7. LICITUD EN EL TRATAMIENTO

7.3 REFERENCIA ESPECIALES EN LA LICITUD DEL TRATAMIENTO

7.3.1 LOS MENORES

A través del art. 8 y el considerando 38 del RGPD se realiza una especial referencia al tratamiento de datos de niños o menores.

Artículo 8: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.

  1. Cuando se aplique el artículo 6, apartado 1, letra a) (Consentimiento), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
  2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
  3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

Se considera, por tanto, un consentimiento válido aquel otorgado partir de los 16 años. De tal manera que si el niño es menor de 16 años el tratamiento únicamente será lícito si es autorizado por el titular de la patria potestad o tutela sobre al niño. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años.

Adicionalmente, el art. 6.2 establece de forma similar a como lo hacía nuestra normativa de protección de datos, que el responsable deberá realizar esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el menor teniendo en cuenta la tecnología disponible.

 


PREGUNTAS FRECUENTES:

En relación a la edad para prestar consentimiento el Reglamento establece en el art. 8 que se limita la edad a 16 años, si bien únicamente referido a los servicios de la sociedad de información. ¿Implica ello, que fuera de ese supuesto desaparece la capacidad del mayor de 14 años para prestar su consentimiento en el tratamiento de sus datos de carácter personal?

El art. 8.2 se establece que los Estados miembros podrán establecer por ley una edad inferior con el límite de los 13 años, por tanto, todo apunta a que en España se mantendrán los 14 años establecidos por nuestra normativa de protección de datos como edad para prestar el consentimiento en materia de menores.


 

7.3.2    LAS CREDENCIALES DE ACCESO

El tratamiento de datos que no requiere identificación viene regulado en el art.11 y el considerando 57.

Artículo 11: Tratamiento que no requiere identificación

  1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.
  2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, (Derechos del interesado) excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

El RGPD señala específicamente que pueden existir supuestos en los que los datos personales no permiten identificar a una persona física y que, por tanto, en estos casos no estaría obligado el responsable a obtener información adicional para la identificación del interesado con la única finalidad de cumplir con el RGPD. Pese a no ser una obligación la de identificación del interesado en dichos supuestos, sí estaría obligado a aceptar recibir información adicional que permita la identificación del interesado, si este último quiere ejercitar alguno de los derechos comprendidos en el RGPD entre los art. 15 a 20.

 


PREGUNTAS FRECUENTES:

El tratamiento de datos  que no me permiten identificar a la persona física, ¿no quedaría fuera del concepto de dato personal? ¿qué obligaciones de identificación recaen sobre el responsable de estos tratamientos? (véanse unas credenciales de acceso sin información adicional).

Los tratamientos de datos que no requieren identificación suelen ser supuestos muy usuales en los que el responsable únicamente conoce del interesado las credenciales de acceso a la plataforma o a la propia web. En estos casos es posible limitar el acceso a la web a través del sistema de usuario y contraseña, no existiendo método alguno para identificar a la persona que está detrás de esas credenciales (por tanto, toda la estadística o comportamiento en la web no puede ser atribuible a una persona física identificable). El RGPD establece a través del art. 11 que el responsable no está obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento, es decir, no hay un tratamiento de datos como tal debido a que la persona no es identificable.

Sin embargo, si el interesado desea ejercitar sus derechos a que no se traten sus datos y, por tanto, facilita datos de identificación para ejercitar tales derechos, el responsable sí vendría obligado desde ese momento dada la identificación del interesado que provoca que el responsable ya pueda vincular los datos de las credenciales navegación a una determinada persona física identificable.


 

7.3.3    TRATAMIENTO DE CONDENAS E INFRACCIONES PENALES

Por último, el tratamiento de datos respecto a las condenas e infracciones penales viene regulado en el art.10 del RGPD.

Artículo 10: Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1 (Licitud en el tratamiento), sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

Conforme al art. 10 los tratamientos de datos relativos a condenas e infracciones penales sólo podrán llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro.

CONCLUSIONES

  • Para que exista interés legítimo es necesario realizar una evaluación meticulosa de dicho interés y que exista una expectativa razonable de dicho tratamiento por parte del interesado (como por ejemplo los relativos a tratamientos para la prevención del fraude, marketing directo, transmisión de datos en un Grupo Empresarial, seguridad en redes informáticas etc.)
  • Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual.
  • Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encontrarse entre una de las circunstancias establecidas por el art.9 (obligaciones de derecho laboral, interés vital, fundación o asociaciones políticas o religiosas, datos manifiestamente públicos, defensa de reclamaciones e interés público)
  • El límite para el tratamiento de datos de los menores de edad se establece en los 16 años, pudiendo los Estados miembros bajar el mismo hasta el límite de los 13 años.