21 de Septiembre de 2018 | 12:05

LEGAL TODAY. POR Y PARA ABOGADOS

 

Herramientas para el texto

Público

28 de Junio de 2018

El tratamiento de datos de menores de edad, ¿qué dice el RGPD al respecto?

“El cambio más importante en lo que a regulación de privacidad de datos se refiere en 20 años”, “(…) un antes y un después en el tratamiento de datos personales para usuarios y empresas”, “La ley de privacidad más significativa en décadas” y un largo etcétera.

Marta Castrillo de la Fuente,
abogada especialista en protección de datos y nuevas tecnologías


Estos son sólo algunos de los titulares y pronunciamientos que nos encontramos al hablar del nuevo Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas (en adelante, RGPD), desde su aprobación y entrada en vigor en mayo de 2016.

Es sabido por todos que el RGPD ha traído consigo numerosas novedades que pretenden mejorar, entre otras cuestiones, tanto el control de los usuarios sobre sus datos personales como la transparencia en los tratamientos que, de esos datos, efectúan las entidades y organizaciones. De entre todas las novedades destacables, la protección de la privacidad de los más pequeños de la casa es uno de los aspectos en los que la nueva norma hace más hincapié.

¿Por qué dota, el nuevo marco normativo, de tal importancia al tratamiento de los datos de los menores?

Que los jóvenes son participantes activos de internet, y a edades cada vez más tempranas, es un hecho constatado a lo largo de los años. Esto les convierte en un colectivo mucho más sensible y propenso a peligros, siendo, en consecuencia, ineludible la preocupación generada por los riesgos y amenazas ante los que puede encontrarse este grupo poblacional a golpe de clic.

¿Qué nos dice la estadística a este respecto?

Según datos del Instituto Nacional de Estadística, el 95,1% de los menores de edad españoles son usuarios habituales en internet. Y si bien es cierto que el 89% de ellos cuentan con nociones básicas de seguridad que les permiten proteger sus dispositivos electrónicos con un patrón de desbloqueo, a la hora de modificar la configuración de la privacidad la cosa cambia, pues tan solo el 46 % de los jóvenes poseen conocimientos sobre cómo hacerlo.

Basándonos en este contexto se hace, aún más, acusable la necesidad de que las empresas y entidades que lleven a cabo actividades con impacto en los datos personales de menores de edad establezcan y/o refuercen las medidas de seguridad aplicables y necesarias al tratamiento de esta tipología de datos en aras de cumplir con las disposiciones establecidas por la nueva norma.

En consecuencia, el RGPD desarrolla una regulación específica que establece las bases para un adecuado tratamiento de los datos personales de este colectivo. Regulación reforzada por el Proyecto de Ley Orgánica de Protección de Datos (en adelante, PLOPD) que, recordemos, se elaboró con el fin de precisar o desarrollar determinadas cuestiones que el RGPD dejaba abiertas ante los Estados Miembros de la Unión Europea.

Para analizar las nuevas directrices marcadas por el RGPD respecto del tratamiento de datos de menores de edad, hemos de partir de la base de que, a ojos de la nueva norma, los menores, sólo por el mero hecho de serlo, son considerados como personas vulnerables. Por ello, se requiere garantizar una protección específica cuando se procede al tratamiento de sus datos por parte de los responsables de tratamiento. Protección que se hace particularmente importante cuando el uso de datos personales se lleva a cabo con fines de comercialización o creación de perfiles de personalidad o de usuario y cuando se lleva a cabo una recopilación de sus datos personales a través de servicios ofrecidos directamente a estos menores. 

Todo ello, al entender, tal y como indica el RGPD en su considerando 38, que los menores "...pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales..."

Así pues, aquellos responsables que recolecten, procesen y traten datos de menores de edad deberán facilitar la información básica del tratamiento de los datos de manera "concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo (...)" y ajustada a la capacidad cognitiva de los menores a tenor de lo establecido en el artículo 12 del RGPD, cuestión a la que se refiere, igualmente, el considerando 58 al indicar que: "Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte, la información debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender"; cumpliendo así, con los principios de información y transparencia desarrollados en la normativa.

Esta exigencia no es algo novedoso, pues venía ya contemplándose en el apartado 3 del artículo 13 del Reglamento 1720/2007 de desarrollo de la LOPD que recogía lo siguiente: "Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo"

Sin embargo, cabe recordar que como consecuencia de la fuerza que cobra el principio de información en la nueva norma, se amplía la información que deberá facilitarse a los titulares de los datos, debiendo contener lo establecido en los artículos 13 del RGPD y el artículo 11 del PLOPD respectivamente.

¿En base a qué, considera la norma el tratamiento de estos datos cómo lícito?

El RGPD mantiene lo establecido en la Directiva 95/46 CE de que todo tratamiento de datos tiene que apoyarse en una base que lo legitime. Si analizamos lo establecido en el artículo 6 del RGPD podemos observar que se establece el consentimiento como una de las bases legitimadoras para el tratamiento de datos personales, entendiéndose por tal una declaración o clara acción afirmativa que implique que el titular y/o representante del titular está conforme con dicho tratamiento.

Y en el caso de que el titular sea un menor de edad, ¿a partir de qué edad puede "consentir" el tratamiento de sus datos? A este respecto, es el propio RGPD junto con el PLOPD los que marcan las pautas a seguir.

Así, el RGPD establece que el consentimiento personal será válido a partir de los 16 años. Regla que puede variar debido a que, a pesar de que el espíritu del Reglamento es homogeneizar las normativas comunitarias, otorga total libertad a los Estados Miembros para establecer una edad inferior a la marcada por él, que, en todo caso, deberá superar los 13 años.  Por debajo de dicha edad, el tratamiento de los datos sólo será considerado lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño.

Si acudimos a lo que contempla el panorama normativo español en la actualidad, el artículo 7 del PLOPD recoge que, por regla general, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando este sea mayor de trece años todo ello para "asimilar el sistema español al de otros Estados de su entorno" a tenor de lo que indica en su exposición de motivos.

Sin embargo, las enmiendas planteadas al articulado del PLOPD el pasado 18 de abril, proponen fijar la edad de consentimiento en 14 y 16 años sin que, a día de hoy, exista algún indicio razonable para saber cuál será, finalmente, la edad elegida.

¿Qué ocurre en el caso de progenitores separados? ¿Sería válido el consentimiento de uno sólo de los padres? ¿Quién debe prestarlo?

Lo cierto es que la interpretación de esta cuestión se basa en que, para el tratamiento de los datos de los menores, será necesario el permiso de ambos o, de uno solo con el consentimiento tácito o expreso del otro. Sólo será válido el consentimiento de uno sólo de los padres, en el caso de que alguno de los dos progenitores hubiese sido privado de la patria potestad. De lo contrario, la no concurrencia de ambos consentimientos imposibilitaría el tratamiento.

Toda vez que se ha otorgado el consentimiento para el tratamiento de los datos, ¿cómo se podrá verificar?

Tal y como recoge el RGPD en su artículo 8.2, los responsables de tratamiento deben demostrar, que hicieron "esfuerzos razonables", teniendo en cuenta el estado de la tecnología, para poder confirmar que, en caso de que la base legitimadora sea el consentimiento, este se prestó conforme a lo establecido en las disposiciones marcadas por el nuevo marco normativo.

Más previsiones relativas a los tratamientos de datos de menores de edad en el RGPD.

Otra de las novedades relativas a estos tratamientos es que, por primera vez, se introducen previsiones referidas a los menores de edad en los Códigos de conducta. Es el artículo 40.2 del RGPD el encargado de proponer que dichos códigos contengan referencias respecto: de los requisitos que debe cumplir la información que se facilita a los niños, las medidas diseñadas para protegerlos, así como propuestas sobre el modo en que ha de recabarse el consentimiento de los representantes legales de los ‘niños'.

Por último, es importante destacar que las autoridades de control tendrán, entre sus nuevas funciones, la de promocionar la sensibilización del público y comprensión de los riesgos en materia de privacidad debiendo ser objeto de especial atención las actividades dirigidas a niños (artículo 57.1.b RGPD)

De todo lo expuesto a lo largo de las cuestiones desarrolladas en la presente publicación se hace notable la importancia de la que se dota a este colectivo en el nuevo panorama normativo. No debemos olvidar que nos encontramos ante un grupo poblacional en proceso de formación que no conoce, plenamente, el valor de su privacidad en internet lo que desemboca en un escenario de sobreexposición de información propia y de terceros que, en muchos casos, puede ser aprovechada por otros usuarios de la red con fines contrarios a los derechos de los propios interesados.