Una de las
principales novedades que
contempla el nuevo Reglamento de desarrollo de la LOPD, es la necesidad
del
consentimiento de los padres para obtener los datos personales de los
menores
de catorce años. En el siguiente artículo, se da
respuesta a las diversas
cuestiones que se plantean en relación con la
verificación de la autenticidad
de la edad del menor y del consentimiento de sus padres.
SUMARIO
I. LA DOCTRINA DE LA AEPD SOBRE
EL TRATAMIENTO DE DATOS DE LOS MENORES DE EDAD
II. LA PRUEBA DEL CONSENTIMIENTO
DE PADRES O TUTORES PARA EL TRATAMIENTO DE DATOS DE MENORES DE CATORCE
AÑOS
III. EL INFORME DEL GRUPO DE
TRABAJO DEL ARTÍCULO 29 1/08, DE 18 DE FEBRERO DE 2008, SOBRE LA
PROTECCIÓN DE
LOS DATOS PERSONALES DE LOS NIÑOS
I. LA DOCTRINA DE LA AEPD SOBRE EL TRATAMIENTO
DE DATOS
DE LOS MENORES DE EDAD
Tras algunos cambios en el proceso
de
elaboración del Reglamento, finalmente se ha establecido como
límite para
consentir el tratamiento de los datos la de ser mayor de catorce
años, de
manera coherente con lo que la propia Agencia había venido
estableciendo en sus
informes jurídicos y lo que asimismo había interpretado
en diversas
Resoluciones acerca de la capacidad del menor de edad la
Dirección General de
los Registros y del Notariado. Así, en la Resolución de
la DGRN de 3 de marzo
de 1989 se sostiene que «no existe una norma que, de modo
expreso, declare la
incapacidad de los menores para actuar válidamente en el orden
civil, norma
respecto de la cual habrían de considerarse como excepcionales
todas las
hipótesis en que se autorizase a aquél para obrar por
sí; y no cabe derivar
esta incapacidad ni del artículo
322 del Código Civil,
en el que se establece el límite de edad a partir del cual se es
capaz para
todos los actos de la vida civil, ni tampoco de la
representación legal que
corresponde a los padres o tutores respecto de los hijos menores no
emancipados».
Debe también dejarse
constancia del Informe
del Gabinete Jurídico de la AEPD (no consta referencia alguna,
pero puede
consultarse en www.agpd.es),
según el cual «la minoría de edad no supone una
causa de incapacitación (de las
reguladas en el artículo
200 del Código Civil),
por lo que aquélla habrá de ser analizada en cada caso
concreto a los efectos
de calificar la suficiencia en la prestación del consentimiento
en atención a
la trascendencia del acto de disposición y a la madurez del
exponente.
A mayor abundamiento, y en lo
referente a
la prestación del consentimiento para la cesión, debe
recordarse que, conforme
dispone el artículo 4.3 de la Ley Orgánica 1/1996, de 15
de enero, de
Protección Jurídica del Menor, “se considera
intromisión ilegítima en el
derecho al honor, a la intimidad personal y familiar y a la propia
imagen del
menor, cualquier utilización de su imagen o su nombre en los
medios de
comunicación que pueda implicar menoscabo de su honra o
reputación, o que sea
contraria a los intereses incluso si consta el consentimiento del menor
o de
sus representantes legales”.
Del tenor de esta
disposición se deriva la
posibilidad de que haya sido el propio menor quien, por sí
mismo, haya prestado
su consentimiento a la utilización de su propia imagen, sin
precisar para ello
la asistencia de su representante legal, lo que no hace sino ahondar en
la
conclusión referida anteriormente, a partir de lo dispuesto en
el artículo 162 del Código Civil.
En consecuencia, a tenor de las
normas
referidas, cabe considerar que los mayores de catorce años
disponen de las
condiciones de madurez precisas para consentir, por sí mismos,
el tratamiento
automatizado de sus datos de carácter personal.
Respecto de los restantes menores
de edad,
no puede ofrecerse una solución claramente favorable a la
posibilidad de que
por los mismos pueda prestarse el consentimiento al tratamiento, por lo
que la
referencia deberá buscarse en el artículo
162.1.º del Código Civil, tomando en
cuenta, fundamentalmente, sus condiciones de madurez.
En consecuencia, a la vista de lo
anteriormente señalado, será necesario recabar el
consentimiento de los menores
para la recogida de sus datos, con expresa información de la
totalidad de los
extremos contenidos en el artículo
5.1 de la Ley, recabándose, en caso de
menores de catorce años cuyas condiciones de madurez no
garanticen la plena
comprensión por los mismos del consentimiento prestado, el
consentimiento de
sus representantes legales.
II. LA PRUEBA DEL CONSENTIMIENTO DE PADRES O
TUTORES PARA
EL TRATAMIENTO DE DATOS DE MENORES DE CATORCE AÑOS
La lectura del artículo
13 del Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desarrollo de la LOPD, plantea
el
problema de cómo se va a proceder a verificar la autenticidad de
la edad del
menor. Dado que no parece razonable fiarse simplemente de la apariencia
física,
no queda otro remedio que reclamar un documento acreditativo, lo cual
es
relativamente sencillo, siempre que el menor lo tenga, cuando se
recaban los
datos del mismo en su presencia, pero resulta enormemente complicado
cuando los
datos se recaban por teléfono o por Internet. Así, no
pueden olvidarse las cada
vez más numerosas páginas de Internet en que se recaban
datos de carácter
personal para el envío de productos o servicios o para
registrarse como
usuario. En tal caso, dado que la comprobación efectiva de la
edad resulta
enormemente compleja, no quedará otro remedio que acudir a la
declaración
formal de que quien facilita los datos y acepta su tratamiento, es
mayor de
catorce años y así lo manifiesta.
En cuanto a la recogida
telefónica de
datos, no parece que quepa otra solución que tratar el dato de
acuerdo con la
manifestación formal de quien lo facilita y en caso de que, como
es habitual,
haya que remitir documentación tras la recogida
telefónica de datos para la
formalización contractual exigir que, junto con la
documentación, se remita
copia del documento acreditativo de ser mayor de catorce años y,
en caso de no
recibirse, se rechace la formalización contractual de lo
acordado por teléfono
y se cancelen los datos así recogidos. Otro problema radica en
que en muchos
casos (pensemos, por ejemplo, en los cupones-respuesta a las
promociones que en
ocasiones llevan a cabo los fabricantes de alimentos para niños)
requerir una
fotocopia del DNI o, incluso, del DNI de los padres resulte enormemente
complejo y, en la práctica, hace casi imposible llevar a cabo el
tratamiento.
Parece que habrá que acudir
al sentido
común y así, en aquellos casos en que el tratamiento se
limite a los datos
identificativos del menor para fines sin especial trascendencia, por
ejemplo,
se podría aceptar el cupón-respuesta junto con la firma
del padre o tutor —que,
en la práctica, será muy difícil comprobar de
manera efectiva, pues sólo habrá
un garabato estampado en el espacio destinado a la firma, con aspecto
de ser
una firma de adulto— si el menor tiene menos de catorce años y,
en cambio,
cuando se trata de datos de más importancia o estemos ante la
formalización de
una relación contractual habrá que solicitar
necesariamente que se acompañe una
fotocopia del documento acreditativo de la edad del menor o —lo que
seguramente
plantee más problemas— del DNI del padre o tutor para verificar
que
efectivamente la firma coincide con la que figura estampada en la
autorización.
En efecto, no olvidemos que para tratar los datos de menores de catorce
años no
basta, en principio, con recabar una firma del padre o tutor sino que
habrá que
comprobar que la misma corresponde efectivamente a éstos.
Evidentemente, lo que corresponde
al
responsable del fichero es articular los procedimientos para comprobar
la edad
efectiva del menor o el consentimiento de sus representantes legales,
lo cual
es una obligación de hacer y no una obligación de
resultado. Por tanto, si el
responsable del fichero articula estos procedimientos, lo documenta
debidamente
y comprueba efectivamente que esto se cumple, no se le pueda hacer
responsable,
por ejemplo, del hecho de que el menor de edad haya falsificado su
carné o haya
fotocopiado el de su padre o tutor sin su consentimiento.
Cuando los datos se recaben de
forma
presencial, si el menor de edad tiene menos de catorce años, se
plantea el
problema de cómo verificar el consentimiento de sus padres o
tutores para
tratar sus datos. Dos son, en principio, las soluciones: o bien se hace
a los
padres comparecer personalmente con el menor, solución esta que
resulta en
ocasiones fatigosa para los propios padres, o bien se les entrega a los
menores
un documento de autorización para que se lo hagan firmar a los
padres y, en su
caso, acompañen una fotocopia del DNI del padre o de la madre
para verificar
que efectivamente la firma coincide.
El hecho de que el artículo
13.2 permita recabar los datos de
identidad y domicilio del padre, madre o tutor puede ayudar en el
tratamiento
de datos de los menores. Así, para el caso de aquellos menores
de edad que no
puedan acreditar ser mayores de catorce años se podría
proceder a tratar de
inmediato el dato del menor junto con el de los padres, remitiendo una
carta a
los padres en la que se les debería informar de que se ha
procedido a tratar el
dato del menor a efectos de que éstos puedan prestar su
consentimiento para el
tratamiento, debiendo informarles asimismo de que serán tratados
sus propios
datos, a los efectos previstos en el artículo
5 de la LOPD. Ciertamente el
procedimiento es laborioso pero permite al menos tratar el dato del
menor de
inmediato sin supeditarlo a que venga acompañado del padre o
tutor, lo cual en
ocasiones puede resultar incluso humillante para el propio menor.
Debe al respecto recordarse lo ya
dicho
acerca de los requisitos del consentimiento inequívoco cuando se
recaba por
carta, lo que implica que podrá entenderse prestado el
consentimiento por los
padres o tutores si los mismos no se oponen en un plazo razonable
(treinta días
es el que establece el Reglamento) desde que recibieron la carta.
Con buen criterio establece el artículo
13.2 del Reglamento la prohibición de
que se recaben datos de identidad o sociológicos sobre el resto
de los
componentes del grupo familiar, con la salvedad de los datos de
identidad que
sean necesarios para recabar la autorización de padres o tutores.
III. EL INFORME DEL GRUPO DE TRABAJO DEL
ARTÍCULO 29
1/08, DE 18 DE FEBRERO DE 2008, SOBRE LA PROTECCIÓN DE LOS DATOS
PERSONALES DE
LOS NIÑOS
Con fecha 18 de enero de 2008 el
Grupo de
Trabajo del artículo 29 de la Directiva 95/46/CE, de 24 de
octubre de 1995,
relativa a la protección de las personas físicas en lo
que respecta al
tratamiento de datos personales y a la libre circulación de
estos donde emitió
un informe sobre el tratamiento de los datos personales de los
niños (que puede
ser consultado como un link en www.agpd.es) que complementa el
contenido del
artículo 13 y que plantea algunas cuestiones interesantes.
En primer lugar, viene a decir que,
si es
posible, el tratamiento de datos iniciado con el consentimiento de
padres o
tutores debe ser ratificado por el interesado al alcanzar la edad
necesaria
para ello, afirmando que «por ejemplo, si un representante ha
dado su
consentimiento explícito a la inclusión del niño
(el interesado) en un ensayo
clínico, al alcanzar la mayoría de edad, el responsable
del tratamiento debe
asegurarse de que sigue teniendo una base válida para el
tratamiento de los
datos personales del interesado. En concreto, deberá considerar
la obtención
del consentimiento explícito del propio interesado para que
continúe el ensayo,
ya que están implicados datos sensibles».
Plantea también el GT 29 una
cuestión
interesante, como es la de si pueden tratarse los datos de los menores
de edad
si, por las circunstancias en que se lleva a cabo el tratamiento, el
consentimiento no es necesario y el menor puede válidamente ser
parte en esa
relación jurídica. En definitiva, dado que un niño
de doce años puede
contratar, por ejemplo, sería conforme a Derecho tratar los
datos del niño sin
precisar para ello el consentimiento de padres o tutores, pues en los
supuestos
de tratamiento de datos fundamentado en una relación contractual
no es
necesario consentimiento. Así, viene a decir el GT 29 «en
otras palabras, el
consentimiento debe ser libre e informado. No obstante, el
consentimiento no es
obligatorio en todos los casos. De hecho, el tratamiento también
puede ser
legítimo si se cumplen otros requisitos legales de conformidad
con el artículo
7 (b-f) de la mencionada directiva, por ejemplo, puede permitirse el
tratamiento si se firma un contrato. (...) No obstante, se plantea la
cuestión
de si los niños que, en determinados casos, pueden otorgar actos
jurídicos sin
el consentimiento de sus representantes (en situaciones en que gozan de
derechos parciales) pueden también dar un consentimiento
válido al tratamiento
de sus propios datos.
De conformidad con las normativas
locales
aplicables, esto puede ocurrir en casos de matrimonio, empleo,
cuestiones
religiosas, etc. En otros casos, el consentimiento del niño
puede ser válido
con la condición de que el representante no se oponga.
También está claro que
el nivel de madurez física y psicológica del niño
debe tenerse en cuenta y que,
a partir de cierta edad, es capaz de juzgar cuestiones que le afecten.
Esto
puede ser importante en casos en que el representante no está de
acuerdo con el
niño, pero el niño es lo suficientemente maduro para
decidir en su propio
interés, por ejemplo, en un contexto sexual o médico. No
deben descuidarse los
casos en que el interés superior del niño limita o
incluso prevalece sobre el
principio de representación y se le debe dar una mayor
consideración.
El principio más amplio de
legitimidad se
refiere a los intereses legítimos del responsable del
tratamiento o de un
tercero [artículo 7.f)] de la Directiva, salvo cuando quedan
anulados por los
intereses o derechos y libertades fundamentales del interesado. Al
hacer el
balance, debe prestarse especial cuidado al estatus de interesado del
niño,
utilizando su interés superior como guía.