Reglamento Protección de Datos de la UE: el consentimiento de los menores.
Una de las cuestiones más polémicas que recogía la Propuesta de Reglamento de Protección de Datos era la referente a la edad para que los menores pudiesen prestar el consentimiento para el tratamiento de sus datos de carácter personal.
Concretamente, el artículo 8.1 fijaba la edad en 13 años (el Reglamento de desarrollo de la LOPD lo fija actualmente en 14), y por debajo de la misma era necesario el consentimiento de los padres o tutores legales. El problema radicaba en que según la redacción del citado artículo, este límite de los 13 años sólo era de aplicación cuando se trataba de “oferta directa de servicios de la sociedad de la información a los niños”, lo cual daba a entender que, a efectos del consentimiento de los menores, se diferenciaba el mundo on-line del real.
En este sentido, en el texto votado en la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, más conocida por sus siglas como LIBE, se ha modificado el mencionado precepto, eliminando esta diferenciación entre los dos “mundos” a efectos de la edad para permitir el consentimiento de los menores.
Así, se ha realizado una matización de manera que la edad de 13 años es aplicable cuando se trate de “oferta de bienes y servicios dirigidos a los menores”, desapareciendo lo referente a “de la sociedad de la información”, cuestión bastante lógica ya que supone igualar los dos “mundos”.
Además, se condiciona la forma de obtener el consentimiento teniendo en cuenta el estado de la tecnología (esto ya aparecía en la Propuesta de Reglamento), sin que suponga un tratamiento de datos personales innecesario. Es decir, se introduce el principio de calidad de los datos personales para no recabar aquellos que no sean necesarios para la finalidad para la cual se recogen.
También se añade que la información que se facilite a los niños, padres o tutores a la hora de obtener el consentimiento y recabar los datos personales, sea sencilla y comprensible. Esta mención era recogida en la Propuesta de Reglamento en el Considerando 46 relativo al principio de transparencia (lo que conocemos como derecho de información), y además de aparecer en este artículo 8.1, se adiciona al Considerando 29 (que es el que explica el artículo 8), y se mantiene en el citado Considerando 46.
Otros apartados de este artículo 8 que han sido modificados en la Comisión LIBE en relación con el texto de la Propuesta de Reglamento, son el 3º y 4º que regulaban los mecanismos para obtener el consentimiento de los menores, es decir, para verificar la edad a la hora de, por ejemplo, registrarse en una red social. La Propuesta contenía un mandato a la Comisión para que mediante un acto delegado estableciese estos mecanismos.
En este sentido, con el nuevo texto se produce una “dulcificación”, de manera que ya no será la Comisión a quién corresponda establecer el catálogo de mecanismos citado anteriormente, sino que será el bautizado como “European Data Protection Board” (Consejo Europeo de Protección de Datos), pero limitando su actividad, ya que únicamente ofrecerán recomendaciones, buenas prácticas o guías al efecto.
No obstante lo anterior, el hecho de que no se establezca un catálogo imperativo de mecanismos sino meras recomendaciones o similares, no quiere decir que si se siguen las mismas, por tener tal carácter, y en cambio la Autoridad de Control competente apreciase algún tipo de infracción en los mecanismos de identificación, el responsable pudiese ser sancionado, si atendemos al principio de confianza legítima, teniendo en cuenta, además, que son fijadas por el “European Data Protection Board”, del que forman parte, además del Supervisor Europeo de Protección de Datos, el resto de Autoridades de Control Europeas.
Sobre este punto relativo a la confianza legítima, recomiendo la lectura del artículo “La Guía de Cookies de la Agencia Española de Protección de Datos y la confianza legítima” de @sergiocm.
Es decir, se pasa de una especie de regulación de estos mecanismos vía Comisión a una labor consultiva a realizar por el “European Data Protection Board”, pero sin perder de vista la aplicación del principio de confianza legítima.
Por último, conviene tener presente que recientemente se ha modificado el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, posibilitando que «En el caso de los españoles menores de edad, o que no gocen de plena capacidad de obrar, el documento nacional de identidad contendrá, únicamente, la utilidad de la identificación electrónica, emitiéndose con el respectivo certificado de autenticación activado”.
En otras palabras, la posibilidad de utilizar el DNI-electrónico para identificación, además de verificación de la edad, en sistemas de registros, por ejemplo, en redes sociales, para aquellos que sean menores de catorce años (ya que como he indicado anteriormente, el Reglamento de desarrollo de la LOPD fija la edad en la actualidad en los 14).
Sin embargo, esta modificación puede haber llegado bastante tarde, ya que estamos en plena evolución de una navegación que tradicionalmente se ha realizado con ordenadores, a otra fundamentalmente llevada a cabo con los teléfonos móviles o tabletas, que no están preparados para el DNI-electrónico.
Además, y sobre sistemas en la práctica utilizados como pueden ser autorizaciones de los padres enviadas por correo electrónico, faxes o demás, se está perdiendo de vista que los hábitos de consumo han cambiado. El internauta, tenga la edad que tenga, lo que quiere es la inmediatez.
En resumen, y como alguien muy certeramente expresó (más o menos) en el V Foro de la Privacidad del Data Privacy Institute:
“Pensamos en analógico para dar soluciones legales al mundo tecnológico”
Otros aspectos relevantes sobre los menores:
-Desparecen “llamadas de atención” (la frase “especialmente cuando se trate de un menor”) para tener una mayor consideración al tratamiento de datos de los menores, que aparecían en la legitimación para el tratamiento (artículo 6.1.f), derecho al olvido -llamado ahora únicamente como supresión de datos- (artículo 17.1), y en consonancia también se modifica el Considerando 53, que sobre el antiguo derecho al olvido hacía hincapié en la situación que podría darse cuando el menor ha facilitado datos sin conocer los riesgos y posteriormente, se entiende que una vez adulto, quiere eliminarlos, sobre todo cuando están publicados en Internet.
-Se introduce en el Considerando 31, que justifica el artículo 7 relativo a Condiciones del Consentimiento, que cuando se trate de un menor o incapacitado, se estará a las normas de la Unión o del correspondiente país a la hora de prestar el consentimiento.
-Cuando el responsable no está en la Unión Europea debe nombrar un representante en la Unión (artículo 25), salvo una serie de excepciones. Una de ellas, es que no trate datos personales de menores (artículo 25.2.b). Asimismo, tampoco deberá nombrarlo cuando ocasionalmente ofrezca bienes y servicios a ciudadanos de la Unión Europea, salvo que trate datos personales de menores (artículo 25.2.d).
-También aparecen citados los menores en el nuevo artículo 32.a sobre tratamiento de datos que conllevan un riesgo, y que está relacionado con los Informes de Impacto de Privacidad (lo analizaré con más detalle en un futuro post).
-Se introduce la obligación de contar con un Data Protection Officer (DPO), cuando la función del responsable o encargado consista en tratar datos personales de menores.
-A diferencia de la legitimación en el tratamiento y derecho a la supresión, sigue apareciendo en el principio de transparencia que el lenguaje será claro, y sencillo, sobre todo cuando la información se dirija a los menores. Además, se introduce también, con respecto a los menores, cuando se trate del derecho de oposición (artículo 19.2.a). Es decir, lenguaje claro y sencillo
-La definición de menor, sigue siendo la misma que en la Propuesta: todo aquel que tenga menos de 18 años.
Serie de posts sobre el Reglamento de Protección de Datos de la Unión Europea y el documento aprobado en la Comisión LIBE:
Reglamento de Protección de Datos UE: derecho de información mediante iconos gráficos.