“Sharing, parenting and oversharing” – El fenómeno de compartir información de menores en internet, el consentimiento de sus padres y la sobreexposición.

En un mundo cada vez más digitalizado, los menores de edad siguen siendo sujetos vulnerables que deben ser protegidos en lo referente al consentimiento prestado para el tratamiento de sus datos personales y, con el fin último, de evitar la situación gravosa de existencia de intromisiones ilegítimas que afecten directamente su vida privada.

Tres son los anglicismos que definen las esferas a tratar respecto a la afectación de los datos de menores en internet. “Sharing” describe la acción de compartir, “parenting” traducido como paternidad refiriéndose al fenómeno de progenitores que comparten información personal de sus hijos menores de edad y “oversharing” como el hecho de compartir información en exceso sobreexponiendo a los menores en internet.

Para compartir información es necesario disponer de un consentimiento claro y consciente, por ello se hace importante determinar cuándo corresponde a los menores o a los padres tomar esta decisión. En esta esfera surge una dicotomía sobre la conciencia y legalidad respecto al consentimiento otorgado por un menor o por sus padres respecto a la información a compartir.

1- “Sharing” & el consentimiento de los menores

Cuando se piensa en internet es fácil que el debate se inicie hablando de las redes sociales como la puerta abierta al mundo digital. La existencia de distintas redes sociales ha permitido que de manera constante se esté compartiendo información de carácter personal sin tener en cuenta la simple afirmación de que “una vez compartida esa información deja de ser privada”.

En esencia, se hace necesario determinar cuándo una persona es considerada menor de edad y por ello capaz o no de entender y poder tener acceso a internet para que su información personal sea publicada y visionada.

La mayoría de edad es alcanzada a los 18 años, así lo establece el artículo 12 de la Constitución Española “Los españoles son mayores de edad a los dieciocho años” en conjunto con el artículo 315 del Código Civil “La mayoría de edad empieza a los dieciocho años cumplidos” y, en consecuencia, adquiriendo la capacidad de obrar respecto a todos los actos civiles, salvo excepciones en casos especiales. A sensu contrario, el período de tiempo que transcurre desde el nacimiento hasta que alcanza esta mayoría, la persona será considerado niño tal y como lo regula el artículo 1 de la Convención sobre los Derechos del Niño al establecer que se entiende por niño todo ser humano menor de dieciocho años de edad, salvo que, en virtud de la ley que le sea aplicable, haya alcanzado antes la mayoría de edad”.

Pero, ¿cuándo tiene un menor acceso legal a internet pudiendo compartir información? La respuesta está en la regulación sobre tratamiento de datos tanto a nivel nacional como europeo. La normativa estatal determina que debemos remitirnos al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y, en particular, a su artículo 13 que se señala: Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento” habilitando a que los menores a partir de los catorce años puedan permitir que sus datos personales sean tratados. En consonancia, el Reglamento (UE) 2018/1725 relativo a la protección del tratamiento de datos personales determina en su artículo 8.1: “Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 13 años”.

Es decir, dependiendo de la plataforma y la legislación que la regule, un menor va a poder permitir que sus datos personales sean tratados en internet a partir de los 13 años a nivel europeo y, específicamente, alcanzados los 14 años en base a la regulación española. Hecho que contrasta con que una persona es menor de edad por debajo de los 18 años y que sólo puede consentir determinados actos cuando alcanza los 16. Por otro lado, si el menor no dispone de la edad requeridaserán los propios padres o tutores quienes consientan instantáneas y/o vídeos en redes sociales.

2- “Parenting” & el consentimiento de los progenitores

Tras contextualizar cuando un menor puede conceder un consentimiento válido para que sus datos sean tratados, se hace necesario poner de manifiesto cuando son los progenitores los que están consintiendo que la información de sus hijos sea utilizada.

La importancia del papel de los padres está en que son los encargados del tratamiento de los datos de los menores sujetos a su patria potestad, es decir, son los responsables de tomar las decisiones en interés del hijo menor de edad.

¿Qué deben valorar los progenitores para otorgar su consentimiento respecto al tratamiento de los datos de sus hijos? Es evidente que priman los derechos, integridad física y mental del menor pero estos son conceptos genéricos que se encuentran regulados al conceder la supremacía al “interés superior del menor” por encima de cualquier decisión a tomar en su nombre. En este sentido, la Declaración de los Derechos del Niño de 1959 establece en su artículo 7: El interés superior del niño debe ser el principio rector de quienes tienen la responsabilidad de su educación y orientación; dicha responsabilidad incumbe, en primer término, a sus padres.Dicho principio creado por las Naciones Unidas encuentra su equivalente en la normativa nacional española en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor en su artículo 2.1, haciéndose relevante destacar los estándares a valorar por los progenitores:Todo menor tiene derecho a que su interés superior sea valorado y considerado como primordial en todas las acciones y decisiones que le conciernan, tanto en el ámbito público como privado.

La doctrina del Tribunal Supremo establece los criterios a valorar para determinar el “favor filli” o “interés superior del menor”y lo hace a través de una jurisprudencia interpretativa donde deben destacarse las siguientes sentencias y su contenido:

  • STS nº 565/2009, de 31 de julio 2009: El criterio de los progenitores debe respetar aquellas necesidades consideradas esenciales e indispensables correspondientes a la edad y la situación en la que se encuentra el menor, la satisfacción de todos sus deseos, sentimientos y opiniones analizados conforme a su sensatez y raciocinio, considerando su edad, salud, sexo, personalidad, afectividad, creencias religiosas y su formación espiritual y cultural, valorando los riesgos de la situación en el presente y las repercusiones que puedan afectarle según la decisión en el futuro, y teniendo en cuenta siempre su bienestar y sus intereses.
  • STS nº 8478/2015, de 17 de febrero 2015: La finalidad del interés superior del menor es garantizar un disfrute pleno y efectivo de todos los derechos que le son reconocidos, realizando una interpretación correctora de la normativa cuando lo que está en juego es el interés del menor.

En definitiva, cuando son los progenitores los que consienten que se trate información referente a sus hijos deben valorar los criterios mencionados, teniendo en cuenta la afectación presente y futura del hecho de compartir determinados datos. La responsabilidad se centra en que como adultos están sustituyendo el consentimiento que los menores de edad a su cargo aún no están capacitados para otorgar, asegurando la protección de los derechos y libertades de sus hijos y priorizando la salvaguarda de su imagen, honor e intimidad. Todo ello, respaldando sus decisiones y cumpliendo con las garantías jurídicas de una aplicación adecuada del derecho conforme al cuidado de sus hijos.

3- “Oversharing” & la sobreexposición

Allí donde termina la protección de los derechos del menor, en especial, su honor, imagen e intimidad, se inicia la sobreexposición, al limitar, mermar o directamente hacer desaparecer la esfera privada de la vida de una persona que todavía no ha alcanzado la edad para consentir por sí mismo el tratamiento y difusión de sus datos personales.

La Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor fija su ámbito de aplicación en los menores de dieciocho años, debiendo citar el artículo 4.2 referente a los derechos de la personalidad (derecho al honor, a la intimidad y a la propia imagen) dónde se establece: “La difusión de información o la utilización de imágenes o nombre de los menores en los medios de comunicación que puedan implicar una intromisión ilegítima en su intimidad, honra o reputación, o que sea contraria a sus intereses, determinará la intervención del Ministerio Fiscal, que instará de inmediato las medidas cautelares y de protección previstas en la Ley y solicitará las indemnizaciones que correspondan por los perjuicios causados.” Seguidamente, en el articulado 4.3, esta intromisión ilegítima es definida como “cualquier utilización de su imagen o su nombre en los medios de comunicación que pueda implicar menoscabo de su honra o reputación, o que sea contraria a sus intereses incluso si consta el consentimiento del menor o de sus representantes legales”.

Al analizar el tenor literal de esta regulación es muy probable que pensemos en el fenómeno de “oversharing” palabra inglesa que describe el hecho de compartir todo tipo de información personal, prácticamente sin límite. Y es que en la era de la tecnología, internet puede ser una herramienta utilizada para diversos fines pero lo cierto es que las redes sociales son la vía más conocida para difundir información dónde, en demasiadas ocasiones, los protagonistas son menores de edad cuyos padres “instagramers” o “youtubers” deciden compartir especialmente fotografías y vídeos en los que aparecen sus hijos. ¿Dónde están los límites? ¿cuándo se considera que existe una intromisión ilegítima a la intimidad personal de estos niños?Pudiendo parecer alarmista, lo cierto es que es la propia normativa de la ley anteriormente citada, Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor la que nos vuelve a recordar en su artículo 4.5 que no podemos olvidar que: “Los padres o tutores y los poderes públicos respetarán estos derechos y los protegerán frente a posibles ataques de terceros”, afirmación sobre la que se hace imprescindible reflexionar.

En conclusión, el equilibrio está no sólo en tener conocimiento de las leyes, dado que su ignorancia no exime de su cumplimiento, sino en que los progenitores, en este caso como sujeto que sustituye la voluntad del menor, deben razonar sobre qué información compartir, cuál consentir o no en nombre y representación de sus hijos y no olvidar que la sobreexposición es algo evitable que depende de sus propias decisiones. Todo ello, dentro del prisma y con el único fin de proteger el interés superior de los menores.

Artículo escrito por Mª Teresa Plañxart Pérez-Santalla – ASTURIAS

El Reglamento General de protección de Datos y la Ley Orgánica de protección de datos y garantía de Derechos digitales

Desde el pasado 25 de mayo de 2018 es aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, también conocido por sus siglas RGPD o bien GDPR, y por el que se deroga la Directiva 95/46/CE.

Posteriormente, en España el 5 de diciembre de 2018 se publicó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); la entrada en vigor se produjo al día de su publicación y el objeto de esta ley es, por un lado, adaptar el ordenamiento jurídico español al RGPD y completar determinadas disposiciones del mismo, y además garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

¿Por qué es importante la protección de datos de carácter personal?

Recordemos que nuestra Carta Magna, de forma novedosa, reconoció y detectó la necesidad de que debía limitarse el avance de la técnica, en tanto en cuanto dicho avance pudiera suponer una injerencia en el derecho fundamental a la intimidad, y el resultado fue el artículo 18 apartado 4 en el que se establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Por otro lado, no debemos olvidar, y en relación con lo anteriormente expuesto, que la protección de los datos personales de las personas físicas es un derecho fundamental, reconocido en la Carta de los Derechos Fundamentales de la Unión Europea y en el Tratado de Funcionamiento de la Unión Europea.

¿Qué entiende el RGPD por dato de carácter personal?

En sus primeros artículos el RPGD define como dato personal, como toda aquella información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Es decir, estamos ante una definición muy amplia, en tanto en cuanto se establece que la persona puede ser identificada tanto directa como indirectamente, y porque el propio concepto nos habla de que será dato, toda aquella información sobre una persona física.

Esta amplitud debe hacer que, como organización, cuando tratemos información seamos especialmente cuidadosos y escrupulosos en relación a las medidas técnicas y organizativas en el tratamiento de la misma, además de prestar especial cuidado a lo indicado en el cumplimiento de los principios recogidos en la normativa.

¿Cuáles son los aspectos relacionados con los datos de carácter personal a los que debemos prestar especial atención?

Si bien no es fácil, resumir en unas pocas líneas lo que la legislación recoge en centenares de folios, y la Agencia Española de Protección de Datos (https://www.aepd.es) matiza en sus informes y resoluciones, podemos indicar que los aspectos principales nos los marcan los principios recogidos en el RGPD.

En relación a los mismos, se establece que los datos de carácter personal serán tratados de manera lícita, leal y transparente, y serán recogidos con fines determinados, explícitos y legítimos.

Además, en relación a la minimización de datos se establece que los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Los datos deberán ser exactos y deberán ser actualizados; el propio RGPD establece que en relación a los datos existirá una limitación en el tiempo de conservación de los mismos.

Y por último aunque no menos importante, los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada. Esta seguridad adecuada supone incluso una protección contra tratamientos no autorizados o ilícitos, además de protección contra su pérdida, destrucción o daño accidental; la manera de llevarlo a cabo será mediante la implantación en las organizaciones de procedimientos que recojan medidas técnicas u organizativas.

Toda organización deberá valorar, determinar y ser capaz de demostrar que aplica esas medidas técnicas y organizativas (responsabilidad proactiva); medidas que deberán adecuarse a cada caso en concreto, y que al respecto nos conviene ser precavidos, porque con la aplicación de las mismas, estamos cumpliendo una obligación legal (y evitaremos infracciones y sanciones), protegeremos un derecho fundamental de los titulares de los datos de carácter personal, y además, protegeremos un activo fundamental de nuestra organización (empresa o administración pública) como es la información (entendida en relación a información referida a personas físicas).

¿Qué derechos tengo por ser titular de datos de carácter personal?

Para finalizar este pequeño artículo en relación a la normativa de protección de datos, no debemos olvidar hacer una referencia a los derechos que se reconocen a toda persona física por el mero hecho de ser titular de datos, y que aumentan respecto a los derechos que la anterior LOPD reconocía y que eran reconocidos por el acrónimo ARCO. A continuación nos acercaremos de una manera somera a los mismos.

El interesado o titular de los datos tiene derecho a acceder a sus datos, es decir, derecho a obtener de la entidad que trata los datos la confirmación de si se están tratando sus datos y a saber, entre otras, la finalidad del tratamiento, la categoría de datos tratados, los destinatarios de la información, el plazo previsto de conservación, la posibilidad de ejercitar los derechos y el derecho a conocer que puede presentar una reclamación ante la autoridad de control pertinente.

Además, la normativa recoge el derecho de rectificación, y establece que el interesado, sin dilación indebida, obtendrá de la organización que trata la información, la rectificación de los datos personales que le conciernan.

También se reconoce el derecho de supresión de los datos o derecho al olvido, entendido como el derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan siempre que se den una serie de circunstancias. Cabe decir que el ejercicio de este derecho no es ilimitado, y deberá tenerse en cuenta el derecho a la libertad de expresión e información, así como razones de interés público en el ámbito de la salud, entre otras excepciones.

El titular de los datos tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos, y ello en el caso de que se den una serie de condiciones.

Uno de las novedades en relación a los derechos que recoge la normativa es el derecho de portabilidad de los datos; que se reconoce como el derecho del interesado a recibir los datos personales que le incumban de la siguiente forma:

– En un formato estructurado

– De uso común.

– Y de lectura mecánica

Además de disponer del derecho a transmitirlos a otro responsable del tratamiento.

El derecho de oposición, ya reconocido por la anterior normativa, se sigue manteniendo; siendo la posibilidad de que el interesado pueda oponerse en cualquier momento a tratamientos de datos que le conciernen.

Y para finalizar, el apartado de derechos, se reconoce el derecho de toda persona a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

La LOPDGDD reconoce además respecto de las personas fallecidas, que las personas vinculadas al mismo por razones familiares o de hecho así como sus herederos, puedan dirigirse al responsable del tratamiento, o incluso al encargado del tratamiento, y ejercer el derecho de acceso a los datos de carácter personal de la persona fallecida, y en su caso, ejercitar además el derecho de rectificación o el derecho de supresión de los datos.

Artículo escrito por ANDONI GARCIA IMAZ – GUIPUZCOA

Evaluación de impacto de privacidad

¿Qué es una evaluación de impacto de privacidad (evaluación de impacto relativa a la protección de datos)?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (conocido como Reglamento General de Protección de Datos, GDPR o RGPD) no nos define qué es una evaluación de impacto de privacidad, aunque sí indica cuándo debe realizarse y su contenido mínimo.

Una definición de lo que es una evaluación de impacto de privacidad la tenemos en el documento que recoge las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, adoptadas el 4 de abril de 2017, y revisadas por última vez y adoptadas el 4 de octubre de 2017, del Grupo de “Protección de Datos” del artículo 29.

En el mencionado documento se nos define la evaluación de impacto como un proceso, que se concibe para describir un tratamiento de datos, poder evaluar la necesidad de tal tratamiento además de su proporcionalidad, y que sirve para gestionar los riesgos derivados de ese tratamiento que puedan darse para los derechos y libertades de las personas físicas titulares de datos, y que al gestionar esos riesgos podremos evaluarlos y determinar las medidas para afrontarlos.

En definitiva será un instrumento fundamental, una herramienta con carácter preventivo, que servirá para poder rendir cuentas como responsables del tratamiento; nos permitirá cumplir con la responsabilidad proactiva recogida en el RGPD (cumplir los principios relativos al tratamiento y ser capaz de demostrarlo).

¿Cuándo debe realizarse una evaluación de impacto de privacidad?

Para responder a esta pregunta, debemos acudir al artículo 35 del RGPD, que establece que cuando sea probable que un tipo de tratamiento, en particular, si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, la mencionada evaluación de impacto de las operaciones de tratamiento en la protección de datos personales.

Se permite la posibilidad de que una única evaluación de impacto podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Es decir, una evaluación de impacto puede ser realizada en relación al tratamiento de datos que va a llevarse a cabo por una empresa u organización con un servicio o producto basado en la tecnología, y no tiene que llevarse a cabo en relación a otros tratamientos de datos que lleve a cabo la empresa.

Por su parte, la Agencia Española de Protección de Datos ha publicado una lista de tratamientos de datos que requieren una evaluación de impacto (el documento puede descargarse en el siguiente enlace)

La lista es una lista no exhaustiva, y habrá que realizar la EIPD en el caso de que el tratamiento cumpla con dos o más criterios de los siguientes:

– Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y

comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus

hábitos.

– Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en

gran medida a la toma de tales decisiones.

– Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.

– Tratamientos que impliquen el uso de categorías especiales de datos (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual) y de datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

– Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de

manera única a una persona física.

– Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

– Tratamientos que impliquen el uso de datos a gran escala.

– Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

– Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo

datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados,

personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia

– Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de

tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de

recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

– Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un

servicio o ejecutar un contrato.

Lo que va a determinar la obligación de llevar a cabo una EIPD es la posibilidad de que exista un alto riego para los derechos y libertades de las personas físicas.

En el caso de que exista duda, sobre si estamos obligados o no a llevar a cabo una EIPD, conviene realizarla.

¿Cuál debe ser su contenido mínimo?

La EIPD debe contener al menos la siguiente información:

– Una definición detallada y sistemática de las operaciones de tratamiento que se hayan previsto realizar y de las finalidades del tratamiento, inclusive, cuando proceda, el interés legítimo que se persiga.

– Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos en relación con su finalidad.

– Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos.

– Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y que demuestren la conformidad con lo establecido en el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Artículo escrito por ANDONI GARCIA IMAZ – GUIPUZCOA