2_-_consentimento

https://doi.org/10.18593/ejjl.32860

CONSENTIMIENTO DE LOS MENORES PARA LA GESTIÓN DE SUS DATOS DE CARÁCTER PERSONAL ¿PROTECCIÓN O NEGOCIO?

CONSENTIMENTO DE CRIANÇAS PARA O GERENCIAMENTO DE SUA PROTEÇÃO DE DADOS PESSOAIS: PROTEÇÃO OU NEGÓCIO?

Susana Beatriz Checa Prieto1

Resumen: Este artículo proporciona un examen crítico de la edad de consentimiento en la legislación de protección de datos, con comparaciones hechas con las leyes actuales en otras áreas del derecho civil español. La idea es presentar un breve estudio comparativo, explorando cómo se define y se aplica la edad de consentimiento en varios contextos jurídicos, incluyendo, entre otros, el derecho de contratos, el derecho de familia y el derecho de sucesiones. El artículo destaca la posibilidad de discrepancias entre la edad de consentimiento establecida en la legislación de protección de datos y en otras áreas del derecho civil. Estas discrepancias, argumenta el autor, pueden indicar una inconsistencia en la aplicación de las leyes de protección de datos. Además, el artículo investiga el “espíritu de la norma”, es decir, el objetivo fundamental de la legislación de protección de datos y responde al siguiente problema: ¿El propósito principal de la legislación puede estar en conflicto con su implementación práctica? El artículo concluye destacando que las contradicciones y discrepancias identificadas pueden tener implicaciones significativas tanto para los individuos cuyos datos están siendo protegidos, como para las organizaciones que manejan estos datos. A través de este examen detallado, el texto invita a una reflexión más profunda sobre las leis actuales de protección de datos y cómo podrían ser mejoradas para ser más coherentes y eficaces.

Palabras clave: privacidad; menores; consentimiento.

Resumo: Este artigo fornece um exame crítico da idade de consentimento na legislação de proteção de dados, com comparações feitas com as leis atuais em outras áreas do direito civil Espanhol. A ideia é apresentar um breve estudo comparativo, explorando como a idade de consentimento é definida e aplicada em vários contextos jurídicos, incluindo, entre outros, o direito de contratos, o direito da família e o direito das sucessões. O artigo destaca a possibilidade de discrepâncias entre a idade de consentimento estabelecida na legislação de proteção de dados e em outras áreas do direito civil. Essas discrepâncias, argumenta o autor, podem indicar uma inconsistência na aplicação das leis de proteção de dados. Além disso, o artigo investiga o “espírito da norma”, ou seja, o objetivo fundamental da legislação de proteção de dados e responder ao seguinte problema: o principal propósito da legislação pode estar em conflito com sua implementação prática? O artigo conclui destacando que as contradições e discrepâncias identificadas podem ter implicações significativas tanto para os indivíduos cujos dados estão sendo protegidos, quanto para as organizações que manejam esses dados. Através deste exame detalhado, o texto convida a uma reflexão mais profunda sobre as leis atuais de proteção de dados e como elas poderiam ser aprimoradas para serem mais coerentes e eficazes.

Palavras-chave: Privacidade; crianças; consentimento.

Recebido em 22 de junho de 2023

Aceito em 23 de junho de 2023

Introducción

Tras más de un lustro desde la aprobación y entrada en vigor del Reglamento General de Protección de Datos (en adelante, RGPD)2 y su posterior transposición a la normativa española a través de la Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD)3 nos proponemos analizar hasta qué punto se respeta el principio incluido en el Considerando del Reglamento en cuanto a la protección específica de los datos personales de los menores en tanto en cuanto se les considera menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes a dicho tratamiento. En concreto, el RGPD considera que dicha protección debe aplicarse, en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, así como a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.

El RGPD reconoce claramente la necesidad de brindar una protección especial a los menores en relación con sus datos personales. Pero ¿cómo se traduce esta protección en la práctica y cómo se equilibra con el derecho de los menores a participar en la sociedad digital? Nuestro análisis pretende arrojar luz sobre estas cuestiones.

Además, este estudio se sumerge en los diversos contextos jurídicos en los que se aplica la edad de consentimiento. Este análisis comparativo tiene como objetivo destacar las posibles discrepancias e inconsistencias en la aplicación de la ley, especialmente en comparación con otras áreas del derecho civil español.

Más aún, investigaremos el “espíritu de la ley”, es decir, el propósito subyacente de la legislación de protección de datos. En concreto, cuestionaremos si la intención principal de la ley está en conflicto con su implementación práctica. Esta es una cuestión crucial, dado que las implicaciones prácticas de la ley pueden tener un impacto significativo en los menores y las organizaciones que manejan sus datos.

Para concluir, identificaremos las contradicciones y discrepancias que podrían surgir de esta discusión y reflexionaremos sobre las implicaciones que estas podrían tener para la protección de datos de los menores. A través de este análisis detallado, invitamos a los lectores a una reflexión más profunda sobre las leyes actuales de protección de datos y cómo podrían ser mejoradas para ser más coherentes y efectivas.

1 La regulación del consentimiento en la nueva normativa de protección de datos

El consentimiento se ha convertido en una piedra angular de la nueva normativa de protección de datos. Según el RGPD, el consentimiento del titular de los datos debe ser libre, informado, específico e inequívoco para cada propósito del tratamiento de datos. Esta normativa también enfatiza que cuando se trata de menores, debe existir una protección adicional. En este contexto, el RGPD establece que los menores de 16 años, o una edad menor determinada por la legislación nacional (no inferior a 13 años), necesitan el consentimiento de sus padres o tutores legales para el tratamiento de sus datos personales.

Sin embargo, existen desafíos notables en la implementación de estas regulaciones de consentimiento en la práctica. En primer lugar, existe la cuestión de cómo se puede verificar efectivamente el consentimiento de los padres o tutores legales, especialmente en el contexto en línea. Además, las organizaciones deben equilibrar la necesidad de proteger los datos personales de los menores con su deseo de proporcionar servicios atractivos y accesibles para este grupo demográfico.

Por último, es esencial tener en cuenta que la normativa de protección de datos está en constante evolución, en respuesta a las cambiantes tecnologías y prácticas de tratamiento de datos. Por lo tanto, es vital que las organizaciones permanezcan al día con los cambios en las regulaciones y se aseguren de que sus políticas y procedimientos reflejen las últimas normas sobre el consentimiento. Al mismo tiempo, es crucial que los legisladores consideren cuidadosamente cómo diseñar regulaciones que sean a la vez efectivas para proteger los datos personales de los menores y factibles para las organizaciones que deben cumplirlas.

Si repasamos los motivos que dieron lugar a la derogación de la Directiva 95/46/CE4, el Parlamento y el Consejo tuvieron fundamentalmente en consideración la necesidad de garantizar un nivel coherente de protección de las personas físicas en toda la Unión, evitando divergencias en el mercado interior, con un reglamento que proporcionara seguridad jurídica y transparencia, ofreciendo el mismo nivel de derechos y obligaciones exigibles. Un ejemplo de dicha necesidad la encontramos en la asociación de personas físicas a identificadores en línea facilitados por dispositivos o aplicaciones o por las propias direcciones de los protocolos de internet, es decir, identificadores de sesión como cookies. Estas huellas combinadas con identificadores únicos y los datos recibidos por los servidores pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

En este orden de cosas, la Unión Europea (en adelante, UE) considera que el consentimiento solo puede entenderse válido si se facilita mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos o una declaración verbal, no siendo válido el silencio, casillas ya marcadas o la inacción (Considerando y art. 7 RGPD).

Es preciso recordar que el consentimiento constituye una de las distintas bases jurídicas para el tratamiento de los datos y desde dicha óptica habrá que estudiarlo. Sin embargo, la existencia de una base jurídica no es requisito suficiente para llevar a cabo el tratamiento de los datos de carácter personal, sino que adicionalmente será necesaria la concurrencia de los siguientes requisitos:

De acuerdo con el art. 5 RGPD, el tratamiento debe respetar los principios de protección de datos, además de contar con dicha base jurídica.

No pueden reconocerse otras bases jurídicas que aquellas establecidas como un listado cerrado en la normativa de protección de datos5.

Es necesario informar de la base jurídica por la que se ha optado (arts. 13 y 14 RGPD), no pudiendo ser modifica dicha base jurídica ya que sería desleal.

Como señala Solana (2019, p. 200) para que la formación de la declaración de voluntad sea adecuada y produzca efectos legales debe cumplir tanto las exigencias relativas a la capacidad del sujeto que la emite, como las relativas a la calidad de la declaración en sí misma considerada.

El Grupo de Trabajo del art. 26 (GT29)6 ha analizado con detalle los requisitos y características que debe reunir dicho consentimiento para considerarse válido: Manifestación de voluntad libre: el término libre implica tanto elección como control por parte de los interesados, titulares de los datos. En consecuencia, si el interesado se siente obligado, o bien puede sufrir consecuencias negativas si no da el consentimiento, éste no puede considerarse válido. Tampoco lo será si está incluido en las condiciones generales como parte no negociable del contrato. En este mismo sentido, en el caso de la ejecución de un contrato, dicha ejecución no podrá supeditarse al consentimiento para el tratamiento de datos que nos sean necesarios para la ejecución del contrato, siendo la presunción que no se ha dado libremente, salvo que el responsable del tratamiento pueda demostrarlo. A este tipo de datos se refiere Llácer Matacás (2012, p. 73) como datos contractuales y datos extracontractuales, en el sentido de su necesaria vinculación con la ejecución del contrato.

De esta forma, lo que el RGPD pretende evitar es que los datos de carácter personal se conviertan en la contraprestación del propio contrato, sin que ello debiera suponer la nulidad del contrato principal, en tanto en cuanto ocasionaría un perjuicio para el interesado, siendo más correcto considerar que estaríamos ante un supuesto de nulidad parcial del contrato (SOLANA, 2019, p. 205). Específica: esta exigencia no significa que no pueda darse el consentimiento para varios fines, sino que, en el caso de estar vinculado a varios fines, deben ser específicos. En congruencia con el Principio de limitación de la finalidad (art. 5.1.b RGPD) que establece que los datos personales serán recogidos con “fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines”. Un consentimiento en blanco no sería, por lo tanto, válido, en tanto en cuanto no garantiza la transparencia y control que exige el RGPD a favor del titular de los datos.

De hecho, el Considerando RGPD establece la presunción de invalidez del consentimiento cuando no permita autorizar por separado distintas operaciones de tratamiento, pese a ser adecuado en el caso concreto. Manifestación de voluntad informada: la exigencia de consentimiento informado está íntimamente relacionada con el principio de transparencia y se regula en el art. 4.11 RGPD. Por su parte, la LOPDGDD regula en su art. 11 el principio de transparencia e información al afectado.

Así las cosas, es imprescindible que la información se proporcione siempre con carácter previo a la obtención del consentimiento, de forma que se garantice que la formación de dicho consentimiento no está basada en un error o se ha comprendido la realidad de forma deformada.

Una de las mayores dificultades reside en que el correcto cumplimiento de este deber se basa en la comprensión de la información proporcionada por parte de un tercero, esto es, por el titular de los datos. Sin embargo, ello no exime del cumplimiento de unos requisitos mínimos por parte del responsable del fichero que deberá asegurarse, como mínimo, de cumplir con la calidad de la información, exigencia relativa al contenido de la misma, y su visibilidad, relativa a la forma de presentación de la información.

Ante la necesidad de facilitar toda la información necesaria y, a su vez, hacerlo de forma concisa, la Agencia Española de Protección de Datos (AEPD, 2021) detalla el modelo de información por capas en su Guía para el cumplimiento del deber de informar.

Tal como establece el GT Art. 29, lo que se requiere, en definitiva, es que el interesado pueda determinar de antemano el alcance y las consecuencias derivadas del tratamiento, sin verse sorprendido en un momento posterior por el uso que se ha dado a sus datos personales. Por otra parte, como anteriormente hemos indicado, la LOPDGDD también establece requisitos relativos a cómo debe cumplirse con dicho deber de información, es decir, cómo debe hacerse accesible la información y qué tipo de lenguaje debe utilizarse.

Como indica el GT Art. 29, la accesibilidad de la información implica que no debe ser el interesado quien busque la información, sino que es el responsable quien tiene la obligación de facilitarla de tal modo que sea reconocible inmediatamente dónde y cómo acceder a ella. En consecuencia, toda organización que mantenga un sitio web debe publicar allí su aviso de privacidad y de forma visible y con un enlace directo a sus términos.

Por otra parte, la información debe ser completa, es decir, debe estar en un único documento o en un solo lugar, teniendo en cuenta la posibilidad de proporcionar la información por capas, sin que sea el titular quien deba indagar para encontrarla. La posibilidad de facilitar esta información de forma verbal no está excluida, si bien debemos tener en cuenta que la carga de la prueba para demostrar su cumplimiento recaerá sobre el responsable. En cuanto a la calidad del lenguaje, es decir, cómo debe ser, el art. 12.1 RGPD indica específicamente que debe ser concisa, transparente, inteligible y con un lenguaje claro y sencillo.

Como veremos más adelante, también hace referencia especial a los niños, exigiendo que se tengan en cuenta sus características concretas. El GT art. 29 se ha manifestado en este sentido, expresando que el término inteligible debe entenderse como comprensible para el integrante medio de la audiencia, por lo que es claro que se debe tener conocimiento de las personas a las que se les va a proporcionar la información para, posteriormente, tratar sus datos. Un aspecto novedoso e interesante relativo a la forma en la que el responsable debe proporcionar la información es la referencia del RGPD a la utilización de iconos normalizados que permitan visualizar de forma visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto.

En este sentido, es obligatorio que los iconos que se presenten en formato electrónico sean legibles mecánicamente. La implementación de etiquetas y símbolos, una vez autorizadas por la autoridad supervisora, podrían ser muy beneficiosas para, por un lado, evitar la denominada fatiga informativa y, por otro, educar al interesado que podrá buscar información a medida que consulta dichos iconos.

Debemos indicar, tal como recuerdan Edwards y Abel (2014), que, si bien esta iconografía ha sido exitosamente utilizada en casos como las Creative Commons, sería complejo traducir en iconos las políticas de privacidad en cuanto se trata de representar gráficamente conceptos abstractos, tales como, legitimidad, tratamiento lícito, etc.

2 Especial referencia al consentimiento del menor

Tanto el RGPD como la LOPDGDD dedican gran parte de sus Considerandos y Exposición de Motivos a reflexionar sobre la delicada situación de los menores antes las Nuevas Tecnologías, desde la mera exposición a contenidos inapropiados, hasta la posibilidad de que el consentimiento que puedan llegar a dar los menores esté viciado por la falta de comprensión de los términos y condiciones del tratamiento que están aceptando.

En este orden de cosas, el Considerando RGPD excluye de raíz la posibilidad de que recaigan sobre un menor decisiones automatizadas que evalúen aspectos personales y produzcan efectos jurídicos sobre él. Además, su art. 8 limita la posibilidad de que se considere lícito el consentimiento del menor de 16 años relacionado con la oferta directa de servicios de la sociedad de la información para, a renglón seguido, autorizar a los Estados miembros a establecer un límite inferior desde los 13 años.

Con la finalidad de acotar claramente qué es lo que puede consentir un menor a partir de los 13 años, debemos recordar la definición de servicio de la sociedad de la información (SSI).

Para ello, debemos recurrir al art. 1. 1.b) de la Directiva (UE) 2015/15357 que establece la siguiente definición:

1. 1.b) «Servicio»: todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios. A efectos de la presente definición, se entenderá por:

i) «a distancia», un servicio prestado sin que las partes estén presentes simultáneamente,

ii) «por vía electrónica», un servicio enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético,

iii) «a petición individual de un destinatario de servicios», un servicio prestado mediante transmisión de datos a petición individual.

Es decir, nos encontramos ante relaciones, tal y como indica la Directiva, normalmente remuneradas, esto es, a cambio de un precio, proviniendo la petición del destinatario del propio servicio.

¿De dónde puede obtener un menor las cantidades exigidas para dicha remuneración? ¿Se remuneran ese tipo de servicios comerciando con los propios datos de los menores?

De ser ese el caso, es difícil pensar que ningún responsable del tratamiento va a explicitar en su cláusula de consentimiento informado literalmente que la remuneración exigida, es decir, el precio por el acceso a los servicios será la información obtenida y posteriormente elaborada a partir de los datos proporcionados y obtenidos del menor, cayendo inevitablemente en la elaboración de perfiles que, como antes hemos indicado, está supuestamente prohibida.

En el caso de no ser así, y de que efectivamente la remuneración sea dineraria ¿no sería lo lógico pensar que necesitará acceso a un medio de pago electrónico facilitado por su progenitor o, en su caso, por su tutor que podría, en todo caso, decidir sobre el consentimiento para el tratamiento de datos?

Además, debemos tener en cuenta que el consentimiento en cuanto al tratamiento de datos no implica que haya ninguna modificación de la edad necesaria para consentir en cuanto al negocio jurídico subyacente.

Por lo tanto, ¿no es razonable pensar que la verdadera remuneración es la información relativa al menor? Y siendo ello así ¿qué intereses fueron los que prevalecieron en la inclusión de la excepción de la edad mínima de 16 años en el RGDP?

Todo ello partiendo de la base de que el Considerando RGPD lo que pretende es “garantizar un nivel uniforme y elevado de protección de las personas físicas”. Y continúa el considerando afirmando que

para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros8.

Sin embargo, el panorama comparativo no puede ser más desalentador desde el punto de vista de la comparativa de la edad de consentimiento para menores en cuanto a servicios de la sociedad de la información adoptada por los Estados miembros.

Tabla 1 - Consentimiento de los menores relacionados con SSI en la UE

13 años	14 años	15 años	16 años
Bélgica	Austria	Eslovenia	Alemania
Dinamarca	Bulgaria	Francia	Croacia
Estonia	Chipre	Grecia	Eslovaquia
Finlandia	Italia	República Checa	Hungría
Islandia	Lituania		Irlanda
Letona	España		Liechstestein
Malta
Noruega			Luxemburgo
Portugal			Países Bajos
Suecia			Polonia
Reino Unido			Rumanía

Fuente: Gaberl y Hickmann (2019).

3 Edad de consentimiento en otros ámbitos del derecho español

3.1 Consentimiento para el matrimonio

De acuerdo con el art. 46.1 del Código Civil español9 “no podrán contraer matrimonio los menores de edad no emancipados (…)”.

Sin embargo, con anterioridad a la Ley de Jurisdicción Voluntaria10 se permitía obtener la llamada “dispensa de edad”11 a partir de los 14 años.

En consecuencia, el menor de edad mayor de 14 años podía contraer matrimonio una vez obtenida esta dispensa.

No obstante, con la nueva Ley de Jurisdicción Voluntaria promulgada se modificó esta cuestión, suprimiendo esta dispensa e impidiendo que un menor de esta edad contraiga matrimonio, de forma que se ha elevado la edad mínima para poder contraer matrimonio de 14 a 16 años (ya que los emancipados sí pueden contraer matrimonio).

Ello viene a satisfacer las demandas de organizaciones como Save the Children que reclamaba que España aumentase este límite legal hasta los 16 años, acorde con la media de los países de la UE.

3.2 Consentimiento para testar

El mayor de 14 años podrá hacer testamento (salvo el testamento ológrafo – escrito y firmado de su puño y letra- que exige expresamente mayoría de edad como requisito sine quae non en el artículo 688 del Código Civil).

Así se infiere del artículo 662 del Código Civil Que establece que “pueden testar todos aquellos a quienes la Ley no lo prohíbe expresamente”, y el artículo 663. 1 que establece que “no puede testar la persona menor de catorce años (…)”.

A sensu contrariu, el mayor de 14 años podrá otorgar testamento, con la salvedad anteriormente mencionada relativa al testamento ológrafo.

3.3 Consentimiento para mantener relaciones sexuales

La Ley Orgánica 1/2015 de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal eleva la edad mínima para para prestar consentimiento sexual de 13 a 16 años.

De esta forma, el mayor de 16 años puede tener relaciones sexuales válidamente consentidas.

De nuevo la presión de numerosas organizaciones, y la edad mínima europea en este punto, hizo necesario elevar la edad mínima establecida que, establecida entonces en 13 años, era una de las más bajas de Europa.

3.4 Consentimiento para la emancipación

De acuerdo con el artículo 239 del Código Civil, la emancipación tiene lugar por la mayor edad, por concesión de los que ejercen la patria potestad y por concesión judicial.

Para que tenga lugar la emancipación por concesión de quienes ejerzan la patria potestad, se requiere que el menor tenga dieciséis años cumplidos y que la consienta. Esta emancipación se otorgará por escritura pública o por comparecencia ante el encargado del Registro Civil.

Los efectos son comunes en todos los casos de emancipación, a saber, habilita al menor para regir su persona y bienes, salvo para tomar dinero a préstamo, gravar o enajenar bienes inmuebles y establecimientos mercantiles o industriales u objetos de extraordinario valor; y para comparecer en juicio por sí solo.

Aun en el caso de los menores de edad casados, si ambos lo son, es necesario el consentimiento de los progenitores o defensor judicial de uno y otro para enajenar o gravar bienes inmuebles, establecimientos mercantiles y objetos de extraordinario valor que sean comunes12.

3.5 Consentimiento para trabajar

El art. 6 del Estatuto de los Trabajadores13 prohíbe la admisión al trabajo a menores de 16 años.

A partir de entonces podrán trabajar, si bien existen normas especiales de protección que no les permite llevar a cabo trabajos nocturnos, ocupar puestos insalubres, penosos, nocivos o peligrosos para la salud o formación, tanto profesional como humana, ni podrán hacer horas extraordinarias.

Como regla general, los menores de 16 años no pueden trabajar ni siquiera con la autorización de sus padres o tutores. Únicamente podrán trabajar de forma excepcional en espectáculos públicos, debiendo recibir una autorización de la autoridad laboral que se dará cuando no suponga un peligro para la salud del menor y su formación.

Por lo tanto, la edad general para empezar a trabajar es 18 años, pero los mayores de 16 que vivan de forma independiente sí podrán trabajar con consentimiento de sus padres, tutores, o persona que les tenga a su cargo, así como los menores de 16 años que no vivan de forma independiente, con autorización de sus padres o representantes legales.

3.6 Consentimiento para hacer capitulaciones matrimoniales

A partir de los 16 años, el menor podrá pactar en capitulaciones matrimoniales un régimen de participación o separación14.

Como indicábamos anteriormente, debemos recordar que este límite de edad se modifica como consecuencia de la eliminación de la dispensa de edad ya que, previamente, dicho límite de edad se establecía en los 14 años.

4 Contenido al que acceden los menores en internet

De acuerdo con un estudio realizado por el Observatorio Nacional de Tecnología y Sociedad (ONTSI, 2022), el 98% de los niños de entre 10 y 15 años utilizan Internet de manera habitual. Esta práctica se ha incrementado desde 2016 (no llegaba al 93%); en 2020 y 2021 ha aumentado tres puntos porcentuales.

La situación extraordinaria de la pandemia ha incrementado los hábitos digitales de los menores. Las clases a distancia y actividades educativas en línea han incrementado el uso de ordenadores y dispositivos móviles, y la cantidad de usuarios de Internet.

El acceso a Internet no es inocuo y puede exponer a los menores a riesgos, de los que queremos resaltar los que consideramos los principales peligros:

Acceder a información no apta para menores: violencia, pornografía, juego, imágenes inapropiadas, etc.
Contactar con personas con intenciones inadecuadas.
Compartir información privada.
Acosar o ser acosado.
Participar en juegos o retos virales peligrosos.
Compartir vídeos o retos virales peligrosos.
Ser víctima de chantajes o amenazas.
Realizar compras online sin ser consciente de ello.

En este mismo sentido, UNICEF España (2021) ha desarrollado el informe Impacto de la Tecnología en la Adolescencia cuyas conclusiones refuerzan la realidad de los riesgos a los que hacíamos referencia anteriormente.

El 26,8% practicó alguna vez sexting15 pasivo y el 8%, sexting activo. Un porcentaje mayor (11,4%) sufrió presiones para hacerlo. Aunque el sexting es practicado por ambos géneros, las presiones las sufren generalmente las chicas. A partir de 3.º y 4.º de ESO, las tasas de sexting se duplican.
Se constata además un preocupante caldo de cultivo para el grooming16: El 57,2% aceptó alguna vez a personas que no conocían en una red social y el 21,5% incluso llegó a quedar físicamente con ellas en alguna ocasión.
Prácticamente 1 de cada 10 adolescentes (9,8%) ha llegado a recibir proposiciones de tipo sexual por parte de un adulto a través de la Red.
El contacto con desconocidos online es habitual. Las chicas son objeto de proposiciones sexuales por parte de adultos mucho más frecuentemente que los chicos, mientras que el consumo de pornografía online se duplica en el género masculino. El tránsito a la segunda etapa de ESO hace que se disparen todas las prácticas de riesgo.
Por último, cabe añadir que la Dark Web17 posee un alto grado de popularidad entre los adolescentes: el 44,4% dice saber lo que es y el 4,7% afirma incluso haber accedido a esta en alguna ocasión, mayoritariamente chicos.
El porcentaje de adolescentes que ha apostado o jugado dinero online alguna vez en su vida es del 3,6%. El 1,6% lo hace al menos una vez al mes. Los porcentajes son mayores entre los chicos (4-5 veces más) y en 3.º-4.º de ESO.
Aunque la variedad de formatos es enorme, las apuestas deportivas son la modalidad más aceptada entre los estudiantes de ESO, especialmente entre los chicos de 3º y 4º.
Los medios de pago son diversos, pero el uso de tarjetas de crédito o cuentas Pay Pal o Skrill son las dos opciones más habituales.
El gasto medio mensual no suele exceder los 10€, pero el 17% de los jugadores se gasta más de 30€ cada mes.
Tal y como insisten los expertos, al menos 1 de cada 10 adolescentes que juegan online podrían llegar a desarrollar una adicción al juego (14,4%).
Los niveles de bienestar emocional, integración social y satisfacción con la vida son también inferiores entre quienes presentan juego problemático. La tasa de depresión llega a duplicarse.
Las tasas de una posible depresión grave o moderadamente grave se multiplican también por 2 o por 3. Esto abre el debate acerca de si son los adolescentes con más dificultades a nivel emocional los que tienden a refugiarse y hacer un uso más intensivo de las TRIC, o si pueden ser estas nuevas formas de adicción o uso desadaptativo de las TRIC las que ejercen un impacto emocional negativo.
Se cifra en un 33% el porcentaje de adolescentes que estarían desarrollando un uso problemático de Internet y las redes sociales.
Aunque no se pueda establecer una relación causa-efecto, los niveles de bienestar emocional, integración social y satisfacción con la vida son siempre inferiores entre los adolescentes que presentan un uso problemático de Internet. La tasa de depresión es más del triple.
Por lo general, las diferentes conductas de riesgo se relacionan con niveles de supervisión parental significativamente más bajos. Las diferencias son menores en lo referido a la restricción parental.

¿A qué conclusiones debemos llegar desde el punto de vista del consentimiento analizando estos datos?

Tal y como indica Ruiz de Huidobro de Carlos (2003, p. 448) “(…) el menor de edad se caracteriza por sus condiciones de inmadurez (física, psicológica, social) que le impiden valerse por sí mismo y justifican su protección jurídica, una de cuyas manifestaciones es un régimen de la capacidad de obrar caracterizada por su limitación (…)”.

De hecho, debemos recordar que las Redes Sociales no fueron pensadas en su inicio para su uso por los menores de edad. De hecho, la primera Red Social18 se ideó con el objetivo de mantener el contacto entre los compañeros de clase una vez finalizados los estudios.

A pesar de que las Redes Sociales establecen una edad mínima de acceso, generalmente los 14 años de acuerdo con la normativa vigente en materia de protección de datos, cuando los menores acceder a las Redes Sociales únicamente necesitan indicar una fecha de nacimiento anterior a la real, añadiendo un perfil inventado y una dirección de correo electrónico.

¿Por qué no es exigida una verificación ulterior? ¿Deben las propias empresas establecer cortapisas o debería ser una exigencia legal?

Desde un punto de vista administrativo, ya es posible para cualquier menor contar con un DNI electrónico, si bien su uso no está generalizado quizás, entre otras cuestiones, porque su utilización no es necesaria para el acceso y utilización de herramientas aparentemente inocuas y que, sin embargo, ya hemos visto que suponen riegos potenciales para los menores, pero enormes ingresos para las empresas entre cuyos usuarios se encuentran dichos menores.

El RGPD (art. 8.2) hace recaer la responsabilidad de la verificación de la edad de acceso a los servicios prestados por vía electrónica.

Más allá, el artículo 73.b) de la LOPDGDD determina como infracción considerada grave “no acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679”.

Sin embargo, más de 15 años después del nacimiento de esa primera Red Social ¿por qué no hay ninguna consecuencia ante el incumplimiento de dicha verificación?

Jules Polonetsky, director de “The Future of Privacy Forum”, quien en la 31 Conferencia Internacional de Protección de Datos y Privacidad celebrada en Madrid en mayo de 2009, y repasando el estado de la tecnología en lo que se refiere a sistemas de verificación de la edad, indicaba que “la más tradicional son las páginas web que sólo solicitan la edad como único requisito, “con lo que se puede mentir”; pero existen otras técnicas como la invitación en una red social por un igual, el análisis semántico, los códigos de identificación (eID), o los datos biométricos”19.

Repasemos el valor de estas compañías, según los datos proporcionados por Ginger Jabbour (2022), en Expansión20.

Facebook fue desarrollado por Mark Zuckenberg en febrero del 2004. Actualmente, la red social Facebook es visitada por más de 2 mil millones de personas cada día. El valor del mercado de $839 mil millones de dólares es simplemente un indicador astronómico de popularidad para un proyecto de internet. Hoy Facebook produce más de $22 mil millones de dólares al año en ganacia gracias a la publicidad en línea. Además, la compañía es líder en este top 10 en términos de rentabilidad ya que su ganancia neta se incrementó en 54% solo el año pasado (PROTSKA, 2022).

Meta es la compañía dueña de Facebook, Whatsapp e Instagram. Marck Zuckerberg, CEO de Meta, hizo la compra de Instagram en 2012 por 1,000 millones de dólares; una suma cuantiosa considerando que, en ese entonces, solo la conformaban 13 empleados. Por otro lado, en 2014 compró Whatsapp por 16,000 millones de dólares. En la actualidad, Instagram cuenta con más de 1,000 millones de usuarios y contribuye con 20,000 millones de dólares a Meta. Whatsapp cuenta con 2,000 millones de usuarios activos. Por otro lado, Steve Chen, Chad Hurley y Jawed Karim, tres ex empleados de Paypal tuvieron una idea. Pensaron que sería bueno que la gente común y corriente pudiera compartir sus “videos caseros”, por lo que fundaron Youtube el 14 de febrero de 2005. Google compró la red social por 1,650 millones de dólares.

TikTok es la red social más nueva, fundada en 2016 por la compañía china ByteDance LTD. Sin embargo, el auge de esta red ocurrió a finales de 2017, cuando adquirieron a la compañía rival Musical.ly.

Conclusiones: consentimiento de los menores para la gestión de sus datos de carácter personal ¿protección o negocio?

Tras haber repasado la legislación aplicable al consentimiento de los menores para el tratamiento de sus datos de carácter personal, podemos afirmar que se ve una clara distancia entre la filosofía que inspira tanto el Reglamento Europeo de Protección de Datos, como la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, y los artículos que, efectivamente, regulan dicho consentimiento.

Si bien el pilar de la normativa sobre el consentimiento es que dicho consentimiento debe darse mediante un “acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, es difícil pensar que un menor de 14 años, sobre el que no se impone ninguna restricción a la hora de facilitar su consentimiento, vaya a ser capaz de comprender la información proporcionada si tenemos en cuenta sus condiciones de inmadurez que, en otros muchos ámbitos, justifican la necesidad de protección jurídica.

Si a ello le unimos el tipo de contenidos al que acceden los menores, generalmente sin exigencia de una remuneración adicional a la que supone facilitar su propia información de carácter personal; así como el constante crecimiento y valor que han adquirido las empresas dedicadas, específicamente, el tratamiento de datos de carácter personal ¿no podemos colegir una cierta intencionalidad en el límite mínimo general establecido en 13 años por el Reglamento Europeo de Protección de datos? Más allá, siendo el régimen general del Reglamento Europeo de Protección de Datos el del consentimiento en los 16 años ¿por qué han escogido prácticamente la totalidad de países como edad mínima la de 13 ó 14 años?

Desde nuestro punto de vista, la supuesta protección descrita e “insistida” tanto en los Considerandos del Reglamento como en la Exposición de Motivos de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales queda, de hecho, difuminada, por no decir borrada, por la incomprensible fijación del consentimiento del menor en la edad de 13 años.

Es importante recalcar que, si bien la intención original de la normativa era proteger los datos personales de los menores, en la práctica, esta protección parece quedar en segundo plano. La brecha existente entre la filosofía detrás del Reglamento y su implementación efectiva refuerza esta preocupación. La decisión de establecer una edad mínima de 13 años para el consentimiento parece ser más una concesión a las empresas de tecnología y marketing que una verdadera medida de protección para los menores.

La situación actual plantea interrogantes sobre la capacidad de los menores para comprender realmente las implicaciones de dar su consentimiento. Si consideramos que en otros contextos legales se reconoce que los menores necesitan protección debido a su inmadurez, ¿cómo podemos esperar que comprendan la importancia y las consecuencias de compartir su información personal? Este aspecto es especialmente relevante dada la naturaleza omnipresente de las plataformas digitales y la cantidad de información personal que los menores pueden proporcionar sin darse cuenta.

Para terminar, es necesario reflexionar sobre cómo la regulación de protección de datos podría ser mejorada para ofrecer una protección más efectiva a los menores. Sería beneficioso reconsiderar la edad mínima para el consentimiento y también examinar cómo se podría mejorar la educación y la sensibilización sobre la privacidad y la protección de datos para los menores. También se debería considerar si existen medidas alternativas o adicionales que podrían implementarse para proteger los datos personales de los menores. Esta es una cuestión de gran importancia, dada la creciente relevancia de la economía de datos y el papel central que desempeñan los datos personales en nuestra sociedad digital.

Referencias

AEPD. Agencia Española de Protección de Datos. Guía para el cumplimiento del deber de informar, 2021. Disponible en: https://www.aepd.es/sites/default/files/2019-11/guia-modelo-clausula-informativa.pdf.

DE CARLOS, J. M. R. de H. La regulación legal de la capacidad de obrar del menor, propuestas de Lege Ferenda. En I. E. L. González, & Narros I. V. M. (coord.). Jornadas sobre derecho de los menores (p. 448). Madrid: Ed. Universidad Pontificia Comillas, 2003.

EDWARDS, L.; ABEL, W. The use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Confidence in Digital Services. CREATe Working Paper 2014/15, 2021. Disponible en: https://www.create.ac.uk/publications/the-use-of-privacy-icons-and-standard-contract-terms-for-generating-consumer-trust-and-confidence-in-digital-services/

ESPAÑA. Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil. Ministerio de Gracia y Justicia. Boletín Oficial del Estado, núm. 206, 25 jul. 1889. Legislación consolidada. Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-1889-4763.

ESPAÑA. Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletín Oficial del Estado, I. Disposiciones generales, núm. 77, p. 27061-27176, 31 mar. 2015. Disponible en:
https://www.boe.es/eli/es/lo/2015/03/30/1.

ESPAÑA. Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. Ministerio de Empleo y Seguridad Social. Boletín Oficial del Estado, I. Disposiciones generales, núm. 255, p. 100224-100308, 24 oct. 2015. Disponible en: https://www.boe.es/eli/es/rdlg/2015/10/23/2.

ESPAÑA. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Boletín Oficial del Estado, I. Disposiciones generales, núm. 294, de 06 dez. 2018. Disponible en: https://www.boe.es/eli/es/lo/2018/12/05/3/con.

GABERL, D.; HICKMAN, T. GDPR Guide to National Implementation. A practical guide to national GDPR compliance requirements across the EEA. 2019. Disponible en: http://bcn.cl/2qf41.

JABBOUR, G. ¿cuánto valen Facebook, Instagram y TikTok? 2022. Disponible en: https://expansion.mx/tecnologia/2022/04/28/cuanto-vale-facebook-instagram-tiktok-twitter.

LLÁCER MATACÁS, M. R. La autorización al tratamiento de información personal en la contratación de bienes y servicios. Madrid: Dykinson. p. 73, 2012.

ONTSI. Observatorio Nacional de Tecnología y Sociedad. El uso de la tecnología por los menores en España. Madrid: Ministerio de Asuntos Económicos y Transformación Digital, 2022. Disponible en: https://www.ontsi.es/sites/ontsi/files/2022-02/usotecnologiamenoresespa%C3%B1a2022.pdf.

POLONETSKY, Jules. Conferencia Internacional de protección de datos y privacidad. Disponible en: https://www.apep.es/apep-en-la-31-conferencia-internacional-de-de-proteccin-de-datos-y-privacidad/.

PROTSKA, O. TOP 10 - Las Empresas Más Valiosas del Mundo – 2023, 2022. Disponible en: https://es.fxssi.com/las-empresas-mas-valiosas-del-mundo.

SOLANA, M. V. El consentimiento general y de menores. En A. Rallo (Dir). Tratado de Protección de Datos (pp. 200-205). Valencia: Tirant Lo Blanch, 2019.

UNICEF España. Impacto de la tecnología en la adolescencia. Relaciones, riesgos y oportunidades. Un estudio comprensivo e inclusivo hacia el uso saludable de las TRIC. Madrid: UNICEF España, 2021. Disponible en: https://www.unicef.es/sites/unicef.es/files/comunicacion/Informe_estatal_impacto-tecnologia-adolescencia.pdf.

UNIÓN EUROPEA. Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016. Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario Oficial de la Unión Europea. L 119, 4.5.2016. Disponible en: https://www.boe.es/doue/2016/119/L00001-00088.pdf.

UNIÓN EUROPEA. Tribunal de Justicia de la Unión Europea. (Sala Tercera). Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y Federación de Comercio Electrónico y Marketing Directo (FECEMD) contra Administración del Estado. Asuntos acumulados C-468/10 y C-469/10. Tratamiento de datos personales — Directiva 95/46/CE — Artículo 7, letra f) — Efecto directo. 24 nov. 2011. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:62010CJ0468_SUM&from=ES.

1 Doctor en Derecho por la Universidad Nebrija, sobresaliente cum laude, Premio Extraordinario tesis doctoral 2016. Máster en Derecho de las TIC por la Universidad Pontificia Comillas. PDI titular asignatura International and EU law en el Máster International Business y Máster Project Management en EAE Business School. PDI titular asignatura Nuevas Tecnologías en Máster Acceso a la Abogacía, Universidad Nebrija. Directora TFG y TFM en EAE Business School y en Universidad Nebrija. Directora Comercial y de Estrategia en CEDRO (Centro Español de Derechos Reprográficos). https://orcid.org/0000-0003-0781-953X. E-mail: susanacheca@gmail.com.

2 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

3 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, BOE núm.294, de 6 de diciembre de 2018.

4 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.

5 Según reconoce la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 en caso ASNEF (C-468/10 y C/469/10).

6 El Grupo de Trabajo del art. 29 (GT Art. 29) es el grupo de trabajo europeo independiente que se ha ocupado de cuestiones relacionadas con la protección de la privacidad y los datos personales hasta el 25 de mayo de 2018 (entrada en aplicación del RGPD).

7 Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información.

8 El subrayado es nuestro.

9 Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil, en su redacción publicada el 06/09/2022.

10 Ley 15/2015 de 2 de Julio, publicada en el BOE de 2 de julio de 2015.

11 Artículo 48 del Código Civil en su anterior redacción.

12 Art. 248 Código Civil.

13 Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.

14 Art. 1329 del Código Civil.

15 El término “sexting” proviene de un acrónimo de “sex” o sexo y “texting” o escribir mensajes. Consiste en enviar mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación.

16 Se denomina “grooming” al acoso sexual virtual que se realiza a un menor de edad. Se trata de acciones intencionales desarrolladas por un adulto para establecer un vínculo con un menor con una intención sexual. En este contexto, el adulto desarrolla una conducta con la finalidad inicial de conseguir una amistad virtual con el niño, ya sea a través de Internet, del móvil, u otra herramienta tecnológica. Con este objetivo simula que es también menor de edad y, una vez establecido el lazo emocional con la víctima, el acosador comienza a vulnerar la intimidad del niño, obtener sus datos personales e, incluso, de contacto. La finalidad del “grooming” suele ser obtener imágenes del menor sin ropa o desarrollando algún tipo de acto sexual. Una vez ha obtenido este material, el acosador puede chantajearlo para obtener más imágenes o incluso para forzarlo a tener un encuentro físico, haciendo que del “grooming” (virtual) se pase al abuso sexual (físico). Esto quiere decir que el “grooming” está asociado a la pederastia o pedofilia. Incluso puede realizarse para introducir al menor en la pornografía o en una red de prostitución.

17 Se denomina Dark Web a aquella parte de la World Wide Web a las que no se puede acceder mediante los motores de búsqueda tradicionales, siendo necesario utilizar un navegador especial para acceder a los sitios que utilizan la terminación de dominio “onion”. El término “Dark” en principio únicamente hace referencia a que se trata de un espacio virtual de acceso restringido. Sin embargo, precisamente por ser un espacio restringido, se suele asociar habitualmente con contenido prohibido y actividades delictivas. Los contenidos que pertenecen a la surface web son accesibles para todos a través de los motores de búsqueda. Solo un 5 % de los contenidos de la red pertenecen a esta categoría, algunas estimaciones sugieren que sería un porcentaje todavía menor. La “deep web” describe todos los contenidos que no son de libre acceso para todo el mundo, sino que, por ejemplo, requieren una contraseña para poder acceder a ellos: a esta categoría pertenecen las cuentas bancarias, la información médica, pero también las áreas de miembros en las tiendas online. Los motores de búsqueda no indexan estos contenidos. En el caso de los contenidos de la “Dark Web”, las restricciones de acceso son aún más estrictas: se requieren navegadores especiales.

18 Nos estamos refiriendo a “Classmates.com”, creada en 1995.

19 http://www.privacyconference2009.org/media/notas_prensa/common/pdfs/051109_4_proteccion

_privacidad_menores.pdf.

20 Si Twitter costó 44,000 MDD a Musk, ¿cuánto valen Facebook, Instagram y TikTok?