Una muerte sacudió Italia a finales de la semana pasada: la pequeña Antonella Sicomero, de sólo 10 años, falleció por asfixia como consecuencia de su participación en el reto viral #BlackoutChallenge, difundido a través de Tik Tok, red en la que la propia Antonella era participante activa.
Este trágico suceso desencadenó, por ello, una respuesta sin precedentes en su país: las autoridades (concretamente el organismo italiano dedicado a la protección de datos) decidieron "bloquear" Tik Tok.
Aunque no lo han hecho impidiendo el acceso mediante un bloqueo de DNS o algún otro método similar, sino ordenando a la red social que congele el tratamiento de datos personales de usuarios cuya edad no pudiera verificar, lo que incluye procesar los inicios de sesión.
Y es que, a falta de dicha verificación, Tik Tok no puede descartar -como demuestra la muerte de Antonella- que "incluso los menores de trece años estén usando su servicio, teóricamente destinados a una audiencia mayor de dicha edad".
"Desde Tik Tok no podrán implementar ningún tratamiento de datos personales sin estar razonablemente seguros de que existe un contrato válidamente rubricado y/o un consentimiento válido".
Dicha aclaración corresponde a declaraciones de Guido Scorza, representante del organismo italiano dedicado a la protección de datos, realizadas al periódico La Stampa. En dicho medio, Scorza aclara también que, ahora, le corresponde a la red social establecer el mecanismo exacto para cumplir con las condiciones antes expuestas.
Primer uso del 'procedimiento de urgencia' del RGPD
Jurídicamente hablando, lo interesante de este caso es el mecanismo legal elegido para adoptar una decisión de este calibre: se trata del primer caso en que se aplica a una plataforma social el "Procedimiento de Urgencia" del RGPD (el reglamento que regula el uso de datos personales dentro de la UE).
Dicho reglamento, en su artículo 66, otorga a las autoridades de protección de datos poderes para "intervenir para proteger los derechos y las libertades de interesados" mediante la adopción inmediata de
"medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses".
En palabras de Samuel Parra, jurista especializado en el RGPD y privacidad, dicho artículo del RGPD
"está pensando precisamente para poder atajar de forma ágil una situación grave en lo que respecta al tratamiento de datos personales, sin necesidad de iniciar todo un procedimiento administrativo, que puede durar meses".
"En este caso, el garante italiano ha considerado que la muerte de la niña es motivo suficiente para intervenir, máxime cuando ya venía advirtiendo a Tik Tok de que no estaba realizando un tratamiento de datos personales en consonancia con la normativa italiana de protección de datos".
La privacidad de los menores según el RGPD
Frente a las voces que se han alzado sosteniendo que este tipo de verificación de datos constituye en sí misma una amenaza a la privacidad (voces con las que Scorza se muestra muy crítico en su entrevista), Parra explica que, por el contrario, lo que se está haciendo aquí es
"Proteger la privacidad del usuario: si eres menor no entras y te protegemos, si eres mayor, entras de conformidad con la normativa de protección de datos".
El RGPD establece que esa mayoría de edad se alcanza a los 16 años, pero permite que cada Estado miembro lo rebaje hasta los 13 años: en España, por ejemplo, se ha establecido la mayoría de edad en protección de datos en los 14 años.
"Esto quiere decir que si un niño de 13 años quiere hacer uso de una red social, en teoría debería existir un procedimiento por el cual los padres puedan consentir ese tratamiento del menor, o bien establecer un mecanismo que impida que un niño de 13 años pueda registrarse. Esto es precisamente el problema que la achacan a Tik Tok en Italia".
El artículo 8.2 del Reglamento arroja más luz sobre las obligaciones exigibles a Tik Tok (y a cualquier otro servicio online que opere en la UE):
"El responsable del tratamiento hará esfuerzos 'razonables' para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible".
"Esta misma medida se podría adoptar en España"
Parra nos explica que "esta misma medida se podría adoptar en España, porque el RGPD es igual para todos los miembros de la Unión Europea":
"Este es uno de los logros del RGPD: establecer un marco común de derechos y obligaciones para todo el territorio de la Unión Europea, por tanto, nuestra Agencia Española de Protección de Datos también podría acudir a ese artículo 66 del RGPD e imponer una medida similar si así lo considera necesario".
Ver 3 comentarios