PROTECCIÓN DE DATOS DE MENORES DE EDAD EN EL MARCO EUROPEO
1. INTRODUCCIÓN
El legislador europeo, por primera vez[1], a través del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), ha articulado una regulación específica sobre el tratamiento de datos personales de los menores.
Ahora bien, esto en España no resulta del todo novedoso, puesto que en nuestra legislación, desde la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RDLOPD), nos estamos rigiendo conforme dispone el artículo 13 “Consentimiento para el tratamiento de datos de menores de edad”.
A continuación, trataré de desglosar cómo se ha regulado al respecto en este Reglamento europeo, mostrando las semejanzas o diferencias con cuanto está dispuesto por nuestro legislador español. De este modo, pasaré a contrastar el artículo 13 RDLOPD y artículo 8 RGPD, incluso con el artículo 8 del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, APLOPD) no incidiendo en otros aspectos en los que también se hace referencia a los niños o menores en el RGPD[2].
2. ÁMBITO DE PROTECCIÓN
© Imagen. Mª Mar de Juan y Cristina Moreno
A tenor del Considerando (38) RGPD “Los niños[3] merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.”
Es indudable la gran preocupación que generan los riesgos o amenazas en los que pueden encontrarse los menores de edad en el uso de Internet. Ante una alfabetización digital cada vez más temprana, son niños y niñas púberes quienes se adentran, inconscientemente, en los espacios más insospechados de la Red, estando dispuestos a dar todo de sí a cambio de un acceso o participación free.
A esto sumamos, el que las compañías, sabedoras del afán consumista de este segmento de la sociedad, orientan deliberadamente en la navegación a los menores, hasta llegar a un espacio en el que terminan entregando la identidad, sin pudor a perder intimidad, personal o familiar.
La ingente información relativa a los menores es analizada, con minuciosidad, pues permite averiguar las aficiones, estilos de vida, hábitos u otro tipo de comportamiento, principalmente, en relación al consumo de bienes o servicios.
Esta elaboración de perfiles de personalidad de menores de edad y el uso para mercadotecnia suponen un tratamiento de datos de carácter personal, al cual se ha querido fijar una serie de limitaciones, a través de este Reglamento europeo.
Sin embargo, no sólo hemos de pensar en estas actividades de tratamiento de datos personales de los menores, arreglo a la significación hecha en el citado Considerando, sino que las reglas que, a continuación analizaré, regirán toda recogida y tratamiento de datos del menor, en Internet y fuera de ésta.
No incidiré en todo cuanto nuestras autoridades de control en protección de datos, nacionales e europeas, han emitido como recomendaciones y otra serie de publicaciones, destinadas a la concienciación en la materia[4]. Así como, no mentaré cuantas magníficas acciones son llevadas a cabo por otras instituciones, públicas o privadas, organizaciones no gubernamentales, Fuerzas y Cuerpos de Seguridad en aras a la educación y protección de los menores en el uso de las Tecnologías de la Información y Comunicación (TIC).
Pues bien, yendo a cuanto nos interesa, el artículo 8 RGPD sienta el ámbito de protección de los tratamientos de datos personales en relación a la oferta directa de «Servicios de la Sociedad de la Información[5]» a niños, pues es la que despierta mayor preocupación a nivel social[6], dados las numerosas y variadas vulneraciones de los derechos del menor en el ciberespacio.
Pero, como indicaba, esto no ha de significar que el tratamiento de datos de menores fuera de este ámbito esté desprotegido por la norma. Las reglas o prescripciones en él contenidas pueden ser extrapoladas a los tratamientos de datos fuera de la Red, según aprecia PIÑAR REAL[7], Alicia y ADSUARA VARELA, Borja.
Por su parte, el legislador español no limitó el marco de protección como el europeo, entendiéndose dentro del mismo cualquier tratamiento de datos personales de los menores.
Y, en este mismo sentido, en el artículo 8 APLOPD tampoco se ha circunscrito la protección a los tratamientos realizados sólo en el ámbito de los «Servicios de la Sociedad de la Información»
Por último, se ha de señalar, que la regla del consentimiento para el tratamiento de datos de menores se aplicará sin perjuicio de las “disposiciones generales del Derecho contractual de los Estados miembros como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño”. En el caso español, atenderemos a la regulación sobre la capacidad de obrar de los menores en el Derecho de Contratos[8].
Téngase en cuenta, también, que el artículo 8.1 2ª párrafo APLOPD no sólo se ciñe al concepto «contratos», sino alude, de manera más amplia, al consentimiento que se rija por ley, para la celebración del «acto o negocio jurídico».
3. PARÁMETRO DE LA EDAD
El parámetro adoptado en la actual legislación española en protección de datos es la edad de 14 años, a los efectos de la licitud del consentimiento manifestado por el menor. De este modo, el tratamiento de datos personales de un menor de 14 años precisa del consentimiento de los padres, tutores o representantes legales.
Ante la disparidad de criterios que encontramos al respecto en los Estados miembros, la norma europea ha optado por fijar una horquilla, entre los 13 y 16 años de edad, entendiéndose que:
- El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años.
- No obstante, los Estados miembros podrán establecer por ley una edad inferior a 13 años.
Esto ha hecho que el legislador español haya variado el parámetro inicial (14 años) por la edad de 13 años (artículo 8.1 APLOPD)[9].
No entraré en el debate sobre si la edad concebida a estos efectos es la adecuada. A quienes arguyen que basta escuchar el sentir de la sociedad cuando manifiesta, mayoritariamente, que los jóvenes actuales disponen de mayor información, a diferencia de otras generaciones, permitiéndoles tener más conocimiento para discernir. Aunque Uds. comprenderán que esto no es fundamento para adoptar una disposición legal. Más, tampoco entraré en la apreciación hecha por civilistas, que discrepan cuando se fija la edad fuera del Código Civil, a efectos de derechos, deberes y responsabilidades. Al final, el hecho de haber fijado una edad, arreglo a cuanto ya se ha deliberado en su fuero por los Estados miembros, es en sí un elemento que otorga seguridad jurídica, para quienes han de aplicar la norma, esto es, los Responsables o Encargados del tratamiento de datos personales.
Pues bien, siendo este el parámetro de edades, la regla general es que “Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.” (Artículo 8.1 RGPD).
Ahora bien, la regla puede variar en función del parámetro de edad, que así haya adoptado cada Estado miembro. De esta manera, para el caso de que, definitivamente, se fije la edad de 13 años en España, diremos que “el tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño (= menor de 13 años), y solo en la medida en que se dio o autorizó.” A partir de los 13 años cumplidos, se entenderá que el consentimiento para el tratamiento, dado por sí mismo, será lícito o legítimo.
Asimismo, el hecho de que deba dar el consentimiento o autorización para el tratamiento el «titular de la patria potestad o tutela», difiere de la forma en la que se recoge en nuestra norma española, donde alude al consentimiento de «padres o tutores». Al respecto, tal y como dice, LÓPEZ CALVO, José “Aparentemente – sujeto a las interpretaciones en sede judicial – se resuelve uno de los principales dilemas en la materia: el consentimiento en caso de separación de progenitores, cuestión que reviste importancia, principalmente, por la frecuencia con que se suscita, en lo que se refiere a la inserción y mantenimiento de imágenes en una red social. La interpretación estricta de esta previsión requerirá el permiso de ambos progenitores, o de uno solo con el consentimiento expreso o tácito del otro. Salvo que alguno haya sido privado de la patria potestad, la no concurrencia de los consentimientos imposibilitaría el tratamiento…”[10]
Por último, queremos significar aquello que recoge el in fine Considerando (38) RGPD “El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños”. Al respecto entenderemos, tal y como opina LÓPEZ ÁLVAREZ, Luis Felipe “debe entenderse referido a las actuaciones de las Administraciones públicas y otros entes públicos con fines de protección de los menores”[11].
4. MODO DE INFORMAR
El artículo 8 RGPD no expresa la forma en que se ha de informar al menor acerca del tratamiento de sus datos personales, pues, queda implícita la regla general de que la información será “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.” (Artículo 12.1 RGPD), que coincide en el sentido que se recogió en nuestra legislación (artículo 13.3 RDLOPD)[12].
5. VERIFICACIÓN DE LA EDAD
Nos encontramos con una gran diferencia en la forma en la que se ha articulado el deber de verificar la edad del menor, en particular, en el ámbito de los Servicios de la Sociedad de la Información.
Por un lado, el artículo 8.2 RGPD reza:
“El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.”
Y, por otro lado, el artículo 13.4 RDLOPD, prevé:
“Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.”
Como se puede apreciar, el legislador europeo no ha sido tan riguroso con la imposición de esta obligación, pues conmina a que el Responsable del Tratamiento haga «esfuerzos razonables (…) teniendo en cuenta el estado de la tecnología», mientras que el español obliga a que se haga «de modo efectivo».
Nos encontramos todavía con formulismos sobre “intente, trate, haga Ud. cuanto pueda…” cuando, realmente, disponemos de medios tecnológicos que sí harían efectiva la comprobación. Así, claro está, que un medio fiable de autenticar e identificar, de manera efectiva y sin esfuerzo razonable, sería la utilización del D.N.I. electrónico. ¿Cuántos hemos manifestado esto y terminamos resignándonos?
Podemos decir al respecto que, por un lado, todavía los menores de 13 años no precisan del DNI para desenvolverse, absteniéndose de la expedición y, otra, que a pesar de haberse aplicado la tecnología al documento, su uso todavía no se ha extendido suficientemente. Pero, tal vez sea el momento en el que las autoridades públicas deban incentivar con ahínco el uso y exigirse, como conditio sine qua non, para el uso o acceso a determinados espacios de la Red. No he visto campañas, en un medio efectivo como televisión, en el que se fomente el uso de los certificados digitales, D.N.I electrónico. Creo que va siendo hora de empezar y, de una vez por todas, progresemos y no estemos en la eterna transición del estado analógico al digital.
Sí he de decir, que en las primeras versiones del actual Reglamento europeo se trató de que la Comisión reglara métodos para obtener el consentimiento, a fin de que microempresas, pequeñas y medianas empresas las pusieran en práctica[13]. Pero, finalmente, esto ha sido descartado, otorgando a los Estados miembros la “libertad de forma”, dentro del marco establecido en el RGPD.
Hecho este paréntesis, decir que este modo de obligar coincide con la línea general con la que se ha trazado el Reglamento europeo, esto es, la «accountability» (responsabilidad proactiva) con la que ha de actuar el Responsable de Tratamiento[14]. De modo que, deberá adoptar los mecanismos o medios de control, teniendo en cuenta el estado de la tecnología, y articular los procedimientos que puedan demostrar que se ha verificado la licitud del consentimiento. Esto podría significar una descarga de responsabilidad[15].
Ahondando más, la norma europea se centra sólo en verificar el consentimiento (dado o autorizado por el titular de la patria potestad o tutor), mientras que la española exige la comprobación de la edad y la autenticidad del consentimiento prestado (sea por el menor o, en su caso, por los padres o tutores). Ejemplo, de quien sí hizo esfuerzos razonables, en su día, para verificar la edad de los usuarios menores de edad fue la red social Tuenti[16].
A mí entender, debiera mantenerse ambas exigencias, verificación de edad del menor y autenticidad del consentimiento de los padres o tutores.
Así mismo, en mi opinión, a pesar de no recogerse en el RGPD, debiera mantenerse la prohibición prevista en el artículo 12.3 RDLOPD “En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos.”
Es práctica habitual la captación de datos relativos al entorno familiar del menor, valiéndose de la inconsciencia e ingenuidad de éstos. De este modo, se trata de frenar la obtención indiscriminada de datos que se efectúa a través de los cuestionarios dispuestos en Internet para permitir el acceso libre a contenidos destinados a menores.
Por supuesto, se mantendría la salvedad recogida en el artículo 12.3 in fine RDLOPD “podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.” Esto es, podrá solicitarse al menor que aporte únicamente los datos identificativos de sus representantes legales, para que pueda recabarse la autorización necesaria para el tratamiento de los datos de dicho menor, así como, permitirá llevar a cabo la verificación de la edad del menor.
[1] En la legislación europea sobre protección de datos no se había regulado hasta el momento la cuestión particular de la protección de datos de los menores. Así, no se recogió en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (así como, en la modificación por la Directiva 2009/136/CE). No obstante, esta cuestión había sido tratada antes por el Grupo de Trabajo del Artículo 29, en el “Documento de trabajo 1/08 GT29 sobre la protección de datos personales de los niños”
[2] Considerandos 58, 65 y 75, así como los artículos 6.1.f), 12.1, 40.2g) y 57.1.b).
[3] Según el “Documento de trabajo 1/08 sobre la protección de datos personales de los niños”, 18 de febrero de 2008, del Grupo del Artículo 29, se ha definido como «niño» << De conformidad con los criterios de los instrumentos internacionales más importantes, un niño es una persona natural con menos de 18 años, a menos que se haya emancipado legalmente antes de dicha edad. >>. En el RGPD se utiliza indistintamente el término «niño» o «menor de edad»; y es que en las primeras propuestas de texto del RGPD, se incluyó la definición del concepto «niño», como << toda persona menor de 18 años >>, de ahí el vestigio en el actual texto. En cualquier caso, para la interpretación del RGPD, el significado será el mismo, pues está refiriéndose a los menores de 18 años (arreglo a nuestra legislación española).
[4] Por ejemplo, la “Guía sobre Derechos de Niños y Niñas y Deberes de los Padres y Madres”, 2008, de la Agencia Española de Protección de Datos, a través de la cual se puede encontrar información y recomendaciones que nos ayudarán a proteger sus datos. De la misma, transcribimos el siguiente contenido “Los menores se encuentran particularmente expuestos al uso de su información personal. Sus datos no sólo son relevantes en el ámbito escolar o en la salud. Hoy, en la sociedad de la información los datos personales de nuestros hijos pueden ser objeto de utilización con fines comerciales, en el ámbito del ocio y sobre todo en Internet”. Y, por ejemplo, de la Agencia Vasca de Protección de Datos, recomiendo los vídeos pedagógicos editados como dibujos animados, las “Aventuras de Reda y Neto: cuidando los datos personales”.
[5] A los efectos de qué se ha entender por «Servicios de la Sociedad de la Información» atenderemos a cómo se definen en el Anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
[6] PÉREZ LUÑO, Enrique. “La protección de los datos personales del menor en Internet” (Pág.154). Anuario Facultad de Derecho – Universidad de Alcalá II (2009) 143-175 “ Junto a las inmensas posibilidades de comunicación y aprendizaje que se derivan para los menores de sus navegaciones por el ciberespacio, le acechan, como siniestro anverso de esas luces, las sombras de graves abordajes a sus derechos”.
[7] “No parece que la voluntad del legislador europeo haya sido excluir otros muchos caso de la aplicación del Reglamento. Es cierto que habría sido positiva su regulación concreta, pero ya sea por extensión ya sea por analogía, las previsiones contenidas en el art.8 son extrapolables al resto de casos (…) aunque el Reglamento haga referencia literal únicamente a los Servoicios de la Sociedad de la Información no parece acertado considerar que el resto de supuestos, muy numerosos además, quedan fuera del maro de protección” PIÑAR REAL, Alicia Capítulo XII “Tratamiento de datos de menores de edad”. “Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad”. Edit. Reus. 2016. ADSUARA VARELA, Borja. Capítulo X. “El Consentimiento” de la citada obra. Pág. 164 “El RGPD no se refiere al tratamiento de datos de los menores en general, sino sólo << en relación con la oferta directa a niños de servicios de la sociedad de la información>>, pero, en la práctica, no tiene mucha trascendencia, al no hacer distinciones de supuestos la normativa española”
[8] PIÑAR REAL, Alicia Capítulo XII “Tratamiento de datos de menores de edad”. “Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad”. Edit. Reus. 2016. Págs.195 y 196. “Partiendo de que los menores de dieciocho años aún no han alcanzado la plena capacidad de obrar, nuestro Código Civil no regula cuanto tal su situación sino que, al regular el contrato u otros negocios, va señalando qué se puede y qué no se puede hacer si aún no es mayor de edad (…)”.
[9] Artículo 8.1 APLOPD << El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años. >>
[10] LÓPEZ CALVO, José. “Comentarios al Reglamento Europeo de Protección de Datos”. Editorial Jurídica Sepín, S.L. 1ª ed., 2017. Pp.184
[11] “Protección de datos personales: adaptaciones necesarias al nuevo Reglamento europeo”. Francis Lefebvre, 2016. pp.27
[12] Artículo 8.3 <<Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo. >>
[13] Artículo 8 “Tratamiento de datos de menores” de la Propuesta Reglamento Europeo 2013 “3. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicables a los métodos de obtención del consentimiento verificable contemplados en el apartado 1. Para ello, la Comisión se planteará la adopción de medidas específicas para las microempresas, las pequeñas y medianas empresas.
- La Comisión podrá establecer formularios normalizados para los métodos específicos de obtención del consentimiento verificable contemplados en el apartado 1. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2”.
[14] El Responsable de Tratamiento, sujeto a los principios generales de protección de datos, debe ser capaz de demostrar el cumplimiento de todos éstos. Artículo 5.2 RGPD <<El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»). >>
[15] En alusión a la obligación del artículo 13.4 RDLOPD, nos dice “(…) es una obligación de hacer y no de resultado. Por tanto, si el responsable del fichero articula esto procedimientos, los documenta debidamente y comprueba efectivamente que esto se cumple, no se le puede hacer responsable por ejemplo, el hecho de que el menor de edad haya falsificado su carné o haya fotocopiado el de su padre o tutor sin su consentimiento”. ZABÍA DE LA MATA, Juan <<Consentimiento para el tratamiento de datos de menores de edad>>. “Protección de Datos: Comentarios al Reglamento”. Ed. Lex Nova, Valladolid, 2008, pp.187-191.
[16] Agencia Española de Protección de Datos. Nota de prensa: “Tuenti presenta a la AEPD las medidas adoptadas para eliminar de la Red Social a los usuarios menores de 14 años”:
Patricio (Patrick), Monreal Vilanova
Legal Advisor – Govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea INFERIOR a 13 años.
Alfonso, según el artículo 8.1 del RGPD “Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.”