El RGPD y la LOPDGDD otorgan una protección de datos para menores específica, ya que se trata de un colectivo recogido dentro de los grupos vulnerables, por lo que si en el desarrollo de una actividad empresarial, comercial, docente, deportiva o de cualquier otra índole, tratamos datos personales de menores de edad, debemos tener en cuenta las claves principales para la protección de datos de menores que veremos en este artículo.
En este artículo hablamos de:
- ¿Cuándo se considera lícito el tratamiento de datos en niños?
- La protección de datos de menores de edad en el RGPD y la LOPDGDD
- Otras consideraciones sobre la protección de datos de niños, niñas y adolescentes
- ¿Cómo proteger los datos personales de niños y adolescentes?
¿Cuándo se considera lícito el tratamiento de datos en niños?
Se considera lícito el tratamiento de datos en niños cuando este se hace de acuerdo a lo dispuesto en el RGPD y la LOPDGDD en cuanto a obligaciones del responsable y encargado del tratamiento, derechos del interesado y edad de consentimiento para el tratamiento de datos personales.
Además de esta normativa específica en protección de datos, cuando hablamos de menores de edad, también debemos tener en consideración la Ley Orgánica 8/2021, de protección integral de la infancia y la adolescencia frente a la violencia, también llamada ley de protección de menores, donde la protección de datos, especialmente respecto a contenidos ilícitos o de carácter violento que puedan afectar a los menores publicados en Internet, se nombra en varias ocasiones a lo largo de su articulado. Además, su Capítulo XII recoge el papel que la AEPD tiene respecto a la garantía de los derechos digitales de los menores y el establecimiento del canal prioritario para la denuncia retirada de los contenidos citados.
La protección de datos de menores de edad en el RGPD y la LOPDGDD
Aunque, los datos de los menores de edad no se consideran datos sensibles según el RGPD, este les atribuye una especial protección en el considerando 38, donde dice:
«Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse, en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños».
En cuanto a la LOPDGDD, que también contempla esta protección especial, se refiere a los menores de edad cuando entra a regular el consentimiento, los derechos y la protección de datos de los menores en Internet.
Edad de consentimiento para el tratamiento de datos personales
Tanto el RGPD como la LOPDGDD fijan la edad mínima para el consentimiento en protección de datos; en el RGPD se establece esta edad en 16 años, aunque da libertad a los Estados miembros para establecer una edad menor, que en el caso de la LOPDGDD es de 14 años.
Por lo tanto, y siempre que la legitimación para el tratamiento se funde en el consentimiento explícito, en el caso del consentimiento de los menores, en España se abren dos supuestos:
- Consentimiento de mayores de 14 años: La LOPDGDD entiende que un adolescente de 14 o más años tiene ya la madurez suficiente para comprender la finalidad de un tratamiento de datos y lo que conlleva para su privacidad, y conceder el consentimiento explícito para dicho tratamiento, de manera que resulta suficiente para considerar el tratamiento de datos lícito. Si bien se establece una excepción respecto a este consentimiento para los actos jurídicos en los que se requiera la asistencia de sus padres o tutores legales.
- Consentimiento de menores de 14 años: El consentimiento del menor para el trato de sus datos no es suficiente y no se considera lícita, por lo que debe recogerse el consentimiento de sus padres o tutores legales. La ley establece que padres o tutores deberán considerar los riesgos y consecuencias que puedan derivarse del tratamiento de datos para el menor y siempre considerar el interés superior del menor antes de dar su consentimiento para cualquier tratamiento de datos. Así mismo, cuando el menor cumpla los 14 años podrá revocar el consentimiento dado por sus padres o tutores legales o dar su consentimiento para que continúe el tratamiento.
Cabe señalar que es obligación del responsable del tratamiento verificar la edad del menor cuando es este quien da el consentimiento para el tratamiento de sus datos, y, en su caso, de que el consentimiento otorgado por parte de los padres o tutores sea válido.
La comprobación de estos datos debe hacerse siempre, teniendo en cuenta la tecnología disponible y dentro de unos esfuerzos razonables.
La edad mínima de consentimiento también se aplica para el ejercicio de los derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición).
¿Cuándo no es necesario el consentimiento para el tratamiento de datos personales de menores?
No será necesario el consentimiento para el tratamiento de datos personales de los menores, cuando concurra alguna de las causas contempladas en el artículo 6.1 del RGPD.
Por ejemplo, en el ámbito escolar, donde inevitablemente se lleva a cabo el tratamiento de datos personales de menores, el consentimiento no sería necesario cuando el tratamiento puede legitimarse en:
- El ejercicio de la función docente.
- La relación contractual que se deriva de la matriculación del alumno.
- Un interés legítimo del responsable del tratamiento.
Protección de los menores en internet
Como parte de la protección de datos de niños, niñas y adolescentes, la LOPDGDD dedica su artículo 82 a la protección de los menores en internet, donde dice que los padres o tutores legales de los menores deben asegurarse que estos hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, para, por un lado, garantiza un desarrollo adecuado de su personalidad y, por otro lado, preservar su dignidad y sus derechos fundamentales.
Así mismo, también garantiza la protección específica del menor y su derecho a la protección de datos en centros educativos y cualquier otra entidad que desarrolle actividades en las que participen menores (clubes deportivos, campamentos, escuelas de verano, etc.).
Además, hace hincapié en la especial vigilancia sobre el uso y difusión de imágenes o información personal de menores de edad en redes sociales, habilitando la intervención del Ministerio Fiscal en defensa del menor afectado en caso de que surjan problemas.
Otras consideraciones sobre la protección de datos de niños, niñas y adolescentes
Aparte de las consideraciones que hemos visto sobre la protección de datos para niños, niñas y adolescentes, especialmente relativas a la edad de consentimiento, hay otros aspectos que cualquier entidad que lleve a cabo tratamientos de datos personales de menores debe conocer, para poder realizar una adecuada protección de datos de menores.
Protección de datos y fotos de niños
A día de hoy siguen siendo dudas habituales de padres o tutores legales lo que se puede o no hacer con las fotos de menores tomadas en centros educativos, eventos escolares o deportivos, o si se pueden publicar las fotos de niños sin su consentimiento en las redes sociales o blogs de sus padres.
Para responder a estas dudas, veamos qué dice la ley de protección de datos respecto a fotos y vídeos de menores, puesto que las imágenes en las que una persona sea identificable se considera dato personal.
En lo que respecta a la toma de imágenes en centros educativos, hay que tener en cuenta diferentes escenarios:
- Si las imágenes se captan dentro de una función educativa (trabajos o evaluaciones, por ejemplo), el centro no tendrá que recabar el consentimiento de alumnos o padres, puesto que el tratamiento estaría legitimado, pero sí deberá informar de ello a los alumnos y los padres o tutores legales de estos.
- Si las imágenes o vídeos se captan fuera de esta función educativa, durante eventos en el centro y con la intención de difundirlas en la web del centro o revista escolar, sí será necesario recabar el consentimiento de los menores o de sus padres o tutores legales, informándoles, previamente de la finalidad de la captación de las imágenes, especialmente si estas van a estar accesibles públicamente.
Si las fotos o vídeos las realiza un tercero, hay que distinguir dos escenarios:
- Si es por encargo del centro, este deberá recabar el consentimiento de los alumnos o los padres o tutores legales.
- Si es el tercero quien realiza las fotografías o vídeos para su propia finalidad, tendrá que recabar el consentimiento de los interesados, bien el mismo, o bien a través del centro, que deberá especificar a los interesados que este tercero es el responsable del tratamiento.
En cualquier caso, se recomienda a los centros que cuando suban fotos a un entorno digital, este cuente con las medidas de seguridad necesarias, esté lo menos expuesto posible, es decir, sea de carácter privado y a él solo puedan acceder con contraseña los alumnos y los padres o tutores legales de estos. Así mismo, no estaría de más recordar a quienes acceden a las imágenes, que no pueden difundirlas de forma pública.
En el caso de que quienes graben o hagan fotos en el centro escolar durante determinados eventos, sean particulares (otros padres o familiares), no se verían afectados por la normativa de protección de datos, pero deben tener en cuenta que para publicar fotos o vídeos en redes sociales o blogs particulares en los que aparezcan menores que puedan ser identificados (la cara sea claramente visible y reconocible), deben contar con el consentimiento expreso del menor (si este es mayor de 14 años) o de sus padres o tutores legales (si es menor de 14 años).
Protección de datos de menores y DPO
Aparte de los supuestos generales establecidos en el RGPD para la designación de un DPO, la LOPDGDD recoge explícitamente dos actividades en las que se tratan específicamente datos de menores de edad y que obligan a nombrar un Delegado de Protección de Datos, en concreto:
- Los centros docentes
- Las federaciones deportivas cuando traten datos de menores de edad.
¿En qué supuestos pueden padres o tutores acceder a los datos personales de sus hijos menores de edad?
La normativa de protección de datos establece que nadie no autorizado puede tener acceso a los datos personales de otra persona, salvo que se obtenga el consentimiento del titular de los datos para ello. En el caso de los menores de edad mayores de 14 años hay algunos supuestos en que los padres pueden tener acceso a determinados datos personales de sus hijos:
- Historiales clínicos: Es importante tener en cuenta que los padres pueden tener acceso a la información sanitaria de sus hijos para que puedan velar por su salud en el ejercicio de la patria potestad, teniendo como base jurídica el artículo 154 del Código Civil. Esto quiere decir que los padres pueden tener acceso al historial clínico de su hijo. Cabe recalcar que solamente tendrán acceso a dicha información las personas que ejerzan la patria potestad sobre el menor. El acceso a la historia clínica también se puede realizar por el menor para los casos donde este tenga más de trece años.
- Ejercer los derechos de acceso, rectificación y supresión de un menor fallecido: Como ocurre con los adultos, los padres o tutores legales podrán ejercer siempre los derechos de acceso, rectificación y supresión de los datos de un menor de edad fallecido.
¿Qué ocurre en caso de conflicto entre padres separados sobre el tratamiento de los datos del menor?
En el caso de padres separados, es posible que uno de ellos pueda dar su consentimiento para un tratamiento de datos personales del menor y el otro no (es habitual, por ejemplo, en las fotografías y vídeos que se captan en actividades escolares y que se quieren compartir a través de las redes sociales del centro o colgarse en su página web).
Cuando se produce este conflicto y los padres no se ponen de acuerdo, este deberá plantearse ante el juez competente en materia de familia para darle resolución.
¿Y si el conflicto es entre el menor y sus padres o tutores legales?
La normativa de protección de datos no entra en esta cuestión, por lo que debemos remitirnos a lo que dice el Código Civil sobre el conflicto entre hijos menores de edad y padres. En estos casos, los menores podrán acudir a la justicia, nombrándose un defensor que los represente dentro y fuera del juicio.
Este caso puede darse, por ejemplo, cuando los padres suben fotos de sus hijos a redes sociales y estos no quieren que estén publicadas en ellas.
¿Cómo proteger los datos personales de niños y adolescentes?
La protección de datos de menores es una responsabilidad que comienza en los propios menores y sus padres o tutores legales y que termina en las empresas y cualquier otra organización que trate datos de menores.
Padres o tutores legales deben enseñar y sensibilizar a sus hijos menores de edad sobre la importancia de la protección de sus datos personales, puesto que están vinculados tanto con su derecho a la intimidad y su privacidad como su seguridad. Para ello deben, como dice la propia LOPDGDD, fomentar el uso seguro y responsable de internet (redes sociales, blogs, videojuegos online, apps, etc.) entre los menores, acompañarlos mientras navegan y utilizar las herramientas necesarias para proteger su privacidad y seguridad.
Así mismo, deben enseñar a los menores los riesgos de compartir sus datos personales en internet y a reducir la cantidad de información personal que exponen en las redes. Enseñarles a aplicar medidas de seguridad como configurar los ajustes de privacidad de sus cuentas y perfiles, no aceptar solicitudes de amistad de desconocidos, no publicar fotos de carácter íntimo en redes sociales o apps de mensajería, usar contraseñas seguras, etc.
Por su parte, las empresas y organizaciones que tratan con datos personales de menores, especialmente aquellas cuyos servicios o productos están destinados específicamente a menores, deben cumplir con las obligaciones específicas que establece la ley de protección de datos respecto a la protección de datos de menores, tal y como hemos visto a lo largo de este artículo.