SUMARIO

1. Introducción; 2. Legitimación en el tratamiento de datos personales; 3. Medios de comprobación de la edad del menor para garantizar la correcta prestación de su consentimiento en el ámbito de las administraciones públicas; 3.1. Firma electrónica general. 3.2. Firma electrónica avanzada; 3.3. Firma electrónica cualificada; 4. Conclusiones. Referencias.

1. INTRODUCCIÓN

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE¹ (en adelante, Reglamento general de protección de datos o RGPD) regula los datos personales relativos a los menores de edad de forma novedosa, toda vez que esta cuestión no encontraba alusión específica en la normativa precedente, emanada, en gran medida, del régimen contemplado en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos² (en adelante, DPDP).

A su vez, y al objeto adaptar el ordenamiento jurídico español al Reglamento general de protección de datos y completar sus disposiciones, surge la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales³ (en adelante, LOPDGDD), que, en virtud de su Disposición derogatoria única, deroga la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personales⁴ (en adelante LOPD) y el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos,⁵ además de cuantas disposiciones de igual o inferior rango contradigan se opongan o resulten incompatibles con lo dispuesto en el RGPD y la presente LOPDGDD.⁶ Esta nueva Ley Orgánica también se pronunciará de forma específica y relevante sobre los tratamientos especiales realizados sobre los datos personales relativos a los menores de edad.

Si atendemos a los instrumentos internacionales más relevantes, cuando hablamos de menores de edad, estamos refiriéndonos a aquellas personas físicas con edad inferior a los 18 años, toda vez que no se han emancipado desde un punto de vista legal con anterioridad a dicha edad.⁷ A lo largo de los últimos años, gran parte de la doctrina⁸ se ha decantado por emplear la noción niños, niñas y adolescentes para hacer alusión a las personas con edad inferior a los 18 años; no obstante, a lo largo de estas páginas, utilizaremos indistintamente las nociones anteriores, al igual que las nociones menores de edad o, simplemente, menor.

También el Grupo de Trabajo del Artículo 29 define a los mismos como aquellos seres humanos en el sentido exacto de la palabra (que, además, tenga menos de 18 años). Precisamente por ello, un menor de edad deberá disfrutar de todos los derechos que corresponden a una persona, donde se incluye, obviamente, el derecho fundamental a la protección de sus datos personales.

En este sentido, ha sido el artículo 8 RGPD el que ha incluido, por primera vez en el marco normativo comunitario, una alusión específica a la protección de datos personales de menores de edad. En este sentido, ni la Directiva derogada ni la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas),⁹ incluían mención específica alguna al supuesto de los menores de edad. Más allá de ello, en España, y sobre la base de dicho precepto del RGPD, nacerán otros tantos que vendrán a explicitar el contenido, algo más genérico, del artículo comunitario; estos serán, en esencia, los artículos 7, 84 y 92, además de la Disposición adicional 19ª, todos ellos, repetimos, de la nueva LOPDGDD.

De acuerdo con este precepto comunitario, que regula explícitamente las Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información, cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años. Además, el responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

Con independencia de lo anterior, huelga decir que la nueva normativa en materia de protección de datos personales será de aplicación a todos los menores de edad, sean o no de nacionalidad europea, con independencia de cuál sea su situación jurídica o legal en el ámbito de la Unión Europea.¹⁰ En este sentido, el apartado primero del artículo 4 RGPD, al hacer alusión al concepto de interesado, no establece distinción o diferenciación alguna en atención a la nacionalidad o situación en que se encuentre la persona física objeto de análisis; esto, en el caso concreto que ahora analizamos, presenta una importancia específica si atendemos a las situaciones, cada vez más frecuentes, de menores de edad procedentes de territorios no comunitarios, aspecto este de gran relevancia, si bien se sitúa fuera del alcance de este estudio.

En cualquier caso, concluiremos diciendo que, como tendremos ocasión de analizar, aunque tanto el RGPD como la nueva LOPDGDD incluyan preceptos relacionados con el tratamiento de datos personales de menores de edad, son numerosas las alusiones efectuadas a niños al analizar otros asuntos. Estas alusiones encuentran su justificación toda vez que dichos preceptos no persiguen realizar una regulación íntegra del tratamiento de datos personales relativos a menores (motivo por el cual es necesario integrar las previsiones de este artículo con el resto de la normativa en materia de protección de datos personales), sino que, únicamente, aborda un análisis de aquellas condiciones que resultan de aplicación al consentimiento de los menores de edad y siempre que el mismo se produzca en el ámbito concreto de los servicios de la sociedad de la información.¹¹

2. LEGITIMACIÓN EN EL TRATAMIENTO DE DATOS PERSONALES

El artículo 8 RGPD regula las condiciones que resultan aplicables al consentimiento del menor de edad en relación con los servicios de la sociedad de la información como base jurídica para el tratamiento de los datos personales que le corresponden.

Este precepto dispone que, cuando el consentimiento esté relacionado con la realización de una oferta directa a menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales del niño será legítimo siempre y cuando este tenga una edad superior a los 16 años. Si el menor de edad tiene menos de esta edad, dicho tratamiento tan sólo se considerará legítimo si el consentimiento en que se basa fue prestado por el titular de la patria potestad o tutela sobre el menor de edad y únicamente en la medida en que se dio o autorizó. En cualquier caso, esto no afectará a las disposiciones generales del Derecho que rige los contratos en los países integrantes de la Unión Europea, tales como las normas relativas a la validez, formación o efectos de los contratos en relación con los menores de edad.

Por lo demás, este artículo otorga a los Estados miembros la facultad de modificar esta edad mínima a través de una ley interna, siempre y cuando la misma no sea inferior a los 13 años. Al amparo de esta previsión, nace el artículo 7 de la nueva LOPDGDD (además de artículos como el 84 o el 92, así como la Disposición adicional decimonovena), que altera esta edad mínima, en términos generales, a 14 años.¹²

Un aspecto importante es qué ha de entenderse por servicios de la sociedad de la información. Al contrario de lo que pudiera pensarse, el texto normativo encargado de proporcionar una definición de servicios de la sociedad de la información no es aquel que regula su objeto. En efecto, la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (en adelante, Directiva sobre el comercio electrónico o DCE),¹³ en su artículo 2.a), efectúa una remisión al apartado segundo del artículo 1 de la Directiva 98/34/CE del Parlamento Europeo y del Consejo de 22 de junio de 1998 por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas,¹⁴ modificada, a su vez, por la Directiva 98/48/CE del Parlamento Europeo y del Consejo de 20 de julio de 1998 que modifica la Directiva 98/34/CE por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas.¹⁵

De acuerdo con este precepto, será servicio de la sociedad de la información “[…] todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios”.

Se entenderá que es a distancia aquel servicio que sea prestado sin que las partes se hallen presentes de manera simultánea, es decir, sin la presencia física sincrónica de la persona que presta el servicios de la sociedad de la información (prestadores de servicios de la sociedad de la información) y su destinatario (destinatarios de servicios de la sociedad de la información); por vía electrónica, cuando sea enviado desde la fuente y recibido por el destinatarios de servicios de la sociedad de la información mediante equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe íntegramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético, y a petición individual de un destinatario de servicios, cuando sea este quien solicite que el servicio le sea prestado. Por último, el servicio de la sociedad de la información tendrá carácter oneroso cuando ambas partes intervinientes obtengan algo de manera recíproca, es decir, cuando tanto los prestadores de servicios de la sociedad de la información como los destinatarios de servicios de la sociedad de la información realicen una prestación a favor de la otra parte.¹⁶

Pese a esta última afirmación, conviene tener presente el contenido del considerando 18 DCE, que aclara que los servicios de la sociedad de la información no cubren únicamente aquellos servicios que dan lugar a la contratación en línea, sino que, en la medida en que representen una actividad económica, serán extensivos igualmente a servicios que no son remunerados por sus destinatarios. En opinión de algunos autores, es esta naturaleza onerosa de la prestación una nota esencial, ya que lo que se incluye es toda actividad desarrollada por vía electrónica y que tenga un significado económico, más allá de que sea el usuario final, o no, el que deba pagar el servicio de que se trate.¹⁷

De este modo, se habrán de entender incluidos dentro de la noción de prestadores de servicios de la sociedad de la información a todos aquellos que obtengan ingresos económicos como consecuencia del servicio, ya sea directamente (como es el caso de los servicios remunerados por sus destinatarios) o indirectamente (a través de la inclusión de publicidad o como consecuencia de la explotación de datos personales de los usuarios que se registran para acceder al servicio). Quedarían fuera, por contra, todos los demás supuestos en los que quepa apreciar una ausencia total de actividad económica, como suele ocurrir con las páginas o blogs de carácter personal, que deberán ser excluidos del régimen jurídico específico de los prestadores de servicios de la sociedad de la información.

En nuestro ordenamiento jurídico interno y en términos prácticamente idénticos, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico¹⁸ (en adelante, LSSICE) ha optado también por incluir, en el apartado a) de su anexo, una definición de servicios de la sociedad de la información. Todos estos servicios, afirma el legislador español, se caracterizarán por cuatro aspectos esenciales que han de concurrir acumulativamente: ser prestados a distancia, por vía electrónica, previa petición individual del destinatario de servicios de la sociedad de la información y, al menos habitualmente, a título oneroso. Y es aquí donde, con base en la Exposición de Motivos, el apartado tercero incluye, dentro del concepto de servicios de la sociedad de la información, al comercio electrónico, dentro del cual se integrarían dos actividades fundamentales que agrupan al resto: de un lado, el envío de comunicaciones comerciales previas a la contratación, que agrupa el suministro de información vía telemática, y, de otro, la contratación electrónica propiamente dicha, en la cual se subsume tanto la organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales, como la gestión de compras en la Red por grupos de personas. Los medios a través de los cuales podrá canalizarse esta contratación serán, entre otros, el correo electrónico, la página web, la videoconferencia o el chat.

A ellos habrían de añadirse, como veremos, aquellos servicios de la sociedad de la información de intermediación relativos a la provisión de acceso a la Red (Internet service providers), los que permiten la transmisión de datos por redes de telecomunicaciones (mere conduit o routing), los concernientes a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios (proxy caching o memoria tampón), los que posibilitan el alojamiento, en los propios servidores, de información, servicios o aplicaciones facilitados por otros (hosting), los que proveen instrumentos de búsqueda o de enlaces a otros sitios de Internet (searching and linking), los que hacen posible, tanto la creación, verificación y validación de firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica certificada, certificados relativos a estos servicios y certificados para la autenticación de sitios web, como la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios (trust services –servicios de la sociedad de la información de intermediación–) o cualquier otro servicio que se preste a petición individual de los usuarios (como la descarga de archivos o audio), siempre que representen una actividad económica para los prestadores de servicios de la sociedad de la información de intermediación:

Pese a todo lo anterior, debemos tener siempre presente que, con carácter general, prevalecerá el interés superior del menor. Ello quiere decir que, en supuestos de conflicto (por ejemplo, en aquellos casos en los que el titular de la patria potestad o tutela sobre el menor de edad preste su consentimiento en nombre del niño interesado para un tratamiento de los datos personales que es claramente pernicioso para los intereses del menor), habrán de habilitarse aquellos mecanismos contemplados en cada Estado miembro para proteger el interés, repetimos, superior, del niño.¹⁹

En cualquier caso, echamos de menos en este artículo 8 RGPD alguna previsión en relación con el consentimiento prestado por el menor de edad o por el titular de la patria potestad o tutela sobre el niño cuando no estemos ante un supuesto de oferta de un servicio de la sociedad de la información, como sí hace el artículo 7 LOPDGDD. En este caso, deja la duda de si podría aplicarse para estos supuestos también el contenido de este precepto o no, y, en este último caso, qué respuesta podría darse, si análoga o no, a lo que dispone dicho artículo 8 RGPD, duda que desaparece con la entrada en vigor de la LOPDGDD.

Tampoco se incluye el supuesto que nos permita saber qué sucede con el consentimiento cuando es prestado por el titular de la patria potestad o tutela sobre el niño en un momento anterior a que este alcance la mayoría de edad, cuando este, inmediatamente después, la supere. Desconocemos, salvo que realicemos una labor interpretativa, qué sucedería con este consentimiento, es decir, si sería necesario volver a recabar el consentimiento, esta vez directamente del menor, o sería posible prorrogar los efectos del consentimiento manifestado por el titular de la tutela o patria potestad sobre el que, por entonces, era niño. No obstante, entendemos que, lo lógico, sería volver a recabar el consentimiento, ya del interesado, para poder seguir tratando sus datos personales.²⁰

3. MEDIOS DE COMPROBACIÓN DE LA EDAD DEL MENOR PARA GARANTIZAR LA CORRECTA PRESTACIÓN DE SU CONSENTIMIENTO EN EL ÁMBITO DE LAS ADMINISTRACIONES PÚBLICAS

Una cuestión que no puede pasar desapercibida si analizamos todas las circunstancias que rodean el tratamiento de los datos personales relativos a menores de edad, como categorías especiales de interesados que son, es la manera que tiene el responsable del tratamiento de procurar la verificación de la edad del niño para poder corroborar, así, la prestación del consentimiento, ya sea por este o por quienes ejercen su patria potestad o tutela. Como fácilmente se puede advertir, esta situación plantea serias dificultades en un contexto, como el actual, fuertemente imbricado en la precitada sociedad de la información, donde no se produce la presencia física del menor y, por ende, es ciertamente difícil comprobar su edad.

En este sentido, el artículo 8.2 RGPD, que volvemos a suscribir por su importancia a estos efectos, establece que “[…] el responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Esta indicación parece aludir a los menores de edad con una edad inferior a los 16 años, siendo necesario, en estos casos, que el consentimiento sea prestado o autorizado por quien ejerce la patria potestad o tutela sobre el menor de edad y sólo en la medida en que este consentimiento fue prestado o autorizado. Además, indica el precepto, el esfuerzo llevado a cabo por el responsable del tratamiento deberá ser razonable, siendo este un concepto jurídico indeterminado que podrá ser matizado dependiendo del supuesto específico.

En nuestro país, en 2010, la Agencia Española de Protección de Datos (en adelante, AEPD) emitió un informe en el que establecía que la normativa por entonces vigente en España (LOPD/RDLOPD) no establecía un procedimiento específico que hubiera de ser seguido por el responsable del tratamiento para poder verificar la edad del niño y la consecuente autenticidad del consentimiento prestado por los padres, tutores o representantes legales del menor, otorgando libertad al responsable del tratamiento para poder emplear el procedimiento que estimase oportuno. En este sentido, algunos autores, consideran que este deber del responsable del tratamiento se traduce en una obligación de hacer y no en una obligación de resultado, de modo que, si el responsable del tratamiento articula los procedimientos que estime oportunos, los documenta de un modo pertinente y verifica de modo efectivo su cumplimiento, sobre él no podrá recaer responsabilidad alguna derivada, por ejemplo, de que el niño hubiera falsificado su Documento Nacional de Identidad o hubiera fotocopiado el del titular de la patria potestad o tutela sin el consentimiento de este.²¹ No obstante, se antoja ciertamente favorable, en aras de cumplir de un modo más adecuado y satisfactorio con el principio de responsabilidad proactiva impuesto por el RGPD, que el procedimiento establecido por los responsables del tratamiento sea razonable a la hora de comprobar la identidad del menor de edad, requiriendo, preferiblemente, su firma electrónica.

La firma electrónica, regulada en la actualidad, con carácter esencial y a nivel comunitario, en el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE²² (en adelante, Reglamento eIDAS o RIE-SCTE), así como, a nivel nacional, en la Ley 59/2003, de 19 de diciembre, de firma electrónica (en adelante, LFE),²³ resulta un instrumento especialmente adecuado para poder acreditar el consentimiento a que venimos haciendo referencia. A continuación, analizamos la firma electrónica desde una perspectiva legal (más concretamente, las firmas electrónicas, un total de tres, determinantes de cada una de las tres clases recogidas por la normativa nacional y comunitaria), especialmente cuando el tratamiento se produce en el ámbito de las Administraciones Públicas, especialmente sensibilizadas tras la entrada en vigor de la actual Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas²⁴ (en adelante, LPACAP).²⁵

3.1. Firma electrónica general

El artículo 3.10) RIE-SCTE define de forma general la firma electrónica como “[…] los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar”, o, lo que es lo mismo, cualquier método o símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención de firmar, cumpliendo todas o algunas de las funciones características de la firma autógrafa. La referencia a su utilización con la intención de firmar se corresponde con la nueva regulación de otros servicios electrónicos de confianza que responden a fines diferentes.

Esta definición pone de manifiesto la intención del legislador comunitario de regular las firmas electrónicas en sentido amplio, sin perjuicio de disciplinar con más detalle modalidades específicas a las que, de manera gradual, atribuye una especial eficacia jurídica (por orden ascendente, como veremos, firmas electrónicas avanzadas y firmas electrónicas cualificadas). Asimismo, se trata de un concepto tecnológicamente indefinido (principio de neutralidad tecnológica), ya que no se refiere a ninguna tecnología específica (criptografía, passwords, etc.) a través de la cual se deba firmar, si bien es cierto que será la criptografía asimétrica propia de la firma digital, la que, de manera velada, presida el conjunto de la norma. Por lo demás, los datos que integran la firma electrónica podrán formar parte del documento electrónico o ir asociados formalmente con ellos, apareciendo como un conjunto independiente. Ahora bien, este modo, integrado o separado, en que, en su caso, se manifieste la firma electrónica dependerá del sistema técnico seleccionado y de las aplicaciones prácticas con que cuente cada modalidad.

De acuerdo con esta noción general, firma electrónica podría ser, en términos contractuales, cualquier conjunto de datos basado en medios electrónicos utilizado por el firmante con la intención de firmar, sin especificar (en un intento, considero, por dejar abierta la firma electrónica a cuantas finalidades le permitan los sucesivos avances tecnológicos) el fin perseguido al hacerlo. Se incurre, de este modo, en una especie de redundancia un tanto incomprensible, que lleva a definir la firma electrónica general como aquella que utiliza el firmante para firmar.

En este punto, el Reglamento eIDAS se separa de la definición recogida por su precedente, que, proporcionando un concepto de firma electrónica simple (no general), circunscribía el fin común perseguido por toda firma electrónica a servir como medio de autenticación. Y ello en una redacción, en principio, discutible²⁶ y generadora de confusión, ya que, por ser esta fase de autentificación posterior a la de identificación propiamente dicha, hubiera sido mejor optar por esta última.²⁷ Tampoco se aclara qué ha de entenderse por autenticación y por identificación, lo que nos sitúa ante un concepto jurídico indeterminado susceptible de generar interpretaciones radicalmente distintas.

Como quiera que sea, lo cierto es que, con esta nueva redacción, la norma europea genera una confusión en nada desdeñable. En efecto, si con la normativa anterior quedaba delimitado el mínimo que debía cumplir toda firma electrónica para ser considerada como tal a efectos jurídicos (identificación del firmante de un mensaje de datos o autenticación o acreditación de dicha identificación), el RIE-SCTE, pese a la plausible intención presumiblemente perseguida, imposibilita al jurista la concreción del elemento que, satisfecho, permita saber cuándo nos hallamos en presencia de una firma electrónica, por básica o elemental que sea. En consecuencia, dentro de esta definición tendrían cabida procedimientos múltiples de firma, algunos tan complejos como la firma digital basada en la criptografía asimétrica o la firma configurada sobre la base de sistemas biométricos como el iris, la palma de la mano o la huella dactilar y otros tan simples como la plasmación del nombre u otro elemento identificativo incluido al final de un mensaje electrónico, la firma manuscrita digitalizada o la existencia de una pregunta-respuesta y un PIN de acceso. Resultado de lo anterior, estamos en condiciones de afirmar que, si el fin perseguido es generar certidumbre en quienes se hallen sujetos y afectados directa o indirectamente por la norma, sería más adecuado reformular el concepto actual de firma electrónica general y reconducirlo, con matices, al tradicional de firma electrónica simple, en una suerte de definición, si quiera algo más clarificadora o completa, que podría quedar como sigue: la firma electrónica es el conjunto de datos en formato electrónico, anejos a otros datos electrónicos o asociados de manera lógica con ellos, que son utilizados, al menos, como medio de identificación del firmante.

3.2. Firma electrónica avanzada

Elevando las exigencias de calidad y de seguridad de la firma electrónica, el artículo 3.11) RIE-SCTE introduce el concepto de firma electrónica avanzada, entendiendo por tal la “[…] la firma electrónica que cumple los requisitos contemplados en el artículo 26”.

Estos requisitos, adiciona este último precepto, son los siguientes:

• estar vinculada al firmante de manera única;

• permitir la identificación electrónica del firmante (menor de edad o titular de la patria potestad para, en el caso que nos ocupa, prestar el consentimiento a tratamientos en los que el responsable del tratamiento es la Administración Pública);

• haber sido creada utilizando datos de creación de firma electrónica que el firmante puede utilizar para la creación de una firma electrónica, con un alto nivel de confianza,²⁸ bajo su control exclusivo, y

• estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Obsérvese que con las tres primeras exigencias (vinculación única al signatario, identificación del mismo y creación por medios bajo su exclusivo control) se persigue garantizar la identificación autenticada del autor y evitar el rechazo en origen de los mensajes de datos; en cambio, con la última (vinculación a los datos que permite detectar cualquier alteración ulterior), se pretende salvaguardar la integridad de los documentos electrónicos.

3.3. Firma electrónica cualificada

Por último, el artículo 3.12) RIE-SCTE define la firma electrónica cualificada (introduciendo una nueva denominación a nivel comunitario de aquello que, ya desde la Ley 59/2003, de 19 de diciembre, de firma electrónica, se conocía en España como firma electrónica reconocida) como la “[…] firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica”.

Más que una nueva modalidad, la firma electrónica cualificada constituye un nuevo tipo de firma electrónica avanzada que, acompañada de determinados elementos que le imprimen una mayor seguridad (dispositivo cualificado de creación de firma electrónica, de una parte, y certificado cualificado de firma electrónica, de otra), tendrá “[…] un efecto jurídico equivalente al de una firma manuscrita” (artículo 25.2 RIE-SCTE). Por esta razón, se ve investida de un nuevo nomen iuris, con la finalidad de singularizarla de aquella otra que, por no haber sido creada mediante un dispositivo cualificado de creación de firma electrónica o por no basarse en un certificado cualificado de firma electrónica (o por no cumplir ninguno de estos dos requisitos), no tendrá efectos legales equiparables, en términos de validez y eficacia, a los de la firma autógrafa, integrándose bajo el nombre de firma electrónica avanzada. Esta última, al igual que la firma electrónica simple y que la firma electrónica avanzada basada en un certificado electrónico cualificado, no se verá privada de efectos jurídicos ni de admisibilidad como prueba en procedimientos judiciales por el mero hecho de que esté en forma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada (artículo 25.1 RIE-SCTE), debiéndose valorar, en todo caso, cuál es la eficacia que tienen, algo que, en ocasiones, puede ser complejo y costoso.

Es esta mayor seguridad jurídica la que justifica que el artículo 10 LPACAP, entre los sistemas de firma admitidos por las Administraciones Públicas, considere preferente la firma electrónica cualificada.

4. CONCLUSIONES

De todo lo anterior se deduce la necesidad, por parte de las instituciones comunitarias, de proteger los datos personales de los menores de edad por medio de la aplicación de una serie de principios que habrán de estar vigentes a la hora de obtener los datos personales correspondientes a este grupo de interesados:

En primer lugar, los niños no podrán proporcionar información personal relativa a otros interesados.

En segundo lugar, para poder realizar transferencias de datos personales correspondientes a menores de edad a terceros países u organizaciones internacionales, será preciso recabar el consentimiento explícito y demostrable de quiénes ejercen la patria potestad o tutela sobre el niño, que, como hemos visto, habrá de realizarse por medio de instrumentos que garanticen de forma segura la prestación del mismo, en especial, la firma electrónica.

En tercer lugar, está prohibido inducir a los menores de edad al proporcionar información de carácter personal a través de la consecución de premios o alicientes semejantes.

En cuarto lugar, será necesario acotar temporalmente la validez del consentimiento prestado por quienes ejercen la patria potestad o tutela sobre el niño.

REFERENCIAS

ALAMILLO DOMINGO, Ignacio. Identidad y firma electrónica. Nociones técnicas y marco jurídico general. Identificación y autentificación de los ciudadanos. In FERNÁNDEZ RAMOS, Severiano; VALERO TORRIJOS, Julián; GAMERO CASADO, Eduardo (Dirs.). Tratado de Procedimiento Administrativo Común y Régimen Jurídico Básico del sector público. Valencia: Tirant lo Blanch, pp. 675-768/2017.

ALEMÁN MONTERREAL, Ana. La protección de datos de menores en el ámbito sanitario: ¿discriminación necesaria?. Actualidad civil, n. 19, p. 555, 2011.

ANDREU MARTÍNEZ, Belén. La protección de datos personales de los menores de edad. Cizur Menor: Thomson Reuters Aranzadi, 2013.

BRITO IZQUIERDO, Noemí. Tratamiento de los datos personales de menores de edad en la nueva normativa europea protectora de datos personales. Actualidad civil, n. 5, 2018.

DE LAS HERAS VIVES, Luis; DE VERDA Y BEAMONTE, José Ramón. Consentimiento de los menores de edad. In ARENAS RAMIRO, Mónica; ORTEGA GIMÉNEZ, Alfonso (Dirs.). Protección de datos: comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD). Madrid: Sepin Editorial Jurídica, p. 75, 2019.

DÍAZ MORENO, Alberto. Concepto y eficacia de la firma electrónica en la Directiva 1999/93/CE, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Revista de la Contratación Electrónica, n. 2, p. 17, 2019.

ESCOBAR ROCA, Gabriel. Informe 2016. Tema monográfico: la protección de datos de los menores de edad. Madrid: Trama, 2017.

FERNÁNDEZ SAMANIEGO, Javier; FERNÁNDEZ LONGORIA, Paula. El interés legítimo como principio para legitimar el tratamiento de datos. In RALLO LOMBARTE, Artemi (Coord.). Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Valencia: Tirant lo Blanch, pp. 175-176, 2019.

GARCÍA HERRERA, Vanessa. El válido consentimiento para el tratamiento de los datos personales de los menores de edad en Internet. Especial referencia al supuesto en que los representantes legales estén divorciados o separados. La Ley Derecho de Familia: revista jurídica sobre familia y menores, n. 207, p. 63/2018.

PALMA ORTIGOSA, Adrián. Ámbito de aplicación y definiciones del RGPD. In MURGA FERNÁNDEZ, Juan Pablo; FERNÁNDEZ SCAGLIUSI, María de los Ángeles; ESPEJO LERDO DE TEJADA, Manuel (Dirs.). Protección de datos, responsabilidad activa técnicas de garantía. Madrid: Reus, pp. 25-38/2018.

PIÑAR REAL, Alicia. Tratamiento de datos de menores de edad. In PIÑAR MAÑAS, José Luis (Dir.). Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad. Madrid: Reus, pp. 187-204, 2016.

RODRÍGUEZ AYUSO, Juan Francisco. Servicios de confianza en materia de transacciones electrónicas: el nuevo Reglamento europeo 910/2014. In PÉREZ GALLARDO, Leonardo (Coord.). Contratación electrónica y protección de los consumidores: una visión panorámica. Madrid: Reus, pp. 137-138/2017.

RODRÍGUEZ AYUSO, Juan Francisco. Ámbito contractual de la firma electrónica. Barcelona: Bosch, 2018.

RODRÍGUEZ AYUSO, Juan Francisco. Figuras y responsabilidades en el tratamiento de datos personales. Barcelona: Bosch, 2019.

RODRÍGUEZ AYUSO, Juan Francisco. Control externo de los obligados por el tratamiento de datos personales. Barcelona: Bosch, 2020.

TRONCOSO REIGADA, Antonio. Transparencia administrativa y protección de datos personales. In TRONCOSO REIGADA, Antonio (Coord.). Transparencia administrativa y protección de datos personales: V Encuentro entre Agencias Autonómicas de Protección de Datos Personales. Madrid: Agencia de Protección de Datos de la Comunidad de Madrid, pp. 24-27, 2018.

Notas

Notas de autor

Información adicional

Como citar este artículo | How to cite this article: RODRIGUEZ AYUSO, Juan Francisco. Herramientas reconocidas para el registro público de los interesados en la Administración electrónica. Revista Eurolatinoamericana de Derecho Administrativo, Santa Fe, vol. 8, n. 1, p. 99-113, ene. /jun. 2021. DOI 10.14409/redoeda.v8i1.9676.