Garante Privacy: il GDPR si applica all’utilizzo privato di social network
Il provvedimento e i punti “caldi”
Un recente provvedimento dell’Autorità Garante per la Protezione dei Dati Personali solleva alcuni punti di sicuro interesse per chiunque utilizzi i social network, in particolare se genitore. Tra questi punti, inoltre, ce n’è uno controverso. Ma procediamo per gradi.
Con il provvedimento n. 314 del 29 aprile 2026, il Garante ammonisce (non sanziona pecuniariamente) una madre separata per aver pubblicato immagini dei figli minori di quattordici anni sui social network senza il consenso del padre, vietandole di reiterare il comportamento in futuro.
Questo provvedimento tocca tre punti interessanti (i primi due per tutti; il terzo, più controverso, per gli addetti ai lavori):
- La pubblicazione online di foto di infraquattordicenni (dopo i 14 anni può esprimere consenso direttamente il o la minore) richiede il consenso di entrambi i genitori, poiché non può essere considerato atto di “ordinaria amministrazione” (per il quale sarebbe sufficiente il consenso di un solo genitore);
- Non è possibile provare che un profilo social (in questo caso, Facebook) non sia “aperto” dal momento che è possibile in ogni momento modificare tale impostazione e, comunque, i contatti ammessi possono (qui, dipende dal social, chiaramente) ricondividere o conservare i contenuti a loro volta;
- La pubblicazione online di fotografie di minori non può essere considerato un trattamento “domestico” e, dunque, non vi si applica il GDPR.
Il nostro commento: il consenso di entrambi i genitori
Il punto è interessante perché consente di ricordare come deve essere applicata, nel caso di minori di quattoridici anni, la base giuridica del consenso. Il concetto chiave è quello di ordinaria o straordinaria amministrazione (rif. art. 320, comma 1, Codice Civile). Dunque, ricostruendo in estrema sintesi la disciplina:
- vi sono numerosi casi in cui un trattamento NON si basa sul consenso (es. necessità a fini di contratto, obbligo di legge, trattamento sanitario ecc… (cfr. artt. 6, 9, 10 GDPR)
- sopra i quattordici anni, un minore può esprimere validamente un consenso per trattamenti di questa natura
- se il trattamento è basato sul consenso e il minore ha meno di quattordici anni, il consenso è espresso da chi esercita la potestà genitoriale
- se il consenso è espresso da un solo genitore, occorre stabilire se il trattamento si inquadri in un atto di ordinaria o straordinaria amministrazione
- la diffusione online di immagini del minore è da considerarsi atto di straordinaria amministrazione, dunque è necessario il consenso di entrambi i genitori
Il nostro commento: profili social “aperti”
Ma un profilo social, se impostato come “chiuso” può essere ritenuto in qualche modo riservato, dando luogo ad una non applicazione o ad un’applicazione attenuata della normativa sulla protezione dei dati? Il Garante ci dice di no.
Ora, è molto importante precisare che il Garante, in questo provvedimento, si esprime in merito ad un contesto ben preciso (Facebook) e che, chiaramente, ogni social network può dar luogo ad analisi diverse in relazione alle sue specifiche caratteristiche. Tuttavia, almeno in parte, quello che dice il Garante fornisce categorie generalizzabili. Un profilo chiuso non è tale by design e in modo assoluto: l’utente lo può modificare a suo piacimento in ogni momento. Inoltre, anche un profilo chiuso è, solitamente, visibile da qualche contatto e tali contatti potrebbero ridiffondere i dati condivisi.
Attenzione, quindi. Sembra proprio che il Garante ci stia dicendo che quando pubblichiamo foto e video online su un social (per lo meno sui più noti e con le modalità più diffuse), stiamo sempre e comunque diffondendo i dati verso una generalità indistinta di persone. Questo, è bene sottolinearlo, in caso di illeciti o danni, implica numerose conseguenze giuridiche.
Il nostro commento: pubblicazione foto no trattamento esente in quanto “domestico”
Qui veniamo al punto controverso per addetti ai lavori. Di cosa si tratta? Dell’applicabilità al trattamento in questione (madre che pubblica sul suo Facebook alcune foto dei figli) dell’art. 3, par. 2, lett. c del GDPR (trattamento effettuato da persona fisica, esclusivamente personale o domestico). In simili circostanze, in estrema sintesi, il GDPR non trova applicazione (ma Codice Privacy, Codice Civile, Codice Penale ecc.. si, quindi non è un “liberi tutti”!)
Per correttezza, dobbiamo precisare che a differenza dei precedenti punti, questo è sollevato da una parte ma non è esplicitamente risolto dal Garante. Tuttavia, il Garante decide applicando il GDPR, dunque è lecito inferire che non abbia ritenuto “personale o domestico” questo trattamento.
Tale orientamento sorprende. Se è vero che la parte cita giurisprudenza a sostegno della propria tesi (CGUE, Causa C-101/01, Lindqvist, p.to 47: Causa C‑212/13, Ryneš, p.ti 32, 33 ) è anche vero che queste decisioni sono di molti anni precedenti all’entrata in vigore del GDPR. Peraltro, lo stesso GDPR, al considerando 18, ammette esplicitamente la possibilità che l’uso di social network possa rientrare tra i trattamenti personali o domestici.
L’argomento non è solo formale (norma successiva supera quella precedente). Infatti, tra le decisioni citate e il contesto attuale, sotto il profilo dell’utilizzo delle nuove tecnologie digitali, il mondo è radicalmente cambiato. Vero è che la diffusione di immagini online è un fenomeno per lo più privo di reali vantaggi per gli utenti e foriero di rischi che, in alcuni casi, possono anche essere gravi (da reati sessuali a disagi psicologici in età adulta per la sovraesposizione non consapevole e consenziente). Vero che, in particolare, i genitori tendono a sottovalutare i rischi dell’esposizione dei minori (c.d. sharenting).
Tuttavia, se l’utilizzo privato (al di fuori, cioè, di contesti professionali o economici) di un social network non può essere considerato, nel 2026, attività personale, la nozione rischia di restringersi al punto di sparire.
