Legislación de protección de datos infantiles en diversos países

Gran parte de nuestros datos personales están en línea o se mantienen dentro de sistemas electrónicos, y proteger estos datos nunca ha sido más importante. Cuando se trata de los datos de nuestros hijos, lo que está en juego es aún mayor.

¿Qué países garantizan la seguridad de los datos de nuestros hijos restringiendo su recopilación? ¿En qué parte del mundo se requiere el consentimiento de los padres antes de que una empresa pueda recopilar los datos de un niño? ¿Y qué países no protegen los datos de los niños dejándolos sin definir y, por lo tanto, tratados igual que los adultos?

Hemos analizado la legislación en 50 países para averiguarlo. También exploramos la importancia de contar con salvaguardas adicionales para los datos de los niños, si los gobiernos están obligados a los mismos principios de protección de datos que las empresas y las restricciones de edad que invaden la privacidad y que muchos países están introduciendo con el pretexto de «proteger» los datos de los niños.

¿Qué países ofrecen la mejor protección para los datos en línea de los niños?

Sobre la base de los 32 países que tienen una legislación específica sobre el uso de datos de niños en línea, los siguientes países se destacan. Vale la pena señalar, sin embargo, que ningún país es perfecto. Todos los países ponen en riesgo los datos de los niños a través de las lagunas existentes para los gobiernos y la falta de políticas rigurosas y procedimientos claros en torno a la protección y el procesamiento de los datos de los niños. Esto se indica en la puntuación del país con la puntuación más alta (Francia) de 34,5 sobre 44; aunque es alta, tiene margen de mejora.

Francia

Puntuación: 34,5 sobre 44

Francia ocupa el primer lugar en este estudio, superando a sus vecinos de la UE por dos puntos con su requisito adicional de que los niños estén, en algunos casos, involucrados en el proceso de consentimiento junto con sus padres/tutores. Según la agencia francesa de protección de datos, la Commission nationale de l’informatique et des libertés (CNIL):

“El artículo 45 de la Ley de protección de datos de Francia establece que, en el contexto de los servicios en línea y para el procesamiento de datos basado en el consentimiento no contractual del usuario, el o los titulares de la patria potestad deben dar su consentimiento junto con el de su niño si éste es menor de 15 años. Esto significa que el consentimiento para funciones adicionales, como establecer el estado público/privado de un perfil de red social o activar la geolocalización opcional en una aplicación, en teoría debería basarse en un acuerdo conjunto entre el niño y el titular de la patria potestad. En otras palabras, los padres no pueden ir en contra de los deseos de su hijo para este tipo de procesamiento y el niño no puede anular la objeción de los padres”.

Dar a los niños autoridad sobre sus datos mientras se hace cumplir la supervisión de los padres es, en esta era digital, un gran beneficio. No solo garantiza que los niños sean conscientes de la protección de datos y sus opciones desde el principio, sino que también les da autonomía en la privacidad de sus datos.

Países de la UE y el Reino Unido

Puntuación: 32,5 sobre 44

Todos los países de la UE cubiertos (excepto Suiza, que exploramos a continuación) disfrutan de los beneficios de la protección de datos del RGPD. Dado que los datos de los niños están claramente definidos, garantiza que se requiere el consentimiento de los padres y que existen varias protecciones diferentes, incluido el derecho a acceder, eliminar y modificar datos, restricciones en la creación de perfiles y anuncios dirigidos, políticas de privacidad claras y comprensibles, y que los padres verificarán el consentimiento. Estas protecciones también se aplican a todo tipo de entidades, incluidos los intermediarios de datos, las instituciones educativas y las organizaciones sin fines de lucro. Sin embargo, las entidades gubernamentales reciben las exenciones habituales.

Donde podría verse que el RGPD se queda un poco corto es en el hecho de que la creación de perfiles de menores no está estrictamente prohibida (aunque se ofrecen algunas protecciones), que no existen requisitos específicos para el cifrado de datos de niños (o datos en general), y no hay períodos precisos de retención de datos para los datos de los niños (solo se deben retener «durante el tiempo que sea necesario»).

Aunque los datos de los niños y su recopilación y procesamiento están claramente definidos en el RGPD, muchas áreas se rigen por la ley general y carecen de procedimientos claros y precisos.

Suiza es una excepción a la regla aquí porque, si bien se rige por GDPR (que brinda protección a los datos de los niños), cree que los niños son capaces de juzgar y, por lo tanto, les otorga poder sobre sus datos. Aunque esto es encomiable hasta cierto punto, deja a los niños vulnerables a que se exploten sus datos, especialmente en los casos en los que es posible que no entiendan lo que se les pide a sus datos. Es por eso que Suiza ha sido calificada como si no tuviera ninguna legislación específica sobre la protección de datos de los niños.

Arabia Saudí

Puntuación: 31,5 sobre 44

Los procedimientos claros y precisos son algo que ayuda a mejorar el puntaje de Arabia Saudí. Si bien este no suele ser un país que se destaque por su protección de datos (por ejemplo, es uno de los países con peor puntaje en nuestro estudio biométrico ), la Política de protección de la privacidad de niños e incompetentes de Arabia Saudí ofrece datos de niños excelentes. protecciones con requisitos claros y precisos para todos los recolectores y procesadores de datos.

Si bien esta política no cumple con el RGPD al no ofrecer ninguna restricción para la creación de perfiles de menores y solo tiene restricciones generales sobre la publicidad dirigida a niños (por ejemplo, en productos con restricciones de edad), excede el RGPD en un área. La política de Arabia Saudí exige claramente que los terceros deben ser evaluados y contratados con el mismo alto nivel de seguridad que el recopilador de datos. Este es solo un requisito general (para todos los datos) en GDPR.

Estados Unidos: Ley de protección de la privacidad en línea de los niños (COPPA)

Puntuación: 29,5 sobre 44

La falta de protección integral de datos en los EE. UU. es motivo de preocupación, pero la introducción de COPPA en 1998 ayudó a allanar el camino para la privacidad en línea de los niños y garantiza algunas protecciones generales para los niños.

COPPA estipula que se requiere el consentimiento de los padres cuando se procesan los datos de niños menores de 13 años. Se aplica a sitios web comerciales y sitios web generales que pueden atraer a los niños, al tiempo que también ofrece algunas protecciones en las instalaciones educativas. Sin embargo, no se aplica a las organizaciones sin fines de lucro, el gobierno o los intermediarios de datos. Aquí es donde la puntuación de EE. UU. está por debajo de la de sus homólogos de la UE. También tiene menos restricciones sobre anuncios dirigidos que el RGPD.

Donde COPPA va un paso más allá que GDPR es en su requisito de evaluaciones de seguridad en proveedores externos.

Sin embargo, nuestro estudio reciente sobre 500 aplicaciones para niños en Google Play encontró que 1 de cada 5 infringe las reglas de COPPA.

China: Reglamento sobre la protección de la información personal de los niños en línea

Puntuación: 28,5 sobre 44

Otro país que a menudo invade gravemente la privacidad de sus ciudadanos, pero que se destaca por su política clara para la protección de datos en línea de los niños, es China. Gracias a las regulaciones antes mencionadas, introducidas en 2019, China ha creado algunos principios sólidos de protección de datos para los datos de los niños.

Las áreas de mejora dentro de las regulaciones incluyen extender las regulaciones más allá de los sitios web comerciales y generales, prohibir la creación de perfiles de menores, mayores restricciones en los anuncios dirigidos y verificar a los padres/tutores al obtener el consentimiento.

Pero donde China sobresale es en sus procedimientos claros para recopiladores y procesadores de datos. Por ejemplo, establece: “Cuando el personal acceda a la información personal de los niños, deberá ser aprobado por la persona a cargo de la protección de la información personal de los niños o sus administradores autorizados, registrar el acceso y tomar medidas técnicas para evitar la copia y descarga ilegal de información personal de los niños”. También requiere medidas como el cifrado para garantizar la seguridad de los datos de los niños.

Como ya hemos mencionado, cada país puede mejorar sus políticas cuando se trata de proteger los datos de los niños. A pesar de que los países antes mencionados son «los mejores en su clase», se quedan cortos en varias áreas. Dicho esto, todos los demás países que hemos cubierto podrían considerar el RGPD como un buen punto de partida para mejorar sus políticas existentes.

Necesidad de regulaciones claras y completas sobre el uso de los datos en línea de los niños

Lo anterior nos muestra que las políticas claras y completas son esenciales cuando se trata de proteger los datos de los niños, sin dejar lugar a interpretaciones o abusos. Aunque las regulaciones de China, COPPA e incluso GDPR requieren mejoras adicionales, ofrecen mucha claridad sobre cómo se deben recopilar y procesar los datos de un niño.

Los países que no definen los datos de los niños, como Australia, Canadá, India, México y Argentina, tratan los datos de los niños de la misma manera que los adultos. Si bien incluir a los niños en el proceso de consentimiento es una parte integral para garantizar que se respete la privacidad de sus datos en todo momento, contar con la supervisión de los padres es crucial para evitar que se sometan a prácticas y contenido de procesamiento de datos dañinos.

¿Son los sistemas de verificación de edad el camino a seguir?

No, no lo son.

Preocupaciones de privacidad con los sistemas de verificación de edad

Un número preocupante de países está buscando imponer (o ya han impuesto) sistemas de verificación de edad que invaden la privacidad de los datos de los usuarios con el pretexto de proteger los datos de los niños.

Por ejemplo, el Reino Unido ha propuesto un proyecto de ley de seguridad en línea que, entre otras cosas, exigiría que los usuarios de sitios web dirigidos a mayores de 18 años verifiquen su identidad. Se están llevando a cabo propuestas similares en los EE. UU. con la Ley de seguridad en línea para niños (KOSA) y en el proyecto de ley S-210 de Canadá.

En algunos países, estas medidas ya se están introduciendo. Por ejemplo, en Alemania, los sitios web de pornografía deben verificar la edad de los visitantes. Un fallo judicial reciente sugirió que solicitar una identificación con foto no era adecuado, ya que los niños a menudo podían obtenerla, por lo que sugirió verificaciones en persona por única vez (por ejemplo, PostIdent) o identificación a través de cámaras web/características biométricas. Y en Japón, los usuarios de Tinder deben proporcionar un documento para demostrar su edad.

Hay una serie de problemas con el requisito de este nivel de verificación de edad, incluida la mayor recopilación de datos personales. Estos datos corren el riesgo de sufrir filtraciones y, cuando se vinculan a sitios web «para adultos», son cada vez más sensibles, algo que los usuarios de CAM4 conocen muy bien. Estas preocupaciones también se reflejan en varias encuestas recientes. Un estudio encontró que el 80 por ciento de las personas quieren controles de verificación de edad para la pornografía en línea, pero el 78 por ciento de las personas no estaría dispuesta a cargar su identificación para acceder a este tipo de contenido.

También existe la preocupación de que la implementación de tales medidas solo conduzca a que los usuarios se vean empujados hacia la web oscura, el contenido ilegal y las plataformas de intercambio que no tienen los mismos principios de moderación de contenido que muchos sitios web para adultos de alto perfil.

¿Cuál es la solución?

En la actualidad, no existe una bala de plata y ciertamente no existe una que garantice la protección de los niños y la privacidad de todos los usuarios de Internet. Sin embargo, la educación (tanto de los niños como de los padres) es fundamental, al igual que garantizar que los padres conozcan los controles de seguridad parental que pueden implementar en los dispositivos y conexiones a Internet de sus hijos.

Resultados clave

Se analizaron los 50 países principales por PIB para ver si existía o no una legislación específica para los datos en línea de los niños. Muchos de los países cubiertos pueden tener leyes de protección de datos, pero sin una sección específica o una legislación separada para los datos de los niños, esto significa que los niños son tratados como adultos cuando se trata de sus datos. En estos casos, los países no se han incluido en nuestro análisis general de las políticas de datos en línea de los niños. Si bien pueden permitir que los usuarios de datos soliciten acceso, eliminen y modifiquen sus datos, por ejemplo, esto no está dirigido específicamente a niños y/o sus padres/tutores.

Exploramos 23 aspectos diferentes de estas políticas y asignamos una puntuación a cada uno. Cuanto mayor sea la puntuación, mejores serán las protecciones. A continuación, se clasificaron los países en función de sus puntuaciones.

  • 18 de 50 países no tienen una legislación específica para abordar la recopilación y el procesamiento de datos de niños en línea, mientras que 32 tienen una legislación específica o secciones claras dentro de sus leyes de protección de datos.
  • Cada país con una legislación específica tiene lagunas para el tratamiento gubernamental de los datos de los niños (por ejemplo, para la seguridad nacional y la seguridad pública). Cinco países eximen por completo a los gobiernos de estos principios de protección de datos.
  • Ninguno de los países impide la vigilancia gubernamental en línea de los niños.
  • Solo tres países tienen reglas estrictas que requieren evaluaciones de seguridad de terceros al compartir datos de niños (otros solo tienen leyes generales y posibles evaluaciones de impacto de datos) y solo un país (China) tiene reglas estrictas sobre quién debe acceder a los datos de niños internamente.
  • 19 de los 33 países tienen restricciones cuando se trata de perfilar a menores, solo uno (Irlanda) lo prohíbe por completo.
  • La mayoría de los países tienen restricciones sobre los anuncios dirigidos a niños. Solo uno, Brasil, lo prohíbe por completo.
  • Solo un país, Francia, garantiza que los niños también estén incluidos en el proceso de consentimiento junto con sus padres/tutores.