Il GDPR 679/2016 rafforza la disciplina in tema di protezione dei dati personali, prevedendo specifiche modalità di applicazione dei principi sulla privacy e riconoscendo precisi diritti agli interessati. Questa specifica protezione dovrebbe riguardare, in particolare, l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili utente.

L’Articolo 8 prevede innanzitutto che, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali è lecito ove il minore abbia almeno 16 anni.

Nel caso in cui, invece, abbia un’età inferiore, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Il consenso di tale figura non sembra invece essere necessario nel quadro dei servizi di prevenzione o consulenza forniti direttamente a un minore.

Gli Stati membri possono anche stabilire un’età inferiore a tali fini, senza però scendere sotto la soglia dei 13 anni. In ogni caso, il titolare del trattamento è tenuto ad adoperarsi in modo ragionevole per verificare la corretta prestazione o autorizzazione del consenso, in considerazione delle tecnologie disponibili.

Il Paragrafo 3, infine, precisa che quanto dettato dalla disposizione in esame non pregiudica il diritto generale degli Stati membri in tema di contratti, riferendosi nello specifico alle norme riguardanti la validità, la formazione o l’efficacia di un contratto nei confronti di un minore.