Mientras se redactan estas líneas se presenta por parte de la Agencia Española de Protección de Datos una propuesta de sistema de verificación de edad, acompañada de un extenso y significativo aparato documental que integra una definición de riesgos, un decálogo de principios, una hipótesis de prueba de concepto, acompañado de un listado de preguntas frecuentes en la materia. Se trata sin duda de un avance significativo al que dedicaremos parte de este texto. En cualquier caso, la protección de datos de los menores es una materia cargada de aristas, de una extraordinaria complejidad y que debe ser abordada desde muy distintos enfoques.
1. Una larga historia
La AEPD inició en el período 2007-2011 sus políticas proactivas para promover la concienciación social y la garantía de los derechos de los menores frente a las tecnologías de la información durante el mandato de Artemi Rallo Lombarte. En su primera etapa, al margen de la actividad sancionadora, esta autoridad publicó dos decálogos de recomendaciones, desarrolló junto con INCIBE un estudio sobre redes sociales y tradujo una guía preparada por la autoridad irlandesa de protección de datos destinada a formar a los docentes, impulsando por primera vez una sección en su website dedicada a esta materia.
Por otra parte, no debe olvidarse que el Real Decreto 1720/2007, de 21 de diciembre (LA LEY 13934/2007), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LA LEY 4633/1999), incorporaba en su artículo 13 los criterios normativos indispensables para definir las condiciones de tratamiento de los menores de edad. Se trataba sin duda, de una versión que se inspiraba y concentraba los principios de la ley COPPA (Children Online Privacy Protection Act de 1998), que ha inspirado significativas acciones de la Federal Trade Commission y sustenta en parte la reciente demanda presentada por 51 fiscales generales de los Estados de EE.UU. El precepto, con escasas variaciones ha inspirado la práctica en España y podría decirse que de alguna manera se ha incorporado al Reglamento General de Protección de Datos (LA LEY 6637/2016). En algún sentido, algunos aspectos como la obligación de verificación de edad o el enfoque multidimensional de la privacidad familiar se avanzaban a su tiempo en Europa y contenían prescripciones probablemente más precisas que las incorporadas a la legislación vigente.
Prácticamente en el mismo periodo, a partir de 2005 se celebra en más de 100 países el día de la Internet Segura en el mes de febrero. Se trata de un esfuerzo global de concienciación que incorpora a muy distintas organizaciones públicas y privadas que tratan de promover la seguridad de los menores en Internet. Es posible rastrear a lo largo de los años muy distintas iniciativas tanto públicas, a través de INCIBE o de red.es, como privadas, en las que organizaciones no gubernamentales dedican sus esfuerzos en esta materia. Pero también legislativas, ya sea a través de comparecencias parlamentarias en comisiones especiales de Congreso o Senado, ya sea mediante la tramitación de leyes entre las que sin duda destacan el Título X de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), sobre el que regresaremos, y la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia (LA LEY 12702/2021).
Así pues, desde 2005 hemos asistido a la emergencia de una concienciación social cada vez más profunda sobre los riesgos que para la privacidad y los derechos de los menores incorporan las tecnologías de la información. Y, sin embargo, se tiene la impresión de que nos encontramos exactamente en el punto de partida.
Dos décadas de presencia pública del problema que con todo respeto me permito afirmar han sido más bien de apariencia pública, ya que no parece que hayamos avanzado de modo significativo en esta materia. De hecho, todas y cada una de las cuestiones que aborda el Congreso, algunos de cuyos resultados se comparten en la Revista, demuestran que en 2023 seguimos teniendo pendientes exactamente los mismos retos que en 2005. Y ello, cuando se produce un incremento exponencial en el avance de las tecnologías de la información de la mano de redes sociales, cuyo target precisamente es el público adolescente y con gran penetración en el mundo infantil, o un desembarco de la inteligencia artificial que se promete apasionante desde el punto de vista científico, pero que genera riesgos específicos, sin obviar con un constante la lacra de la pornografía infantil o el consumo de porno por los menores.
Y no es porque los poderes públicos, y la propia escuela no hayan recibido alertas significativas. En este sentido, las tareas de la Unión Europea y en particular el despliegue de los distintos informes de la iniciativa EU Kids Online (1) fueron muy precisas y entre ellas cabe destacar las conclusiones del informe publicado por esta iniciativa en 2011, que pueden resumirse en un par de frases: las evidencias empíricas demuestran que en aquellos casos en los que existe una adecuada capacitación digital acompañada de una intermediación o soporte familiar, los menores son capaces de gestionar el riesgo en Internet y al mismo tiempo adquirir competencias digitales avanzadas. En aquellos casos en los que las políticas de protección a los menores se centran exclusivamente en la evitación del riesgo, se promueve de algún modo el analfabetismo digital y se corre el riesgo de convertir a las niñas y los niños en intensive gamers o jugadores compulsivos.
Por tanto, la educación centrada en valores, el empoderamiento familiar y aprender a gestionar el riesgo, constituyen una clave conocida hace al menos 12 años que, sin duda, pone en cuestión el modelo de políticas públicas basado en la celebración del Día de la Internet Segura. Este día, que bajo ningún concepto puede erigirse en el objetivo último de la acción en la materia, debería representar la celebración regular de una estrategia global, transversal y mantenida en el tiempo. Y, este objetivo fue sin duda el del Título X de la LOPDGDD (LA LEY 19303/2018) cuyas prescripciones están lejos de ser alcanzadas, a pesar de los muy loables esfuerzos del Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado (INTEF) (2) .
2. Una visión holística de la privacidad del menor
Nuestra privacidad constituye el sustrato sobre el que se construye la personalidad. A lo largo de nuestra existencia, la esfera de privacidad que nos rodea adquiere riqueza y matices, alimentando nuestra experiencia, nuestras emociones, nuestra ideología y nuestras creencias.
En las primeras etapas de nuestra vida se produce una situación peculiar. De una parte, el entorno familiar, y con él el derecho a la intimidad familiar, erige una barrera frente a cualquier injerencia de terceros que permite que nuestra vida se despliegue bajo en un entorno protegido y en un marco de experiencia tutelada, que conforma un espacio de aprendizaje de los valores esenciales para el despliegue de nuestra futura vida individual y social.
En esta fase vital que, si atendemos a la LOPDGDD (LA LEY 19303/2018) o al Código Civil, se desplegaría hasta los 14 años, la persona menor carece de intimidad en relación con la familia. Es lógico y natural que en el despliegue de las funciones de supervisión, educación y control los padres y madres deban tener pleno acceso al desempeño vital del menor con la finalidad precisamente de inculcar esos valores a los que nos referimos, y que los antiguos llamaban urbanidad. Sin embargo, no es menos cierto que la aparición de las tecnologías de la información ha generado una brecha significativa, y a veces insalvable, con el contexto protector al que nos referimos. Así, la tendencia irrefrenable a la compartición de casi cualquier aspecto de nuestra vida en las redes sociales, el llamado oversharing, o sharenting cuando se refiere a los demás y particularmente a los menores, expone a nuestros niños y niñas ante la sociedad prácticamente desde la ecografía.
Por otra parte, en estas primeras etapas de educación y socialización también compete al entorno escolar garantizar ese escenario controlado de aprendizaje en el que la futura persona adulta habrá incorporado a su bagaje no sólo los conocimientos académicos indispensables, sino el conjunto de valores y principios que inspiran la convivencia en una sociedad democrática. Y de nuevo aquí, basta con ir a cualquier buscador de Internet y hacer búsquedas con conceptos muy sencillos como «centro de educación infantil (CEIP)», «colegio público» o «escuela», para apreciar como la sobreexposición de los menores es impulsada con orgullo desde los propios centros educativos (3) .
Como contrapeso ante el contexto de riesgo que internet supone, se propone una monitorización del menor a través de herramientas de control parental o por medio de significativos esfuerzos de filtrado en el acceso a los entornos digitales desde la propia escuela
Como contrapeso ante el contexto de riesgo que internet supone, se propone una monitorización del menor a través de herramientas de control parental o por medio de significativos esfuerzos de filtrado en el acceso a los entornos digitales desde la propia escuela. Desde una aproximación de ir por casa, podría compararse nuestro aprendizaje escolar y familiar con un proceso de transición democrática. De algún modo, en los primeros años de nuestra vida las reglas se imponen desde la familia o desde la escuela, con el único objetivo de asegurarnos una adecuada socialización y maduración de una personalidad psicológica y socialmente sana. Sin embargo, a medida que pasamos de la infancia, a la pubertad y de esta a la adolescencia, los mandatos imperativos van sustituyéndose por procesos dialógicos y consensuados a partir de los cuales se conforma nuestra autonomía e identidad. Por supuesto, se trata de una generalización. Nada más lejos de nuestra posición que afirmar que la letra con sangre entra. Sin duda, la educación en valores debe partir del diálogo y la comprensión desde edades muy tempranas. Sin embargo, en estas primeras etapas de la vida, la definición de reglas y prohibiciones puede tener un papel más determinante que durante el proceso de maduración del adolescente.
Paradójicamente, el impulso de los controles parentales y escolares como única medida de protección del menor, acompañados a la vez de una sobreexposición a las redes sociales, genera un efecto tan significativo como contradictorio. El menor habrá crecido en un panóptico digital en el que normalizará un conjunto de controles que repercuten sobre su vida privada. La vida de cualquier niño en nuestros días asume la existencia de videovigilancia en el centro escolar, la captación de imágenes que serán compartidos en websites y redes sociales por familiares y escuela, la presentación de trabajos registrados en videos que se comparten en YouTube, la realización de actividades extraescolares seguidas en público, captadas por los smartphone de decenas de padres y después compartidas, e incluso la existencia de servicios de guardería que permiten a los padres un acceso permanente al entorno escolar a través de videocámaras.
Y en un contexto de esta naturaleza, ¿cómo es posible que pretendamos que los futuros adultos tengan la menor percepción o el menor compromiso con el derecho a su vida privada? ¿Puede extrañarnos que niños y niñas menores de 10 años posen ante una cámara casi como un profesional? Por otra parte, en aquellas culturas familiares o escolares en las que este tipo de filosofía alcanza un grado de exacerbación, podemos enfrentarnos a situaciones en las que los familiares ejerzan controles parentales que, como la geolocalización, imponen una vigilancia permanente a los adolescentes, a los que en la práctica se estrecha el espacio de autonomía que definirá su personalidad en un momento crucial de su maduración. Disculpen los lectores la crudeza de nuestra opinión, pero en este contexto, precisamente aquellos que pretenden proteger los derechos del menor se convierten en invasores de su intimidad.
Con las consideraciones anteriores, se quiere poner de manifiesto que la garantía del derecho fundamental a la protección de datos, y en esencia de los derechos fundamentales de los menores, no puede centrarse únicamente en la protección del menor ante los riesgos de Internet. Éste sin duda es el punto nuclear, nuestra mayor preocupación, pero no la única. En el terreno de juego del tratamiento de los datos de menores existen muchos y muy diversos jugadores. De una parte, la institución escolar no sólo debería operar como un entorno de capacitación digital, sino que en sí misma se integra por un conjunto de responsables y encargados del tratamiento sujetos a obligaciones muy precisas que no siempre se tienen en cuenta. Particularmente, en un ámbito como es el del sector público en el que la carencia de un régimen sancionador que obligue al pago de multas y la habitual no solicitud de apertura de expedientes disciplinarios por parte de la autoridad de protección de datos, genera un espacio material de inmunidad y de impunidad que debe ser revertido con urgencia.
Por otra parte, el sector privado que ofrece servicios especializados para menores, pero también servicios de los que deberían ser excluidos, no contribuye en exceso a la garantía de sus derechos. Nuestros niños y niñas también han vivido en un panóptico digital en su experiencia en redes sociales. Las acciones de la Unión Europea frente a la utilización de patrones oscuros en la definición de perfiles de redes sociales o la demanda presentada por hasta 41 Estados de EE.UU. acreditan que algo no se ha hecho bien.
Desde este artículo editorial preferiríamos pensar que ello se debe a una mala praxis desde el punto de vista de la protección de datos desde el diseño y por defecto. Sería emocional, moral y éticamente preferible a creer en la perversidad de un diseño intencional. A fin de cuentas, inducir a los menores a definir por defecto perfiles de redes sociales abiertos no parece una buena idea, ni tampoco aplicar técnicas de profiling y marketing emocional. En este sentido, la interacción del RGPD y Digital Services Act va a ser determinante y esperemos que fructífera. ¿Qué sucederá con el perfilado en un entorno social abierto a las interferencias de cualquier tercero en el que el menor busca, comparte o comenta contenido sexual, o bien, manifiesta una afinidad significativa respecto de las competiciones deportivas? Especialmente, cuando además se le ha permitido registrarse falseando su edad. ¿Es probable que el algoritmo acabe convirtiendo al menor en consumidor de pornografía o en un adicto a las apuestas deportivas?
Así pues, el 2023, y ante la carencia de una estrategia clara y decisiva en las últimas dos décadas, nos enfrentamos a un mundo en el que todos y cada uno de las amenazas y vulnerabilidades que ya pudimos prever desde el año 2007 se han materializado. En este sentido, cada una de las cuestiones abordadas por el Congreso al que hemos hecho referencia al comienzo de este editorial, ofrecen reflexiones singulares, algunas de las cuales se abordan a continuación.
3. La definición de roles y perfiles funcionales
Establecer cuáles son las tareas y funciones que despliegan las distintas categorías definidas por el artículo 4 del RGPD (LA LEY 6637/2016) es una materia particularmente relevante para definir modelos de cumplimiento normativo en protección de datos. En este sentido, la aproximación más primaria es aquella que se refiere a la caracterización de los responsables del tratamiento y sus obligaciones, la definición de las condiciones que se imponen a los encargados del tratamiento, y finalmente, la gestión de entornos caracterizados por su alta complejidad, en los que podría existir un régimen de corresponsabilidad. Lejos de ser una cuestión uniforme y sencilla de resolver, hay que descender al caso concreto.
Los fines y medios para el uso de los datos pueden corresponder al centro escolar, a un órgano de una consejería autonómica. En primer lugar, porque probablemente existe un error funcional particularmente relevante en cuanto a la esfera y ámbito de decisión que se atribuye al docente considerado individualmente o al propio equipo directivo del centro escolar. En este sentido, no es infrecuente que exista una manifiesta confusión entre el despliegue o el ejercicio de la libertad de cátedra y la capacidad de decidir sobre el tratamiento de los datos de una persona menor de edad. Así, cuando el profesional de la educación traspasa el estrecho margen de la utilización del aula virtual o del sistema de gestión académica, comienza a transitar las aguas movedizas de los entornos digitales. Nada ni en la Ley ni en las recomendaciones de la AEPD o de las autoridades autonómicas, ni en una sola directriz o documento relativos a la materia, autoriza a un docente a tomar decisiones como las de imponer a un estudiante el uso de una determinada aplicación ajena. Ni tampoco, a la captación de una determinada imagen o la compartición de las mismas a través de proveedores terceros en Internet.
Esta cuestión está regulada desde la Ley Orgánica 5/1992, de 29 de octubre (LA LEY 3036/1992), sobre tratamiento automatizado de los datos de carácter personal, y ha ido ganando precisión norma tras norma desde entonces. La LORTAD ya incorporaba las reglas cuya infracción no es admisible desde el cumplimiento de los más elementales principios del artículo 5 del RGPD (LA LEY 6637/2016). Nadie duda que se trata de prácticas regidas por la buena voluntad. Pero estas pueden resultar altamente lesivas para los derechos fundamentales de los menores. Así, cualquier acción que suponga el tratamiento de sus datos personales más allá de tareas estrictamente administrativas o del desempeño de la actividad docente con herramientas debidamente validadas y autorizadas, supone un ámbito de riesgo no tolerable, mucho más cuando implique una relación con terceros.
Todo tratamiento de datos, y especialmente los que implican el uso de tecnología en las aulas, exige un severo juicio de legalidad y de proporcionalidad
Todo tratamiento de datos, y especialmente los que implican el uso de tecnología en las aulas, exige un severo juicio de legalidad y de proporcionalidad. El hecho que la regulación orgánica del derecho a la educación permita tratar sin consentimiento datos de menores para el despliegue del servicio, no ofrece una carta blanca al docente, ni tampoco al centro escolar. Es necesario desarrollar un juicio de coherencia y proporcionalidad a la hora de definir si el empleo de determinados medios guarda una relación funcional clara con los contenidos y objetivos de la asignatura publicados en un boletín oficial y las técnicas que se emplean para alcanzarlos.
Por otra parte, incluso superado el juicio de legalidad, resulta fundamental entender que es imprescindible garantizar la proporcionalidad del tratamiento. En este sentido, si el objetivo docente puede alcanzarse a través de medios más adecuados, menos lesivos y que preserven el interés público en el que consiste precisamente la garantía del interés superior del menor, se escogerán estos. Y el principio de interés superior, no es ninguna entelequia o un concepto jurídico indeterminado, se halla particularmente detallado por la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor (LA LEY 167/1996).
Permitan los lectores que sea bastante más preciso. No es de recibo, por muy ventajosa que sea la oferta, que se ponga a nuestros niños y nuestras niñas en manos de las suites de software gratuitas de compañías, obligando al registro o la contratación por parte del menor o de sus padres con un operador en el mercado. En el contexto educativo, la relación de responsable del tratamiento con un encargado del tratamiento debe ser férrea. El prestador, es un prestador y sólo esto. Usar un medio aparentemente gratuito para captar el registro de menores de edad, por muy altruista que pudiera parecer, no parece muy conveniente al menos desde un punto de vista ético y reputacional. Todavía lo es menos emplear la primera aplicación móvil que cae en nuestras manos, porque está de moda, ni, como sucedió en pandemia, exigir a los escolares que por ejemplo tomen fotografías o capten videos de sí mismos para desplegar una determinada capacidad o habilidad lingüística, gimnástica o de cualquier otro tipo. Por otra parte, que además sea compartida través de canales como YouTube o directamente transferir al profesor a través de cuentas de correo no corporativas, no parece admisible.
De nuevo, disculpen la crudeza, pero todo estos son hechos cotidianos perfectamente conocidos, son el elefante que pace en el jardín del colegio, y al que nadie parece querer ver. Del mismo modo, no parece bajo ninguna circunstancia recomendable confundir cual sea el sentido y naturaleza del consentimiento informado. Ese impreso rutinario que llega a nuestras casas a principio de curso y que a veces no tiene nada que envidiar a una red social ya que, de hecho, precisamente para ello se solicita.
Los criterios del Comité Europeo de Protección de Datos en sus directrices sobre consentimiento, son particularmente claros. Es prácticamente imposible acreditar en el marco de la relación asimétrica que supone la escuela entre el profesorado, el equipo directivo los menores y sus padres, que el consentimiento sea válidamente prestado. Hasta el observador menos informado es consciente de la debilidad de los documentos con los que se autoriza el tratamiento de las imágenes de nuestros niños y niñas en los entornos escolares. Y aunque el propio regulador en el pasado haya permitido publicar trabajos en YouTube, esta práctica es insostenible. Ni el consentimiento informado puede defenderse para estos fines, habida cuenta de la posición del Comité Europeo de Protección de Datos, ni la sobreexposición de menores en entornos sociales o servidores de vídeo respeta el principio de interés superior. Para esta tarea existe un recurso denominado aula virtual y metodologías como la transferencia segura de ficheros.
Tampoco es admisible que se solicite el consentimiento para la captación de imágenes para fines informales como la promoción del propio centro escolar. Especialmente cuando de manera inconsciente se usa aquella vieja metodología de «mejorar su experiencia de usuario». No existe ni un solo criterio en el informe PISA que permita sustentar la existencia de fines académicos en la compartición de imágenes de menores felices en internet. Sólo existen dos criterios habilitantes, jurídicamente hablando. O bien el centro escolar está ejerciendo a la libertad de información que le concede el artículo 20 de la Constitución (LA LEY 2500/1978), y en tal caso debe acreditar la relevancia pública y asegurar el respeto a los límites del derecho al honor, a la intimidad, a la propia imagen y la protección de la juventud y de la infancia. O bien, se quiere compartir con la sociedad momentos escolares que posicionen al centro y le doten de reconocimiento, visibilidad o prestigio. Y esto es «promoción» y como tal debe seguir las reglas de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LA LEY 1139/1982) y del artículo 4 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor (LA LEY 167/1996).
Por otra parte, y crean que se escribe desde el conocimiento directo de las más variadas experiencias, no resulta edificante que se llame a capítulo al padre o madre díscolos para informarles de que el menor se verá expuesto a la discriminación al ser apartado del grupo a la hora de tomar imágenes. Estas prácticas inadmisibles deberían indagarse, perseguirse y sancionarse. Si de verdad afirmamos que tenemos el máximo interés en garantizar el derecho a la vida privada de los menores y en preservarles frente a los riesgos que les acechan en Internet, deberíamos empezar por el propio entorno escolar. Por otra parte, esta afirmación no es en absoluto original, hablamos de una obligación jurídicamente debida desde la aplicación general de los principios vigentes en ese país desde 1982 pero particularmente precisada por el artículo 92 de la LOPDGDD (LA LEY 19303/2018) (4) .
Desde esta reflexión editorial, cabe plantearse hasta qué punto estas prácticas harto comunes puedan encontrar su origen en carencias de formación significativamente graves. Es perfectamente posible apostar, sin ningún miedo a perder, a que ni un solo sistema educativo autonómico en el Estado español puede acreditar el haber formado en protección de datos o privacidad a todos y cada uno de sus profesores y profesoras. Y no me refiero con ello a un curso de capacitación digital, sino al simple y mero conocimiento de las obligaciones básicas de los deberes de lealtad y confidencialidad que emanan del artículo 5 del RGPD (LA LEY 6637/2016) y de las reglas de tratamiento que incorporan los principios de este mismo artículo. Por tanto, no es momento de mirar a otro lado, ni de referirse a los riesgos para los menores como si de un azote bíblico o de una catástrofe natural se tratase. Seguramente gran parte de los problemas que nos acechan en este ámbito, proceden de una manifiesta dejación de funciones por parte de los poderes públicos y en algún caso del sector privado en este ámbito, quienes primero enseñaron a posar felices ante una cámara, quienes promovieron la publicación de videos escolares de nulo interés informativo, lanzaron un mensaje claro y evidente reforzando en un contexto educativo a las redes sociales que hoy combaten y de las que aparentemente desconfían.
4. La tecnología en el aula: de la innovación a la prohibición
Aunque ciertamente van a quedar muchas cuestiones en el tintero, el segundo gran asunto en cuestión sobre el que reflexionar se refiere al uso de la tecnología en el contexto del aula.
El entorno escolar en nuestro país ha tratado de integrar las herramientas digitales al servicio de la educación. En esto no se diferencia en nada de los países de nuestro entorno. Es obvio que ninguna persona debería finalizar su educación secundaria obligatoria, sin un manejo fluido de un teclado y de la ofimática básica. Es un mínimo de alfabetización equivalente a la de aprender a escribir en el pasado. Sin embargo, los objetivos formativos en el ámbito digital son bastante más ambiciosos ya que se trata de transferir competencias digitales a nuestros estudiantes. Para ello, los centros escolares han tratado de introducir herramientas específicas, como los ordenadores y las tabletas y también de utilizar la telefonía móvil como un instrumento auxiliar para el despliegue de ciertas capacidades.
Esto implica un tratamiento adicional de la información del menor, ya que en muchos casos deben utilizarse entornos en línea o directamente aplicaciones provistas por terceros. En un marco regido por las buenas prácticas, este tipo de herramientas deberían ser supervisadas y autorizadas por el equipo responsable del entorno educativo desde un triple enfoque: el valor pedagógico; el análisis de riesgos y la supervisión de la persona delegada de protección de datos y el análisis de un responsable de información o de seguridad, por utilizar los conceptos propios del Esquema Nacional de Seguridad.
En la práctica, con excepciones, en el inicio de este proceso sucedió exactamente lo mismo que se acaba de describir respecto de la compartición de imágenes de menores en Internet con un agravante adicional. En no pocas ocasiones se ha tratado de desplegar o de incorporar capacidades al margen de la legalidad y de los propios términos u condicione de los propios proveedores. El ejemplo más usual, consiste en que jóvenes menores de 14 años exploren Twitter o YouTube para el ejercicio de la libertad de expresión o la creación. Y aunque de manera benevolente en muchos casos se haya recomendado la creación de identidades anónimas o seudónimas, no es menos cierto que se tiene un palmario desconocimiento de los criterios de indexación y de análisis de datos que realizan estas plataformas. De este modo, incluso mediante el uso de este tipo de estrategias, es perfectamente posible que un menor de edad se encuentre exponiendo información personal que debería ser protegida, ya que en la mayor parte de los supuestos se aprende exclusivamente a utilizar la herramienta sin ningún tipo de información cualitativa. Así pues, no sólo se introduce un nivel de riesgo difícilmente asumible, sino que además al normalizar la presencia del teléfono móvil, en el aula, o al facilitar el uso de tabletas que pueden incorporar mensajerías privadas, el acceso a redes sociales normaliza un tipo de uso de las herramientas digitales que favorece extraordinariamente la dispersión del estudiante, la pérdida de concentración e incluso llegados al extremo la adicción a los medios sociales.
Hoy, en un ejercicio muy propio de nuestro país, vamos a pasar de la permisividad a la prohibición absoluta. Una inversión mínima, como disponer de taquillas para los terminales y disciplinar su uso, no parece viable. Preservar la sociabilidad en el mundo físico, devolver el patio de recreo a su función natural o evitar la consulta compulsiva de la pantalla, son objetivos que sin duda se comparten. Pero mientras tanto, los objetivos previstos por la LOPDGDD (LA LEY 19303/2018) con el impulso de la educación digital, no se ha alcanzado. Estamos muy lejos de promover y garantizar «el aprendizaje de un consumo responsable y un uso crítico y seguro de los medios digitales y respetuoso con la dignidad humana, la justicia social y la sostenibilidad medioambiental, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales». Y al margen de la reforma de los temarios de oposición, parece una pura entelequia que el profesorado haya obtenido las competencias digitales y la formación necesaria para la enseñanza y transmisión de estos valores y derechos, o que los planes de estudio de los títulos universitarios que habiliten para el desempeño profesional en la formación del alumnado garanticen la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.
Pasar de la innovación ajena a las normas a la prohibición en el contexto de la transformación digital no parece una buena idea. En 2017 McKinsey (5) pronosticó que en pocos años hasta el 60% de las posiciones en cualquier puesto de trabajo se automatizarán. Esto implica una profunda reconversión en la adquisición de competencias profesionales entre las que el pensamiento computacional y la capacidad de interactuar en interfaces persona máquina será crucial. ¿Volveremos a incurrir de nuevo una y otra vez en los errores del pasado? Aunque esta afirmación pueda resultar contraintuitiva, poner en el centro una noción individualista y prevalente del derecho a la vida privada que se traduzca en posiciones maximalistas centradas en el control y la prohibición, nos conducirá al fracaso. Las personas expertas en protección de datos lo saben muy bien. El riesgo es imposible de eliminar, podemos prevenirlo, podemos limitarlo y, por encima de todo debemos aprender a gobernarlo.
Desde el respeto, los hechos, y la creciente preocupación por el repunte de los riesgos asociados a los entornos digitales, evidencian algo obvio. Desde el punto de vista que aquí interesa, en veinte años formando a «nativos digitales» hemos creado una generación de analfabetos funcionales dispuestos a explorar el mundo digital desde una experiencia y conocimiento falaces. Si los docentes saben programar código, integrar aplicaciones móviles o hacer funcionar una Inteligencia Artificial, pero carecen de formación ética, jurídica y en seguridad, estamos confiando en pirómanos el apagar el fuego.
La más elemental, pero también radical, honestidad intelectual obliga a utilizar este crudo lenguaje. La inversión pública en la formación de los docentes, la reconsideración transversal en los planes estudios desde lo que podríamos llamar ética tecnológica y la capacitación para el pensamiento computacional, son urgentes e irrenunciables.
5. El rol de la Agencia Española de Protección de Datos
Finalmente, la autoridad de protección de datos española ha venido haciendo denodados esfuerzos en promover la garantía de los derechos de los menores y proporcionar herramientas. La última de ellas un sistema de verificación de edad para proteger a los menores de edad ante el acceso a contenidos de adultos en Internet (6) . Se trata sin duda de una iniciativa excelente que merece todo nuestro respeto y apoyo. Pero, resulta muy relevante llegados a este punto reproducir en su integridad una pregunta frecuente publicada por el regulador:
¿La App de verificación de edad la va a proporcionar la AEPD?
La AEPD es una Autoridad de Protección de Datos, es decir, una autoridad de control. Entre sus funciones no está la de proporcionar este tipo de soluciones o aplicaciones (7) . Las aplicaciones desarrolladas para las pruebas de concepto son sólo prototipos o demostradores, no nacen con la intención de ofrecerse a la ciudadanía.
La app de verificación no es un nuevo mecanismo para proveer identidad. La identidad es un derecho de la ciudadanía, que en España está garantizado por el Estado a través del Ministerio de Interior o de otras entidades.
La app de verificación ha de estar proporcionada por entes públicos y/o privados con diferentes modelos y motivaciones para hacerlo. Y la AEPD tiene entre sus competencias que se cumplan todas las garantías de protección de datos y, por lo tanto, los derechos y libertades de la ciudadanía.
Al menos la Fábrica Nacional de Moneda y Timbre (FNMT) ya se ha comprometido a desarrollar la app de verificación de edad para uso público.
Es decir, teniendo en cuenta nuestro subrayado, después de años de solicitar que se busquen métodos de atribución de identidad digital y verificación de edad resulta que:
- • Cuando la legislación de firma electrónica admitía una modelo de firma simple mediante claves concertadas, el Estado fue incapaz de proporcionar una cuenta de correo con validación LDAP para los escolares.
- • Nunca fuimos capaces de hacer eficiente el DNI digital con la población general, ni mucho menos de activar funciones para menores.
- • La facturación telefónica se basa en el número de abonado y no distingue entre los titulares de las líneas en cuentas familiares. Por tanto, es imposible una discriminación de edad mediante la SIM o el IMEI.
De hecho, la mayor fuente de identificación se soporta ¡en 2023! mediante validaciones federadas contra cuentas de Google o Facebook. Y no ha mucho, que un procedimiento sancionador de la AEPD ha cuestionado las prácticas de hacer descansar «voluntariamente» en este tipo de cuentas y proveedores la prestación de servicios de valor añadido. Cuando el Estado no provee, el mercado ocupa los nichos de negocio rentables. Y, desde luego el negocio de internet, desde el más lícito al más abyecto, parece haber prestado mayor atención a nuestras niñas y nuestros niños que la sociedad, a la que el Derecho y los más esenciales valores humanos imponen un deber de cuidado. Ojalá que nos equivoquemos, pero el enfoque top-down de la Agencia Española de Protección de Datos, su nivel de altísima exigencia sólo será efectivo si las políticas desplegadas operan de modo contundente desde el soft-law.
Una «escuela protegida», una infancia a salvo, exige un compromiso firme de la comunidad educativa, dejar de lado las políticas de escaparate y celebración de un día, un alto grado de inversión pública, y un esfuerzo sostenido, compartido y continuado en el tiempo.
6. Conclusiones
Iniciábamos este texto reclamando una visión holística de la protección de datos de los menores avanzando al inicio nuestra posición. Una vez tras otra, la urgencia se ha impuesto a lo esencial y la táctica a la estrategia. En la misma época en la que la Directiva de protección de datos y la LOPD se manifestaban incapaces de contener la marea de la comercialización de internet y las redes sociales, nos preocupaba la seguridad de los menores. Y, del mismo modo que fuimos incapaces de entender que el derecho fundamental a la protección de datos y la falacia del consentimiento alimentaron la monetización de la privacidad no entendimos que el mayor de nuestros retos residía en proteger adecuadamente a toda una generación de niñas y niños. El debate de la verificación de edad no es en absoluto nuevo, data de la ley COPPA de 1998, y del RLOPD (LA LEY 13934/2007) en 2007. Esa generación, recién egresada o a punto de hacerlo, se incorporará a las aulas como profesional en el próximo lustro con la absurda presunción de ser nativa digital, pero con un alto riesgo de analfabetismo funcional en ámbitos como el pensamiento computacional, la ciberseguridad o la gestión de su privacidad.
Y no sólo hay que buscar al enemigo fuera en la pornografía o en la pederastia. Es hora de hacer balance. Bajo la premisa de que no se podían poner puertas al campo, una de las más desafortunadas ideas que jamás debió alumbrar la mente académica, somos responsables de haber puesto en la diana a los más débiles. Lo hicimos los padres, cada vez que compartimos impúdicamente su vida en redes cayendo en la trampa de la extimidad, de la vanidad narcisista. Lo hicieron los centros escolares cuando confundieron el compartir información con la sociedad con exponer a sus estudiantes cuando no usarlos impúdicamente como agentes comerciales en videos con ridículos raps. No fuimos capaces de abrir el DNI digital u otras herramientas disponibles hace años a los procedimientos de validación. Ni tampoco, reformar unos planes de estudio y reforzar la formación docente. Hoy la Agencia Española de Protección de Datos, marca el rumbo con políticas públicas a las que hay que añadir propuestas adicionales.
- 1.- Es crucial asegurar los procesos de validación de edad de los menores eficientes y, sobre todo, viables y usables.
- 2.- La política de investigación, inspección y sanción del regulador no sólo debe de continuar, sino que debería contemplar una auditoría de oficio sobre la exposición de información por los menores por los centros escolares.
- 3.- Se impone una estrategia de formación masiva y urgente al profesorado desde el punto de vista de sus obligaciones jurídicas en protección de datos. No nos referimos aquí, a la competencia digital sino a la formación obligatoria que corresponde a cualquier usuario de sistema de información.
- 4.- En paralelo la formación en competencia digital debe alcanzar todos los niveles de la educación del profesorado, de la facultad a la formación continuada. El retraso en el cambio en los planes de estudio de magisterio y el incumplimiento de las políticas públicas ordenadas por el Título X de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), es tan intolerable como insostenible.
- 5.- En la Carta de Derechos Digitales (LA LEY 16317/2021) se propuso un estudio sobre el impacto de los entornos digitales en la infancia que se apunta como indispensable.
- 6.- Las políticas de calificación, clasificación y autorización de entornos digitales «seguros» para la docencia y la innovación docente, —desde un APP a la inteligencia artificial—, son indispensables y requieren de una coordinación estratégica, del Ministerio de Educación e INTEF, de las autoridades autonómicas, y si fuera procedente del CCN y la AEPD.
- 7.- El compromiso de la industria resulta esencial. Desde 2007 ha sido requerida por la Comisión Europea en distintas ocasiones sin que se hayan alcanzado resultados apreciables. En esta materia, el reto debería ser otro y el modelo a seguir debería centrarse en el impulso de un código de conducta y de esquemas de certificación al amparo de la sección quinta del Reglamento General de Protección de Datos (LA LEY 6637/2016). En estos esquemas, la garantía de la protección de datos por defecto como estrategia proactiva debería ocupar un plano central.
- 8.- La protección de datos desde el diseño y por defecto debe llegar a las aulas. Más allá de la gestión ordinaria de los sistemas de información corporativos, —ya sean para la gestión del expediente académico, ya sean las aulas virtuales—, es exigible dotar a los centros escolares de lo que la Agencia Española de Protección de Datos define como ingeniería de la privacidad, basada en estrategias y patrones de privacidad. Muchos de estos patrones pueden ser instrumentos documentales con valor normativo mediante instrucciones u órdenes de la autoridad educativa. Los centros escolares necesitan de una disciplina e instrucciones claras sobré como gestionar la exposición de los menores en internet y en relación con el uso de sistemas de información de terceras partes.
- 9.- La garantía de los derechos de los menores frente a los riesgos asociados a los entornos digitales debe comprometer al conjunto de la comunidad educativa y de nuestra sociedad. El Plan de Digitalización y Competencias Digitales del Sistema Educativo (Plan #DigEdu) (8) y el Plan Nacional de Competencias Digitales deberían ser instrumentos imprescindibles en este ámbito (9) .
- 10.- Finalmente la educación en competencias digitales de nuestras niñas y nuestros niños resulta crucial. No se trata exclusivamente de manejar software. Estas competencias exigen ser capaces de gestionar el riesgo y de aprender nuevos modos de relacionarse con la tecnología. Y a la vez, implica una vuelta a los principios.
Puede que de tanto dar batallas no hayamos caído en que esta es en realidad una guerra en la que sólo se vence desde el humanismo, la formación y los valores.
Ricard Martínez
Director de LA LEY PRIVACIDAD