¿Cómo han cambiado las normas sobre la protección de datos?
No han cambiado. La legislación de protección de datos no ha cambiado y el código no es una nueva ley. Todo lo que pide se conecta a una disposición existente del GDPR. Lo que el código hace es ofrecer un adicional nivel de detalle sobre lo que el Comisionado, en calidad de regulador del GDPR del Reino Unido, se espera que tu haga todos para respetar los requisitos GDPR existentes.
Nuestras expectativas han sido afectadas desde el mandato del Parlamento establecido en el artículo s.13 del DPA 2018 que ha confiado al Comisionado el papel de realizar el código. Esto ha dicho que el Comisionado tiene que tener en cuenta el hecho que los niños tienen exigencias diferentes en las diferentes fases de su desarrollo. El código aclara que es necesario tener en cuenta la edad y de las exigencias de los niños que probablemente utilizaran tu servicio y establece como hacerlo.
¿Cómo puedo comprender si mi servicio está cubierto?
El código se aplica a “los servicios de la sociedad de información” que podrían ser utilizados desde los niños del Reino Unido. En términos simples, esto significa muchas aplicaciones, juegos en línea, juegos y dispositivos conexos, motores de búsqueda. plataformas de social media y sitios web que ofrecen bienes, noticias o servicios educativos. No se limita a los servicios específicamente dirigidos a los niños.
Como punto de partida, tenga presente que nos esperamos que la mayor parte de los servicios en línea utilizados desde los niños sean cubiertos y que los que no están cubiertos sean excepcionales.
¿El código se aplicará solo a las sociedades con sede en el Reino Unido?
El código se aplica a las sociedades del Reino Unido. Se aplica también si tu eres una sociedad no británica con una filial, una oficina o un establecimiento en el Reino Unido y tu tratas datos personales en el contexto de las actividades de esta oficina.
Si se aplicará también se resides fuera del EEE, también si no tienes una oficina en el Reino Unido, si ofreces tu servicio a los usuarios del Reino Unido (o controles el comportamiento del Reino Unido) y es probable que accedan los niños.
El código actualmente no se aplica si una organización tiene sede fuera del Reino Unido y no tiene una filial o una oficina en el Reino Unido, pero tiene una filial o una oficina en otra parte del EEE (también si se ofrece un servicio a los usuarios en el Reino Unido o controla el comportamiento de otros usuarios en el Reino Unido).
¿Qué espera el código?
Si tu estás cubierto desde el código, se espera que usted:
- cree un lugar abierto, transparente y protegido para los niños cuando están en línea;
- siga una series de estándares durante la proyectación, el desarrollo o la provisión de servicios en línea en los cuales es probable que los niños accedan;
- considera el superior interés del menor durante el tratamiento de sus datos personales. El código se aplica a aplicaciones, juegos y dispositivos conexos, motores de búsqueda, sitios de social media y juegos en línea; y
- implementar configuraciones de privacidad elevadas para configuración predefinida y utilizar un lenguaje claro y fácil de comprender para los niños en diferentes fases de desarrollo. El código incluye medidas de salvaguardia fundamentales relativas a la perfilación automatizada de los niños, al uso de datos de geolocalización y a la transparencia de las técnicas de marketing.
No puede controlar cada sitio web, aplicación o juego.
¿Cómo aplicará el código?
Hay un periodo de transición de 12 meses durante el cual nuestro objetivo es ayudar a las organizaciones a cumplirse con el código y poner al primer puesto el interés superior del niño. Estamos trabajando con la empresa para realizar un addicional apoyo y guía durante el periodo de implementación, para ayudar las organizaciones a apoyar los cambios necesario de manera de garantizar un servicio adecuado a la edad para lo niños usuarios.
Nos produciremos un paquete de apoyo para ayudar a las organizaciones, en particular las pequeñas empresas, a comprender cosa tienen que hacer para cumplirse.
Al término de este periodo, en el cual identificaremos las preocupaciones sobre la manera en cual los datos personales de los menores es utilizado, o donde los padres, los acompañadores, los profesores y los niños se quejan de nosotros, estudiaremos y acturamores, centrandose en las áreas de mayor riesgo de daño. Adoptaremos un enfoque a la reglamentación proporcionado y basado en el riesgo. Donde encontraremos organizaciones que revelan desprecio para los datos de las personas, podemos actuarnos: tenemos una variedad de instrumentos, entre cuales auditorías obligatorias, órdenes de interrupción de la elaboración y sanciones hasta el 4% del facturado global.
¿El código significará que los jornales tendrán que cambiar la manera en la cual publican?
Es importante balancear los derechos a la privacidad con los sobre la libertad de expresión y el acceso a las informaciones. El código no tiene el fin de impedir a los jóvenes de interagir con el mundo entorno. No queremos crear fronteras a los niños que acceden a los contenidos de las noticias. Nuestro focus será sobre cómo los jornales utilizan los datos personales,
Algunos órganos de representación de las empresas afirman que las pequeñas empresas estarán obligadas a cerrar, ¿Cuál es su respuesta a esto?
Estamos conscientes que la realización de los estándares establecidos en el código llevará ratos para los sectores de la tecnología, de los juegos electrónicos y del entretenimiento interactivo.
Ese es porque, además del mismo código, estamos también desarrollando instrumentos, directivas y otro apoyo, trabajando en cooperación con organismos representativos, para ayudar las organizaciones a prepararse durante el periodo de transición.
Pero el precio de la innovación digital no puede ser la privacidad de nuestros hijos. Las dos tienen y pueden ir al mismo tiempo. Las organizaciones innovan para dirigirse a los clientes ahora tienen que innovar para proteger a los niños.
Anexo: Resumen de las preguntas más frecuentes
Las preguntas siguientes han sido subrayadas durante o antes de los webinars, han sido reagrupadas desde la Autoridad en áreas temáticas.
Fin
¿Cómo se determina si es probable que un niño acceda a un sitio web?
A efectos del código, un niño es una persona de edad inferior a 18 años. Para que un servicio sea “probable” sea accesible, la posibilidad que lo que acada tiene que ser más probable que menos. El ICO no fija un límite o números target para determinar la probabilidad.
En práctica, la probabilidad que los niños accedan a tu servicio depende de:
- la naturaleza y el contenido del servicio y se esto tiene un fascino particular para los niños; y
- la manera en la cual los usuarios acceden al servicio y las medidas tomadas en acto para impedir a los niños de acceder.
Tendría que considerar si el contenido de tu sitio podría interesar un niño. Si usted es un minorista de moda en línea, por ejemplo, vende robas que podrían gustar a los jóvenes? ¿Usted ha hecho algunas búsquedas para confirmar quién son los clientes?
No hay contradicción en tener diferentes opciones de control para diferentes grupos de edad, ¿cuando una ISS no está dirigida a los niños pero pueden acceder?
No. El Parlamento no deliberadamente elegido de garantizar que el código se aplica a los servicios que podrían ser accesibles a los niños, lo que utilizan en la realidad independientemente del hecho que sean el público previsto.
Todavía, usted no tiene que proyectar servicios para grupos de edad y fases de desarrollo que difícilmente acceden a tu servicio. Hay también la flexibilidad, por esto no tiene que utilizar los grupos de edad exactas en código si puede justificar la razón por la cual los grupos de edad diferentes son más apropiados para tu servicio.
¿El estándar sobre las técnicas de nudge no va más lejos del ámbito de aplicación de la actual ley de protección de datos?
No. Los requisitos que afrontan las técnicas de nudge del código conectan a la corrección y transparencia del tratamiento de datos, en línea con el artículo 5 (1) (a) del GDPR. El estándar se centra en las características de proyectación que “incluyen o apoyan a los niños a ofrecer datos personales no necesarios o a desactivar la protección de la privacidad”.
El código recomienda que los servicios toman en consideración las solicitudes que promueven la salud y el bienestar o el interés superior.
Un adulto sería el titular de la cuenta de mi servicio. No recogemos datos personales solo por el titular de la cuenta, también si un niño tiene el acceso al servicio?
Non necessariamente. Tu servicio podría recoger datos personales del niño (ejemplo historia de navegación). Considera cuáles riesgos pueden derivar de los menores que acceden al servicio mediante account de un adulto y decide cómo afrontar estos riesgos mediante la proyectación de tu servicio.
Piensa si está utilizando técnicas de nudge con el niño para mantenerlo ocupado con tu sitio o si está perfilando sus datos personales.
Nuestra actividad es global. ¿Cómo combinamos los requisitos del código de los niños del ICO con los requisitos normativos en otras jurisdicciones?
El código es un requisito legal si usted es un ISS que ofrece servicios a los niños en el Reino Unido.
Fundamentalmente, el código se refiere a la comprensión y a la mitigación de los riesgos para los niños que surgen cuando decide de elaborar sus datos personales para ofrecer tu servicio.
Se trata de tratar a los niños de manera equitativa y, cuando se proyecta un servicio, asegurarse que sus mejores intereses sean una consideración primaria. Si bien todos los elementos del código pueden no ser traducidos en todas las jurisdicciones, este enfoque fundamental es basado sobre el riesgo.
Investigar y completar una buena evaluación del impacto de la protección de datos (DPIA) es una forma de demostrar cómo se abordan los diferentes requisitos y se cumplen las normas básicas del código mientras se prestan servicios a los niños del Reino Unido. Puede utilizar la DPIA para demostrar que ha reflexionado sobre las jurisdicciones pertinentes y trazar cómo sus soluciones abordan estas cuestiones.
Nuestro sitio web se utiliza principalmente para el comercio, pero los consumidores pueden ver nuestros productos y solicitar información sobre los distribuidores. Los únicos datos que recopilamos en nuestro sitio web son los de los clientes comerciales que desean recibir un catálogo o hacer un pedido. ¿Es de suponer que no hay ningún problema con el Código de la Infancia?
Debe considerar si es probable que los niños accedan a su sitio web.
Esto dependerá probablemente de
- la naturaleza y el contenido de su sitio web y si tiene un atractivo especial para los niños; y
- el modo en que los usuarios acceden a su sitio web y las medidas que haya establecido para impedir el acceso de los niños.
Nuestra interpretación de «probabilidad de acceso» en este contexto es que debe ser más probable que no que un niño acceda al sitio web.
Una vez considerados estos criterios, si está convencido de que no es probable que los niños accedan a su sitio web, el código no se aplicará. Debe documentar la base de su decisión.
Garantía de edad
¿Es necesario verificar retrospectivamente la edad de los usuarios que se han registrado previamente en nuestro servicio, o aplicar el código sólo a los nuevos usuarios?
El código se aplica a todos los niños que utilizan sus servicios, tanto a los que ya se han registrado como a los nuevos.
Tiene que revisar hasta qué punto conoce la edad de sus usuarios y, teniendo en cuenta los riesgos derivados de cualquier tratamiento de datos, establecer la edad de los usuarios individuales con un nivel de certeza adecuado a esos riesgos. Si los riesgos del tratamiento para su servicio son bajos, los mecanismos de autodeclaración para confirmar la edad de sus usuarios pueden ser adecuados. Para los servicios de mayor riesgo, debe pensar en establecer un mayor grado de certeza. Para más detalles, consulte la norma de aplicación de la edad apropiada.
¿Cómo puedo estar seguro de que se da el consentimiento de un adulto?
El artículo 8, apartado 1, del GDPR establece que debe realizar «esfuerzos razonables» para obtener y verificar el consentimiento de los padres en el caso de los menores de 13 años. También puede tener en cuenta otras circunstancias, como sus recursos y el nivel de riesgo identificado en su DPIA, pero debe poder justificar su enfoque.
En el caso de un tratamiento de bajo riesgo, puede bastar con una declaración de consentimiento y responsabilidad de los padres mediante una casilla de verificación o una confirmación por correo electrónico. Puede considerar que no es razonable (ni práctico) realizar más comprobaciones y que estos pasos son suficientes, dado el bajo riesgo que supone el tratamiento propuesto para el niño.
En el caso de un tratamiento de mayor riesgo, deberá adoptar medios más estrictos para verificar el consentimiento obtenido. Por ejemplo, puede decidir utilizar un servicio de verificación de terceros para comprobar que el niño tiene edad suficiente para dar su propio consentimiento, o para comprobar la identidad de la persona que reclama la responsabilidad parental y confirmar la relación entre ella y el niño.
El cumplimiento de las normas de este código también debería ayudar. Esto se debe a que las normas del código trabajan conjuntamente para mitigar los riesgos derivados del tratamiento de los datos personales de los niños. En particular, si se cumple la norma sobre la aplicación apropiada de la edad (y se aplican las normas a todos los usuarios cuando no se puede establecer la edad con un nivel de confianza adecuado a los riesgos), se está proporcionando una protección significativa a los niños por defecto, incluso si mienten sobre su edad. Esto reduce los riesgos que pueden surgir por no saber la edad de un usuario, o por no verificar el consentimiento paterno con un nivel alto. El consentimiento paterno es sólo una de las medidas que se aplican para proteger a los niños en línea.
Intercambio de datos
¿Podemos utilizar códigos QR en los folletos y la información de los productos para llevar a niños y adultos a un vídeo del producto en una plataforma de intercambio de vídeos? Utilizamos un servicio de intercambio de vídeos y todo el contenido de nuestro canal está clasificado como «desarrollado para niños» y no se recogen datos de las personas que ven los vídeos.
Sí, en principio, siempre y cuando el código QR sólo represente una URL directa al vídeo alojado y no sea editable o rastreable por terceros. Aunque la categorización de algunos vídeos o canales, como «desarrollado para niños», en las plataformas de intercambio puede limitar la naturaleza o el volumen de los datos que se recopilan, hay que asegurarse de que el uso de la plataforma cumple con los requisitos de protección de datos pertinentes.
Transparencia y consentimiento
¿Quién determina si el lenguaje es adecuado para la edad del niño?
La responsabilidad general y la rendición de cuentas recaen en el ISS para demostrar que se ajustan al código y a los requisitos de protección de datos subyacentes. Utilice la investigación y obtenga el asesoramiento de expertos sobre lo que es relevante. Utilice un enfoque iterativo para garantizar que sus políticas son adecuadas para niños de diferentes edades.
El Comisario es responsable de supervisar el cumplimiento de los requisitos del código. Cuando encontramos problemas, tomamos medidas reguladoras justas, proporcionadas y oportunas con el fin de garantizar que las organizaciones protejan adecuadamente los derechos de las personas. Para más detalles, consulte la sección de aplicación del código.
¿Qué versión de los términos y condiciones (para adultos o para niños) tendría estatus legal y sería ejecutable?
Si cree que necesita redactar sus condiciones de una manera determinada para que sean jurídicamente sólidas, puede proporcionar explicaciones adaptadas a los niños junto con la redacción jurídica.
Cuando el Comisario considera la equidad, la legalidad, la responsabilidad y la transparencia, los términos y condiciones completos y las explicaciones adaptadas a los niños son pertinentes y se tienen en cuenta.
Sólo utilizamos cookies para el consentimiento de datos. ¿Sería mejor utilizar una suscripción de 18 años o más a nuestro sitio?
Debería considerar el uso de cookies, así como cualquier limitación de acceso a su sitio, en su DPIA. La decisión de adoptar una configuración de suscripción de 18 años es una decisión comercial suya, y depende del nivel de procesamiento de datos en su sitio y del riesgo de ese procesamiento para los niños.
El Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 (PECR) establece normas específicas sobre el uso de cookies y otras tecnologías que se basan en el acceso a los dispositivos de los usuarios y en los mensajes de marketing electrónico. El código hace referencia a estos requisitos cuando es pertinente, incluso en la norma de elaboración de perfiles, pero para conocer todos los detalles sobre cómo cumplirlos debe leer nuestra Guía sobre el PECR, que se presenta por separado.
Geolocalización
Utilizo mod_geoip para detectar el país en el que se encuentra un visitante en función de su IP, de modo que pueda dirigirlo a la versión de nuestra tienda online adecuada a su país (con una redirección HTTP 301). No retengo los datos. ¿Supongo que no se refiere a eso con el término «geolocalización»?
No. La norma de geolocalización en el código es más granular y se refiere al GPS u otros datos que permitirían a un servicio determinar la ubicación exacta de un niño.
El uso de identificadores de país en este caso parece ser una parte fundamental de su servicio para garantizar que los usuarios reciban artículos de la tienda que se relacionan con su ubicación. Debe asegurarse de que cumple con los requisitos del Reglamento de Protección de Datos Personales (PECR); consulte nuestra Guía de PECR para obtener más información.
FUENTE:AUTORITA’ PER LA PROTEZIONE DEI DATI DEL REGNO UNITO – ICO