Más allá de la seguridad física y lógica de los sistemas, las empresas necesitan contar con una seguridad jurídica. En ÁUDEA, Seguridad de la Información, trabajamos abogados e informáticos para ofrecer una respuesta global.
¿Algunos de los clientes de su empresa son menores de edad y usted trata sus datos? ¿Qué implica el tratamiento de datos personales de menores? A simple vista, leyendo el texto de la LOPD, parece no haber diferencia. En otros países, el legislador sí ha querido diferenciar el tratamiento de datos de menores del resto de tratamiento de datos. En España, es necesario echar un vistazo al Código Civil. Lo analiza para nuestro blog, Koldo Peciña, uno de los abogados de ÁUDEA, Seguridad de la Información.
———————————————————————–
Tal y como ha establecido la décima entrega de las Notas de Análisis y Prospectiva de la Fundación AUNA, los menores de 18 años constituyen el 60% de los usuarios de Internet, el 40 por ciento de ellos posee un teléfono móvil y han tenido contacto con la cultura digital (pantallas en videos, consolas, ordenadores, móviles, cajeros…) desde los 2 años.
Según el referido informe, más del 50% de personas de edades entre 10 y 14 años utiliza Internet y el 68,5% de los usuarios de Internet en España tienen menos de 24 años.
Ante esta situación, los menores de edad se están convirtiendo en potenciales consumidores de productos y/o servicios que pueden ser publicitados e incluso comprados a través de la Red, pero teniendo en cuenta el vacío legal que existe tanto en España como a nivel Comunitario al respecto, muchas empresas son reacias a tratar datos de menores edad.
En la actualidad está imperando la autorregulación por parte de las empresas, sobre todo de marketing directo, respecto del tratamiento de datos de menores de edad con fines publicitarios. Dicha autorregulación está basada en la aprobación de Códigos Éticos donde se regulan diferentes aspectos, como por ejemplo:
- La publicidad difundida a través de Internet no deberá perjudicar moral o físicamente a los menores.
- Para tratar datos de menores, las empresas deberán tener en cuanta la edad, el conocimiento y la madurez.
- Se deberá obtener la autorización por escrito de los padres del menor para poder tratar sus datos.
- No ceder los datos de los menores sin el previo consentimiento de los padres.
Los diferentes aspectos analizados en los códigos tipo existentes regulan el recabo de datos de menores sin establecer ningún rango de edad específico en cuanto a la posibilidad de recabar datos de menores. Es más, en los diferentes códigos tipo existentes únicamente se establece el modo de tratamiento de dicho datos.
A nivel internacional sí existe regulación jurídica, y más concretamente en los Estados Unidos, donde se encuentra la Children’s Online Privacy Protection Act (1998).
La Children’s Online Privacy Protection Act (conocida por las siglas COPPA), establece una serie de salvaguardas para la privacidad de los menores en Internet. A modo de resumen, las principales cuestiones que recoge la presente Ley son:
- No se podrá recoger por Internet ninguna información o dato de carácter personal de menores de 13 años sin el permiso de sus padres o representantes legales.
- Los padres o representantes legales tienen el derecho a conocer qué información sobre sus hijos se les ha solicitado y qué uso se da a la misma.
- Los padres tienen el derecho de acceso a dicha información obtenida de sus hijos, así como el derecho a decidir sobre su cesión a terceros o sobre su cancelación.
- No se podrá solicitar, en la recogida de datos de menores, más información de la que sea razonablemente necesaria para el acceso a los sitios web y su participación en las actividades, como juegos y concursos, del mismo.
- Las autorizaciones que, en cualquier caso, deban otorgar los padres o representantes de los menores, deben ser verificables: por ejemplo, con una autorización firmada enviada por correo ordinario o fax, o por medio de llamada telefónica. También se podría verificar con el número de una tarjeta de crédito, o enviando un e-mail, ya sea firmado digitalmente o acompañando una clave que la empresa otorgue únicamente al padre para prestar dicho consentimiento.
- Los sitios web y los servicios on line deben exhibir una política de privacidad bien definida. En cuanto a ésta, debe indicarse quién realiza la recogida de los datos (incluyendo los datos de contacto de la empresa), el tipo de datos de carácter personal que se solicitan, el uso posterior que se le va a dar a dicha información, si la información va a ser cedida a terceros, y las advertencias de que no se va a solicitar más información de la que sea estrictamente necesaria para los usos y que los padres tienen los derechos de acceso, cancelación y oposición a la recogida de datos. Se deberá indicar la forma de ejercitar dichos derechos.
Se exceptúan de la solicitud de autorización de los padres los siguientes casos:
- La recogida de la dirección de correo electrónico de menores de edad para actuaciones concretas y aisladas.
- La participación de menores en promociones o el envío de mensajes de correo electrónico, siempre que los padres hayan sido notificados previamente de dicha posibilidad.
- En los sitios de chat controlados, si se omite toda información que permita identificar al usuario, y la que se almacene para dichos servicios se elimina posteriormente de los registros del proveedor de servicios de Internet.
- Cuando sea necesario para proteger la seguridad del menor o del sitio web.
La regulación marcó un hito en la protección la privacidad de los menores, y se consideró adecuada. No obstante, se echa en falta todavía una regulación que responda efectivamente a los problemática del tratamiento de datos de menores para el envío de publicidad de su interés.
A nivel de la Unión Europea, se deberá tener en cuenta el Dictamen 3/2003 relativo al Código de Conducta de la Federation of European Direct Marketing (FEDMA) sobre la utilización de datos personales en la comercialización directa, emitido por el Grupo 29 de la Comisión Europea, donde la BEUC (Organización Europea de Consumidores), consideró que las medidas del Código no ofrecían un nivel de protección lo bastante elevado en su opinión, y citaba en concreto la COPPA Act estadounidense, como modelo a seguir.
Respecto a la regulación jurídica existente a nivel nacional, la Agencia Española de Protección de Datos estableció en su memoria del año 2000, la posibilidad de diferenciar dos supuestos básicos: el primero referido a los mayores de 14 años, a los que el ordenamiento jurídico español atribuye capacidad para la realización de determinados negocios jurídicos y el consentimiento que pudieran dar los menores de edad, tal y como se establece en el artículo 162.1º del Código Civil donde se exceptúa la representación legal del titular de la patria potestad (padre, tutor,…) en “los actos referidos a derechos de la personalidad u otros que el hijo, de acuerdo con la leyes y con sus condiciones de madurez, pueda realizar por sí mismo”.
En relación con la cuestión de la prestación del consentimiento, conforme a lo dispuesto por el artículo 4.3 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, “se considera intromisión ilegítima en el derecho al honor, a la intimidad personal y familiar y a la propia imagen del menor, cualquier utilización de su imagen o su nombre en los medios de comunicación que pueda implicar menoscabo de su honra o reputación, o que sea contraria a sus intereses incluso si consta el consentimiento del menor o de sus representantes legales”.
Del tenor de esta disposición se deriva la posibilidad de que haya sido el propio menor quien, por si mismo, haya prestado su consentimiento a la utilización de su propia imagen, sin precisar para ello la asistencia de su representante legal, lo que no hace sino ahondar en la conclusión ya referida anteriormente, a partir de los dispuesto en el artículo 162 del Código Civil.
En consecuencia, a tenor de las normas referidas, cabe considerar que los mayores de 14 años disponen de las condiciones de madurez precisas para consentir, por sí mismos, el tratamiento automatizado de sus datos de carácter personal.
Respecto a los menores de 14 años, se puede interpretar que no pueden prestar consentimiento al tratamiento, por lo que la referencia deberá buscarse en el artículo 162 1º del Código Civil, tomando en cuenta, fundamentalmente, sus condiciones de madurez.
En definitiva, para tratar datos de carácter personal de personas menores de 14 años, se deberá solicitar el consentimiento expreso y por escrito de los padres o tutores del menor.
En conclusión, resaltar la inseguridad jurídica existente en relación al tratamiento de datos de carácter personal de menores de edad, ya que actualmente no existe regulación específica alguna que determine la posibilidad de dichos tratamientos de datos, a excepción de lo establecido por la Agencia Española de Protección de Datos en el anuario del año 2000, tal y como se ha puesto de manifiesto anteriormente.