Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Menores y RGPD

En mi negocio, necesito tratar datos personales de menores. ¿Hay algo que deba saber?

Algunas disposiciones del RGPD establecen reglas específicas para el tratamiento de datos personales relacionados con menores, en particular el artículo 8, párrafo 1:

“Si se aplica el artículo 6, párrafo 1, letra a), con respecto a la oferta directa de servicios de la sociedad de la información a menores, el tratamiento de los datos personales del menor es lícito cuando el menor tiene al menos 16 años. Si el menor tiene menos de 16 años, dicho tratamiento es legal solo si y en la medida en que dicho consentimiento sea otorgado o autorizado por el titular de la responsabilidad parental”.

Echemos un vistazo más de cerca a esta cláusula:

  1. En primer lugar, a diferencia del resto del RGPD, esta disposición se aplica únicamente a los servicios online (“servicios de la sociedad de la información”).
  2. El aspecto más importante es que se aplica únicamente si la oferta de servicios de la sociedad de la información está destinada expresamente, exclusivamente o principalmente a los niños. Este es el caso cuando se dirige específicamente a los niños (por ejemplo, en un lenguaje informal e infantil), cuando los productos, servicios o contenidos ofrecidos están específicamente destinados a los niños (por ejemplo, literatura infantil, juegos, recursos para la escuela, etc.) o, por supuesto, cuando la oferta se limita expresamente a los niños (“solo para niños”). No es suficiente ofrecer o vender bienes, servicios o contenidos que puedan ser adecuados para niños o que incluyan artículos aptos para niños. Por lo tanto, si vendes juguetes online, esto no implica necesariamente que tu comercio electrónico se “ofrezca directamente a los niños”.
  3. Se aplica solo si la base jurídica para el tratamiento de datos personales es el consentimiento. Por lo tanto, si vendes tonos de llamada para teléfonos inteligentes a niños, los datos personales recopilados en el momento de la compra (nombre, apellidos, dirección de correo electrónico, detalles de pago) serán “necesarios para la ejecución de un contrato del que el interesado es parte” y, por tanto, están cubiertos por la base jurídica contractual (artículo 6, párrafo 1, letra b). Sin embargo, si también quieres utilizar la dirección de correo electrónico del interesado para enviarle newsletters sobre tus tonos de llamada, deberás recopilar su consentimiento, ya que el tratamiento de datos personales con fines de marketing está fuera del alcance del contrato. Aquí es donde el artículo 8 cobra relevancia: si el interesado es menor de 16 años, también es necesario obtener el consentimiento de sus progenitores o tutores legales.
  4. Según el artículo 8 del RGPD, se consideran “Menores” a los niños menores de 16 años. Sin embargo, el RGPD permite a los Estados miembros reducir la edad a 13 años. Austria, por ejemplo, ha bajado el umbral a los 14.

Si crees que estas condiciones se aplican en tu caso, definitivamente debes implementar un paso más en tu servicio online: verificar la edad de tus usuarios. Para ello, será suficiente mostrar una ventana emergente con la pregunta “¿Cuántos años tienes?” o “¿En qué año naciste?”.

¿Cómo puedo obtener el consentimiento de los padres o hacer que autoricen el consentimiento de sus hijos?

El artículo 8 te ofrece dos posibilidades: obtener el consentimiento directamente de los padres del interesado o hacer que los padres “autoricen” su consentimiento. El tratamiento de datos personales no se puede llevar a cabo antes de que se haya implementado una de estas dos opciones.

La pregunta es: ¿cómo puedo saber quiénes son los padres y si realmente están dando su consentimiento? No hay una respuesta clara a esta pregunta. Los comentaristas han indicado varios métodos para verificar la identidad y obtener el consentimiento, que incluyen:

  • enviar una copia del pasaporte o del carnet de identidad por correo electrónico;
  • enviar una carta de consentimiento o autorización firmada por los padres por correo electrónico;
  • procesar pedidos online a través de la tarjeta de crédito de los padres;
  • el consentimiento/autorización de los padres expresado por teléfono.

Todos estos métodos suponen una gran carga para todas las partes involucradas. Por lo tanto, algunos comentaristas han señalado que el conocido método de “suscripción doble” también podría ser útil para este propósito.

Ejemplo

Un niño de 14 años quiere suscribirse a una newsletter. Tras declarar que tiene 14 años, deberá facilitar a) su dirección de correo electrónico, a la que eventualmente se enviarán las newsletters y b) la dirección de correo electrónico de sus padres. Tras el registro, tanto el interesado como los padres reciben un correo electrónico automático solicitando confirmar el registro y confirmar que los padres dan su consentimiento para el tratamiento de los datos personales de su hijo.

Por supuesto, se podría argumentar que un adolescente astuto tardaría menos de un minuto en crear direcciones de correo electrónico falsas para sus padres. Pero en cierto sentido, el mismo razonamiento se aplica a cualquier otro procedimiento de autenticación: al final, es responsabilidad de los padres prevenir ese abuso por parte de sus hijos.

Como regla de oro, el método de autenticación siempre debe elegirse en función del riesgo potencial derivado del tratamiento de datos personales. En el ejemplo de la newsletter, donde el riesgo es muy bajo, el procedimiento de suscripción doble podría considerarse suficiente.

Por otro lado, podría ser mucho más arriesgado recabar el consentimiento del interesado para que algunos de sus datos personales estén disponibles públicamente en Internet: en este caso, debes optar por un método de autenticación más complejo pero más seguro, como la solicitud de presentar un pasaporte u otros documentos de identidad.

Más información

¿Aún tienes preguntas?

Participa en uno de nuestros webinars gratuitos Envíanos un correo electrónico Chat en vivo