Protecting minors as technologically vulnerable persons through data protection: An analysis on the effectiveness of law.

The article addresses the issue of protecting the personal data of vulnerable individuals in the digital context, with particular focus on the only category of vulnerable subjects explicitly identified by Regulation (EU) 2016/679 (GDPR): minors. The objective of the contribution is to provide an analysis of the relevant legal framework regarding the protection of minors' data online, considering practical applications and focusing on effectiveness—i.e., the adequacy of the regulation in ensuring actual protection for minors—using an impact assessment approach (both ex-ante and ex-post). The study thus seeks to offer an integrated and diversified interpretation compared to existing literature. The methodology relies on interpreting legal provisions and evaluating the adequacy of regulatory choices in protecting the underlying interest (ratio legis). This evaluation is conducted by examining the logical and legal consistency of the arguments underpinning individual regulatory choices, as well as the effects of their application in practice, for an ex-post assessment of effectiveness. Starting with an analysis of all rules that directly or indirectly affect the protection of minors' personal data, the paper examines the protective techniques, which are found to be primarily preventive (ex-ante) and entrusted to private actors (e.g., privacy notices, age verification), highlighting certain critical issues. The final goal of the study is to identify solutions de iure condito and de iure condendo. The former are considered to reside primarily in the application of general principles and rules, rather than in provisions specifically applicable to minors concerning the controller-data subject relationship. Interpretative solutions are also proposed regarding the relationship between national and EU legislation, particularly concerning explicitly regulated protection measures (such as those related to capacity). As for the latter, potential de iure condendo solutions may involve national legislation to be supplemented with broader perspectives of techno-regulation.

L’articolo affronta il tema della protezione dei dati personali delle persone vulnerabili nel contesto digitale, avendo particolare riguardo all’unica categoria di soggetti vulnerabili esplicitamente identificata dal Regolamento (UE) 2016/679 (GDPR): i minori. Obiettivo del contributo è fornire un’analisi della normativa rilevante in materia di protezione dei dati dei minori online alla luce della prassi applicativa, avendo come angolo visuale il profilo della efficacia, ovvero della idoneità della disciplina all’effettiva protezione dei minori, secondo l’approccio dell’analisi d’impatto (ex ante ed ex post). Il lavoro mira così ad offrire una lettura integrata e diversificata rispetto alla letteratura esistente. Il metodo utilizzato si basa sull’interpretazione del dato normativo e sulla verifica dell’adeguatezza della scelta normativa rispetto alla protezione dell’interesse sotteso (ratio legis). Tale verifica viene condotta sotto il profilo della coerenza logico- giuridica degli argomenti posti a fondamento della singola scelta nonché degli effetti della sua applicazione nella prassi negoziale, per una valutazione dell’efficacia ex post. Partendo dall’analisi di tutte le norme direttamente o indirettamente incidono sulla tutela dei dati personali dei minori, sono oggetto di analisi le tecniche di tutela, che si desume essere principalmente di tipo preventivo (ex ante), rimesse ai privati (informative privacy, age verification), e di cui non mancano riscontrarsi criticità. Risultato finale del lavoro intende essere l’individuazione di soluzioni de iure condito e de iure condendo. Le prime si ritiene debbano essere rintracciate principalmente nell’applicazione dei principi e delle regole generali, non invece nelle disposizioni specificamente applicabili ai minori che riguardano il rapporto titolare - interessato. Soluzioni interpretative, nel rapporto tra legislazione nazionale e di fonte UE, vengono comunque offerte anche con riguardo agli istituti di protezione dei minori espressamente regolati (come quello sulla capacità). Quanto alle seconde, le stesse potranno riguardare la normativa nazionale, da integrarsi con più ampie prospettive di tecno-regolazione.