Juan Francisco Rodríguez Ayuso

Control de la identidad de los ciudadanos en el acceso a servicios públicos: la administración electrónica y la defensa de la privacidad

 22/07/2021
 Compartir: 

El objetivo principal del presente estudio de investigación consiste en ofrecer un análisis sistemático del consentimiento en aquellos tratamientos de datos personales de menores de edad al amparo del Reglamento general de protección de datos y en la Ley Orgánica de Protección de Datos Personales y de Garantía de Derechos Digitales. En concreto, además de profundizar en el consentimiento como base jurídica fundamental, se diseccionan los contornos esenciales de la firma electrónica como instrumento más idóneo para garantizar la prestación de este consentimiento, haciendo especial énfasis en las singularidades que ello presenta cuando quienes intervienen como responsables del tratamiento son las Administraciones Públicas.

JUAN FRANCISCO RODRÍGUEZ AYUSO es Profesor de Derecho Administrativo y Coordinador Académico del Máster Universitario en Protección de Datos en la Universidad Internacional de La Rioja (UNIR)

El artículo se publicó en el número 57 de la Revista General de Derecho Administrativo (Iustel, mayo 2021)

I. INTRODUCCIÓN

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (1) (en adelante, Reglamento general de protección de datos o RGPD) regula los datos personales relativos a los menores de edad de forma novedosa, toda vez que esta cuestión no encontraba alusión específica en la normativa precedente, emanada, en gran medida, del régimen contemplado en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(2) (en adelante, DPDP).

A su vez, y al objeto adaptar el ordenamiento jurídico español al Reglamento general de protección de datos y completar sus disposiciones, surge la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales(3) (en adelante, LOPDGDD) , que, en virtud de su Disposición derogatoria única , deroga la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personales (4) (en adelante LOPD) y el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (5), además de cuantas disposiciones de igual o inferior rango contradigan se opongan o resulten incompatibles con lo dispuesto en el RGPD y la presente LOPDGDD(6). Esta nueva Ley Orgánica también se pronunciará de forma específica y relevante sobre los tratamientos especiales realizados sobre los datos personales relativos a los menores de edad.

Si atendemos a los instrumentos internacionales más relevantes, cuando hablamos de menores de edad, estamos refiriéndonos a aquellas personas físicas con edad inferior a los 18 años, toda vez que no se han emancipado desde un punto de vista legal con anterioridad a dicha edad(7). A lo largo de los últimos años, gran parte de la doctrina(8) se ha decantado por emplear la noción niños, niñas y adolescentes para hacer alusión a las personas con edad inferior a los 18 años; no obstante, a lo largo de estas páginas, utilizaremos indistintamente las nociones anteriores, al igual que las nociones menores de edad o, simplemente, menor.

También el Grupo de Trabajo del Artículo 29(9) define a los mismos como aquellos seres humanos en el sentido exacto de la palabra (que, además, tenga menos de 18 años)(10). Precisamente por ello, un menor de edad deberá disfrutar de todos los derechos que corresponden a una persona, donde se incluye, obviamente, el derecho fundamental a la protección de sus datos personales(11).

En este sentido, ha sido el artículo 8 RGPD el que ha incluido, por primera vez en el marco normativo comunitario, una alusión específica a la protección de datos personales de menores de edad. En este sentido, ni la Directiva derogada ni la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)(12), incluían mención específica alguna al supuesto de los menores de edad. Más allá de ello, en España, y sobre la base de dicho precepto del RGPD, nacerán otros tantos que vendrán a explicitar el contenido, algo más genérico, del artículo comunitario; estos serán, en esencia, los artículos 7 , 84 y 92 , además de la Disposición adicional 19ª , todos ellos, repetimos, de la nueva LOPDGDD.

De acuerdo con este precepto comunitario, que regula explícitamente las Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información:

“1. Cuando se aplique el artículo 6, apartado 1, letra a) , en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño”.

Pese a que con anterioridad a la nueva normativa en materia de protección de datos personales no se incluyera una regulación específica de esta cuestión, ello no nos permite afirmar que, a lo largo de todo este intervalo de tiempo, el tratamiento de los datos personales de los niños haya estado en una situación de indefinición jurídica, toda vez que los menores de edad siempre han contado con el derecho a la intimidad y a la protección de datos personales en su condición inmanente de personas físicas, personas a las que la normativa siempre se ha aplicado y aplicará, sin distinción alguna(13). En consecuencia, los principios generales contemplados en la regulación anterior han venido siendo de aplicación a todos los casos en los que intervenían menores de edad.

Con independencia de lo anterior, huelga decir que la nueva normativa en materia de protección de datos personales será de aplicación a todos los menores de edad, sean o no de nacionalidad europea, con independencia de cuál sea su situación jurídica o legal en el ámbito de la Unión Europea(14). En este sentido, el apartado primero del artículo 4 RGPD(15), al hacer alusión al concepto de interesado, no establece distinción o diferenciación alguna en atención a la nacionalidad o situación en que se encuentre la persona física objeto de análisis; esto, en el caso concreto que ahora analizamos, presenta una importancia específica si atendemos a las situaciones, cada vez más frecuentes, de menores de edad procedentes de territorios no comunitarios, aspecto este de gran relevancia, si bien se sitúa fuera del alcance de este estudio.

En cualquier caso, concluiremos diciendo que, como tendremos ocasión de analizar, aunque tanto el RGPD como la nueva LOPDGDD incluyan preceptos relacionados con el tratamiento de datos personales de menores de edad, son numerosas las alusiones efectuadas a niños al analizar otros asuntos. Estas alusiones encuentran su justificación toda vez que dichos preceptos no persiguen realizar una regulación íntegra del tratamiento de datos personales relativos a menores (motivo por el cual es necesario integrar las previsiones de este artículo con el resto de la normativa en materia de protección de datos personales), sino que, únicamente, aborda un análisis de aquellas condiciones que resultan de aplicación al consentimiento de los menores de edad y siempre que el mismo se produzca en el ámbito concreto de los servicios de la sociedad de la información(16).

II. LICITUD EN EL TRATAMIENTO DE INFORMACIÓN PRIVADA

El artículo 8 RGPD regula las condiciones que resultan aplicables al consentimiento del menor de edad en relación con los servicios de la sociedad de la información como base jurídica para el tratamiento de los datos personales que le corresponden.

Este precepto dispone que, cuando el consentimiento esté relacionado con la realización de una oferta directa a menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales del niño será legítimo siempre y cuando este tenga una edad superior a los 16 años. Si el menor de edad tiene menos de esta edad, dicho tratamiento tan sólo se considerará legítimo si el consentimiento en que se basa fue prestado por el titular de la patria potestad o tutela sobre el menor de edad y únicamente en la medida en que se dio o autorizó. En cualquier caso, esto no afectará a las disposiciones generales del Derecho que rige los contratos en los países integrantes de la Unión Europea, tales como las normas relativas a la validez, formación o efectos de los contratos en relación con los menores de edad.

Por lo demás, este artículo otorga a los Estados miembros la facultad de modificar esta edad mínima a través de una ley interna, siempre y cuando la misma no sea inferior a los 13 años. Al amparo de esta previsión, nace el artículo 7 de la nueva LOPDGDD (además de artículos como el 84 o el 92 , así como la Disposición adicional decimonovena ), que altera esta edad mínima, en términos generales, a 14 años(17) y lo hace en los siguientes términos:

“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela”.

Un aspecto importante es qué ha de entenderse por servicios de la sociedad de la información. Al contrario de lo que pudiera pensarse, el texto normativo encargado de proporcionar una definición de servicios de la sociedad de la información no es aquel que regula su objeto. En efecto, la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (en adelante, Directiva sobre el comercio electrónico o DCE) (18), en su artículo 2.a) , efectúa una remisión al apartado segundo del artículo 1 de la Directiva 98/34/CE del Parlamento Europeo y del Consejo de 22 de junio de 1998 por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas(19), modificada, a su vez, por la Directiva 98/48/CE del Parlamento Europeo y del Consejo de 20 de julio de 1998 que modifica la Directiva 98/34/CE por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas(20).

De acuerdo con este precepto, será servicio de la sociedad de la información:

“[] todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios”.

Se entenderá que es a distancia aquel servicio que sea prestado sin que las partes se hallen presentes de manera simultánea, es decir, sin la presencia física sincrónica de la persona que presta el servicios de la sociedad de la información (prestadores de servicios de la sociedad de la información) y su destinatario (destinatarios de servicios de la sociedad de la información); por vía electrónica, cuando sea enviado desde la fuente y recibido por el destinatarios de servicios de la sociedad de la información mediante equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe íntegramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético(21), y a petición individual de un destinatario de servicios, cuando sea este quien solicite que el servicio le sea prestado. Por último, el servicio de la sociedad de la información tendrá carácter oneroso cuando ambas partes intervinientes obtengan algo de manera recíproca, es decir, cuando tanto los prestadores de servicios de la sociedad de la información como los destinatarios de servicios de la sociedad de la información realicen una prestación a favor de la otra parte(22).

Pese a esta última afirmación, conviene tener presente el contenido del considerando 18 DCE, que aclara que los servicios de la sociedad de la información no cubren únicamente aquellos servicios que dan lugar a la contratación en línea, sino que, en la medida en que representen una actividad económica, serán extensivos igualmente a servicios que no son remunerados por sus destinatarios. En opinión de algunos autores, es esta naturaleza onerosa de la prestación una nota esencial, ya que lo que se incluye es toda actividad desarrollada por vía electrónica y que tenga un significado económico, más allá de que sea el usuario final, o no, el que deba pagar el servicio de que se trate(23).

De este modo, se habrán de entender incluidos dentro de la noción de prestadores de servicios de la sociedad de la información a todos aquellos que obtengan ingresos económicos como consecuencia del servicio, ya sea directamente (como es el caso de los servicios remunerados por sus destinatarios) o indirectamente (a través de la inclusión de publicidad o como consecuencia de la explotación de datos personales de los usuarios que se registran para acceder al servicio). Quedarían fuera, por contra, todos los demás supuestos en los que quepa apreciar una ausencia total de actividad económica, como suele ocurrir con las páginas o blogs de carácter personal, que deberán ser excluidos del régimen jurídico específico de los prestadores de servicios de la sociedad de la información.

En nuestro ordenamiento jurídico interno y en términos prácticamente idénticos, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico(24) (en adelante, LSSICE) ha optado también por incluir, en el apartado a) de su anexo, una definición de servicios de la sociedad de la información. Todos estos servicios, afirma el legislador español, se caracterizarán por cuatro aspectos esenciales que han de concurrir acumulativamente: ser prestados a distancia, por vía electrónica, previa petición individual del destinatario de servicios de la sociedad de la información y, al menos habitualmente, a título oneroso. Y es aquí donde, con base en la Exposición de Motivos, el apartado tercero incluye, dentro del concepto de servicios de la sociedad de la información, al comercio electrónico, dentro del cual se integrarían dos actividades fundamentales que agrupan al resto: de un lado, el envío de comunicaciones comerciales previas a la contratación, que agrupa el suministro de información vía telemática, y, de otro, la contratación electrónica propiamente dicha, en la cual se subsume tanto la organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales, como la gestión de compras en la Red por grupos de personas. Los medios a través de los cuales podrá canalizarse esta contratación serán, entre otros, el correo electrónico, la página web, la videoconferencia o el chat.

A ellos habrían de añadirse, como veremos, aquellos servicios de la sociedad de la información de intermediación relativos a la provisión de acceso a la Red (Internet service providers), los que permiten la transmisión de datos por redes de telecomunicaciones (mere conduit o routing), los concernientes a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios (proxy caching o memoria tampón), los que posibilitan el alojamiento, en los propios servidores, de información, servicios o aplicaciones facilitados por otros (hosting), los que proveen instrumentos de búsqueda o de enlaces a otros sitios de Internet (searching and linking), los que hacen posible, tanto la creación, verificación y validación de firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica certificada, certificados relativos a estos servicios y certificados para la autenticación de sitios web, como la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios (trust services –servicios de la sociedad de la información de intermediación–) o cualquier otro servicio que se preste a petición individual de los usuarios (como la descarga de archivos o audio), siempre que representen una actividad económica para los prestadores de servicios de la sociedad de la información de intermediación:

Así las cosas, y volviendo al consentimiento del menor de edad, el Reglamento general de protección de datos hace una distinción entre los siguientes posibles supuestos(25):

1) Aquellos casos en que el menor de edad tiene menos de 18 años y más de 16 años, en cuyo caso podrá otorgar su consentimiento, de tal manera que, de prestarlo, el tratamiento que de sus datos personales realice el responsable del tratamiento será legítimo.

2) En aquellos supuestos de menores de edad de menos de 16 años, estos no podrán prestar de un modo válido su consentimiento. En estos casos, el consentimiento en su nombre deberá prestarlo el titular de la patria potestad o tutela sobre el menor de edad.

3) En tercer lugar, aquellos casos de menores de menos de 16 años y mayores de 13 años, quienes estarán facultados para prestar su consentimiento de un modo válido si así lo establecen los Estados miembros a nivel interno, como sucede en nuestro país, al amparo, repetimos, del artículo 7 de la nueva LOPDGDD.

4) Por último, los niños que tengan menos de 13 años, quienes, en ningún caso, estarán habilitados para poder prestar su consentimiento de un modo válido conforme a la ley para el tratamiento de sus datos personales, ni siquiera en el supuesto en el que la ley nacional de un Estado miembro de la Unión Europea lo implantara, ya que esta previsión se entendería contraria a lo establecido en el apartado segundo del artículo 8 RGPD.

Pese a todo lo anterior, debemos tener siempre presente que, con carácter general, prevalecerá el interés superior del menor. Ello quiere decir que, en supuestos de conflicto (por ejemplo, en aquellos casos en los que el titular de la patria potestad o tutela sobre el menor de edad preste su consentimiento en nombre del niño interesado para un tratamiento de los datos personales que es claramente pernicioso para los intereses del menor), habrán de habilitarse aquellos mecanismos contemplados en cada Estado miembro para proteger el interés, repetimos, superior, del niño(26).

En cualquier caso, echamos de menos en este artículo 8 RGPD alguna previsión en relación con el consentimiento prestado por el menor de edad o por el titular de la patria potestad o tutela sobre el niño cuando no estemos ante un supuesto de oferta de un servicio de la sociedad de la información, como sí hace el artículo 7 LOPDGDD. En este caso, deja la duda de si podría aplicarse para estos supuestos también el contenido de este precepto o no, y, en este último caso, qué respuesta podría darse, si análoga o no, a lo que dispone dicho artículo 8 RGPD, duda que desaparece con la entrada en vigor de la LOPDGDD.

En cualquier caso, en nuestra opinión, no parece ser voluntad del legislador comunitario dejar al margen todos aquellos supuestos que puedan concurrir y que respondan a un consentimiento del menor, al margen de una oferta de servicios de la sociedad de la información(27). Es verdad que hubiera sido muy recomendable que, en el contenido específico del artículo 8 RGPD, se hubiera hecho constar esta circunstancia, si bien, como decíamos, por extensión o aplicando una regla de analogía a dicho contenido, podríamos entender aplicable el artículo 8 RGPD a situaciones semejantes. En definitiva, a pesar de que la nueva normativa en materia de protección de datos personales aluda de un modo específico tan sólo a los servicios de la sociedad de la información, no resultaría adecuado entender que, con ello, se estarían quedando fuera del marco regulador otros tantos supuestos, ciertamente semejantes y necesitados también de regulación.

Tampoco se incluye el supuesto que nos permita saber qué sucede con el consentimiento cuando es prestado por el titular de la patria potestad o tutela sobre el niño en un momento anterior a que este alcance la mayoría de edad, cuando este, inmediatamente después, la supere. Desconocemos, salvo que realicemos una labor interpretativa, qué sucedería con este consentimiento, es decir, si sería necesario volver a recabar el consentimiento, esta vez directamente del menor, o sería posible prorrogar los efectos del consentimiento manifestado por el titular de la tutela o patria potestad sobre el que, por entonces, era niño. No obstante, entendemos que, lo lógico, sería volver a recabar el consentimiento, ya del interesado, para poder seguir tratando sus datos personales(28).

III. VERIFICACIÓN DE LA IDENTIDAD Y ADECUADA PRESTACIÓN DEL CONSENTIMIENTO: MODALIDADES EN MATERIA DE FIRMA ELECTRÓNICA

Una cuestión que no puede pasar desapercibida si analizamos todas las circunstancias que rodean el tratamiento de los datos personales relativos a menores de edad, como categorías especiales de interesados que son, es la manera que tiene el responsable del tratamiento de procurar la verificación de la edad del niño para poder corroborar, así, la prestación del consentimiento, ya sea por este o por quienes ejercen su patria potestad o tutela. Como fácilmente se puede advertir, esta situación plantea serias dificultades en un contexto, como el actual, fuertemente imbricado en la precitada sociedad de la información, donde no se produce la presencia física del menor y, por ende, es ciertamente difícil comprobar su edad.

En este sentido, el artículo 8.2 RGPD, que volvemos a suscribir por su importancia a estos efectos, establece que “[] el responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Esta indicación parece aludir a los menores de edad con una edad inferior a los 16 años, siendo necesario, en estos casos, que el consentimiento sea prestado o autorizado por quien ejerce la patria potestad o tutela sobre el menor de edad y sólo en la medida en que este consentimiento fue prestado o autorizado. Además, indica el precepto, el esfuerzo llevado a cabo por el responsable del tratamiento deberá ser razonable, siendo este un concepto jurídico indeterminado que podrá ser matizado dependiendo del supuesto específico.

En nuestro país, en 2010, la Agencia Española de Protección de Datos (en adelante, AEPD) emitió un informe(29) en el que establecía que la normativa por entonces vigente en España (LOPD/RDLOPD) no establecía un procedimiento específico que hubiera de ser seguido por el responsable del tratamiento para poder verificar la edad del niño y la consecuente autenticidad del consentimiento prestado por los padres, tutores o representantes legales del menor, otorgando libertad al responsable del tratamiento para poder emplear el procedimiento que estimase oportuno. En este sentido, algunos autores(30), consideran que este deber del responsable del tratamiento se traduce en una obligación de hacer y no en una obligación de resultado, de modo que, si el responsable del tratamiento articula los procedimientos que estime oportunos, los documenta de un modo pertinente y verifica de modo efectivo su cumplimiento, sobre él no podrá recaer responsabilidad alguna derivada, por ejemplo, de que el niño hubiera falsificado su Documento Nacional de Identidad o hubiera fotocopiado el del titular de la patria potestad o tutela sin el consentimiento de este(31). No obstante, se antoja ciertamente favorable, en aras de cumplir de un modo más adecuado y satisfactorio con el principio de responsabilidad proactiva impuesto por el RGPD, que el procedimiento establecido por los responsables del tratamiento sea razonable a la hora de comprobar la identidad del menor de edad, requiriendo, preferiblemente, su firma electrónica.

La firma electrónica, regulada en la actualidad, con carácter esencial y a nivel comunitario, en el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE(32) (en adelante, Reglamento eIDAS o RIE-SCTE), así como, a nivel nacional, en la Ley 59/2003, de 19 de diciembre, de firma electrónica (en adelante, LFE) (33), resulta un instrumento especialmente adecuado para poder acreditar el consentimiento a que venimos haciendo referencia. A continuación, analizamos la firma electrónica desde una perspectiva legal (más concretamente, las firmas electrónicas, un total de tres, determinantes de cada una de las tres clases recogidas por la normativa nacional y comunitaria), especialmente cuando el tratamiento se produce en el ámbito de las Administraciones Públicas, especialmente sensibilizadas tras la entrada en vigor de la actual Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas(34) (en adelante, LPACAP) (35).

1. Firma electrónica general

El artículo 3.10) RIE-SCTE define de forma general la firma electrónica como “[] los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar”, o, lo que es lo mismo, cualquier método o símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención de firmar, cumpliendo todas o algunas de las funciones características de la firma autógrafa. La referencia a su utilización con la intención de firmar se corresponde con la nueva regulación de otros servicios electrónicos de confianza que responden a fines diferentes.

Esta definición pone de manifiesto la intención del legislador comunitario de regular las firmas electrónicas en sentido amplio, sin perjuicio de disciplinar con más detalle modalidades específicas a las que, de manera gradual, atribuye una especial eficacia jurídica (por orden ascendente, como veremos, firmas electrónicas avanzadas y firmas electrónicas cualificadas). Asimismo, se trata de un concepto tecnológicamente indefinido(36) (principio de neutralidad tecnológica), ya que no se refiere a ninguna tecnología específica (criptografía, passwords, etc.) a través de la cual se deba firmar, si bien es cierto que será la criptografía asimétrica propia de la firma digital, la que, de manera velada, presida el conjunto de la norma. Por lo demás, los datos que integran la firma electrónica podrán formar parte del documento electrónico o ir asociados formalmente con ellos, apareciendo como un conjunto independiente. Ahora bien, este modo, integrado o separado, en que, en su caso, se manifieste la firma electrónica dependerá del sistema técnico seleccionado y de las aplicaciones prácticas con que cuente cada modalidad.

De acuerdo con esta noción general, firma electrónica podría ser, en términos contractuales, cualquier conjunto de datos basado en medios electrónicos utilizado por el firmante con la intención de firmar, sin especificar (en un intento, considero, por dejar abierta la firma electrónica a cuantas finalidades le permitan los sucesivos avances tecnológicos) el fin perseguido al hacerlo. Se incurre, de este modo, en una especie de redundancia un tanto incomprensible, que lleva a definir la firma electrónica general como aquella que utiliza el firmante para firmar.

En este punto, el Reglamento eIDAS se separa de la definición recogida por su precedente, que, proporcionando un concepto de firma electrónica simple(37) (no general), circunscribía el fin común perseguido por toda firma electrónica a servir como medio de autenticación(38). Y ello en una redacción, en principio, discutible(39) y generadora de confusión, ya que, por ser esta fase de autentificación posterior a la de identificación propiamente dicha, hubiera sido mejor optar por esta última(40). Tampoco se aclara qué ha de entenderse por autenticación y por identificación, lo que nos sitúa ante un concepto jurídico indeterminado susceptible de generar interpretaciones radicalmente distintas(41).

Como quiera que sea, lo cierto es que, con esta nueva redacción, la norma europea genera una confusión en nada desdeñable. En efecto, si con la normativa anterior quedaba delimitado el mínimo que debía cumplir toda firma electrónica para ser considerada como tal a efectos jurídicos (identificación del firmante de un mensaje de datos o autenticación o acreditación de dicha identificación), el RIE-SCTE, pese a la plausible intención presumiblemente perseguida, imposibilita al jurista la concreción del elemento que, satisfecho, permita saber cuándo nos hallamos en presencia de una firma electrónica, por básica o elemental que sea. En consecuencia, dentro de esta definición tendrían cabida procedimientos múltiples de firma, algunos tan complejos como la firma digital basada en la criptografía asimétrica o la firma configurada sobre la base de sistemas biométricos como el iris, la palma de la mano o la huella dactilar y otros tan simples como la plasmación del nombre u otro elemento identificativo incluido al final de un mensaje electrónico, la firma manuscrita digitalizada o la existencia de una pregunta-respuesta y un PIN de acceso(42). Resultado de lo anterior, estamos en condiciones de afirmar que, si el fin perseguido es generar certidumbre en quienes se hallen sujetos y afectados directa o indirectamente por la norma, sería más adecuado reformular el concepto actual de firma electrónica general y reconducirlo, con matices, al tradicional de firma electrónica simple, en una suerte de definición, si quiera algo más clarificadora o completa, que podría quedar como sigue: la firma electrónica es el conjunto de datos en formato electrónico, anejos a otros datos electrónicos o asociados de manera lógica con ellos, que son utilizados, al menos, como medio de identificación del firmante.

2. Firma electrónica avanzada

Elevando las exigencias de calidad y de seguridad de la firma electrónica, el artículo 3.11) RIE-SCTE introduce el concepto de firma electrónica avanzada, entendiendo por tal la “[] la firma electrónica que cumple los requisitos contemplados en el artículo 26”.

Estos requisitos, adiciona este último precepto, son los siguientes:

a) estar vinculada al firmante de manera única;

b) permitir la identificación electrónica del firmante(43) (menor de edad o titular de la patria potestad para, en el caso que nos ocupa, prestar el consentimiento a tratamientos en los que el responsable del tratamiento es la Administración Pública);

c) haber sido creada utilizando datos de creación de firma electrónica que el firmante puede utilizar para la creación de una firma electrónica, con un alto nivel de confianza(44), bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Obsérvese que con las tres primeras exigencias (vinculación única al signatario, identificación del mismo y creación por medios bajo su exclusivo control) se persigue garantizar la identificación autenticada del autor y evitar el rechazo en origen de los mensajes de datos; en cambio, con la última (vinculación a los datos que permite detectar cualquier alteración ulterior), se pretende salvaguardar la integridad de los documentos electrónicos.

3. Firma electrónica cualificada

Por último, el artículo 3.12) RIE-SCTE define la firma electrónica cualificada (introduciendo una nueva denominación a nivel comunitario de aquello que, ya desde la Ley 59/2003, de 19 de diciembre, de firma electrónica , se conocía en España como firma electrónica reconocida) como la “[] firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica”.

Más que una nueva modalidad, la firma electrónica cualificada constituye un nuevo tipo de firma electrónica avanzada que, acompañada de determinados elementos que le imprimen una mayor seguridad (dispositivo cualificado de creación de firma electrónica, de una parte, y certificado cualificado de firma electrónica, de otra), tendrá “[] un efecto jurídico equivalente al de una firma manuscrita” (artículo 25.2 RIE-SCTE). Por esta razón, se ve investida de un nuevo nomen iuris, con la finalidad de singularizarla de aquella otra que, por no haber sido creada mediante un dispositivo cualificado de creación de firma electrónica o por no basarse en un certificado cualificado de firma electrónica (o por no cumplir ninguno de estos dos requisitos), no tendrá efectos legales equiparables, en términos de validez y eficacia, a los de la firma autógrafa, integrándose bajo el nombre de firma electrónica avanzada. Esta última, al igual que la firma electrónica simple y que la firma electrónica avanzada basada en un certificado electrónico cualificado, no se verá privada de efectos jurídicos ni de admisibilidad como prueba en procedimientos judiciales por el mero hecho de que esté en forma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada (artículo 25.1 RIE-SCTE), debiéndose valorar, en todo caso, cuál es la eficacia que tienen, algo que, en ocasiones, puede ser complejo y costoso.

Es esta mayor seguridad jurídica la que justifica que el artículo 10 LPACAP, entre los sistemas de firma admitidos por las Administraciones Públicas, considere preferente la firma electrónica cualificada, de modo que, de acuerdo con el apartado segundo de dicho precepto:

“En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:

a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’”.

IV. CUESTIONES ESPECIALES: DE LOS MENORES DE EDAD

Tal y como indicamos en páginas anteriores, son varias las referencias que, a lo largo de la nueva normativa comunitaria en materia de protección de datos personales, se realizan a los menores de edad. Más concretamente, estas referencias se contienen en los considerandos 38 , 58 , 65 y 75 , además de en la letra f) del apartado primero del artículo 6 , el apartado primero del artículo 12 , la letra g) del apartado segundo del artículo 40 y la letra b) del apartado primero del artículo 57 , todos ellos del Reglamento general de protección de datos. Por su parte, también se aportarán aspectos relativos a los menores de edad en los artículos 84 y 92 , además de en la Disposición adicional 19ª, todos ellos de la nueva Ley Orgánica de protección de datos.

En la primera de estas referencias, el considerando 38 RGPD, se encuentra, al final, una excepción al consentimiento prestado por quien ejerce la patria potestad o tutela sobre el niño. De acuerdo con este considerando, el consentimiento prestado por el titular de la patria potestad o tutela no habrá de ser indispensable en el marco de servicios de carácter preventivo o de asesoramiento, propuestos de un modo directo a los menores de edad.

Por su parte, conectado de un modo inmanente al principio de transparencia del artículo 5.1.a) RGPD(45), se encuentra el considerando 58 RGPD, que, al analizar el conjunto de circunstancias que habrán de ser informadas a los interesados, contempla que, cuando esta información abarque tratamientos que aluden a menores de edad, será necesario que se les proporcione esta información en un lenguaje claro y sencillo, que resulte accesible al niño.

En tercer lugar, el considerando 65 RGPD, refiriéndose al derecho de supresión, contempla el supuesto del consentimiento, en su día, prestado por el menor de edad y que, con carácter ulterior, pretende ser suprimido por este. En este contexto, indica dicho considerando que el interesado habrá de poder contar con esta facultad aun cuando, en el momento de ejercitar el derecho precitado, ya hubiera alcanzado los 18 años de edad.

Un último análisis en lo que a los considerandos de la normativa comunitaria sobre protección de datos se refiere, nos lleva a analizar el considerando 75 RGPD. Una de las novedades que incorpora el RGPD es la perspectiva del riesgo, en virtud de la cual será necesario realizar un análisis de riesgos previo al tratamiento para poder determinar el conjunto de medidas de seguridad adecuadas a ese tratamiento. En este sentido, el citado considerando establece una serie de aspectos que pueden conllevar situaciones de riesgo en relación con el tratamiento de los datos personales del interesado, aludiendo, entre estas situaciones o aspectos concretos, a aquellos tratamientos que afecten a personas especialmente vulnerables, en particular a menores de edad. Ello guarda relación con lo dispuesto en el artículo 9 RGPD, que regula el tratamiento de categorías especiales de datos personales (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física), donde, pese a lo dispuesto anteriormente, no se realiza alusión alguna a los datos personales relativos al niño, lo que nos lleva a afirmar que los datos personales de menores de edad no tendrán la consideración de categorías especiales de datos personales, con independencia de que este tipo de tratamientos se halle sujeto a determinadas especificidades que buscan proteger con mayor intensidad los derechos que corresponden a esta categoría especial de interesados. Ello nos permitiría afirmar que, conectado con el artículo 24 RGPD (que regula la responsabilidad del responsable del tratamiento -en este caso, las Administraciones Públicas-), será precisa la adopción de medidas técnicas y organizativas adecuadas para proteger, cumplir y poder demostrar el cumplimiento del tratamiento realizado sobre los datos personales de menores de edad.

En cuanto a los artículos, el primero de ellos es el artículo 6 RGPD, cuya letra f), ubicada en su apartado primero, alude al tratamiento imprescindible para poder satisfacer intereses legítimos perseguidos por el responsable del tratamiento, siendo, en estos casos, necesario que tales intereses legítimos nunca predominen sobre los intereses o los derechos y libertades fundamentales del interesado que exijan garantizar sus datos personales, en especial en aquellos casos en que estemos en presencia de menores de edad(46). En definitiva, el responsable del tratamiento podrá legitimar el tratamiento que realice de los datos personales del interesado, incluso cuando este sea un niño, con base en el interés legítimo perseguido, siempre que este interés legítimo nunca prevalezca sobre aquel que corresponde al interesado, en especial cuando el interesado sea una persona especialmente vulnerable, como puede ser un menor de edad.

Sin embargo, y en lo que aquí nos interesa, esta base jurídica encuentra una excepción en aquellos casos en que el tratamiento sea realizado por autoridades públicas en el desempeño de las funciones que le son propias. En este caso, se entiende que, aun tratándose de menores de edad, podría no operar la salvaguarda de protección prevista en el inciso final del artículo 6.1.f) RGPD, de modo que, cuando el responsable del tratamiento sea una autoridad pública y esté desempeñando las funciones que le corresponden, prevalecerá el interés legítimo perseguido por dicha autoridad en lugar del interés legítimo del interesado, en este caso, del menor de edad.

En segundo lugar, se encuentra el apartado primero del artículo 12 RGPD, que regula la transparencia a la hora de proporcionar información acerca de las circunstancias que rodean el tratamiento de los datos personales y los derechos que corresponden al interesado. Pues bien, este apartado dispone que la información a facilitar al interesado habrá de ser especialmente concisa, transparente, inteligible, de fácil acceso y con un lenguaje claro y sencillo cuando el interesado sea un menor de edad.

En tercer lugar, la letra g) del apartado segundo del artículo 40 RGPD, conectado con el punto anterior, establece que la información a suministrar a los menores de edad y la protección que sobre los mismos habrá de recaer, así como el modo de recabar el consentimiento de quiénes ejercen como titulares de la patria potestad o tutela sobre el menor, constituyen aspectos que el Reglamento general de protección de datos busca incorporar en los códigos de conducta que, de conformidad con dicho precepto, habrán de promover los distintos países que integran la Unión Europea, las autoridades de control, el Comité y la Comisión.

Por último la letra b) del apartado primero del artículo 57 RGPD, al hablar de las funciones que corresponden a la autoridad de control, establece que, con independencia de cualesquiera otras que se les atribuyen en otros apartados de la normativa en materia de protección de datos personales, habrán de ser un total de 22, de entre las cuales se incluye una segunda, que hace especial referencia a la atención que habrá de mostrarse en aquellas actividades encaminadas de modo específico a los menores de edad con efecto de facilitar su mejor sensibilización y comprensión en torno a los riesgos, normas, garantías y derechos relacionados con el tratamiento de sus datos personales(47).

Por su parte, en nuestro ordenamiento jurídico interno, encontramos, en primer lugar, el artículo 84 LOPDGDD, que establece que los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, con el objetivo de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales. De igual modo, la utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil (48).

Por su parte, el artículo 92 LOPDGDD añade que:

“Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información. Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica”.

Por último, la Disposición adicional decimonovena LOPDGDD concluye indicando que, en el plazo de un año desde la entrada en vigor de esta Ley Orgánica, el Gobierno remitirá al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías.

En definitiva, como hemos podido observar en las líneas anteriores, son numerosas las alusiones y referencias que, en orden a proteger los derechos y libertades del interesado menor de edad, se establecen en la nueva normativa en materia de protección de datos personales, otorgando y garantizando una mejor conservación a esta categoría especial de interesados.

De todo ello se deduce la necesidad, por parte de las instituciones comunitarias, de proteger los datos personales de los menores de edad por medio de la aplicación de una serie de principios que habrán de estar vigentes a la hora de obtener los datos personales correspondientes a este grupo de interesados:

a) Los niños no podrán proporcionar información personal relativa a otros interesados.

b) Para poder realizar transferencias de datos personales correspondientes a menores de edad a terceros países u organizaciones internacionales, será preciso recabar el consentimiento explícito y demostrable de quiénes ejercen la patria potestad o tutela sobre el niño, que, como hemos visto, habrá de realizarse por medio de instrumentos que garanticen de forma segura la prestación del mismo, en especial, la firma electrónica.

c) Está prohibido inducir a los menores de edad al proporcionar información de carácter personal a través de la consecución de premios o alicientes semejantes.

d) Será necesario acotar temporalmente la validez del consentimiento prestado por quienes ejercen la patria potestad o tutela sobre el niño.

V. BIBLIOGRAFÍA

Alamillo Domingo, I., “Identidad y firma electrónica. Nociones técnicas y marco jurídico general. Identificación y autentificación de los ciudadanos”, en Fernández Ramos, S./Valero Torrijos, J./Gamero Casado, E. (Dirs.), Tratado de Procedimiento Administrativo Común y Régimen Jurídico Básico del sector público, Valencia, Ed. Tirant lo Blanch, 2017, pp. 675-768.

Alemán Monterreal, A., “La protección de datos de menores en el ámbito sanitario: ¿discriminación necesaria?”, en Actualidad civil, núm. 19, 2011

Andreu Martínez, B., La protección de datos personales de los menores de edad, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2013.

Arias Pou, M., Manual práctico de comercio electrónico, Las Rozas, La Ley, 2006.

Brito Izquierdo, N., “Tratamiento de los datos personales de menores de edad: supuestos, límites, retos y desafíos”, en La Ley Derecho de Familia: revista jurídica sobre familia y menores, núm. 14, 2017, pp. 17-31.

Brito Izquierdo, N., “Tratamiento de los datos personales de menores de edad en la nueva normativa europea protectora de datos personales”, en Actualidad civil, núm. 5, 2018.

Buonomo, G./Merone, A., “La scrittura privata informatica: firme elettroniche, valore probatorio e disconoscimento in giudizio (alla luce delle modifiche introdotte dalla l. 221/2012)”, en Judicium: il processo civile in Italia e in Europa, núm. 1, 2013, pp. 12-22.

Cruz Rivero, D., “Las definiciones de firma electrónica en el Real Decreto-ley 14/1999, sobre firma electrónica, y el Proyecto de Ley de firma electrónica”, en Davara Rodríguez, M. Á. (Coord.), XVIII Encuentros sobre Informática y Derecho, 2003-2004, Madrid, Universidad Pontificia de Comillas, 2004, pp. 127 a 136.

Cruz Rivero, D., La firma electrónica reconocida: análisis de los requisitos del artículo 3.3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, Madrid, Ed. Marcial Pons, 2015.

Cuadra Chiong, M. M., “La protección de datos personales de los menores de edad”, en Anuario de justicia de menores, núm. 13, 2013, pp. 515-516.

De las Heras Vives, L./Bonmatí Sánchez, J., “Consentimiento de los menores de edad”, en Arenas Ramiro, M./Ortega Giménez, A. (Dirs.), Protección de datos: comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD), Madrid, Ed. Sepin Editorial Jurídica, 2019, pp. 73-77.

Díaz Moreno, A., “Concepto y eficacia de la firma electrónica en la Directiva 1999/93/CE, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica”, en Revista de la Contratación Electrónica, núm. 2, pp. 10-32.

Durán Ruiz, F. J., “La necesaria intervención de las administraciones públicas para la preservación del derecho fundamental a la protección de datos de los menores de edad”, en Durán Ruiz, F. J. (Coord.), I Congreso sobre retos sociales y jurídicos para los menores y jóvenes del siglo XXI, Granada, Ed. Comares, 2013.

Durán Ruiz, F. J., “El tratamiento de los datos personales de los menores de edad en la nueva normativa de protección de datos”, en Quesada Páez, A./Moreno Cordero, G./García Garnica, M.C./Marchal Escalona, N. (Dirs.), Aproximación interdisciplinar a los retos actuales de protección de la infancia dentro y fuera de la familia, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2019, p. 480.

Escobar Roca, G., Informe 2016. Tema monográfico: la protección de datos de los menores de edad, Madrid, Ed. Trama, 2017.

Fernández Samaniego, J./Fernández Longoria, P., “El interés legítimo como principio para legitimar el tratamiento de datos”, en Rallo Lombarte, A. (Coord.), Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, Valencia, Ed. Tirant lo Blanch, 2019, pp. 169-196.

García Herrera, V., “El válido consentimiento para el tratamiento de los datos personales de los menores de edad en Internet. Especial referencia al supuesto en que los representantes legales estén divorciados o separados”, en La Ley Derecho de Familia: revista jurídica sobre familia y menores, núm. 20, 2018, pp. 62-71.

García Más, F. J., “El documento público electrónico (1)”, en Escolano Navarro, J. J. (Coord.), Nuevas tecnologías en la contratación, sociedad nueva empresa e hipoteca electrónica: seminario organizado por el Consejo General del Notariado en la UIMP en julio de 2003, Madrid, Civitas, 2005, pp. 113-132.

Gómez-Juárez Sidera, I., “Reflexiones sobre el derecho a la protección de datos de los menores de edad y la necesidad de su regulación específica en la legislación española”, en Revista Aranzadi de derecho y nuevas tecnologías, núm. 11, 2006, pp. 71-88.

González-Echenique Castellanos de Ubao, L., “Estudio de la Directiva y del Real Decreto-Ley de 17 de septiembre de 1999 sobre firma electrónica”, en Mateu de Ros Cerezo, R./Cendoya Méndez de Vigo, J. M. (Coords.), Derecho de Internet: la contratación electrónica y firma digital, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2000, pp. 207-260.

González Madrid, C., “Los datos de menores en el ámbito de la educación”, en Datospersonales.org: la revista de la Agencia de Protección de Datos de la Comunidad de Madrid, núm. 2, 2003, pp. 1-16.

Guillén Catalán, R., “Los retos de la sociedad ante la protección de datos de los menores”, en Revista Boliviana de Derecho, núm. 20, 2015, pp. 324-343.

Grupo de Trabajo del Artículo 29, Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679, 17/ES, WP260 rev.01, de 29 de noviembre de 2017.

Hidalgo Cerezo, A., “La protección de datos de los menores de edad. Especial referencia a sus excepciones en materia sanitaria y de educación”, en La Ley Derecho de Familia: revista jurídica sobre familia y menores, núm. 15, 2017.

Martínez Nadal, A., Comentarios a la Ley 59/2003 de firma electrónica, Madrid, Ed. Civitas, 2004, p. 74.

Palma Ortigosa, A., “Ámbito de aplicación y definiciones del RGPD”, en MURGA FERNÁNDEZ, J. P. / FERNÁNDEZ SCAGLIUSI, M. Á. / ESPEJO LERDO DE TEJADA, M. (Dirs.), Protección de datos, responsabilidad activa técnicas de garantía, Madrid, Ed. Reus, 2018, pp. 25-38.

Piñar Real, A., “Tratamiento de datos de menores de edad”, en Piñar Mañas, J. L. (Dir.), Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad, Madrid, Ed. Reus, 2016, pp. 187-204.

Plaza Penadés, J., “La Ley de servicios de la sociedad de la información y comercio electrónico”, en Plaza Penadés, J./Vázquez de Castro, E./Guillén Catalán, R./Carbajo Cascón, F. (Coords.), Derecho y nuevas tecnologías de la información y la comunicación, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2013, pp. 43-102.

Rodríguez Ayuso, J. F., “Servicios de confianza en materia de transacciones electrónicas: el nuevo Reglamento europeo 910/2014”, en Pérez Gallardo, L. B. (Coord.), Contratación electrónica y protección de los consumidores: una visión panorámica, Madrid, Ed. Reus, 2017, 133-162.

Rodríguez Ayuso, J. F., Ámbito contractual de la firma electrónica, Barcelona, Ed. Bosch, 2018.

Rodríguez Ayuso, J. F., Figuras y responsabilidades en el tratamiento de datos personales, Barcelona, Ed. Bosch, 2019.

Rodríguez Ayuso, J. F., Control externo de los obligados por el tratamiento de datos personales, Barcelona, Ed. Bosch, 2020.

Troncoso Reigada, A., “Transparencia administrativa y protección de datos personales”, en Troncoso Reigada, A. (Coord.), Transparencia administrativa y protección de datos personales: V Encuentro entre Agencias Autonómicas de Protección de Datos Personales: celebrado el día 28 de octubre de 2008 en la Real Casa de Correos de Madrid, Madrid, Ed. Agencia de Protección de Datos de la Comunidad de Madrid, 2008, 23-188.

Valero Torrijos, J./Martínez Gutiérrez, R., “Las bases jurídicas de la modernización tecnológica en las Administraciones públicas”, en Plaza Penadés, J. (Coord.), Derecho y nuevas tecnologías de la información y la comunicación, Cizur Menor (Navarra), Ed. Aranzadi, 2013, pp. 479-544.

Vattier Fuenzalida, C., “De nuevo sobre el régimen legal de la firma electrónica: estudio del Anteproyecto de 26 de junio de 2002”, en Actualidad civil, núm. 1, 2003, pp. 137-152.

NOTAS:

(1). Diario Oficial de la Unión Europea (en adelante, DOUE) L 119/1, de 04 de mayo de 2016.

(2). Diario Oficial de las Comunidades Europeas (en adelante, DOCE) L 281/31, de 23 de noviembre de 1995.

(3). Boletín Oficial del Estado (en adelante, BOE) núm. 294, de 06 de diciembre de 2018.

(4). BOE núm. 298, de 14 de diciembre de 1999.

(5). BOE núm. 183, de 30 de julio de 2018.

(6). Con carácter especial, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RDLOPD) -BOE núm. 17, de 19 de enero de 2008-. No obstante, este Real Decreto no se deroga de forma expresa, de modo que, en todo aquello que no se oponga o contradiga a lo establecido por la normativa, nacional y comunitaria, actualmente vigente, seguirá siendo plenamente aplicable.

(7). Andreu Martínez, B., La protección de datos personales de los menores de edad, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2013, p. 37.

(8). Entre otros, Hidalgo Cerezo, A., “La protección de datos de los menores de edad. Especial referencia a sus excepciones en materia sanitaria y de educación”, en La Ley Derecho de Familia: revista jurídica sobre familia y menores, núm. 15, 2017; Piñar Real, A., “Tratamiento de datos de menores de edad”, en Piñar Mañas, J. L. (Dir.), Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad, Madrid, Ed. Reus, 2016, pp. 190-191.

(9). El Grupo de Trabajo del artículo 29 (GT Art. 29) es el grupo de trabajo europeo independiente que se ha ocupado de cuestiones relacionadas con la protección de la privacidad y los datos personales hasta el 25 de mayo de 2018 (entrada en aplicación del RGPD).

(10). Grupo de Trabajo del Artículo 29, Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679, 17/ES, WP260 rev.01, de 29 de noviembre de 2017.

(11). Durán Ruiz, F. J., “El tratamiento de los datos personales de los menores de edad en la nueva normativa de protección de datos”, en Quesada Páez, A./Moreno Cordero, G./García Garnica, M.C./Marchal Escalona, N. (Dirs.), Aproximación interdisciplinar a los retos actuales de protección de la infancia dentro y fuera de la familia, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2019, p. 480.

(12). DOCE L 201/37, de 31 de julio de 2002.

(13). Sobre esta cuestión, vid. Durán Ruiz, F. J., “La necesaria intervención de las administraciones públicas para la preservación del derecho fundamental a la protección de datos de los menores de edad”, en Durán Ruiz, F. J. (Coord.), I Congreso sobre retos sociales y jurídicos para los menores y jóvenes del siglo XXI, Granada, Ed. Comares, 2013; Gómez-Juárez Sidera, I., “Reflexiones sobre el derecho a la protección de datos de los menores de edad y la necesidad de su regulación específica en la legislación española”, en Revista Aranzadi de derecho y nuevas tecnologías, núm. 11, 2006, pp. 71-88; Guillén Catalán, R., “Los retos de la sociedad ante la protección de datos de los menores”, en Revista Boliviana de Derecho, núm. 20, 2015, pp. 324-343.

(14). Palma Ortigosa, A., “Ámbito de aplicación y definiciones del RGPD”, en MURGA FERNÁNDEZ, J. P. / FERNÁNDEZ SCAGLIUSI, M. Á. / ESPEJO LERDO DE TEJADA, M. (Dirs.), Protección de datos, responsabilidad activa técnicas de garantía, Madrid, Ed. Reus, 2018, p. 27.

(15). De acuerdo con este apartado, interesado será:

“[] persona física identificada o identificable (<<el interesado>>); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”. Por tanto, el interesado será el titular de los datos personales objeto de tratamiento.

(16). De las Heras Vives, L./Bonmatí Sánchez, J., “Consentimiento de los menores de edad”, en Arenas Ramiro, M./Ortega Giménez, A. (Dirs.), Protección de datos: comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD), Madrid, Ed. Sepin Editorial Jurídica, 2019, p. 74.

(17). No obstante, en la Propuesta inicial de LOPDGDD la edad mínima prevista era de 13 años.

(18). DOCE L 178/1, de 17 de julio de 2000.

(19). DOCE L 204/37, de 21 de julio de 1998.

(20). DOCE L 217/18, de 05 de agosto de 1998.

(21). Como señala Plaza Penadés, J., “La Ley de servicios de la sociedad de la información y comercio electrónico”, en Plaza Penadés, J./Vázquez de Castro, E./Guillén Catalán, R./Carbajo Cascón, F. (Coords.), Derecho y nuevas tecnologías de la información y la comunicación, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2013, p. 46, lo que se quiere poner de manifiesto es que el SSI de que se trate debe prestarse a través de una red de comunicación, con independencia de cómo se produzca el acceso a la Red, ya sea por teléfono móvil, por televisión o por ordenador.

(22). Alemán Monterreal, A., “La protección de datos de menores en el ámbito sanitario: ¿discriminación necesaria?”, en Actualidad civil, núm. 19, 2011; Arias Pou, M., Manual práctico de comercio electrónico, Las Rozas, La Ley, 2006, p. 60.

(23). Sobre esta cuestión, vid. Rodríguez Ayuso, J. F., Ámbito contractual de la firma electrónica, Barcelona, Ed. Bosch, 2018, pp. 33-34.

(24). BOE núm. 166, de 12 de julio de 2002.

(25). Brito Izquierdo, N., “Tratamiento de los datos personales de menores de edad: supuestos, límites, retos y desafíos”, en La Ley Derecho de Familia: revista jurídica sobre familia y menores, núm. 14, 2017, pp. 18-20.

(26). Escobar Roca, G., Informe 2016. Tema monográfico: la protección de datos de los menores de edad, Madrid, Ed. Trama, 2017.

(27). Rodríguez Ayuso, J. F., Figuras y responsabilidades en el tratamiento de datos personales, Barcelona, Ed. Bosch, 2019.

(28). En la misma línea, Brito Izquierdo, N., “Tratamiento de los datos personales de menores de edad en la nueva normativa europea protectora de datos personales”, en Actualidad civil, núm. 5, 2018.

(29). AEPD, Informe 0046/2010.

(30). Cuadra Chiong, M. M., “La protección de datos personales de los menores de edad”, en Anuario de justicia de menores, núm. 13, 2013, pp. 515-516; González Madrid, C., “Los datos de menores en el ámbito de la educación”, en Datospersonales.org: la revista de la Agencia de Protección de Datos de la Comunidad de Madrid, núm. 2, 2003, pp. 1-16.

(31). García Herrera, V., “El válido consentimiento para el tratamiento de los datos personales de los menores de edad en Internet. Especial referencia al supuesto en que los representantes legales estén divorciados o separados”, en La Ley Derecho de Familia: revista jurídica sobre familia y menores, núm. 20, 2018, pp. 62-71.

(32). DOUE L 257/73, de 28 de agosto de 2014.

(33). BOE núm. 304, de 20 de diciembre de 2003.

(34). BOE núm. 236, de 02 de octubre de 2015.

(35). Sobre esta cuestión, vid. Rodríguez Ayuso, J. F., “Servicios de confianza en materia de transacciones electrónicas: el nuevo Reglamento europeo 910/2014”, en Pérez Gallardo, L. B. (Coord.), Contratación electrónica y protección de los consumidores: una visión panorámica, Madrid, Ed. Reus, 2017, 133-162.

(36). Martínez Nadal, A., Comentarios a la Ley 59/2003 de firma electrónica, Madrid, Ed. Civitas, 2004, p. 74.

(37). Valero Torrijos, J./Martínez Gutiérrez, R., “Las bases jurídicas de la modernización tecnológica en las Administraciones públicas”, en Plaza Penadés, J. (Coord.), Derecho y nuevas tecnologías de la información y la comunicación, Cizur Menor (Navarra), Ed. Aranzadi, 2013, p. 531.

(38). De acuerdo con este precepto, por firma electrónica se entenderán aquellos “[] datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autenticación”. El origen del empleo de este término por la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica -DOCE L 13/12, de 19 de enero de 2000- (en adelante, DFE) se remite directamente al concepto anglosajón authentication, concebido como la esencia del acto de la firma, el acto de suscripción del documento (Cruz Rivero, D., “Las definiciones de firma electrónica en el Real Decreto-ley 14/1999, sobre firma electrónica, y el Proyecto de Ley de firma electrónica”, en Davara Rodríguez, M. Á. (Coord.), XVIII Encuentros sobre Informática y Derecho, 2003-2004, Madrid, Universidad Pontificia de Comillas, 2004, pp. 127 a 136).

(39). No lo entiende así, en cambio, Cruz Rivero, D., La firma electrónica reconocida: análisis de los requisitos del artículo 3.3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, Madrid, Ed. Marcial Pons, 2015, p. 41, quien sostiene que, a diferencia de la identificación, el empleo del término autenticación denota una actuación consciente de suscribir una declaración. Por su parte, Alamillo Domingo, I., “Identidad y firma electrónica. Nociones técnicas y marco jurídico general. Identificación y autentificación de los ciudadanos”, en Fernández Ramos, S./Valero Torrijos, J./Gamero Casado, E. (Dirs.), Tratado de Procedimiento Administrativo Común y Régimen Jurídico Básico del sector público, Valencia, Ed. Tirant lo Blanch, 2017, p. 723, concluye, en una interpretación amplia de ambos preceptos (comunitario y nacional), que, con carácter general, la DFE y la LFE “[] permiten el empleo, como sistema de firma electrónica, de cualesquiera mecanismos de identificación/autenticación, siempre que los mismos resulten apropiados para el contexto de la operación de que se trate, y que sólo se podrían considerar excluidos de la definición legal aquellos sistemas técnicamente diseñados para ser anónimos”.

(40). El artículo 3.1) RIE-SCTE define la identificación electrónica como el proceso de utilizar los datos de identificación de una persona [es decir, el conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica –artículo 3.3)–] en formato electrónico, siendo estos los datos que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica.

(41). Alamillo Domingo, I., <<Identidad y firma electrónica. Nociones técnicas y marco jurídico general. Identificación y autentificación de los ciudadanos>>, cit., p. 720.

(42). Buonomo, G./Merone, A., “La scrittura privata informatica: firme elettroniche, valore probatorio e disconoscimento in giudizio (alla luce delle modifiche introdotte dalla l. 221/2012)”, en Judicium: il processo civile in Italia e in Europa, núm. 1, 2013, p. 15; García Más, F. J., “El documento público electrónico (1)”, en Escolano Navarro, J. J. (Coord.), Nuevas tecnologías en la contratación, sociedad nueva empresa e hipoteca electrónica: seminario organizado por el Consejo General del Notariado en la UIMP en julio de 2003, Madrid, Civitas, 2005, p. 127; Vattier Fuenzalida, C., “De nuevo sobre el régimen legal de la firma electrónica: estudio del Anteproyecto de 26 de junio de 2002”, en Actualidad civil, núm. 1, 2003, p. 140.

(43). Cabe plantearse si esta alusión añade algún matiz distintivo a la firma electrónica avanzada respecto de la firma electrónica simple, que, como sabemos, también permite la identificación del firmante. A favor de esta tesis, González-Echenique Castellanos de Ubao, L., “Estudio de la Directiva y del Real Decreto-Ley de 17 de septiembre de 1999 sobre firma electrónica”, en Mateu de Ros Cerezo, R./Cendoya Méndez de Vigo, J. M. (Coords.), Derecho de Internet: la contratación electrónica y firma digital, Cizur Menor (Navarra), Ed. Thomson Reuters Aranzadi, 2000, pp. 215-216.

(44). Con la expresión “[] puede utilizar, con un alto nivel de confianza”, el RIE-SCTE se aproxima a la DFE y a la LFE (y se aleja del RDLFE, que eliminada toda probabilidad al respecto), algo que consideramos acertado, ya que la vinculación entre la firma y el firmante es una vinculación probable, condicionada a los medios técnicos; así también, Díaz Moreno, A., “Concepto y eficacia de la firma electrónica en la Directiva 1999/93/CE, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica”, en Revista de la Contratación Electrónica, núm. 2, p. 25, que entiende este requisito como que “[] deben existir garantías –en términos de probabilidad– de que, en ausencia de fraude o de otra conducta impropia, dos personas no pueden llegar a producir la misma firma”.

(45). Al respecto, vid. Troncoso Reigada, A., “Transparencia administrativa y protección de datos personales”, en Troncoso Reigada, A. (Coord.), Transparencia administrativa y protección de datos personales: V Encuentro entre Agencias Autonómicas de Protección de Datos Personales: celebrado el día 28 de octubre de 2008 en la Real Casa de Correos de Madrid, Madrid, Ed. Agencia de Protección de Datos de la Comunidad de Madrid, 2008, 23-188.

(46). Sobre el interés legítimo como base jurídica del tratamiento, vid. Fernández Samaniego, J./Fernández Longoria, P., “El interés legítimo como principio para legitimar el tratamiento de datos”, en Rallo Lombarte, A. (Coord.), Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, Valencia, Ed. Tirant lo Blanch, 2019, pp. 169-196.

(47). Para un estudio completo de las autoridades de control en materia de protección de datos, vid. Rodríguez Ayuso, J. F., Control externo de los obligados por el tratamiento de datos personales, Barcelona, Ed. Bosch, 2020.

(48). BOE núm. 15, de 17 de enero de 1996.

Comentarios

Noticia aún sin comentar.

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su email y contraseña:

 

Si desea registrase en la Administración al Día y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en La Administración al Día.

  • El INAP no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Últimos estudios

Conexión al Diario

Ágora

Ágora, Biblioteca online de recursos de la Administración Pública

Publicaciones

Lo más leído:

 

Atención al usuario: publicacionesinap.es

© INAP-2021

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana