Protejamos el Tobogán
A nadie se le escapa hoy por hoy el tiempo ingente que los ni?os pasan con dispositivos conectados a internet. Los servicios a los que acceden pueden ayudar a educarlos, a distraerlos o a forjar una identidad en su mundo social.
En muchas ocasiones sus datos personales definen los contenidos a los que son expuestos a través de dichos servicios, datos como lo que les gusta, lo que han buscado, a qué hora se conectan e incluso cómo se sienten.
Esta “datificación” implica la recolección de miles de “data points” por parte de proveedores de servicios conforme los ni?os crecen, pero…?Está su privacidad debidamente protegida? ?A partir de qué edad podríamos considerar que el consentimiento de un ni?o al uso de sus datos es vinculante desde un punto de vista legal?
El creciente debate social en materia de privacidad ha llevado a los reguladores en EEUU, Europa y a nivel global vía la OECD a plantear reformas para debidamente extender la protección de los derechos de los ni?os al ámbito digital.
Una de las reformas propuestas que en mi opinión generará un claro precedente en Europa es la propuesta por la ICO, el equivalente de nuestra Agencia Espa?ola de Protección de Datos en Reino Unido, que acaba de publicar un Código de Mejores Prácticas para Proteger a los Ni?os en Internet.
Los principales baluartes de éste código podríamos resumirlos en tres:
- Código basado en la protección del interés superior del menor
- Código que establece transparencia y privacidad más alta por defecto
- Código que marca mejores prácticas por tramos de edad en base al riesgo.
Así pues se trata de buscar una clara línea de actuación para el desarrollo de servicios digitales dirigidos a los menores y particularmente a los ni?os que permita el desarrollo económico, pero que salvaguarde el que los menores puedan desarrollarse en un entorno seguro y que en su etapa más vulnerable puedan continuar jugando tanto en el tobogán del parque más cercano como en el “tobogán virtual” representado por las webs, apps y consolas o juguetes conectados con los que pasan gran parte de su tiempo.
El código que se basa en el Reglamento General de Protección de Datos (RGPD), sigue los artículos de la convención de las Naciones Unidas sobre los Derechos del ni?o (UNCRC) que reconocen que los menores requieren de medidas de seguridad especiales y cuidados en todos los aspectos de su vida.
El código ha sido creado con la participación de stakeholders varios que representan a todos los grupos de interés, persigue la creación de un espacio más seguro donde los menores puedan aprender, explorar y jugar, dictaminando las mejores prácticas que los proveedores de servicios digitales deben observar a la hora de dise?ar sus servicios desde un punto de vista de recolección y tratamiento de los datos, adecuado a la edad de cada menor.
El código sigue un principio de gestión de riesgos por rangos de edad hasta la mayoría de edad y deberá pasar el trámite estatutario antes de presentarse al Parlamento Inglés para su aprobación. Tras este momento las empresas que ofrezcan servicios digitales a menores en el Reino Unido tendrán 12 meses para adecuar sus servicios al código, que se espera para el oto?o del 2021.
Considerando que se trata de una de las iniciativas más concretizadas en éste sentido, al margen de si su empresa ofrece o no servicios al Reino Unido, conviene que repase cuidadosamente sus estándares si entre su clientela tiene una porción relevante de menores para prepararse con tiempo, ya que si bien Reino Unido sale de la UE, por el mero peso de servicios digitales globalizados que desde allí se desarrollan, genera un indicador bastante claro de la dirección legislativa.
El código está compuesto por 15 estándares:
1. El interés superior del menor: El interés superior del menor deberá ser la consideración primordial a la hora de dise?ar y de desarrollar servicios online que puedan ser accesible a un menor. Este estándar confluye perfectamente con nuestra Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
2. Evaluación de Impacto Protección de Datos: Se deberá desarrollar un EIPD para evaluar y mitigar el riesgo que los derechos y libertades de los menores que puedan acceder al servicio pudieran ser vulnerados a través del procesamiento de sus datos. Aquí cabe mencionar que RGDP ya a día de hoy obliga a elaborar un EIPD cuando se procesan datos de alto riesgo.
3. Aplicación adecuada a edad: Propone tomar un acercamiento basado en riesgos específicos a la edad de cada usuario y cerciorarse de que se aplican los estándares del código de forma efectiva a los menores de edad. O bien se establece la edad con los niveles de certeza que se adecuan a los riesgos de que los derechos y libertades de los menores se vean comprometidos o se pueden aplicar los estándares del código a todos los usuarios por igual. Los tramos propuestos son:
- 0–5: pre-alfabetizados y alfabetización temprana
- 6–9: a?os de primaria
- 10–12: a?os de transición
- 13–15: adolescencia temprana
- 16–17: cercano a la mayoría de edad
4. Transparencia: La información en materia de privacidad que se facilite a los usuarios, así como términos y condiciones y/o reglas de comunidad de usuarios deberán ser concisas, destacadas y en un lenguaje adaptado a la edad del menor. Claramente se recomienda incluir avisos específicos de cómo se utilizarán los datos cuando el dato sea activado.
5. Uso perjudicial de los datos: No usar los datos personales de menores de manera que pudiera ser perjudicial para su bienestar o ir en contra las mejores prácticas de la industria, regulación vigente o recomendaciones gubernamentales.
6. Políticas y estándares de la comunidad: Honrar los términos y condiciones de servicio, políticas y estándares de comunidad, incluyendo, sin ser limitante a política de privacidad, restricción por edad, reglas comportamentales y políticas de difusión de contenido.
7. Preferencias por defecto: Las preferencias en materia de privacidad deberán de pre fijarse en altas por defecto, siempre que no se pueda demostrar razones de peso de por qué de una preferencia por defecto alternativa, que debidamente tomen en consideración el interés superior del menor.
8. Minimización de datos: Sólo recolectar y retener la mínima cantidad de datos personales necesarios para facilitar los elementos del servicio que el menor usa activamente de forma consciente. Se aconseja ofrecer al menor diversas opciones sobre los elementos que quieran activar.
9. Compartir datos: No revelar datos de menores si no se puede demostrar razones de peso a tal efecto, que debidamente tomen en consideración el interés superior del menor.
10. Geolocalización: Mantener desactivada la opción de geolocalización por defecto si no se puede demostrar razones de peso para geolocalizar, que debidamente tomen en consideración el interés superior del menor. Presentar claramente un aviso al menor cuando el seguimiento de localización está activo. Las opciones que permiten visibilizar la localización de un menor a terceros deberá de volver a estar desactivadas por defecto al cierre de cada sesión.
11. Controles parentales: Si se ofrecen controles parentales, facilitar al menor la información adecuada a su edad sobre dicho control. Si su servicio online permite a un padre o un cuidador monitorizar la actividad online de un menor o seguir su localización, facilitar claramente avisos al menor de que están siendo monitorizado.
12. Perfilado: Mantener desactivada la opción de perfilado por defecto si no se puede demostrar razones de peso para perfilar, que debidamente tomen en consideración el interés superior del menor. Presentar claramente un aviso al menor cuando el seguimiento de localización está activo. únicamente permitir perfilado si se tiene medidas adecuadas instauradas para proteger al menor de cualquier efecto adverso, en particular que pudiera ser expuesto a contenidos que pueda ser perjudicial a su salud o bienestar.
13. Técnicas de “empuje”: No utilizar técnicas que empujen o inciten a los menores a divulgar datos personas innecesarios o que les lleven a reducir o desactiva la protección de su privacidad.
14. Juguetes o dispositivos conectados: Si ofrece un juguete o dispositivo cerciorarse de que incluye herramientas efectivas para adecuarse a éste código.
15. Herramientas online: Facilitar herramientas destacadas y accesibles que ayuden al menor a ejercitar sus derechos en materia de derechos de privacidad y reportar preocupaciones.
Conviene aclarar que el código marca directrices que hoy por hoy no implican obligatoriedad legal en Reino Unido. No obstante considerando el importe de las sanciones en Europa en materia de vulneración de la privacidad de hasta 20m de Euros o un 4% de los ingresos anuales de la empresa -cualquier fuera más elevado- y considerando que ya se están dando casos de peso en la sensible categoría de los datos de los menores incluso en la más laxa EEUU, se trata de una guía muy práctica que muy probablemente la AEPD adoptará y por ende su Delegado de Protección de Datos deba estudiar para debidamente equilibrar las necesidades de negocio con los derechos fundamentales de los menores.
Desde Tribaldata, aplaudimos la ardua labor del regulador en Reino Unido ya que somos firmes creyentes en las oportunidades de una economía digital evolucionada que debidamente incluya los derechos de los usuarios y que permita que los menores puedan continuar disfrutando del tobogán tanto físico como virtual en los a?os más importantes de su vida.
B2B Sales Strategist and Sales Management Specialist - Speaker, Trainer, Coach and Business Energizer
4 年Muy buen articulo! Como padre de ni?os peque?os es muy relevante, y ademas me ha explicado el marco legislativo y legal de forma accesible para gente como yo :-) Esperamos que la propuesta inglesa se extienda al marco europeo a pesar del Brexit, y que se generalice alguno de estos conceptos a todo el publico! Gracias Erik! ?
Responsable Oficina Iberoamericana FECYT. EU-LAC ResInfra Plus Project Manager
4 年Muy interesante el artículo. Espero que esta iniciativa signifique que UK se mantendrá totalmente bajo el paraguas de GDPR. Hace unas semanas aparecieron publicadas noticias (no sé cuánto de ciertas) de que UK pretendía desmarcarse de GDPR y relajar su legislación de protección de datos para de alguna manera privilegiar su mercado digital.? Con este Código, sin embargo, parece que quiere ser puntero en protección a los menores. Me alegro!
UX Researcher
4 年Muy interesante Erik H?ggblom! Me pregunto si muchos de estos puntos no sería bueno aplicarlos de manera generalizada para también respetar los derechos de la población más adulta
Senior Legal Counsel en Publicis Groupe
4 年Muy interesante Erik H?ggblom! A mi modo de ver, esta guía puede tener mucho éxito en sectores como el marketing educativo. Seguir esta guía de la ICO les facilitaría mucho la comprensión de los principios que rigen el GDPR sin emplear un gran esfuerzo.
Responsable de Admisiones. Sector Educativo/ Formación. BDM KAM Comercial #7k
4 年cierto!