8 cambios clave
que el RPGD incorpora en el tratamiento de datos personales de menores.
¿A quiénes considera ‘niños’ el RGPD?.
¿Qué nuevas exigencias introduce dicha norma en lo que atañe al uso de sus datos?.
¿Cómo las acoge el proyecto de ‘nueva’ ley orgánica de protección de datos (PLOPD)?
El 25 de mayo entró en pleno funcionamiento el Reglamento General de Protección de Datos (RGPD o GPDR, en inglés) y suscita, todavía, no pocos interrogantes entre quienes tratan datos personales sometidos a la normativa en materia de protección de datos.
Entre otras cuestiones, por razones obvias, preocupan -y mucho- las relativas al tratamiento de datos personales de ‘niños’ o menores.
Alicia Piña es abogada, experta en privacidad y coordinadora de la Comisión de Menores de la Asociación Profesional Española de Privacidad (APEP), una de las primeras entidades que puso en marcha un grupo de trabajo dentro de la entidad centrado en analizar la protección del menor a nivel de privacidad.
“Creemos que con el nuevo RGPD se mejora la protección de los menores, no en vano los centros docentes deberán contar con un Delegado de Protección de Datos o DPO según el proyecto de ley de la nueva LOPD desde el momento que ésta norma se apruebe”, aclara.
Nuestra interlocutora nos aclara que el RGPD aclara que los menores, por el mero hecho de serlo son personas vulnerables “Es un paso importante en una norma de rango europeo que recoge la situación del menor y pide una especial protección para este colectivo. Llama la atención a los responsables de protección de datos. Se vuelve hablar del interés superior del menor, ya inserto en nuestro ordenamiento jurídico, pero ahora se entiende de otra manera”.
Esta entidad creó hace ya algún tiempo su Guía de Menores. Desarrollada por una comisión de miembros de la Asociación, aborda cuestiones y recomendaciones básicas para padres y educadores sobre el uso de redes sociales e internet entre los niños, niñas y adolescentes. Es muy posible que esta publicación, referente en el sector, se actualice de cara a la entrada en vigor citado citado Reglamento europeo.
Desde APEP, su Comisión de Menores apuesta por impulsar iniciativas dirigidas, precisamente, a concienciar sobre los nuevos retos que el RGPD plantea en punto al tratamiento de datos personales de niños y niñas, en especial, desde la comunidad educativa, temática sobre la que se debatirá ampliamente entre expertos en la Jornada “Los centros docentes y la gestión de la privacidad de su alumnado” que tendrá lugar el próximo viernes día 11 de mayo de 2018 en el Instituto de Filosofía del CSIC.
Para Piña “El RGPD introduce cambios en el tratamiento de datos personales de menores; medidas que trascienden a la propia norma, tomando como punto de partida el hecho incontestable de que los datos personales de los ‘niños’ requieren una ‘protección específica’ a garantizar cuando se proceda a su tratamiento, considerando que los menores “…pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales…” (Considerando 38, RPPD).
Alicia Piña, abogada, experta en privacidad y coordinadora de la Comisión de Menores de la Asociación Profesional Española de Privacidad (APEP).
Sobre las cuestiones más significativas que aporta el texto europeo destaca las siguientes:
1.- Los ‘niños’ son ‘personas (especialmente) vulnerables’
“Para el RGPD, es claro. La referida condición personal de los ‘niños’ y de las niñas exige que el tratamiento de sus datos se efectúe con las debidas garantías, esto es, evaluando con especial prudencia la base jurídica y el modo en que sus datos personales puedan ser recabados, ya sea directamente, o mediante el consentimiento de sus representantes legales”, destaca Piña.
Así, por ejemplo, mientras que el tratamiento de datos personales de adultos con fines de ‘mercadotecnia directa’ podrá considerarse efectuado por ‘interés legítimo’, ponderando el del anunciante y los derechos del destinatario de la publicidad, sin embargo, cuando el destinatario es un ‘niño’, ello impone un balanceo de intereses exhaustivo en el que prevalecerá la protección de la privacidad del menor, considerando cualquier potencial menoscabo de ésta.
2.- La información dirigida a ‘niños’ debe ofrecerse en un lenguaje ‘claro y sencillo…fácil de entender’
En realidad, el apartado 3 del artículo 13 del Reglamento de desarrollo de la LOPD (R.D. 1720/2007, de 21 de diciembre; RLOPD) viene ya contemplando la exigencia de que dicho lenguaje sea “fácilmente comprensible” por un ‘niño’ si bien, lo cierto es que tal previsión no ha gozado hasta hoy de rango de ley comunitaria ni orgánica -como anuncia el PLOPD-, motivo por el que cabría acoger dicha previsión expresa como novedosa.
3.- El tratamiento de datos personales de ‘niños’ puede requerir la práctica de una Evaluación de Impacto relativa a la protección de datos (‘EIPD’)
A estas alturas, es bien sabido que el RGPD funda la determinación de las medidas de seguridad a aplicar en el análisis de los riesgos a los que cada responsable y encargado de tratamiento se enfrentan accountability o proactividad.
Por ello, considerando que tanto el RPGD como el PLOPD define a los ‘niños’ como ‘personas (especialmente) vulnerables’, por el mero hecho de serlo, y que el art. 28.2 PLOPD identifica ‘mayores riesgos’ en el tratamiento de sus datos, se desprende que quienes traten datos de menores deberán analizar con especial cautelasi precisan someter tales tratamientos a una EIPD, por cuanto cabe esperar que se eleve la probabilidad de que el referido tratamiento entrañe un alto riesgo para los derechos y libertados de tales afectados (‘niños’).
4.- Varía la edad en que el menor puede prestar el consentimiento para el tratamiento de sus datos
El RGPD señala como edad a partir de la que el ‘niño’ puede consentir el uso de sus datos personales los 16 años, sin perjuicio de lo que los estados miembros decidan a tal respecto, con el límite mínimo de los 13 años de edad.
¿Cuál es el ‘panorama’ normativo actual en España? Si bien el PLOPD acoge los 13 años, sin embargo, las enmiendas planteadas proponen 14 y 16, sin que, a fecha actual, existan indicios razonables para asegurar cuál será la edad elegida.
La edad por debajo de la cual los menores de edad no pueden consentir por sí mismos -sino sus representantes legales-, es la que define, precisamente, el concepto de ‘niño’.
Sobre esta variedad de consentimiento a nivel de menores, Alicia Piña destaca que “a priori, no parece lo ideal. Si Reglamento es una norma de protección directa que trata de homogeneizar la normativa en el espacio comunitario, no parece justificada esta facultad que se abra el espectro a diferentes edades en países distintos, sobre todo cuando hay una libre circulación de datos en el entorno europeo”.
“Sorprende que el RGPD permita que los Estados miembros establezcan una edad para el consentimiento de los usos de los datos personales en cada país, cuando el espíritu del Reglamento es homogeneizar conceptos a nivel comunitario”
5.- Cuando es el representante legal del ‘niño’ quien consiente, el responsable del tratamiento tendrá la ‘carga’de demostrar ha hecho ‘esfuerzos razonables’y ‘teniendo en cuenta la tecnología disponible’para verificar ha sido así
Frente a lo dispuesto en el artículo 13.4 RLOPD, el RGPD parte de considerar las dificultades que atraviesan los responsables para verificar la edad de los ‘niños’ o la autenticidad del consentimiento de sus padres/madres o tutores cuando acceden a un servicios de la sociedad de la información.
De ahí que, cuando el artículo 25 del RGPD se pronuncia sobre el diseño de las medidas que compete a cada responsable o encargado del tratamiento, asuma como limitaciones de cada cual, no sólo el “estado de la técnica”, sino “el coste (de la aplicación)”, lo cual permite interpretar que los ‘esfuerzos razonables’ de aquéllos no pueden equivaler a la exigencia de demostrar lo anteriormente indicado a toda costa, lo que no excluye, por supuesto, que deban justificar y documentar que no se han podido practicar las referidas comprobaciones.
Creemos que con el nuevo RGPD se mejora la protección de los menores, no en vano los centros docentes deberán contar con un Delegado de Protección de Datos o DPO
6.- Se introducen como contenido específico de los ‘Códigos de Conducta’ previsiones referidas a los ‘niños’
Frente a la ausencia de referencia expresa a los datos personales de los menores como contenido de los ‘Códigos Tipo’ en nuestra legislación (art. 32 LOPD), el artículo 40 del RGPD propone dotar a tales códigos éticos (‘Códigos de Conducta’) de referencias a los requisitos que debe cumplir el tipo de información facilitada a ‘niños’ (transparencia), medidas diseñadas para protegerlos, además de propuestas sobre el modo en que ha de recabarse el consentimiento de los representantes legales de los ‘niños’.
7.- La promoción de la sensibilización y comprensión de riesgos en materia de privacidad y, en especial, actividades dirigidas a niños, se contempla como una nueva función de las autoridades de control
Quizá constituya la novedad menos comentada de las que alberga el RGPD con respecto al tratamiento de datos personales de ‘niños’ y niñas, no obstante lo cual, sin duda, merece la máxima consideración y elogios.
“A este respecto, reseñar que la Agencia Española de Protección de Datos (AEPD) viene promoviendo su estricto cumplimiento a través de iniciativas propias de carácter formativo y divulgativo sobre buenas prácticas en privacidad y menores, así como colaborando aquellas otras que, de un modo u otro, tratan de fomentar ‘la cultura de privacidad’ en nuestra sociedad”, apunta nuestra interlocutora.
8.- Los colegios deberán disponer de un Delegado de Protección de Datos (DPO)
El artículo 34.1.b del Proyecto de ley de la LOPD -en consonancia con las enmiendas planteadas-, contempla que los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación tendrán que designar un DPO, sin excepción. ¿Cómo se verán afectados los colegios? No cabe duda de que no podrán eludir esta obligación, unida al ulterior deber inexcusable de comunicar a la AEPD la identidad de dicho DPO.
“Habrá que ver como se articula esta medida tanto en los centros privados o concertados como en los públicos. Es posible que un grupo de centros privados puedan compartir a este profesional, a nivel de administración pública aún no sabemos cómo quedará perfilado”.
Para Piña parece claro que esta figura deberá contar con conocimientos jurídicos y en materia de privacidad. “Tras la aprobación de la nueva LOPD veremos como encaja esta figura en los diferentes centros docentes existentes”.