fbpx

PROTECCIÓN DE DATOS

Los menores de edad en el Reglamento General de Protección de Datos

Tribuna

El objetivo de las próximas páginas es ofrecer al lector una visión global del papel que juegan los menores en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 abril 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -EDL 2016/48900- (en adelante «Reglamento general de protección de datos», «el Reglamento» o «RGPD»). Se han incluido igualmente las previsiones recogidas en la LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales -EDL 2018/128249-. De este modo se pretende facilitar el contar con un estado de la situación de los menores de edad en el RGPD para que, a partir de aquí, se pueda profundizar en el tema que más interese a quien aborde la próxima lectura.

Una novedad importante del (ya no tan nuevo) Reglamento General de Protección de Datos es la inclusión por primera vez en el ámbito europeo de previsiones referidas expresamente a la protección de datos de los menores de edad. Nos encontramos de este modo con que el art.8 -EDL 2016/48900- prevé, bajo el nombre de Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información que:

«1. Cuando se aplique el art.6, aptdo 1, letra a) -EDL 2016/48900-, en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.»

Es necesario tener en cuenta que este artículo 8 -EDL 2016/48900- se refiere a las situaciones en que se aplica el art.6, apartado 1, letra a) del Reglamento, es decir cuando la licitud del tratamiento se base en que «el interesado dio su consentimiento para el tratamiento de sus datos personales para uno varios fines específicos».

Si queremos buscar las remisiones del texto referidas a los menores deberemos tener en cuenta que el Reglamento se refiere a «niños», entendidos estos como una persona física con menos de 18 años de edad (siempre que no se haya emancipado). Como ya he señalado en otra ocasión, «el hecho de que no se contara con una regulación expresa no quiere decir que a lo largo de todo este tiempo el tratamiento de los datos de los menores de edad haya estado en un limbo jurídico, ya que los niños tienen derecho a la intimidad y a la protección de datos en cuanto personas físicas que son y las Directivas se aplicaban y aplican a cualquier «persona física», sin distinción(1). Por ello, los principios generales de estas Directivas se han venido aplicando en los casos en los que los niños resultaban implicados(2)». Sin duda la inclusión de esta regulación debe considerarse positiva, es un hecho indiscutible que los menores son sujetos activos de la realidad tecnológica en la que nos encontramos, son usuarios indiscutibles de las redes sociales y se relacionan cada vez más a través del mundo on line. No se podían, pues, obviar unos mínimos estándares de protección y unas bases que sirvieran como referente.

¿Qué condiciones debe cumplir el consentimiento del niño para que éste sea considerado válido? El art.8 -EDL 2016/48900- nos dice lo siguiente:

  • No hay caso alguno en el que los menores de 13 años puedan consentir por sí solos y válidamente el tratamiento de sus datos. En el supuesto caso de que una ley nacional lo permitiera la misma sería contraria a este artículo del Reglamento.
  • En el caso de los menores de 16 años deberá ser «el titular de la patria potestad o tutela sobre el niño» quien otorgue válidamente el consentimiento pero “sólo en la medida en que se dio o autorizó».
  • Puntualiza el artículo que los mayores de 13 años pero menores de 16 podrán otorgar consentimiento válido si así lo establece la regulación nacional. Pero, atención, el Estado miembro deberá hacer dicha consideración mediante una ley.
  • Por último, los mayores de 16 (y menores de 18(3), claro está) podrán otorgar su consentimiento, haciendo pues lícito el tratamiento de los datos.

¿Qué sucede si, por ejemplo, existe conflicto(4) entre el menor y el titular de su patria potestad? Un principio que no podemos olvidar y que siempre ha de estar presente en cualquier situación (no sólo en lo relativo a la protección de datos, evidentemente) es el principio del interés superior del menor. De producirse un conflicto deberían ponerse en marcha las vías previstas en cada país para velar por el interés del menor. En el caso concreto de España disponemos del art.163 CC -EDL 1889/1-: «Siempre que en algún asunto el padre y la madre tengan un interés opuesto al de sus hijos no emancipados, se nombrará a éstos un defensor que los represente en juicio y fuera de él. Se procederá también a este nombramiento cuando los padres tengan un interés opuesto al del hijo menor emancipado cuya capacidad deban completar. Si el conflicto de intereses existiera sólo con uno de los progenitores, corresponde al otro por Ley y sin necesidad de especial nombramiento representar al menor o completar su capacidad».

Como he tenido oportunidad de exponer en otros casos, no parece que la voluntad del legislador europeo haya sido excluir la aplicación del Reglamento a las muchas otras situaciones de consentimiento de menores que no se circunscriban exclusivamente a los servicios de la sociedad de la información. ¿Habría sido positiva su inclusión? Entiendo que sí pero ya sea por analogía ya sea por extensión podemos extrapolar las previsiones del art.8 -EDL 2016/48900- al resto de casos. Hemos dicho unas líneas más arriba que el principio del interés del menor debe estar presente siempre y aquí nos encontraríamos con otra ocasión en la que siempre es bueno recordarlo. Existen casos, como señala el Profesor Piñar Mañas, en los que el derecho de protección de datos dejaría paso al principio del interés del menor, casos tales como «El tratamiento de los datos médicos cuando, por ejemplo, un servicio de ayuda social a la infancia solicita la información pertinente en casos de abandono o abuso de menores, o el caso de que un profesor revele datos personales de un niño a un asistente social con el fin de proteger al niño, física o psicológicamente. En casos extremos, el principio del interés superior del menor puede entrar en conflicto con el requisito del consentimiento de los representantes legales. También en este caso debe optarse por el interés superior cuando, por ejemplo, esté en peligro la integridad física o mental del niño»(5).

Además de en el art.8 -EDL 2016/48900- encontramos menciones a los menores de edad a lo largo de todo el texto del Reglamento, referencias que otorgan siempre al tratamiento de sus datos una especial protección y consideración. Así, en el Considerando nº 38 se habla de la protección específica, en el 58 del lenguaje claro y sencillo de la información, en el 65 del derecho al olvido, en el 71 de los tratamientos automatizados y en el 75 del tratamiento de datos personales de niños como tratamiento de riesgo. En lo que se refiere al articulado, además de en el 8 encontramos referencias en los art.6.1 f) (interés legítimo), 12.1 (lenguaje claro y sencillo), 40.2.g) (códigos de conducta: información proporcionada a niños) y 57.1.b) (funciones de la autoridad de control: sensibilización al público).

Merece que nos detengamos brevemente en el importante Considerando nº 75 ya que, uniéndolo al art.24 -EDL 2016/48900- (Responsabilidad del responsable del tratamiento), obtenemos la conclusión de que los datos referidos a los menores gozan de una especial protección ya que su tratamiento se considera de riesgo.

Queremos resaltar también lo señalado en el art.6.1.f) -EDL 2016/48900-, que hace referencia al ya de sobra conocido interés legítimo como una de las condiciones que hace lícito el tratamiento de los datos. No podrá el responsable del tratamiento basarse en el interés legítimo para el tratamiento si sobre dicho interés prevalecen los intereses o «los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño». Recalca de nuevo el texto la situación de especial atención y protección cuando nos estamos refiriendo a menores.

Aunque en estas páginas estemos tratando el contenido del RGPD -EDL 2016/48900-, no queremos dejar de apuntar lo que establece la nueva LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) -EDL 2018/128249-. La remisión es además obligada ya que el RGPD remite a la regulación de los Estados miembros para otorgar el consentimiento. Ya hemos visto más arriba que el segundo párrafo del art.8.1 dice que «Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años». Hasta la entrada en vigor de la LOPDPGDD la cuestión estuvo regulada en el art. 13 del Real Decreto 1720/2007, de 21 de diciembre –EDL 2007/241465-, que consideraba que «los mayores de catorce años disponen de las condiciones de madurez precisas para consentir, por sí mismos, el tratamiento automatizado de sus datos de carácter personal(6)».

En el trámite de enmiendas en el Congreso, el texto de la LOPDPGDD -EDL 2018/128249- sufrió varios cambios. En lo que nos atañe ahora, además de la inclusión de la parte relativa a la garantía de los derechos digitales, el entonces Proyecto de ley cambió el texto en lo que se refiere a la edad de consentimiento. Efectivamente, antes de someterse al trámite de enmiendas el art.7 fijaba en trece años la edad para prestar consentimiento. Sin embargo, aceptando la enmienda propuesta por el Partido Socialista, el texto publicado en el Boletín Oficial de las Cortes Generales el 26 de octubre de 2018 (Aprobación por el Pleno) señalaba lo que finalmente fue aprobado:

«Art. 7. Consentimiento de los menores de edad

1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.»

Si bien es cierto que a finales de noviembre de 2017 cuando se presentó el texto del Proyecto de Ley, la edad media a nivel europeo para otorgar consentimiento válidamente se encontraba en 13 años, a lo largo de los meses que duró la tramitación parlamentaria varios países aprobaron su nueva regulación estableciendo los 14 años como edad mínima.

Encontramos más referencias a los menores en lo ateniente a la protección de datos en los art.3 -EDL 2018/128249- (datos de las personas fallecidas cuando se trata de un menor), 12 (ejercicio de los derechos por los titulares de la patria potestad en nombre y representación del menor de 14 años – introducido en el trámite de enmiendas), 28 (obligaciones de responsable y encargado cuando el tratamiento sea de menores de edad), 34 (obligación de designar un DPO por parte de las federaciones deportivas cuando traten datos de menores de edad – introducido en el trámite de enmiendas) y 76 (sanciones cuando se afecte a los derechos de los menores – introducido en el trámite de enmiendas).

Otra de las novedades que se introdujo en la fase de enmiendas fue la parte relativa a la garantía de los derechos digitales. En lo que respecta a los menores, son varias las referencias que se hacen.

Hay dos artículos específicos destinados a ellos:

«Art. 84 -EDL 2018/128249-. Protección de los menores en Internet

1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.

2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor –EDL 1996/13744-.»

«Art. 92 -EDL 2018/128249-. Protección de datos de los menores en Internet

Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica -EDL 2018/128249-.»

Existen más artículos que hacen referencia a los menores: art.96.1.c) -EDL 2018/128249- (derecho al testamento digital en el caso de que el fallecido sea menor de edad); 97.2 (concienciación en uso equilibrado y responsable) y Disposición adicional 19ª, que prevé que en el plazo de un año el Gobierno deberá remitir al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto en internet.

Una de las grandes preguntas que no cuenta aún con solución, y sobre la que en el fondo sobrevuela todo lo expuesto hasta ahora, es el cómo poder verificar la edad del menor. El segundo apartado del art.8 -EDL 2018/128249- impone al responsable del tratamiento el realizar, teniendo en cuenta la tecnología disponible, los esfuerzos razonables para verificar que en los casos de menores de 16 años (en España 14) el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño. Habla por tanto de la autorización por parte del titular de la patria potestad o tutela pero no de las situaciones en las que el particular es menor pero ya se considera que puede consentir por sí mismo (de los 14 a los 18, en el caso de España). El art.7 LOPDGDD nada nos dice tampoco por lo que podríamos acudir al art.13.4 RD 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal –EDL 2007/241465-: «Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales». La disposición derogatoria única de la LOPDGDD deroga, entre otras, la LO 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal –EDL 1999/63731- y cuantas disposiciones de igual o inferior rango contradigan, se opongan o resulten incompatibles con lo dispuesto en el RGPD -EDL 2016/48900- y en la propia LOPDGDD. Entendemos que esta previsión no le es de aplicación al art.13.4 RD 1720/1999, ya que en nada contradice, se opone o resulta incompatible a sendas normas, más bien al contrario. Sin poder llegar a ser una obligación en cuanto tal sí que entendemos que podría ser una buena práctica de los responsables realizar esos procedimientos que garanticen que han comprobado de modo efectivo la edad. Como indica ZABÍA DE LA MATA(7), «(...) si el responsable del fichero articula estos procedimientos, los documenta debidamente y comprueba efectivamente que esto se cumple, no se le puede hacer responsable, por ejemplo, del hecho de que el menor de edad haya falsificado su carné o haya fotocopiado el de su padre o tutor sin su consentimiento».

BIBLIOGRAFÍA

  • CASTRILLO DE LA FUENTE, Marta: El tratamiento de datos de menores de edad, ¿qué dice el RGPD al respecto?, en Legaltoday, 28 de junio de 2018.http://www.legaltoday.com/practica-juridica/publico/proteccion_de_datos/el-tratamiento-de-datos-de-menores-de-edad-que-dice-el-rgpd-al-respecto.
  • GIL ANTÓN, Ana María: La privacidad del menor en Internet, en Revista de Derecho, Empresa y Sociedad, núm. 3, septiembre-diciembre 2013, págs. 60-96.
  • LÁZARO GONZÁLEZ, Isabel E., MORA PRATO, Nora y SORZANO VOLART, Carmen (Coord.): Menores y nuevas tecnologías. Posibilidades y riesgos de la TDT y redes sociales, Ed. Tecnos, Madrid, 2012.
  • MILLÁN, Rosa: La protección de datos personales en los menores de edad, en www.legaltoday.com, 7 de noviembre de 2014.
  • ORNELAS, Lina y DE GREGORIO, Carlos G. (Coords.): Protección de datos personales en las redes sociales digitales: En particular de niños y adolescentes. Memorándum de Montevideo, Ed. Instituto Federal de Acceso a la Información y Protección de Datos, México 2011.
  • PIÑAR MAÑAS, José Luis (Director): Redes Sociales y Privacidad del Menor, Ed. Reus, Madrid, 2011.
  • PIÑAR MAÑAS, José Luis (Director): Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad, Ed. Reus, Madrid, 2016.
  • PIÑAR MAÑAS, José Luis y CANALES GIL, Álvaro: Legislación de Protección de Datos, Ed. Iustel, 2ª Edición, Madrid 2011.
  • PIÑAR REAL, Alicia: El tratamiento de datos de los menores de edad. En PIÑAR MAÑAS, José Luis (Director): Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad, Ed. Reus, Madrid, 2016.
  • REYES MÉNDEZ, Daniel: El acceso del menor a las redes sociales y el problema de su autentificación: la necesidad de una respuesta tecnológica, en Diario La Ley, Nº 9335, Sección Tribuna, 11 de enero de 2019, Editorial Wolters Kluwer.
  • ZABÍA DE LA MATA, Juan (Coord.): Protección de Datos: Comentarios al Reglamento, Ed. Lex Nova, Valladolid, 2008.
  • Admón. de la Comunidad Autónoma del País Vasco. Dpto. de Empleo y Políticas Sociales: Internet y nuevas tecnologías, ¿hablamos en familia?, Ed. Gobierno Vasco, 2016.
  • Agencia Española de Protección de datos, Agencia Vasca de Protección de datos y Autoridad Vasca de Protección de datos: Guía del Reglamento General de Protección de Datos para responsables de tratamiento, 2018, https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf

NOTAS:

1.-El WP29 lo dice claramente en su Documento de trabajo 1/08 sobre la protección de datos personales de los niños.

2.- Tal y como señala Giovanni BUTTARELLI, «Los menores y las nuevas tecnologías», en PIÑAR MAÑAS, José Luis (Director): Redes Sociales y Privacidad del Menor, Ed. Reus, Madrid 2011, págs. 139-140, además de los instrumentos de protección a nivel europeo, evidentemente también los considerados como «tradicionales» protegen a los menores. De entre estos mecanismos, cabe destacar: la Declaración Universal de Derechos Humanos (arts. 25 y 26, párr. 3) –EDL 1948/48-, el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (art.8) –EDL 1979/3822-, la Carta de Derechos Fundamentales de la UE (art.24) –EDL 2000/94313-. Y, con inclusión concreta de referencias a los menores: la Declaración de Ginebra sobre los Derechos de los Niños (1923), la Convención de las Naciones Unidas sobre los Derechos del Niño (1989) –EDL 1989/16179- 9 y la Convención Europea sobre el Ejercicio de los Derechos del Niño (nº 169, de 25 de enero de 1996) –EDL 1996/53013-. Finalmente, BUTTARELLI cita la Declaración de Helsinki, la declaración de la ONU sobre los Derechos del Niño, la Recomendación (98) 8 del Comité de Ministros del Consejo de Europa sobre la participación de los niños en la vida familiar y sobre la protección de los datos médicos, el Convenio nº. 192 de 15 de mayo de 2003 del Consejo de Europa sobre las relaciones personales concernientes a los niños y la Resolución del Parlamento Europeo «Hacia una estrategia de la UE sobre los Derechos del Niño», de 16 de enero de 2008.

3.- Consideramos como mayores de edad a los mayores de 18 años. No puedo ahora llevar a cabo un análisis pormenorizado del régimen de la mayoría de edad en los distintos países de la Unión Europea, incluidas situaciones semejantes a la emancipación. Al hablar en el texto de los 18 años me refiero por extensión a los mayores de edad, para los que evidentemente no es de aplicación el art.8 -EDL 2016/48900-.

4.- En tema de consentimientos médicos, la L 26/2015, de 28 de julio, de modificación del sistema de protección a la infancia y a la adolescencia –EDL 2015/130118- modifica la Ley de la Autonomía del Paciente –EDL 2002/44837- para introducir un nuevo apartado 4 en el art. 9 referido a los menores emancipados o mayores de 16 años en relación a los cuales no cabe otorgar el consentimiento por representación, salvo cuando se trate de una actuación de grave riesgo para la vida o salud. Esta misma Ley modificó en su art.2.12 el art.162 CC -EDL 1889/1- que en lo que ahora nos interesa dice «Los padres que ostenten la patria potestad tienen la representación legal de sus hijos menores no emancipados. Se exceptúan: 2º (los actos) en que exista conflicto de intereses entre los padres y el hijo».

5.- PIÑAR MAÑAS, José Luis «El derecho fundamental a la protección de datos y la privacidad de los menores en las redes sociales», en PIÑAR MAÑAS, José Luis (Director): Redes Sociales y Privacidad del Menor, Ed. Reus, Madrid 2011, pág. 71.

6.- ZABÍA DE LA MATA, Juan: «Consentimiento para el tratamiento de datos de menores de edad» en ZABÍA DE LA MATA, Juan (Coord.): Protección de Datos: Comentarios al Reglamento, Ed. Lex Nova, Valladolid, 2008, pp. 187-191

7.- ZABÍA DE LA MATA, Juan: op. cit.

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 1 de julio de 2019.