A estas alturas, todo el mundo sabrá -o debería saber- que el vigente Reglamento General de Protección de Datos (RGPD) nos impone varias obligaciones a la hora de tratar datos de carácter personal. Muchas de ellas ya son sobradamente conocidas (por ejemplo, las relativas al consentimiento, al deber de información, a las medidas de seguridad aplicables,…). Sin embargo hay campos con obligaciones específicas que no son tan conocidos. Uno de ellos es el relativo al consentimiento de los menores.
En un mundo cada vez más digital y con más facilidad de acceso a servicios que implican tratamiento de datos, no es extraño que los menores de edad se vean afectados por dichos tratamientos. Redes sociales, videojuegos, promociones y concursos, aplicaciones móviles varias,… todas ellas pueden tener a menores como participantes principales. Y en su funcionamiento puede haber -de hecho suele haber- tratamiento de datos personales.
Teniendo en cuenta que el RGPD es muy garantista a la hora de regular la obtención del consentimiento informado de los interesados, ¿cómo se trata este tema cuando la persona afectada es menor de edad?
O dicho de otro modo: ¿Cómo podemos asegurarnos de que nuestros tratamientos orientados a menores cumplen con el RGPD?
Este escenario está más que regulado tanto en el Reglamento como en la LOPD-GDD española. Seguir sus guías es relativamente sencillo.
Consideraciones generales:
El RGPD parte de un presupuesto obvio: los menores no tienen la misma capacidad para prestar un consentimiento aceptable que los adultos. En palabras del Considerando 38 del Reglamento, «pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales«.
Por ello la normativa exige dar una mayor protección a la hora de tratar datos personales de niños: los riesgos asociados son mayores y el interesado -el niño- puede no estar prestando un consentimiento válido para ello.
El RGPD crea un sistema de protección que debe aplicarse a cualquier tratamiento de datos de menores, pero con más énfasis en aquellos tratamientos que ofrezcan más riesgos. Por ejemplo: tratamientos con fines de mercadotecnia y tratamientos para la elaboración de perfiles de personalidad o de usuario.
Cualquier tratamiento de datos de menores, además, ha de realizarse mediante comunicaciones que los niños puedan entender (tal y como exige el principio de transparencia, como bien recuerda el Considerando 58 del RGPD). Debe evitarse en estos casos fórmulas farragosas o escritas con un lenguaje jurídico complejo.
Edad válida para prestar consentimiento:
Una vez fijados estos principios generales, nos dice el RGPD en su artículo 8 que el consentimiento de los menores -si se pide para servicios de la sociedad de la información- es válido si el niño tiene al menos 16 años de edad. Es decir, a esa edad en principio se considera que puede aceptar el tratamiento de sus datos dentro de páginas web, aplicaciones móviles, etcétera. Curiosamente, este umbral queda todavía más reducido en el artículo 7 de la LOPD-GDD: para la normativa española, el consentimiento de los menores es válido a partir de los 14 años de edad (dos años antes que la regla general europea).
Por tanto, si nuestros tratamientos solo afectan a niños españoles, podremos considerar válido su consentimiento a partir de los 14 años. Si afectan a menores de distintos paises europeos, en principio será recomendable hacer uso del umbral de los 16 años.
(Conviene aquí hacer un paréntesis para resaltar que el umbral español tampoco es absoluto: la propia LOPD-GDD matiza y dice que esta edad de consentimiento puede no ser válida si hay otras leyes que exigen la participación de los titulares de la patria potestad o tutela; de modo que, una vez más, conviene actuar con cautela).
Participación de titulares de patria potestad o tutela:
Si el menor no tiene la edad mínima necesaria para prestar consentimiento según estos criterios, será obligatorio que dicho consentimiento sea autorizado por el titular de la patria potestad o la tutela. Es decir, que el consentimiento del menor, por sí solo, no bastará.
La pregunta que puede surgir ante esto es casi predecible: ¿Cómo puede un prestador de servicios de la sociedad de información asegurarse de que se obtiene esta autorización? Podría pensarse en el uso de casillas que haya que marcar, o que sea necesario que el adulto mande un correo electrónico aceptando el tratamiento. Pero estos sistemas podrían ser «falsificados» por el menor, que podría hacerse pasar por la persona responsable.
¿Significa esto que es obligatorio exigir pruebas documentales como fotocopias del DNI del adulto para verificar la identidad de quien autoriza el tratamiento?
Obligatorio no es, pero puede ser recomendable. La verdad es que el RGPD -como en tantos otros aspectos- no impone obligaciones concretas y específicas. Lo que nos dice es lo siguiente:
«El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible«.
El concepto de «esfuerzos razonables» significa que cada responsable puede establecer los mecanismos que estime oportunos para hacer esta verificación. Lo que, en principio, implica que hay bastante libertad en este sentido. Ahora bien, en la práctica conviene recordar que en caso de conflicto deberá ser el responsable el que acredite haber cumplido con sus obligaciones. Es decir, el que tiene que demostrar un mínimo de diligencia en el proceso de obtención del consentimiento y de verificación del mismo.
Teniendo en cuenta que una mera casilla para marcar no parece suficientemente diligente, la opción de exigir copia de algún documento de identidad podría ser más adecuada dependiendo del caso (y dependiendo, claro está, del tipo de datos que se esté recopilando o la finalidad del tratamiento). Es cierto que dichos documentos también podrían ser falseados por el menor, pero sería más complicado que simplemente hacer clic en una casilla de un formulario web. El mecanismo de la identificación oficial parece indicador de una mayor diligencia por parte del responsable.
Obviamente, hasta ahora hemos hablado de autorizaciones emitidas por mecanismos digitales. Si la autorización no se produce «online» sino de forma presencial, es mucho más sencillo verificar que quien autoriza es, en efecto, un adulto. Con lo que su firma manuscrita en un documento de autorización bastaría como una elemental verificación.
Como puede verse, este tema ofrece ramificaciones que aumentan en complejidad a medida que entramos en casos concretos: ¿Qué ocurre cuando los padres están divorciados? ¿Quién puede autorizar el consentimiento del menor? ¿Hay obligación de realizar evaluaciones de impacto en los tratamientos de datos de niños? ¿Qué pasa con los tratamientos de datos de salud del menor?
Si usted o su organización se encuentran en una situación de tratamiento que afecta a menores y no tiene claro si lo están haciendo de forma legalmente válida, no dude en ponerse en contacto con nosotros y responderemos sus consultas.
Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales