Autor: Juan Francisco Rodríguez Ayuso. Profesor Ayudante Doctor y Coordinador Académico del Máster Universitario en Protección de Datos, Universidad Internacional de La Rioja (UNIR), Av. de la Paz, 137 26006 Logroño, La Rioja, España. ORCID ID: https://orcid.org/0000-0003-4721-1465 Correo Electrónico: juanfrancisco.rodriguez@unir.es
Resumen: El presente estudio ofrece una investigación sistemática, exhaustiva y actualizada de la posición jurídica que ostenta el menor de edad al amparo de la nueva normativa en materia de protección de datos personales, emanada en la actualidad del Reglamento general de protección de datos y de la nueva Ley Orgánica de protección de datos personales y de garantía de los derechos digitales. En concreto, analiza la especial configuración que esta regulación proporciona a los niños como sujetos especialmente protegidos, cuestión que se plasma en diversas obligaciones a cumplir por quienes intervienen como responsables del tratamiento, a fin de otorgar esta protección reforzada.
Entre estas obligaciones, se hace especial incidencia, por su relevancia, en las bases jurídicas concurrentes para poder cumplir con el principio de licitud, analizando aquella que, con mayor preeminencia, afecta a los menores de edad, como sucede con el consentimiento, en especial cuando este debe justificar el tratamiento de datos personales especialmente sensibles, como son los datos de salud, en un contexto de crisis sanitaria como el actual, derivado del COVID-19.
Palabras clave: menor; dato personal; salud; RGPD; COVID-19.
Abstract: This study offers a systematic, exhaustive and updated investigation of the legal position held by minors under the new regulations on personal data protection, currently emanating from the General Data Protection Regulations and the new Organic Law on the Protection of Personal Data and the Guarantee of Digital Rights. Specifically, it analyses the special configuration that this regulation provides to children as specially protected subjects, an issue that is expressed in various obligations to be fulfilled by those who intervene as controllers, in order to grant this reinforced protection. Among these obligations, special emphasis is placed, due to their relevance, on the concurrent legal bases in order to comply with the principle of legality, analysing those that, with greater preeminence, affect minors, as is the case with consent, especially when this must justify the processing of particularly sensible personal data, such as health data, in a context of health crisis such as the current one, derived from the COVID-19.
Key words: minor; personal data; health; RGPD; COVID-19.
Sumario:
I. Introducción.
II. Alusiones a los menores de edad en la nueva normativa en materia de protección de datos personales.
III. Tratamiento legítimo de datos personales de menores de edad: el consentimiento del interesado, en especial cuando afecta a información especialmente sensible.
Referencia: Actualidad Jurídica Iberoamericana Nº 13, agosto 2020, ISSN: 2386-4567, pp. 1004-1023.
Revista indexada en SCOPUS, REDIB, ANVUR, LATINDEX, CIRC, MIAR.
I. INTRODUCCIÓN
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento general de protección de datos o RGPD) regula los datos personales relativos a los menores de edad, partiendo, en gran medida, del régimen contemplado en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, DPDP), enriqueciéndolo con determinados criterios aportados por el Grupo de Trabajo del Artículo 29 y por el Tribunal de Justicia de la Unión Europea. A su vez, y al objeto adaptar el ordenamiento jurídico español al Reglamento general de protección de datos y completar sus disposiciones, surge la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD), que, en virtud de su disposición derogatoria única, deroga la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personales (en adelante, LOPD) y el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, además de cuantas disposiciones de igual o inferior rango contradigan se opongan o resulten incompatibles con lo dispuesto en el RGPD y la presente LOPDGDD; esta nueva Ley Orgánica también se pronunciará de forma específica y relevante sobre los tratamientos realizados sobre los datos personales relativos a la salud del interesado.
Cuando hablamos de menores de edad, nos referimos a aquellas personas físicas con edad inferior a los 18 años, toda vez que no se han emancipado desde un punto de vista legal con anterioridad a dicha edad. A lo largo de los últimos años, gran parte de la doctrina se ha decantado por emplear la noción “niños, niñas y adolescentes” para hacer alusión a las personas con menor edad a la antes indicada; no obstante, a lo largo de estas páginas, utilizaremos indistintamente las nociones anteriores, al igual que las nociones “menor de edad” o, simplemente, “menor”.
También el Grupo de Trabajo del Artículo 29, al hablar de los niños, los define a los mismos como aquellos seres humanos en el sentido exacto de la palabra. Precisamente por ello, un menor de edad deberá disfrutar de todos los derechos que corresponden a una persona, donde se incluye, obviamente, el derecho fundamental a la protección de sus datos personales.
En este sentido, ha sido el art. 8 RGPD el que ha incluido, por primera vez en el marco normativo comunitario, una alusión específica a la protección de datos personales de menores de edad. En este sentido, ni la DPDP derogada ni la Directiva 2002/58/CE, de 11 de julio, sobre la privacidad y las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), incluían mención específica alguna al supuesto de los menores de edad.
Pese a que con anterioridad a la nueva normativa en materia de protección de datos personales no se incluyera una regulación específica de esta cuestión, ello no nos permite afirmar que, a lo largo de todo este intervalo de tiempo, el tratamiento de los datos personales de los niños haya estado en una situación de indefinición jurídica. Y ello porque los menores de edad siempre han contado con el derecho a la intimidad y a la protección de datos personales en su condición inmanente de personas físicas, personas a las que la normativa siempre se ha aplicado y aplicará, sin distinción alguna. En consecuencia, los principios generales contemplados en la regulación anterior han venido siendo de aplicación a todos los casos en los que intervenían menores de edad.
En cualquier caso, y con independencia de lo anterior, huelga decir que la nueva normativa en materia de protección de datos personales será de aplicación a todos los menores de edad, sean o no de nacionalidad europea, con independencia de cuál sea su situación jurídica o legal en el ámbito de la Unión Europea. En este sentido, el apartado primero del art. 4 RGPD, al hacer alusión al concepto de interesado, no establece distinción o diferenciación alguna en atención a la nacionalidad o situación en que se encuentre la persona física objeto de análisis. Esto presenta una importancia específica si atendemos a las situaciones, cada vez más frecuentes, de menores de edad procedentes de territorios no comunitarios, aspecto este de gran relevancia.
En cualquier caso, aunque tanto el RGPD como la LOPDGDD incluyen preceptos relacionados con el tratamiento de datos personales de menores de edad, son numerosas las alusiones efectuadas a niños al analizar otros asuntos. Todas estas alusiones encuentran su justificación en que estos preceptos no persiguen realizar una regulación íntegra del tratamiento de datos personales relativos a niños (motivo por el cual es necesario integrar las previsiones de este artículo con el resto de la normativa en materia de protección de datos personales), sino que, únicamente, abordan un análisis de aquellas condiciones que resultan de aplicación al consentimiento de los menores de edad y siempre que el mismo se produzca en el ámbito concreto de los servicios de la sociedad de la información.
II. ALUSIONES A LOS MENORES DE EDAD EN LA NUEVA NORMATIVA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
Son varias las referencias que, a lo largo de la nueva normativa comunitaria en materia de protección de datos personales, se realizan a los menores de edad. Más concretamente, estas referencias se contienen en los considerandos 38, 58, 65 y 75, además de en la letra f) del apartado primero del art. 6, el apartado primero del art. 12, la letra g) del apartado segundo del art. 40 y la letra b) del apartado primero del art. 57, todos ellos del Reglamento general de protección de datos. Por su parte, también se aportarán aspectos relativos a los menores de edad en los arts. 84 y 92, además de en la Disposición adicional 19ª, todos ellos de la nueva Ley Orgánica de protección de datos. Todo ello obviando, por evidente, la contenida en los arts. 8 RGPD y 7 LOPDGDD, a los que nos referiremos más delante de manera pormenorizada.
En la primera de estas referencias, el considerando 38 RGPD, se encuentra, al final, una excepción al consentimiento prestado por quien ejerce la patria potestad o tutela sobre el niño. De acuerdo con este considerando, el consentimiento prestado por el titular de la patria potestad o tutela no habrá de ser indispensable en el marco de servicios de carácter preventivo o de asesoramiento, propuestos de un modo directo a los menores de edad.
Por su parte, conectado de un modo inmanente al principio de transparencia recogido en el art. 5.1.a) RGPD, se encuentra el considerando 58 RGPD, que, al analizar el conjunto de circunstancias que habrán de ser informadas a los interesados, contempla que, cuando esta información abarque tratamientos que aluden a menores de edad, será necesario que se les proporcione esta información en un lenguaje claro y sencillo, que resulte claramente accesible al niño.
En tercer lugar, el considerando 65 RGPD, refiriéndose al derecho de supresión, contempla el supuesto del consentimiento prestado por el menor de edad en su día y que, con carácter ulterior, pretende ser suprimido por este. En este contexto, indica dicho considerando que el interesado habrá de poder contar con esta facultad aun cuando, en el momento de ejercitar el derecho precitado, ya hubiera alcanzado los 18 años de edad.
Un último análisis en lo que a los considerandos de la normativa comunitaria sobre protección de datos personales se refiere nos lleva a analizar el considerando 75 RGPD.
Una de las novedades que incorpora el Reglamento general de protección de datos es la perspectiva del riesgo, en virtud de la cual será necesario realizar un análisis de riesgos previo al tratamiento para poder determinar el conjunto de medidas de seguridad adecuadas a ese tratamiento. En este sentido, el supra citado considerando establece una serie de aspectos que pueden conllevar situaciones de riesgo en relación con el tratamiento de los datos personales del interesado, aludiendo, entre estas situaciones o aspectos concretos, a aquellos tratamientos que afecten a personas especialmente vulnerables, en particular a menores de edad.
Esto guarda relación con lo dispuesto en el art. 9 RGPD, que regula el tratamiento de categorías especiales de datos personales, donde, pese a lo dispuesto anteriormente, no se realiza alusión alguna a los datos personales relativos al niño, lo que nos lleva a afirmar que los datos personales de menores de edad no tendrán la consideración de categorías especiales de datos personales, con independencia de que este tipo de tratamientos se halle sujeto a determinadas especificidades que buscan proteger con mayor intensidad los derechos que corresponden a esta categoría especial de interesados. Ello nos permitiría afirmar que, conectado con los arts. 5.2 y 24 RGPD (que regula la responsabilidad del responsable del tratamiento), será preciso que este adopte medidas técnicas y organizativas adecuadas para proteger, cumplir y poder demostrar el cumplimiento del tratamiento realizado sobre los datos personales de menores de edad en relación con la nueva normativa en materia de protección de datos personales.
En cuanto a los artículos, el primero de ellos es el art. 6 RGPD, cuya letra f), ubicada en su apartado primero, alude al tratamiento imprescindible para poder satisfacer intereses legítimos perseguidos por el responsable del tratamiento, siendo, en estos casos, necesario que tales intereses legítimos nunca predominen sobre los intereses o los derechos y libertades fundamentales del interesado que exijan garantizar con carácter preeminente sus datos personales, en especial en aquellos casos en que estemos en presencia de menores de edad. En definitiva, el responsable del tratamiento podrá legitimar el tratamiento que realice de los datos personales del interesado, incluso cuando este sea un niño, con base en el interés legítimo perseguido, siempre que este interés legítimo nunca prevalezca sobre aquel que corresponde al interesado, en especial cuando este interesado sea una persona especialmente vulnerable, como puede ser un menor de edad.
Sin embargo, esta base jurídica encuentra una excepción en aquellos casos en que el tratamiento sea realizado por autoridades públicas en el desempeño de las funciones que le son propias. En este caso, se entiende que, aun tratándose de menores de edad, podría no operar la salvaguarda de protección prevista en el inciso final del art. 6.1.f) RGPD, de modo que, cuando el responsable del tratamiento sea una autoridad pública y esté desempeñando las funciones que le corresponden, prevalecerá con carácter general el interés legítimo perseguido por dicha autoridad en lugar del interés legítimo del interesado, en este caso, del menor de edad.
E segundo se encuentra en el apartado primero del art. 12 RGPD, que regula la transparencia a la hora de proporcionar información acerca de las circunstancias que rodean el tratamiento de los datos personales y los derechos que corresponden al interesado. Pues bien, este apartado primero dispone que la información a facilitar al interesado habrá de ser especialmente concisa, transparente, inteligible, de fácil acceso y con un lenguaje claro y sencillo cuando el interesado sea un menor de edad.
El tercero se ubica en la letra g) del apartado segundo del art. 40 RGPD, que, conectado con el punto anterior, establece que la información a suministrar a los menores de edad y la protección que sobre los mismos habrá de recaer, así como el modo de recabar el consentimiento de quiénes ejercen como titulares de la patria potestad o tutela sobre el menor, constituye uno de los aspectos que el Reglamento general de protección de datos busca incorporar en los códigos de conducta que, de conformidad con dicho precepto, habrán de promover los distintos países que integran la Unión Europea, las autoridades de control, el Comité y la Comisión (en esta línea se encontraría el art. 38 LOPDGDD).
Por último, la letra b) del apartado primero del art. 57 RGPD, al hablar de las funciones que corresponden a la autoridad de control, establece que, con independencia de cualesquiera otras que se les atribuyen en otros apartados de la normativa, habrán de ser un total de 22, de entre las cuales se incluye, en lo que aquí interesa, una segunda, que hace especial referencia a la atención que habrá de mostrarse en aquellas actividades encaminadas de modo específico a los menores de edad con efecto de facilitar su mejor sensibilización y comprensión en torno a los riesgos, normas, garantías y derechos relacionados con el tratamiento de sus datos personales.
Por su parte, en nuestro ordenamiento jurídico interno, encontramos, en primer lugar, el art. 84 LOPDGDD, que establece que los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, con el objetivo de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales. De igual modo, la utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
Por su parte, el art. 92 LOPDGDD añade que los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de los mismos a través de servicios de la sociedad de la información. Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el art. 7 de esta ley orgánica.
Por último, la disposición adicional decimonovena de la LOPDGDD concluye indicando que, en el plazo de un año desde la entrada en vigor de esta ley orgánica, el Gobierno remitirá al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre ellos es ejercida mediante el amparo de las nuevas tecnologías.
En definitiva, como hemos podido observar en las líneas anteriores, son numerosas las alusiones y referencias que, en orden a proteger los derechos y libertades del interesado menor de edad, se establecen en la nueva normativa en materia de protección de datos personales, otorgando y garantizando una mejor conservación a esta categoría especial de interesados.
De todo ello, se deduce la necesidad, por parte de las instituciones comunitarias, de proteger los datos personales de los menores de edad por medio de la aplicación de una serie de principios que habrán de estar vigentes a la hora de obtener los datos personales correspondientes a este grupo de interesados. Estos principios básicos son los siguientes:
a) Los niños no podrán proporcionar información personal relativa a otros interesados.
b) Para poder realizar transferencias de datos personales correspondientes a menores de edad a terceros países u organizaciones internacionales, será preciso recabar el previo consentimiento, explícito y demostrable, de quienes ejercen la patria potestad o tutela sobre el niño.
c) Está prohibido inducir a los menores de edad al proporcionar información de carácter personal a través de la consecución de premios o alicientes de naturaleza similar.
d) Será necesario acotar temporalmente la validez del consentimiento prestado por quienes ejercen la patria potestad o tutela sobre el niño (normalmente, hasta que este alcance los 14 años exigidos por el art. 7 LOPDGDD).
III. TRATAMIENTO LEGÍTIMO DE DATOS PERSONALES DE MENORES DE EDAD: EL CONSENTIMIENTO DEL INTERESADO, EN ESPECIAL CUANDO AFECTA A INFORMACIÓN ESPECIALMENTE SENSIBLE
La noción de consentimiento encierra una de las más relevantes novedades que trae consigo el nuevo marco regulador sobre protección de datos. Así, mientras que la Directiva anterior entendía por consentimiento toda manifestación de voluntad libre, específica e informada, mediante la que el interesado consentía el tratamiento de sus datos personales [art. 2.h) DPDP], el RGPD se refiere al consentimiento como toda manifestación de voluntad, libre, específica, informada e inequívoca, por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales [art. 4.11) RGPD]; de este modo, incorpora el adjetivo inequívoco y, aún más relevante, introduce la obligación de que el consentimiento se exteriorice mediante una declaración o una clara acción afirmativa.
En la misma línea, el considerando 32 RGPD establece que el consentimiento ha de producirse a través de un acto afirmativo evidente, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal, aclarando que esta exigencia puede entenderse cumplida, entre otros supuestos, marcando una casilla en un sitio web, seleccionando parámetros de naturaleza técnica que determinen el empleo de servicios de la sociedad de la información o por medio de cualquier otra declaración o conducta que ponga de manifiesto, a las claras, que el interesado está conforme con el tratamiento propuesto de sus datos personales para el cumplimiento de una finalidad determinada, explícita y legítima por el responsable del tratamiento. En consecuencia, no podrá entenderse que el consentimiento se ha prestado de un modo válido si las casillas anteriores ya están señaladas previamente, si el interesado se mantiene en silencio o si no ejecuta acción alguna que ponga de manifiesto esta aquiescencia.
Junto a ello, se fortalece la necesidad de que el interesado preste su consentimiento para una finalidad específica, de tal forma que, cuando sean varias las finalidades comunicadas, el consentimiento tendrá que proporcionarse de manera individual en relación con cada una de ellas. Con ello, se busca que el responsable del tratamiento pueda demostrar (principio de responsabilidad proactiva o accountability) que el interesado prestó su consentimiento al tratamiento de sus datos para la finalidad indicada, finalidad que habrá de informarse de forma clara, sencilla, concisa y sin alterar de un modo innecesario la utilización del servicio en relación con el cual es prestado.
El art. 8 RGPD regula las condiciones que resultan aplicables al consentimiento del menor de edad en relación con los servicios de la sociedad de la información como base jurídica para el tratamiento de los datos personales que le corresponden. De acuerdo con este precepto, cuando el consentimiento esté relacionado con la realización de una oferta directa a menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales del niño será legítimo siempre y cuando este tenga una edad superior a los 16 años; de tener una edad inferior, dicho tratamiento tan sólo se considerará legítimo si el consentimiento en que se basa fue prestado por el titular de la patria potestad o tutela sobre el menor de edad y únicamente en la medida en que se dio o autorizó. En concreto, señala este precepto cuanto sigue a continuación:
“1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño”.
En cualquier caso, este artículo otorga a los Estados miembros la facultad de modificar esta edad mínima a través de una ley interna, siempre y cuando la misma no sea inferior a los 13 años. Al amparo de esta previsión, nace el art. 7 de la nueva LOPDGDD, que altera esta edad mínima, en términos generales, a 14 años y lo hace en los siguientes términos:
“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela”.
Así las cosas, la normativa en vigor en materia de protección de datos hace una distinción entre los siguientes posibles supuestos:
En primer lugar, aquellos casos en los que el menor de edad tiene una edad inferior a 18 años y más de 16 años, en cuyo caso podrá otorgar su consentimiento, de tal manera que, de prestarlo, el tratamiento que de sus datos personales realice el responsable del tratamiento será legítimo [arts. 6.1.a) y 9.2.a), ambos del RGPD, y 7 LOPDGDD].
En segundo lugar, aquellos otros supuestos de menores de edad de menos de 16 años, que no podrán prestar de un modo válido su consentimiento. En estos casos, el consentimiento válido, en su nombre, deberá prestarlo el titular de la patria potestad o tutela sobre el menor de edad.
En tercer lugar, los casos de menores de menos de 16 años y mayores de 13 años, quienes estarán facultados para prestar su consentimiento de un modo eficaz si así lo establecen los Estados miembros a nivel interno, como sucede en nuestro país, al amparo, repetimos, del art. 7 de la nueva LOPDGDD.
En cuarto y último lugar, los niños que tengan menos de 13 años, quienes, en ningún caso, estarán habilitados para poder prestar su consentimiento de un modo válido conforme a la ley para el tratamiento de sus datos personales, ni siquiera en el supuesto en el que la ley nacional de un Estado miembro de la Unión Europea lo implantara, ya que esta previsión se entendería contraria a lo establecido en el apartado segundo del art. 8 RGPD.
Pese a todo lo anterior, debemos tener siempre presente que, con carácter general, prevalecerá el interés superior del menor. Ello quiere decir que, en supuestos de conflicto (por ejemplo, en aquellos casos en los que el titular de la patria potestad o tutela sobre el menor de edad preste su consentimiento en nombre del niño interesado para un tratamiento de los datos personales de este que es claramente pernicioso para los intereses del menor), habrán de habilitarse aquellos mecanismos contemplados en cada Estado miembro para proteger el interés, repetimos, superior, del niño.
En cualquier caso, echamos de menos en este art. 8 RGPD alguna previsión en relación con el consentimiento prestado por el menor de edad o por el titular de la patria potestad o tutela sobre el niño cuando no estemos ante un supuesto de oferta de un servicio de la sociedad de la información, como sí hace el art. 7 LOPDGDD. En este caso, deja la duda de si podría aplicarse para estos supuestos también el contenido de este precepto o no, y, en este último caso, qué respuesta podría darse, si análoga o no, a lo que dispone dicho art. 8 RGPD, duda que desaparece con la entrada en vigor de la LOPDGDD. En cualquier caso, en nuestra opinión, no parece ser voluntad del legislador comunitario dejar al margen todos aquellos supuestos que puedan concurrir y que respondan a un consentimiento del menor, al margen de una oferta de servicios de la sociedad de la información; es verdad que hubiera sido muy recomendable que, en el contenido específico del art. 8 RGPD, se hubiera hecho constar esta circunstancia, si bien, como decíamos, por extensión o aplicando una regla de analogía a dicho contenido, podríamos entender aplicable el art. 8 RGPD a situaciones semejantes. En definitiva, a pesar de que la nueva normativa en materia de protección de datos personales aluda de un modo específico tan sólo a los servicios de la sociedad de la información, no resultaría adecuado entender que, con ello, se estarían quedando fuera del marco regulador otros tantos supuestos, ciertamente semejantes y necesitados también de regulación.
Tampoco se incluye el supuesto que nos permita saber qué sucede con el consentimiento cuando es prestado por el titular de la patria potestad o tutela sobre el niño en un momento anterior a que este alcance la mayoría de edad, cuando este, inmediatamente después, la alcanza. Desconocemos, salvo que realicemos una labor interpretativa, qué sucedería con este consentimiento, es decir, si sería necesario volver a recabar el consentimiento, esta vez directamente del menor, o sería posible prorrogar los efectos del consentimiento manifestado por el titular de la tutela o patria potestad sobre el que, por entonces, era niño. No obstante, entendemos que, lo lógico, sería volver a recabar el consentimiento, ya del interesado, para poder seguir tratando sus datos personales.
Una vez analizados los contornos esenciales del consentimiento de los menores de edad, procede incidir en aquellos casos en los que el tratamiento de estos sujetos incide en datos de salud, como sucede, en la actualidad y con carácter preeminente, con los derivados de la crisis sanitaria actual en que consiste el COVID-19. En estos supuestos, el tratamiento versaría sobre categorías especiales de datos cuya titularidad corresponde a sujetos especialmente vulnerables, lo que incrementa sustancialmente el riesgo, a mitigar mediante la aplicación de medidas técnicas y organizativas que garanticen, sobre la base del art. 32 RGPD, la integridad, disponibilidad y confidencialidad de la información.
Estaríamos ante tratamientos implementados y que, de forma indirecta a la atención hospitalaria de los pacientes menores de edad, requieren analizar información personal. En concreto, información relativa a su salud como medida de control, prevención y atención de una circunstancia excepcional, como la actual, de emergencia sanitaria de alcance general.
Al respecto, un buen punto de partida exige determinar aquellas personas, físicas o jurídicas, que deben actuar como responsables del tratamiento en materia de privacidad en el contexto de la pandemia. La respuesta a este interrogante exige analizar, con carácter previo, qué fines van a requerir el tratamiento de tales categorías especiales de datos (art. 9.1 RGPD) y qué sujetos serán los encargados de concretar el propósito perseguido y el conjunto de medios a emplear para alcanzarlo.
Por lo que respecta al primero de los puntos, resulta palmario que todos los fines habrán de encontrarse imbricados de forma directa con la protección de la integridad física o moral del interesado en cuanto personas físicas identificadas o identificables, merced a la atención de la infección provocada, en este caso, por el virus. En consecuencia, esencial será atender a quienes, repetimos, deberán articular los mecanismos que resulten útiles y pertinentes para el logro de tales y loables objetivos.
En mi opinión, y aun cuando son múltiples los pronunciamientos habidos de contrario por parte de entidades tan relevantes en materia de protección de datos como la autoridad de control de Francia, el Reglamento general de protección de datos habilita de forma plena en tales supuestos a los organismos públicos (personificados en los centros hospitalarios, el Ministerio de Sanidad o el Instituto Nacional de Estadística) a proceder al tratamiento, en cuanto responsables, de información personal de infectados o en riesgo de estar infectados, con la finalidad de impedir que el COVID-19 se propague y se consiga garantizar, de este modo, la defensa de la vida de cada uno de ellos. No cabe extraer una conclusión diferente si queremos que la misma tenga coherencia con el espíritu de la regulación, que no es sino dar respuesta a una situación de excepcionalidad con recursos limitados, en el que todos los sujetos tenemos el deber de coadyuvar a su solución y en la que resulta necesario garantizar el derecho fundamental de los ciudadanos a la protección de sus datos personales, huelga decirlo, siempre que esto no obstaculice en modo alguno su salud, pues, parece evidente, será difícil proteger la intimidad de aquel que no puede vivir para gozar de ella.
Así las cosas, proceder a analizar la legitimación en el tratamiento de este tipo de datos lleva aparejado el estudio de las causas de licitud establecidas en el art. 6 RGPD, de entre las cuales se encuentra, en primer lugar, el precitado consentimiento. En concreto, y aunque suele haber confusión en este punto, es necesario, en primer lugar, determinar la posible concurrencia de alguna base jurídica de las previstas en dicho precepto en orden a establecer si el tratamiento es legítimo, como presupuesto imprescindible para, únicamente a posteriori, concluir si, amén de lo anterior, incide alguno de los supuestos excepcionales previstos en el art. 9.2 RGPD que permitirían levantar la prohibición general de tratamiento de categorías especiales de datos personales conforme al art. 9.1 RGPD; con carácter previo, todo apunta a sostener que la garantía, constitucionalmente protegida, de la vida, la salud y la dignidad del ser humano se encontraría del todo alejada de cualquier finalidad discriminatoria que inspira el tenor de este apartado primero del art. noveno del Reglamento general de protección de datos.
Por ello, tendiendo a la secuencia contenida en la regulación (que no conlleva preeminencia alguna de las bases jurídicas, ya que cada una presenta el mismo fin que las demás y puede alcanzarlo de igual forma), tenemos que aludir, primeramente y en lo que aquí interesa, al consentimiento del interesado a que se trate su información personal [art. 6.1.a) RGPD], el cual tendrá que ser explícito para poder superar la prohibición general que, como dijimos, impide el tratamiento de categorías especiales de datos personales y, en este caso, de datos de salud [art. 9.2.a) RGPD]. Por este motivo, de todas las formas que puede revestir el consentimiento, sólo resultará factible la declaración expresa, no la clara acción afirmativa, como medio para considerar proporcionado el consentimiento de forma válida.
El pasado mes de marzo, el Ministerio de Sanidad promulgó la Orden SND/297/2020, por la que se encomienda a la Secretaría de Esta-do de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, estableciendo múltiples acciones que buscan coadyuvar a la solución de la pandemia. De tales acciones, destaca la implementación de herramientas tecnológicas y aplicaciones para dispositivos móviles que buscan recopilar información con la finalidad de aumentar la eficacia operativa de los servicios sanitarios, amén de conseguir mejorar la atención y que sea más accesible por los interesados.
Más concretamente, determina la conveniencia de establecer un software de carácter público que, sobre la base del consentimiento explícito del titular (menor de edad, en este caso) de los datos personales (son, por ende, voluntarias), permitirá autoevaluarle, por medio del análisis de los síntomas médicos que ponga de manifiesto, indicándole cuán probable es que esté infectado por el coronavirus, ofreciéndole información sobre aspectos básicos relacionados con la epidemia y una serie de consejos que poder implementar, junto con la opción de geolocalizar al interesado para comprobar que está físicamente en el lugar en el que ha declarado estar. En estos casos, el responsable del tratamiento será el Ministerio de Sanidad, mientras que el encargado del tratamiento será la Secretaría General de Administración Digital (arts. 28 RGPD y 33 LOPDGDD).
Por último, contempla igualmente, sobre la base del mismo consentimiento de aquel que tenga dudas que tengan relación con el COVID-19, el desarrollo de un asistente conversacional/chatbot que podrá ser empleado por medio de aplicaciones de mensajería instantánea y que suministrará datos oficiales. El responsable del tratamiento será igualmente el Ministerio de Sanidad, mientras que, aquí, el encargado del tratamiento será la Secretaría de Estado de Digitalización e Inteligencia Artificial mediante la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales.
Ya en el ámbito privado, también se están produciendo iniciativas tecnológicas que tienen por finalidad el seguimiento de contactos para identificar y alertar a las personas que han estado en contacto con alguien infectado por coronavirus y que se harán depender del consentimiento de los interesados. Es el caso, entre otras, de la solución conjunta llevada a cabo por Apple y Google.
También podrán verse amparadas en el consentimiento del interesado, por último, las investigaciones científicas que, sobre datos personales de salud de los interesados menores de edad, pueden implementarse para luchar contra la pandemia. Así lo establece, al amparo del art. 9.2.j) RGPD, la disposición adicional decimoséptima, apartado 2.a), LOPDGDD. Este precepto comunitario permite el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el art. 89.1 RGPD, sobre la base del Derecho nacional o comunitario, que deberá ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
