quelle esistenti. L'art. 2-quinquies del Codice Privacy è in vigore dal 2018, l'art. 4 della L. 132/2025 dal settembre scorso. Entrambe le norme fissano a 14 anni la soglia per il consenso autonomo.

Il vero problema è che il Garante Privacy ha tollerato per anni che le piattaforme eludessero queste norme attraverso l'artificio della base giuridica contrattuale. Non si può oggi invocare la L. 132/2025 come soluzione "dimenticandosi" che il D.lgs. 101/2018 prevedeva le stesse tutele, mai applicate.

Come ha scritto lo stesso ex membro del Garante che invoca l'applicazione della nuova legge: "Bisognerebbe, quindi, passare dalle parole ai fatti: applicare la legge". Parole sacrosante. Ma allora perché non si è fatto rispettare la legge dal 2018 a oggi?

La protezione dei minori nel mondo digitale richiede un cambio di paradigma: non nuove norme, ma la volontà politica e istituzionale di far rispettare quelle esistenti. Altrimenti, come sta accadendo, le leggi restano lettera morta mentre milioni di bambini e adolescenti continuano a essere esposti, senza alcuna tutela effettiva, ai rischi del mondo digitale.

Dura lex, sed lex. Ma solo se la legge la si applica.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di  diritto digitale e tutela dei dati presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente del Comitato Scientifico dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - X : @infomicheleias1

 

Prev Il 73% dei dirigenti aziendali inserisce dati sensibili negli strumenti di intelligenza artificiale
Next Google paga oltre 200 milioni di dollari per chiudere due class action che l’accusavano di violazioni della privacy dei consumatori

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy