1530 - Análisis sobre el consentimiento en la publicación de material digital donde aparezcan menores

Procedimientos resueltos por la Agencia Española de Protección de Datos

La AEPD ha resuelto diversos procedimientos en relación con la importancia del consentimiento en la publicación en redes sociales de material digital en el que aparezcan menores de edad:

1. Publicación en redes sociales de fotos y vídeos de dos menores sin el consentimiento de sus padres (proc. núm.: PS/00209/2021):

a. Antecedentes de hecho:

«D.ª (...) (en adelante, la reclamante) con fecha 7 de febrero de 2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el (...) (en adelante, el reclamado). 

La reclamante, madre de dos niñas, de 10 y 12 años, que hacen gimnasia rítmica en el club contra el que se dirige la reclamación manifiesta que el 5 de febrero de 2021 solicitó al club que retiraran de sus redes sociales todas las fotos y vídeos en los que aparecieran sus hijas. Añade que no tiene constancia de haber dado su autorización, que solo la dio a la Federación, y en relación con las competiciones en que participaran las niñas. Y que, en todo caso, desde ese momento negaba expresamente su autorización a tomar imágenes de las niñas y a publicarlas en internet».

b. Fundamentos de derecho:

«La documentación que obra en el expediente ofrece evidencias de que el reclamado, tiene una página de Instagram llamada (...) en la que se publican imágenes de las menores realizando ejercicios. Que la reclamante ha manifestado varias veces al reclamado, la última de ellas el 5 de febrero de 2021, que no quiere que se publiquen imágenes de sus hijas en las redes sociales y que no tienen la autorización para fotografiar y grabar a sus hijas. 

Pues bien, el reclamado ha vulnerado el artículo 6.1 del RGPD, toda vez que publicó imágenes en Instagram de las hijas de la reclamante, sin que tuviese ninguna legitimación para ello. No acredita la legitimación para el tratamiento de los datos de las hijas menores, de 10 y 12 años de edad, de la reclamante».

c. Resolución de la directora de la Agencia Española de Protección de Datos:

«Imponer a (...), por una infracción del artículo 6 del RGPD, tipificada en el Artículo 83.5 del RGPD, una multa de 5.000 euros (cinco mil euros).

(...) Ordenar a (...) para que en el plazo, de un mes de acuerdo con lo establecido en el artículo 58.2.d) del RGPD, adopte de las medidas necesarias para que se retire la imagen de las dos menores, de conformidad con lo establecido en el artículo 6.1 a), así como la aportación de medios de prueba acreditativos del cumplimiento de lo requerido».

2. Difusión a través de redes sociales de fotografías de internos de un centro de menores con el consentimiento de sus representantes (proc. n.º E/01551/2021):

a. Antecedentes de hecho:

«El Juzgado de (...) remitió reclamación, que tiene entrada de 1 de octubre de 2020 en la Agencia Española de Protección de Datos.

Los motivos en que basa la reclamación son los siguientes:

El Juzgado indicado inició expediente gubernativo como consecuencia de las imágenes difundidas de menores que están en el (...) con motivo de la festividad (...). Las fotografías fueron realizadas en el Centro a petición de la Viceconsejería del Menor y de la Familia, en el marco de las actuaciones que se estaban llevando de entrega de premios y condecoraciones. Las imágenes se requieren para hacer visible que en esos centros no hay solo aspectos negativos, tratando de potenciar aspectos que hagan cambiar de opinión a la sociedad (...) sobre estos centros. A pesar de la buena intención del Viceconsejero, es necesario que se consulte previamente con el Juzgado antes de proceder a la publicación de las imágenes».

b. Fundamentos de derecho:

«Tras la información y documentación facilitada por la (...) se ha constatado que los representantes de los tres menores, cuyas imágenes les identificaban o hacían identificables, habían firmado un documento consintiendo expresamente que sus imágenes podían difundirse en redes sociales. Por tanto, cumplían con una circunstancia que hacía lícito el tratamiento con la finalidad de difundir entre la sociedad las actuaciones que se llevan a cabo en los centros de menores».

c. Acuerdo de la directora de la Agencia Española de Protección de Datos:

«PROCEDER AL ARCHIVO de las presentes actuaciones».

Dictámenes del Grupo de Trabajo sobre Protección de datos del artículo 29 que abordan aspectos relacionados con menores

En relación con los dictámenes publicados por el Grupo de Trabajo sobre Protección de datos del artículo 29, conviene hacer referencia a los siguientes:

1. Dictamen 5/2009 sobre las redes sociales en línea, de 12 de junio de 2009:

«Una gran parte de los servicios de SRS es utilizada por niños y menores. El dictamen WP14726 del Grupo de Trabajo examinó la aplicación de los principios de protección de datos en el medio escolar y educativo. El dictamen destacó la necesidad de tener en cuenta los intereses del niño, lo que también figura en la Convención internacional sobre los derechos del niño de las Naciones Unidas. El Grupo de Trabajo desea subrayar la importancia de este principio en el contexto de los SRS.

Las autoridades encargadas de la protección de datos han emprendido iniciativas interesantes en todo el mundo, centradas principalmente en la sensibilización en materia de SRS y los posibles riesgos. El Grupo de Trabajo fomenta investigaciones complementarias sobre la manera de solucionar las dificultades que rodean la comprobación de la edad requerida y la prueba del consentimiento informado, con el fin de afrontar lo mejor posible estos retos.

Basándose en las consideraciones anteriores, el Grupo de Trabajo opina que una estrategia pluridimensional sería adecuada para abordar la protección de datos de los niños en el contexto de los SRS. Tal estrategia se basaría en:

- iniciativas de sensibilización, fundamentales para garantizar el compromiso activo de los niños (mediante las escuelas, la inclusión en el programa escolar de elementos de protección de datos, la creación de herramientas educativas ad hoc y la colaboración de organismos nacionales competentes);

- un tratamiento justo y legal frente a los menores, por ejemplo no pedir datos sensibles en el formulario de registro, no realizar comercialización directa destinada específicamente a los menores, el acuerdo previo de los padres antes del registro, así como grados adecuados de separación lógica entre las comunidades de niños y de adultos;

- la instauración de tecnologías que mejoren la protección de la intimidad, es decir, parámetros por defecto respetuosos de la intimidad, ventanas emergentes de advertencia en fases adecuadas, así como programas informáticos de verificación de la edad;

- la autorregulación de los proveedores con el fin de fomentar la adopción de códigos de buenas prácticas que deberían incluir medidas de ejecución eficaces y sanciones disciplinarias;

- en caso necesario, medidas legislativas ad hoc para desalentar prácticas desleales y/o fraudulentas en el contexto de los SRS».

2. Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes, de 27 de febrero de 2013:

«Los niños son ávidos usuarios de aplicaciones, ya sea en dispositivos propios o en dispositivos compartidos (con sus padres, sus hermanos o en un centro educativo), y existe claramente un gran mercado de aplicaciones diversas destinadas a ellos. Pero, al mismo tiempo, los niños apenas comprenden o conocen, si es que lo hacen en absoluto, el alcance y la sensibilidad de los datos a que las aplicaciones pueden acceder, o el alcance de los datos compartidos con terceros para fines publicitarios.

El grupo de trabajo ha abordado ampliamente la cuestión del tratamiento de datos sobre niños en su dictamen 2/2009 sobre la protección de los datos personales de los niños, por lo que en este apartado solo se aborda una serie de riesgos y recomendaciones específicos de las aplicaciones.

Los desarrolladores de aplicaciones y otros responsables del tratamiento de datos deben prestar atención al límite de edad que define a los niños y los menores de edad en las legislaciones nacionales, donde el consentimiento parental al tratamiento de datos es una condición previa para que las aplicaciones traten datos de forma lícita.

Cuando el consentimiento puedan darlo legalmente los menores y la aplicación esté destinada a niños o menores, el responsable del tratamiento de datos debe prestar atención a las posibles limitaciones de comprensión y atención de los menores sobre dicho tratamiento. Debido a su vulnerabilidad general, y teniendo en cuenta que los datos personales deben tratarse de manera justa y lícita, los responsables del tratamiento de datos sobre niños deben respetar de forma aún más rigurosa el principio de minimización de datos y limitación de la finalidad. Concretamente, los responsables del tratamiento no deben procesar los datos sobre niños con fines de publicidad comportamental, ni directa ni indirectamente, por quedar esto fuera del ámbito de comprensión del niño y, por tanto, exceder de los límites de tratamiento lícito.

El grupo de trabajo comparte las preocupaciones expresadas por la Comisión Federal de Comercio en su informe sobre las aplicaciones móviles para niños.

Los desarrolladores de aplicaciones, en colaboración con las tiendas de aplicaciones y los fabricantes de sistemas operativos y dispositivos, deben presentar la información pertinente de manera sencilla y con un lenguaje propio de las edades en cuestión. Asimismo, los responsables del tratamiento de datos deben abstenerse específicamente de toda recogida de datos sobre los padres o familiares del niño usuario, como información financiera o de categorías especiales de información como los datos médicos».

Fuente: página web de la AEPD.