Al término del año pasado, el DPC ha publicado un proyecto de directiva completa titulado “Children Front and Center: Fundamentals for a Child-oriented Approach to Data Processing” (o “Los fundamentales” brevemente). Los principios fundamentales establecen 14 principios claves que las organizaciones tienen que seguir durante el tratamiento de datos de los niños y tendrían que ser respetados desde todas las organizaciones que tratan datos de los niños. Esto incluye los servicios directos/dirigidos a, p los cuales es probable que accedan los niños. En Irlanda, para la protección de los datos, un niño es una persona de edad inferior a los 18 años.

Los 14 principios claves de los Fundamentos son los siguientes:

1.       Nivel de protección: los proveedores de servicios en línea tendrían que proporcionar un “nivel de protección” para todos los usuarios, a menos que no adopten un enfoque basado sobre el riesgo de verificar la edad de sus usuarios de manera que las protecciones establecidas en los principios fundamentales sean aplicadas a todos los tratamientos de los menores.
2.       Consentimiento claro: cuando un menor deja el consentimiento al tratamiento de los propios datos, este consentimiento tiene que ser dejado de manera libre, específica, informada e inequivocable, expresado mediante una declaración clara o una acción afirmativa.
3.       Ninguna interferencia: si confías en los intereses legítimos como base legal para el tratamiento de datos personales de los menores, es necesario asegurarse que estos intereses legítimos no interfieran, estén en conflicto o tengan un impacto negativo, en cualquier nivel, con los mejores intereses del niño.
4.       Conoces tu público: los proveedores de servicios en línea tendrían que adoptar medidas para identificar los propios usuarios y garantizar que los servicios dirigidos, destinados o susceptibles de ser accesibles por parte de los menores tengan medidas de protección de datos específicas para los menores.
5.       Informaciones en cada caso: los menores tienen el derecho de recibir informaciones sobre el tratamiento de los propios datos personales independientemente de la base jurídica invocada. Esto es el caso en el cual un padre ha dejado el consentimiento al tratamiento de los propios datos personales sobre su cuenta.
6.       Transparencia dirigida a los menores: las informaciones sobre la privacidad como se utilizan los datos personales tienen que ser proporcionadas de manera concisa, transparente, inteligible y accesible, utilizando un lenguaje claro y simple, de fácil comprensión y adapto a la edad del niño.
7.       Deja que los niños digan su opinión: los niños son los sujetos de los datos y tienen los derechos en relación a los datos personales en cualquier edad. En cuanto esto, el DPC piensa que tendrían que ser autorizados a ejercitar los propios derechos de protección de datos a cualquier edad puesto que tengan la capacidad de hacerlo y en sus intereses.
8.       El consentimiento no cambia la infancia: sólo porque tú tienes un consentimiento válido de un niño o de sus padres/tutor no significa que puedes tratar el niño como un adulto. Es necesario proporcionar la protección específica que los niños merecen con arreglo al GDPR.
9.       Tu plataforma, tu responsabilidad: las empresas que traen profito desde la provisión o la venta de los servicios mediante las tecnologías digitales y en línea pueden los riesgos particulares para los derechos y las libertades de los niños. Donde esta empresa utiliza la verificación de la edad y/o se basa sobre el consentimiento de los padres para la elaboración, el DPC se espera de hacer lo posible para demostrar que sus medidas relativas a la verificación de la edad y a la verificación del consentimiento de los padres son eficaces.
10.   No excluir los usuarios niños y no redimensionar sus experiencias: si tu servicio está dirigido, entendido o es probable que sea accesible a los niños, no puede agirar tus obligaciones simplemente excluyéndolos o privándolos de una rica experiencia de servicio.
11.   La edad mínima de los usuarios no es una excusa: no se puede absolver a los usuarios de niños simplemente diciendo que los niños menores de cierta edad no son bienvenidos en su plataforma / servicio. Si tu servicio no está destinado a niños menores de una edad determinada, debes tomar medidas para garantizar que tus mecanismos de verificación de la edad sean eficaces para impedir que los niños menores de esa edad accedan a tu servicio. Si esta no es una opción viable, es necesario asegurarse de que existen medidas de protección de datos adecuadas para proteger la posición de los usuarios más pequeños, tanto por debajo como por encima del umbral de edad de los usuarios oficiales.
12.   Prohibición de la elaboración de perfiles: No prevenir a los niños con fines de marketing o publicidad a menos que sea posible mostrar claramente cómo y por qué les interesa hacerlo. 
13.   Ejecutar una DPIA: debe realizar la evaluación del impacto sobre la protección de datos para todo el tratamiento de los datos personales de los niños debido a su especial vulnerabilidad. El interés superior del niño debe ser una consideración clave en cualquier EPI y debe superar sus intereses comerciales o los de terceros.
14. Integralo: los proveedores de servicios en línea que procesan habitualmente los datos personales de los niños deben, por defecto, tener un nivel constantemente elevado de protección de datos que está «integrado» en sus servicios

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ISLANDA