El tratamiento de datos de menores de edad

Hoy centramos nuestra atención en las consecuencias que puede tener la recopilación de datos de menores de edad de un modo irregular. En el procedimiento sancionador PS/00339/2011 de la AEPD podemos ver la sanción que puede sufrir una entidad por recoger datos de menores de edad sin obtener el consentimiento paterno.

Toda organización debe establecer procedimientos para recoger datos personales y ejercer los derechos. pero se ha de ser especialmente cauto a la hora de recoger datos personales de menores.

En este caso el demandante pone de manifiesto que durante el mes de diciembre de 2010 y comienzos de enero de 2011, un canal infantil de televisión de TDT promocionaba la asistencia a la Cabalgata de Reyes en una carroza patrocinada por la cadena. Para participar en el concurso, se debía cumplimentar un formulario disponible en la web de la propia televisión. Dicho formulario recogía datos personales de menores, puesto que en las bases de la promoción figuraba que iba dirigido a niños entre 7 y 12 años, no obstante, no se solicitaba el consentimiento del tutor legal, ni se facilitaba claramente la finalidad de la recogida, ni la información necesaria para ejercitar los derechos ARCO.

En la inspección de la AEPD se comprueba que aunque el sitio web de la cadena de televisión es un portal dirigido a un público juvenil, la información facilitada en la recogida de datos se realiza cumpliendo la LOPD. Sin embargo, en la recogida de datos para participar en la promoción concreta a la que hacía referencia la demanda, era necesario rellenar un formulario con datos personales, no existiendo ninguna opción para solicitar la autorización del padre/madre/tutor, ni consta la información establecida por la LOPD.

Como resultado de la demanda, la cadena de televisión obtuvo una sanción de 20.000 euros por una infracción del artículo 6.1 de la LOPD.

En Instituto Nacional de Protección de Datos te ayudamos a implantar correctamente la Ley de Protección de Datos para que tu empresa no tenga que enfrentarse a sanciones como esta. 

¿Qué medios no son adecuados para ejercer los derechos de los afectados?

La normativa establece que debe concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO) en el tratamiento de sus datos.

El ejercicio de los derechos ARCO también debe ser gratuito para el interesado. Es por ello que no se consideran adecuados los siguientes medios:

• El envío de cartas certificadas o semejantes.
• La utilización de servicios de telecomunicaciones que impliquen tarificación adicional.
• Cualquier medio que implique un coste excesivo para el interesado.

En cambio, sería acorde a la normativa:

• El envío de una carta, siempre que no fuese certificada obligatoriamente.
• Disponer de un número de teléfono, siempre que no fuese 807 o similar.
• El envío de un correo electrónico.

En conclusión, la entidad debe establecer procedimientos eficaces para el ejercicio de los derechos ARCO en tiempo y forma.

Acceso al sistema de videovigilancia

La AEPD resuelve una consulta relacionada con este asunto en el informe 0135/2010. En dicho informe se plantea una duda sobre si la creación de un nuevo sistema de videovigilancia, en virtud del cual el cliente puede acceder a las imágenes del lugar donde se encuentran instaladas las cámaras, incluso de las últimas 48 horas, y cuyo fichero está dado de alta por la entidad consultante, obliga a que el cliente nuevamente dé de alta el fichero según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Según el contenido de la consulta, el cliente si quiere puede acceder a las imágenes, conectándose por control remoto al servidor de la entidad consultante. Por tanto, puede deducirse que el cliente, más que crear su propio fichero, lo que se le permite es acceder al sistema de la empresa de seguridad.

Por tanto, en caso de que un cliente acceda a las imágenes de una empresa de videovigilancia que ya ha dado de alta sus ficheros de acuerdo a la legislación vigente no es necesario que el cliente dé de alta un nuevo fichero. Sin embargo, la entidad consultante sí debe considerar al cliente como un usuario del sistema, cuyo acceso debe estar regulado de la misma forma que si el acceso fuese realizado por su propio personal.


Todo ello debe aparecer reflejado en el Documento de Seguridad y, en cualquier caso, debe controlarse el acceso, tanto del personal propio como del personal externo o eventual. Cada cliente sólo debe tener acceso a los recursos precisos y autorizados, limitándose al acceso al resto de recursos.

Si una empresa resulta sancionada por la AEPD, el denunciante puede pedir una indemnización

Tal y como establece la Ley Orgánica de Protección de Datos, los afectados que, como consecuencia de un incumplimiento de lo dispuesto en la LOPD por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas. Mientras que en el caso de ficheros de titularidad privada, la acción se ejercitará ante los órganos de jurisdicción ordinaria.

Es decir, que si resultamos sancionados por la AEPD y la persona que ha resultado afectada (denunciante) considera que se le ha perjudicado de alguna forma, puede, con la resolución del procedimiento sancionador de la AEPD acudir a un tribunal ordinario a solicitar una indemnización por parte del responsable para resarcir el daño causado.

Cabe recordar que denunciar a una entidad ante la AEPD no conlleva ningún coste al denunciante.