Inicio
Protección de datos
Marginales
¿Qué obligaciones tienen el responsable y el encargado de tratamiento de datos p...los menores de edad?
Inicio
Protección de datos
Marginales
¿Qué obligaciones tienen ...s de edad?
Ver Indice
»

Última revisión
29/09/2023

datos

1520 - ¿Qué obligaciones tienen el responsable y el encargado de tratamiento de datos personales respecto a los menores de edad?

Tiempo de lectura: 11 min

Tiempo de lectura: 11 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 28/03/2023

Resumen:

El artículo 28 de la LOPDGDD y el RGPD hacen referencia a las obligaciones de los responsables y encargados de tratamiento de datos respecto a los menores de edad, como la designación de un delegado de protección de datos y la evaluación de mayores riesgos que pueden generarse. Esto se aplica, entre otras entidades, en colegios profesionales, universidades, entidades de crédito, entidades aseguradoras, prestadores de servicios de la sociedad de la información, entidades de prevención de fraude y lavado de dinero, entidades que realizan publicidad o prospección comercial y centros sanitarios.

Obligaciones respecto de datos personales de grupos de afectados en situación de vulnerabilidad

Artículo 28 de la LOPDGDD

«1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación».

Pues bien, los responsables y encargados del tratamiento fijarán las medidas técnicas y organizativas pertinentes para garantizar y acreditar que el tratamiento se adecua a lo dispuesto en:

  • El RGPD.
  • La LOPDGDD.
  • Normas de desarrollo.
  • Legislación sectorial aplicable.

En concreto, estimaran la procedencia de realizar:

  • La evaluación de impacto de la protección de datos.
  • Una consulta previa.

Además, los responsables y encargados del tratamiento tendrán en cuenta los peligros existentes en los siguientes casos:

a. Situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b. Privación a los afectados de sus derechos y libertades o posibles impedimentos en el ejercicio del control sobre sus datos personales.

c. Tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del RGPD y 9 y 10 de la LOPDGDD o de los datos relacionados con la comisión de infracciones administrativas.

d. Tratamiento que implica una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos.

e. Tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad (menores de edad y personas con discapacidad).

f. Tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g. Los datos personales fuesen a ser objeto de transferencia, de manera ordinaria, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h. Otros que a juicio del responsable o del encargado pudieran tener relevancia (previstos en códigos de conducta y estándares definidos por esquemas de certificación).

Designación de un delegado de protección de datos

Artículo 34 de la LOPDGDD

«1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.

5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados».

En síntesis, los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los casos establecidos en el apartado primero del artículo 37 del RGPD y, en todo caso, en las siguientes entidades:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, exceptuando los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Sin embargo, los responsables o encargados del tratamiento no incluidos en punto anterior podrán designar, de manera voluntaria, un DPD que quedará sujeto a:

Además, en cumplimiento de las obligaciones establecidas en el artículo 34 de la LOPDGDD, los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros, en función de los siguientes criterios:

  • El volumen de los tratamientos.
  • La categoría especial de los datos tratados.
  • Los riesgos para los derechos o libertades de los interesados.

 CUESTIONES

1. ¿Qué es un delegado de protección de datos (DPD)? 

Conocido popularmente como «Data Proteccion Officer» o DPO, la Agencia Española de Protección de Datos lo define como uno de los elementos claves del RGPD y un garante de la normativa de protección de datos en las organizaciones, pero sin substituir las funciones que desarrollan las autoridades de control. 

2. ¿Qué deberán comunicar los responsables y encargados del tratamiento a la AEPD?  ¿Y en qué plazo?

Según el apartado tercero del artículo 34 de la LOPDGDD: «Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria».

En este sentido, la AEPD y las autoridades autonómicas, en el ámbito de sus competencias, mantendrán «una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos».

3. ¿A efectos sancionatorios es relevante que se afecte el derecho de los menores?

Las sanciones establecidas en el artículo 83 apartados 4, 5 y 6 del RGPD se aplicarán estimando los criterios de graduación dispuesto en el apartado segundo del referido precepto.

También, de conformidad con lo estipulado en la letra k) del apartado segundo del antedicho artículo, podrán tenerse en cuenta los siguientes (artículo 76, apartados 1 y 2, de la LOPDGDD):

«a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado».

A TENER EN CUENTA. El Gobierno, en colaboración con las comunidades autónomas, elaborará un Plan de Acceso a Internet y, asimismo, se aprobará un Plan de Actuación dirigido a promover las acciones de formación, difusión y concienciación necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la información equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales (artículo 97, apartados 1 y 2, de la LOPDGDD).