Il regolamento specifica che “[g]li Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni”. Nel tenere conto del pubblico destinatario dei suoi servizi, il titolare del trattamento deve tenere presenti le diverse leggi nazionali. In particolare, il titolare del trattamento che fornisce un servizio transfrontaliero non può sempre fare affidamento sul solo rispetto della legge dello Stato membro in cui ha lo stabilimento principale, perché potrebbe dover rispettare le leggi nazionali di ciascuno Stato membro in cui offre i servizi della società dell’informazione, a seconda che lo Stato membro scelga di usare come criterio di legge il luogo dello stabilimento principale del titolare del trattamento oppure il luogo di residenza dell’interessato. Nello scegliere il criterio da usare gli Stati membri devono considerare innanzitutto l’interesse superiore del minore. Il Gruppo di lavoro incoraggia gli Stati membri a cercare una soluzione armonizzata.
Nel fornire servizi della società dell’informazione ai minori sulla base del consenso, il titolare del trattamento dovrà compiere ogni ragionevole sforzo per verificare che l’utente abbia raggiunto l’età del consenso digitale, e le misure dovrebbero essere proporzionate alla natura e ai rischi delle attività di trattamento.
Se l’utente afferma di aver raggiunto l’età del consenso digitale, il titolare del trattamento può effettuare controlli appropriati per verificare la veridicità della dichiarazione. Sebbene il regolamento non richieda esplicitamente di intraprendere sforzi ragionevoli per verificare l’età, tale necessità è implicita, poiché se un minore presta il consenso senza avere l’età sufficiente per prestare un consenso valido per proprio conto il trattamento dei dati sarà illecito.
Se l’utente dichiara di avere un’età inferiore a quella del consenso digitale, il titolare del trattamento può accettare tale dichiarazione senza ulteriori verifiche, ma dovrà ottenere l’autorizzazione dei genitori e verificare che la persona che esprime il consenso sia titolare della responsabilità genitoriale.
La verifica dell’età non deve comportare un eccessivo trattamento di dati. Il meccanismo scelto per verificare l’età dell’interessato dovrebbe prevedere una valutazione del rischio del trattamento proposto. In alcune situazioni a basso rischio, potrebbe essere adeguato richiedere al nuovo abbonato al servizio di rivelare il proprio anno di nascita oppure di compilare un modulo in cui dichiara di (non) essere un minore. Qualora dovessero sorgere dubbi, il titolare del trattamento dovrebbe riesaminare i meccanismi di verifica dell’età nel caso di specie e valutare se siano necessari controlli alternativi.