Privacidad de los niños en línea y Protección de datos de los niños en los países europeos

Children’s Online Privacy and Data Protection in Selected European Countries. European Union, 2021

Texto completo

Este informe examina cómo algunos países de la Unión Europea (UE), a saber, Francia, Dinamarca, Alemania, Grecia, Portugal, Rumanía, España, Suecia, el Reino Unido (RU) y las leyes de la propia Unión Europea (UE), proporcionan derechos de privacidad a los niños en línea.

La UE introdujo el Reglamento General de Protección de Datos (RGPD) en 2016. Como reglamento, el GDPR es directamente aplicable en todos los Estados miembros, pero la mayoría de ellos han introducido legislación para garantizar la coherencia y el cumplimiento del GDPR en sus leyes nacionales. El GDPR también contiene cláusulas que permiten la derogación en ciertas áreas para permitir que los Estados miembros incorporen elementos del GDPR en su legislación nacional “en la medida necesaria para la coherencia y para que sea comprensible.” Aunque el Reino Unido ya no es un Estado miembro de la UE, incorporó toda la legislación de la UE tal como estaba el 31 de diciembre de 2020, en un nuevo cuerpo de derecho interno conocido como “legislación de la UE retenida.”

El RGPD de la UE regula el tratamiento de datos personales y establece varios principios que deben cumplir quienes tratan datos personales: legalidad, equidad, transparencia; limitación de la finalidad; minimización de los datos; exactitud y actualización de los datos; limitación del almacenamiento; e integridad y confidencialidad. El artículo 6 establece las circunstancias en las que el tratamiento de datos es lícito; la circunstancia más común es que el interesado haya dado su consentimiento.

Francia, Dinamarca, Alemania, Grecia, Portugal, Rumanía, España, Suecia y el Reino Unido han introducido legislación que sirve para aplicar o codificar el RGPD en la legislación nacional. Alemania modificó su Ley Federal de Protección de Datos para incorporar elementos del RGPD a su legislación nacional. Dinamarca introdujo una nueva Ley de Protección de Datos. España promulgó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LPDP), cuyo objetivo es proteger la privacidad e integridad de la persona y cumplir con la Constitución española. El Reino Unido incorporó el GDPR a su legislación nacional a través de la Ley de Protección de Datos de 2018.

Dinamarca, Grecia, Alemania, España y Suecia tienen disposiciones constitucionales que proporcionan protecciones adicionales a la recogida y el tratamiento de datos para proteger el derecho a la intimidad de las personas. La Constitución española establece que el uso de las tecnologías de la información debe garantizar la intimidad personal y familiar de los ciudadanos.

Protección de datos de los niños

El GDPR de la UE establece que se debe proporcionar el consentimiento de un padre o tutor legal para que las empresas puedan procesar datos personales de niños menores de 16 años, y esta edad se utiliza en Alemania y Rumanía. El RGPD permite a los países establecer edades de consentimiento más bajas. Francia y Grecia exigen el consentimiento de un tutor legal para los menores de 15 años; España considera menores a los de 14 años; y Dinamarca, Portugal, Suecia y el Reino Unido fijan esta edad de consentimiento en los 13 años. El RGPD de la UE exige que la información proporcionada a los niños sobre el tratamiento de sus datos personales se presente en términos claros y sencillos que sean fácilmente comprensibles.

En el Reino Unido, el responsable del tratamiento de datos tiene la obligación de verificar que la persona que da el consentimiento para el niño tiene la responsabilidad parental del mismo. Portugal exige que se obtenga el permiso de un tutor legal a través de un medio seguro de autentificación. Alemania y Rumanía exigen a los responsables del tratamiento de datos que realicen esfuerzos razonables para verificar que la persona con autoridad parental ha dado su consentimiento en nombre del niño; sin embargo, ambos países no especifican ni han publicado ninguna orientación sobre cómo debe determinarse la edad de los niños. Una reciente decisión judicial de Alemania ha señalado que una barrera que exija la introducción de un número de pasaporte o de documento de identidad o un número de tarjeta de crédito con un importe mínimo retirado de la cuenta es insuficiente y ha recomendado en su lugar el uso de otras medidas más técnicas, como la información biométrica.

Aparte de exigir el consentimiento de un tutor legal para el tratamiento de los datos de los niños, Francia, Grecia y España no distinguen entre niños y adultos en lo que respecta a los derechos de protección de datos, que se recogen en el RGPD de la UE y que incluyen el derecho al olvido, el derecho de acceso, el derecho de rectificación, el derecho a la limitación del tratamiento, el derecho a la portabilidad y el derecho a oponerse al uso de los datos personales con fines comerciales. España impone a los tutores legales la obligación de velar por que los niños utilicen los dispositivos digitales y la información en línea de manera que “se garantice el adecuado desarrollo de la personalidad [del niño] y se preserve su dignidad y sus derechos fundamentales”.

En España, la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico establece que las administraciones públicas deben promover códigos de conducta voluntarios que tengan en cuenta la protección de los menores. Todavía no se ha publicado ningún código de este tipo.