Resumo: O obxectivo principal deste estudo de investigación consiste en ofrecer unha análise sistemática do consentimento naqueles tratamentos de datos persoais de menores de idade ao abeiro do Regulamento xeral de protección de datos e da Lei orgánica de protección de datos persoais e de garantía de dereitos dixitais. En concreto, ademais de afondar no consentimento como base xurídica fundamental, disecciónanse os contornos esenciais da sinatura electrónica como instrumento máis idóneo para garantir a prestación deste consentimento, facendo especial fincapé nas singularidades que iso presenta cando as que interveñen como responsables do tratamento son as administracións públicas.
Palabras clave: regulamento xeral de protección de datos, tratamento de datos persoais, menores de idade, administracións públicas.
Resumen: El objetivo principal del presente estudio de investigación consiste en ofrecer un análisis sistemático del consentimiento en aquellos tratamientos de datos personales de menores de edad al amparo del Reglamento general de protección de datos y de la Ley orgánica de protección de datos personales y de garantía de derechos digitales. En concreto, además de profundizar en el consentimiento como base jurídica fundamental, se diseccionan los contornos esenciales de la firma electrónica como instrumento más idóneo para garantizar la prestación de este consentimiento, haciendo especial énfasis en las singularidades que ello presenta cuando quienes intervienen como responsables del tratamiento son las administraciones públicas.
Palabras clave: reglamento general de protección de datos, tratamiento de datos personales, menores de edad, administraciones públicas.
Abstract: The main objective of this research study is to offer a systematic analysis of consent in the processing of personal data of minors under the General Data Protection Regulation and the Organic Law on the Protection of Personal Data and the Guarantee of Digital Rights. Specifically, besides studying consent in depth as a fundamental legal basis, we dissect the essential contours of the e-signature as the most suitable instrument for guaranteeing the provision of this consent, focusing on the special features that this presents when those who intervene as controllers are the Public Administrations.
Key words: General Data Protection Regulation, processing personal data, minors, Public Administrations.
Sumario: 1 Introdución. 2 Lexitimación no tratamento de datos persoais. 3 Medios de comprobación da idade do menor para garantir a correcta prestación do seu consentimento no ámbito das administracións públicas. 3.1 Sinatura electrónica xeral. 3.2 Sinatura electrónica avanzada. 3.3 Sinatura electrónica cualificada. 4 Alusións aos menores de idade na normativa actual en materia de protección de datos.
1 Introdución
O Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (en diante, Regulamento xeral de protección de datos ou RXPD), regula os datos persoais relativos aos menores de idade de forma novidosa, dado que esta cuestión non atopaba alusión específica na normativa precedente, emanada, en gran medida, do réxime considerado na Directiva 95/46/CE do Parlamento Europeo e do Consello, do 24 de outubro de 1995, relativa á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (en diante, DPDP).
Pola súa vez, e co obxecto de adaptar o ordenamento xurídico español ao Regulamento xeral de protección de datos e completar as súas disposicións, xorde a nova Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (en diante, LOPDGDD), que, en virtude da súa disposición derrogatoria única, derroga a Lei orgánica 15/1999, do 13 de decembro, de protección de datos persoais (en diante LOPD), e o Real decreto-lei 5/2018, do 27 de xullo, de medidas urxentes para a adaptación do dereito español á normativa da Unión Europea en materia de protección de datos, ademais de cantas disposicións de igual ou inferior rango contradigan, se opoñan ou resulten incompatibles co disposto no RXPD e na LOPDGDD. Esta nova lei orgánica tamén se pronunciará de forma específica e relevante sobre os tratamentos especiais realizados sobre os datos persoais relativos aos menores de idade.
Se atendemos aos instrumentos internacionais máis relevantes, cando falamos de menores de idade, estamos a referirnos a aquelas persoas físicas con idade inferior aos 18 anos, xa que non se emanciparon desde un punto de vista legal con anterioridade a esa idade. Ao longo dos últimos anos, gran parte da doutrina decantouse por empregar a noción nenos, nenas e adolescentes para facer alusión ás persoas con idade inferior aos 18 anos; non obstante, ao longo destas páxinas, utilizaremos indistintamente as nocións anteriores, igual que as nocións menores de idade ou, simplemente, menor.
Tamén o Grupo de Traballo do Artigo 29 define estes como aqueles seres humanos no sentido exacto da palabra (que, ademais, teñan menos de 18 anos). Precisamente por iso, un menor de idade deberá gozar de todos os dereitos que lle corresponden a unha persoa, onde se inclúe, obviamente, o dereito fundamental á protección dos seus datos persoais.
A este respecto, foi o artigo 8 RXPD o que incluíu, por primeira vez no marco normativo comunitario, unha alusión específica á protección de datos persoais de menores de idade. Neste sentido, nin a directiva derrogada nin a Directiva 2002/58/CE do Parlamento Europeo e do Consello, do 12 de xullo de 2002, relativa ao tratamento dos datos persoais e á protección da intimidade no sector das comunicacións electrónicas (Directiva sobre a privacidade e as comunicacións electrónicas), incluían mención específica ningunha ao suposto dos menores de idade. Máis alá diso, en España, e sobre a base do dito precepto do RXPD, nacerán outros tantos que virán explicitar o contido, algo máis xenérico, do artigo comunitario; estes serán, en esencia, os artigos 7, 84 e 92, ademais da disposición adicional 19ª, todos eles, repetimos, da nova LOPDGDD.
De acordo con este precepto comunitario, que regula explicitamente as condicións aplicables ao consentimento do neno en relación cos servizos da sociedade da información:
“1. Cando se aplique o artigo 6, apartado 1, letra a), en relación coa oferta directa a nenos de servizos da sociedade da información, o tratamento dos datos persoais dun neno considerarase lícito cando teña como mínimo 16 anos. Se o neno é menor de 16 anos, tal tratamento unicamente se considerará lícito se o consentimento o deu ou autorizou o titular da patria potestade ou tutela sobre o neno, e só na medida en que se deu ou autorizou.
Os Estados membros poderán establecer por lei unha idade inferior a tales fins, sempre que esta non sexa inferior a 13 anos.
2. O responsable do tratamento fará esforzos razoables para verificar en tales casos que o consentimento foi dado ou autorizado polo titular da patria potestade ou tutela sobre o neno, tendo en conta a tecnoloxía dispoñible.
3. O apartado 1 non afectará ás disposicións xerais do dereito contractual dos Estados membros, como as normas relativas á validez, formación ou efectos dos contratos en relación cun neno”.
Malia que con anterioridade á nova normativa en materia de protección de datos persoais non se incluíse unha regulación específica desta cuestión, iso non nos permite afirmar que, ao longo de todo este intervalo de tempo, o tratamento dos datos persoais dos nenos estivese nunha situación de indefinición xurídica, xa que os menores de idade sempre contaron co dereito á intimidade e á protección de datos persoais na súa condición inmanente de persoas físicas, persoas ás que a normativa sempre se aplicou e aplicará, sen distinción ningunha. En consecuencia, os principios xerais recollidos na regulación anterior viñeron sendo de aplicación a todos os casos en que interviñan menores de idade.
Con independencia do anterior, sobra dicir que a nova normativa en materia de protección de datos persoais será de aplicación a todos os menores de idade, sexan ou non de nacionalidade europea, con independencia de cal sexa a súa situación xurídica ou legal no ámbito da Unión Europea. Neste sentido, o apartado primeiro do artigo 4 RXPD, ao facer alusión ao concepto de interesado, non establece distinción ou diferenciación ningunha en atención á nacionalidade ou situación en que se atope a persoa física obxecto de análise; isto, no caso concreto que agora analizamos, presenta unha importancia específica se atendemos ás situacións, cada vez máis frecuentes, de menores de idade procedentes de territorios non comunitarios, aspecto este de gran relevancia, aínda que se sitúa fóra do alcance deste estudo.
En calquera caso, concluiremos dicindo que, como teremos ocasión de analizar, aínda que tanto o RXPD como a nova LOPDGDD inclúan preceptos relacionados co tratamento de datos persoais de menores de idade, son numerosas as alusións efectuadas a nenos ao analizar outros asuntos. Estas alusións atopan a súa xustificación porque os ditos preceptos non perseguen realizar unha regulación íntegra do tratamento de datos persoais relativos a menores (motivo polo cal é necesario integrar as previsións deste artigo co resto da normativa en materia de protección de datos persoais), senón que, unicamente, aborda unha análise daquelas condicións que resultan de aplicación ao consentimento dos menores de idade e sempre que este se produza no ámbito concreto dos servizos da sociedade da información.
2 Lexitimación no tratamento de datos persoais
O artigo 8 RXPD regula as condicións que resultan aplicables ao consentimento do menor de idade en relación cos servizos da sociedade da información como base xurídica para o tratamento dos datos persoais que lle corresponden.
Este precepto dispón que, cando o consentimento estea relacionado coa realización dunha oferta directa a menores de idade de servizos da sociedade da información, o tratamento dos datos persoais do neno será lexítimo sempre e cando este teña unha idade superior aos 16 anos. Se o menor de idade ten menos desta idade, ese tratamento tan só se considerará lexítimo se o consentimento en que se basea foi prestado por titular da patria potestade ou tutela sobre o menor de idade e unicamente na medida en que se deu ou autorizou. En calquera caso, isto non afectará ás disposicións xerais do dereito que rexe os contratos nos países integrantes da Unión Europea, tales como as normas relativas á validez, formación ou efectos dos contratos en relación cos menores de idade.
Polo demais, este artigo outórgalles aos Estados membros a facultade de modificar esta idade mínima a través dunha lei interna, sempre e cando esta non sexa inferior aos 13 anos. Ao abeiro desta previsión, nace o artigo 7 da nova LOPDGDD (ademais de artigos como o 84 ou o 92, así como a disposición adicional décima), que altera esta idade mínima, en termos xerais, a 14 anos e faino nas seguintes condicións:
“1. O tratamento dos datos persoais dun menor de idade unicamente poderá fundarse no seu consentimento cando sexa maior de catorce anos.
Exceptúanse os supostos en que a lei exixa a asistencia dos titulares da patria potestade ou tutela para a celebración do acto ou negocio xurídico no contexto do cal se solicita o consentimento para o tratamento.
2. O tratamento dos datos dos menores de catorce anos, fundado no consentimento, só será lícito se consta o do titular da patria potestade ou tutela, co alcance que determinen os titulares da patria potestade ou tutela”.
Un aspecto importante é qué debe entenderse por servizos da sociedade da información. Ao contrario do que puidese pensarse, o texto normativo encargado de proporcionar unha definición de servizos da sociedade da información non é aquel que regula o seu obxecto. En efecto, a Directiva 2000/31/CE do Parlamento Europeo e do Consello do 8 de xuño de 2000, relativa a determinados aspectos xurídicos dos servizos da sociedade da información, en particular o comercio electrónico no mercado interior (en diante, Directiva sobre o Comercio Electrónico ou DCE), no seu artigo 2.a), efectúa unha remisión ao apartado segundo do artigo 1 da Directiva 98/34/CE do Parlamento Europeo e do Consello, do 22 de xuño de 1998, pola que se establece un procedemento de información en materia das normas e regulamentacións técnicas, modificada, pola súa vez, pola Directiva ٩٨/٤٨/CE do Parlamento Europeo e do Consello, do 20 de xullo de 1998, que modifica a Directiva 98/34/CE, pola que se establece un procedemento de información en materia das normas e regulamentacións técnicas.
De acordo con este precepto, será servizo da sociedade da información:
“[...] todo servizo prestado normalmente a cambio dunha remuneración, a distancia, por vía electrónica e a petición individual dun destinatario de servizos”.
Entenderase que é a distancia aquel servizo que sexa prestado sen que as partes estean presentes de xeito simultáneo, é dicir, sen a presenza física sincrónica da persoa que presta o servizo da sociedade da información (prestadores de servizos da sociedade da información) e o seu destinatario (destinatarios de servizos da sociedade da información); por vía electrónica, cando sexa enviado desde a fonte e recibido polo destinatario de servizos da sociedade da información mediante equipos electrónicos de tratamento (incluída a compresión dixital) e de almacenamento de datos e que se transmite, canaliza e recibe integramente por fíos, radio, medios ópticos ou calquera outro medio electromagnético, e a petición individual dun destinatario de servizos, cando sexa este quen solicite que o servizo lle sexa prestado. Por último, o servizo da sociedade da información terá carácter oneroso cando as dúas partes intervenientes obteñan algo de xeito recíproco, é dicir, cando tanto os prestadores de servizos da sociedade da información como os destinatarios de servizos da sociedade da información realicen unha prestación a favor da outra parte.
Malia esta última afirmación, convén ter presente o contido do considerando 18 DCE, que aclara que os servizos da sociedade da información non cobren unicamente aqueles servizos que dan lugar á contratación en liña, senón que, na medida en que representen unha actividade económica, serán extensivos igualmente a servizos que non son remunerados polos seus destinatarios. En opinión dalgúns autores, é esta natureza onerosa da prestación unha nota esencial, xa que o que se inclúe é toda actividade desenvolvida por vía electrónica e que teña un significado económico, máis alá de que sexa o usuario final, ou non, o que deba pagar o servizo de que se trate.
Deste xeito, deberanse entender incluídos dentro da noción de prestadores de servizos da sociedade da información todos aqueles que obteñan ingresos económicos como consecuencia do servizo, xa sexa directamente (como é o caso dos servizos remunerados polos seus destinatarios) ou indirectamente (a través da inclusión de publicidade ou como consecuencia da explotación de datos persoais dos usuarios que se rexistran para acceder ao servizo). Quedarían fóra, pola contra, todos os demais supostos en que caiba apreciar unha ausencia total de actividade económica, como adoita suceder coas páxinas ou blogs de carácter persoal, que deberán ser excluídos do réxime xurídico específico dos prestadores de servizos da sociedade da información.
No noso ordenamento xurídico interno e en termos practicamente idénticos, a Lei 34/2002, do 11 de xullo, de servizos da sociedade da información e de comercio electrónico (en diante, LSSICE), optou tamén por incluír, no apartado a) do seu anexo, unha definición de servizos da sociedade da información. Todos estes servizos, afirma o lexislador español, caracterizaranse por catro aspectos esenciais que deben concorrer acumulativamente: ser prestados a distancia, por vía electrónica, logo de petición individual do destinatario de servizos da sociedade da información e, polo menos habitualmente, a título oneroso. E é aquí onde, con base na exposición de motivos, o apartado terceiro inclúe, dentro do concepto de servizos da sociedade da información, o comercio electrónico, no cal se integrarían dúas actividades fundamentais que agrupan o resto: dun lado, o envío de comunicacións comerciais previas á contratación, que agrupa a subministración de información vía telemática, e, doutro, a contratación electrónica propiamente dita, na cal se subsume tanto a organización e xestión de poxas por medios electrónicos ou de mercados e centros comerciais virtuais como a xestión de compras na Rede por grupos de persoas. Os medios a través dos cales poderá canalizarse esta contratación serán, entre outros, o correo electrónico, a páxina web, a videoconferencia ou o chat.
A eles deberían engadirse, como veremos, aqueles servizos da sociedade da información de intermediación relativos á provisión de acceso á Rede (Internet service providers), os que permiten a transmisión de datos por redes de telecomunicacións (mere conduit ou routing), os concernentes á realización de copia temporal das páxinas de Internet solicitadas polos usuarios (proxy caching ou memoria tampón), os que posibilitan o aloxamento, nos propios servidores, de información, servizos ou aplicacións facilitados por outros (aloxamento), os que provén instrumentos de procura ou de ligazóns a outros sitios de Internet (searching and linking), os que fan posible tanto a creación, verificación e validación de sinaturas electrónicas, selos electrónicos, selos de tempo electrónicos, servizos de entrega electrónica certificada, certificados relativos a estes servizos e certificados para a autenticación de sitios web como a preservación de sinaturas, selos ou certificados electrónicos relativos a estes servizos (trust services –servizos da sociedade da información de intermediación–) ou calquera outro servizo que se preste a petición individual dos usuarios (como a descarga de arquivos ou audio), sempre que representen unha actividade económica para os prestadores de servizos da sociedade da información de intermediación:
Así as cousas, e volvendo ao consentimento do menor de idade, o Regulamento xeral de protección de datos fai unha distinción entre os seguintes posibles supostos:
1) Aqueles casos en que o menor de idade ten menos de 18 anos e máis de 16 anos, casos en que poderá outorgar o seu consentimento, de tal maneira que, de prestalo, o tratamento que dos seus datos persoais realice o responsable do tratamento será lexítimo.
2) Naqueles supostos de menores de idade de menos de 16 anos, estes non poderán prestar dun xeito válido o seu consentimento. Nestes casos, o consentimento no seu nome deberá prestalo o titular da patria potestade ou tutela sobre o menor de idade.
3) En terceiro lugar, aqueles casos de menores de menos de 16 anos e maiores de 13 anos, os cales estarán facultados para prestar o seu consentimento dun modo válido se así o establecen os Estados membros a nivel interno, como sucede no noso país, ao abeiro, repetimos, do artigo 7 da nova LOPDGDD.
4) Por último, os nenos que teñan menos de 13 anos, os cales en ningún caso estarán habilitados para poder prestar o seu consentimento dunha maneira válida conforme a lei para o tratamento dos seus datos persoais, nin sequera no suposto en que a lei nacional dun Estado membro da Unión Europea o implantase, xa que esta previsión se entendería contraria ao establecido no apartado segundo do artigo 8 RXPD.
Malia todo o anterior, debemos ter sempre presente que, con carácter xeral, prevalecerá o interese superior do menor. Iso quere dicir que, en supostos de conflito (por exemplo, naqueles casos en que o titular da patria potestade ou tutela sobre o menor de idade preste o seu consentimento en nome do neno interesado para un tratamento dos datos persoais que é claramente pernicioso para os intereses do menor), deberán habilitarse aqueles mecanismos previstos en cada Estado membro para protexer o interese, repetimos, superior, do neno.
En calquera caso, botamos de menos neste artigo 8 RXPD algunha previsión en relación co consentimento prestado polo menor de idade ou por titular da patria potestade ou tutela sobre o neno cando non esteamos ante un suposto de oferta dun servizo da sociedade da información, como si fai o artigo 7 LOPDGDD. Neste caso, deixa a dúbida de se podería aplicarse para estes supostos tamén o contido deste precepto ou non, e, neste último caso, que resposta podería darse, se análoga ou non, ao que dispón o dito artigo 8 RXPD, dúbida que desaparece coa entrada en vigor da LOPDGDD.
En calquera caso, na nosa opinión, non parece ser vontade do lexislador comunitario deixar á marxe todos aqueles supostos que poidan concorrer e que respondan a un consentimento do menor, á marxe dunha oferta de servizos da sociedade da información. É verdade que tería sido moi recomendable que, no contido específico do artigo 8 RXPD, se fixese constar esta circunstancia, aínda que, como diciamos, por extensión ou aplicando unha regra de analoxía ao dito contido, poderiamos entender aplicable o artigo 8 RXPD a situacións semellantes. En definitiva, a pesar de que a nova normativa en materia de protección de datos persoais aluda dun xeito específico tan só aos servizos da sociedade da información, non resultaría axeitado entender que, con iso, estarían a quedar fóra do marco regulador outros tantos supostos, certamente semellantes e necesitados tamén de regulación.
Tampouco se inclúe o suposto que nos permita saber que sucede co consentimento cando é prestado polo titular da patria potestade ou tutela sobre o neno nun momento anterior a que este alcance a maioría de idade, cando este, inmediatamente despois, a supere. Descoñecemos, salvo que realicemos un labor interpretativo, que sucedería con este consentimento, é dicir, se sería necesario volver solicitar o consentimento, esta vez directamente do menor, ou sería posible prorrogar os efectos do consentimento manifestado polo titular da tutela ou patria potestade sobre o que, daquela, era neno. Non obstante, entendemos que o lóxico sería volver solicitar o consentimento, xa do interesado, para poder seguir tratando os seus datos persoais.
3 Medios de comprobación da idade do menor para garantir a correcta prestación do seu consentimento no ámbito das administracións públicas
Unha cuestión que non pode pasar desapercibida se analizamos todas as circunstancias que rodean o tratamento dos datos persoais relativos a menores de idade, como categorías especiais de interesados que son, é o xeito que ten o responsable do tratamento de procurar a verificación da idade do neno para poder corroborar así a prestación do consentimento, xa sexa por este ou polos que exercen a súa patria potestade ou tutela. Como doadamente se pode advertir, esta situación presenta serias dificultades nun contexto como o actual, fortemente imbricado na precitada sociedade da información, onde non se produce a presenza física do menor e, polo tanto, é certamente difícil comprobar a súa idade.
Neste sentido, o artigo 8.2 RXPD, que volvemos subscribir pola súa importancia para estes efectos, establece que “[...] o responsable do tratamento fará esforzos razoables para verificar en tales casos que o consentimento foi dado ou autorizado por titular da patria potestade ou tutela sobre o neno, tendo en conta a tecnoloxía dispoñible”. Esta indicación parece aludir aos menores de idade cunha idade inferior aos 16 anos, sendo necesario, nestes casos, que o consentimento sexa prestado ou autorizado por quen exerce a patria potestade ou tutela sobre o menor de idade e soamente na medida en que este consentimento foi prestado ou autorizado. Ademais, indica o precepto, o esforzo levado a cabo polo responsable do tratamento deberá ser razoable, sendo este un concepto xurídico indeterminado que poderá ser matizado dependendo do suposto específico.
No noso país, en 2010, a Axencia Española de Protección de Datos (en diante, AEPD) emitiu un informe en que establecía que a normativa daquela vixente en España (LOPD/RDLOPD) non establecía un procedemento específico que tivese que ser seguido polo responsable do tratamento para poder verificar a idade do neno e a consecuente autenticidade do consentimento prestado polos pais, titores ou representantes legais do menor, outorgándolle liberdade ao responsable do tratamento para poder empregar o procedemento que estimase oportuno. Neste sentido, algúns autores consideran que este deber do responsable do tratamento se traduce nunha obriga de facer e non nunha obriga de resultado, de xeito que, se o responsable do tratamento articula os procedementos que crea oportunos, os documenta dun modo pertinente e verifica de maneira efectiva o seu cumprimento, sobre el non poderá recaer responsabilidade ningunha derivada, por exemplo, de que o neno falsificase o seu Documento Nacional de Identidade ou fotocopiase o do titular da patria potestade ou tutela sen o consentimento deste. No entanto, parece certamente favorable, de cara a cumprir dun xeito máis adecuado e satisfactorio co principio de responsabilidade proactiva imposto polo RXPD, que o procedemento establecido polos responsables do tratamento sexa razoable á hora de comprobar a identidade do menor de idade, requirindo, preferiblemente, a súa sinatura electrónica.
A sinatura electrónica, regulada na actualidade, con carácter esencial e a nivel comunitario, no Regulamento (UE) n. 910/2014 do Parlamento Europeo e do Consello, do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE (en diante, Regulamento eIDAS ou RIE-SCTE), así como, a nivel nacional, na Lei 59/2003, do 19 de decembro, de sinatura electrónica (en diante, LSE), resulta un instrumento especialmente axeitado para poder acreditar o consentimento a que vimos facendo referencia. A continuación, analizamos a sinatura electrónica desde unha perspectiva legal (máis concretamente, as sinaturas electrónicas, un total de tres, determinantes de cada unha das tres clases recollidas pola normativa nacional e comunitaria), sobre todo cando o tratamento se produce no ámbito das administracións públicas, especialmente sensibilizadas tras a entrada en vigor da actual Lei ٣٩/٢٠١٥, do ١ de outubro, do procedemento administrativo común das administracións públicas (en diante, LPACAP).
3.1 Sinatura electrónica xeral
O artigo 3.10) RIE-SCTE define de forma xeral a sinatura electrónica como “[...] os datos en formato electrónico anexos a outros datos electrónicos ou asociados de xeito lóxico con eles que utiliza o asinante para asinar”, ou, o que é o mesmo, calquera método ou símbolo baseado en medios electrónicos utilizado ou adoptado por unha parte coa intención de asinar, cumprindo todas ou algunhas das funcións características da sinatura autógrafa. A referencia á súa utilización coa intención de asinar correspóndese coa nova regulación doutros servizos electrónicos de confianza que responden a fins diferentes.
Esta definición pon de manifesto a intención do lexislador comunitario de regular as sinaturas electrónicas en sentido amplo, sen prexuízo de disciplinar con máis detalle modalidades específicas ás que, de xeito gradual, lles atribúe unha especial eficacia xurídica (por orde ascendente, como veremos, sinaturas electrónicas avanzadas e sinaturas electrónicas cualificadas). Así mesmo, trátase dun concepto tecnoloxicamente indefinido (principio de neutralidade tecnolóxica), xa que non se refire a ningunha tecnoloxía específica (criptografía, passwords, etc.) a través da cal se deba asinar, malia ser certo que será a criptografía asimétrica propia da sinatura dixital a que, de xeito velado, presida o conxunto da norma. Polo demais, os datos que integran a sinatura electrónica poderán formar parte do documento electrónico ou ir asociados formalmente con eles, aparecendo como un conxunto independente. Agora ben, este modo, integrado ou separado, en que, se é o caso, se manifeste a sinatura electrónica dependerá do sistema técnico seleccionado e das aplicacións prácticas con que conte cada modalidade.
De acordo con esta noción xeral, sinatura electrónica podería ser, en termos contractuais, calquera conxunto de datos baseado en medios electrónicos utilizado polo asinante coa intención de asinar, sen especificar (nun intento, considero, por deixar aberta a sinatura electrónica a cantas finalidades lle permitan os sucesivos avances tecnolóxicos) o fin perseguido ao facelo. Incórrese, deste xeito, nunha especie de redundancia un tanto incomprensible, que leva a definir a sinatura electrónica xeral como aquela que utiliza o asinante para asinar.
Neste punto, o Regulamento eIDAS sepárase da definición recollida polo seu precedente, que, proporcionando un concepto de sinatura electrónica simple (non xeral), circunscribía o fin común perseguido por toda sinatura electrónica a servir como medio de autenticación,. E iso nunha redacción, en principio, discutible, e xeradora de confusión, xa que, por ser esta fase de autenticación posterior á de identificación propiamente dita, tería sido mellor optar por esta última. Tampouco se aclara o que debe entenderse por autenticación e por identificación, o cal nos sitúa ante un concepto xurídico indeterminado susceptible de xerar interpretacións radicalmente distintas.
Sexa como sexa, o certo é que, con esta nova redacción, a norma europea xera unha confusión en nada desdeñable. En efecto, se coa normativa anterior quedaba delimitado o mínimo que debía cumprir toda sinatura electrónica para ser considerada como tal para os efectos xurídicos (identificación do asinante dunha mensaxe de datos ou autenticación ou acreditación da dita identificación), o RIE-SCTE, malia a plausible intención presumiblemente perseguida, imposibilítalle ao xurista a concreción do elemento que, satisfeito, permita saber cando estamos en presenza dunha sinatura electrónica, por básica ou elemental que sexa. En consecuencia, dentro desta definición terían cabida procedementos múltiples de sinatura, algúns tan complexos como a sinatura dixital baseada na criptografía asimétrica ou a sinatura configurada sobre a base de sistemas biométricos como o iris, a palma da man ou a pegada dactilar e outros tan simples como a plasmación do nome ou outro elemento identificativo incluído ao final dunha mensaxe electrónica, a sinatura manuscrita dixitalizada ou a existencia dunha pregunta-resposta e un PIN de acceso. Resultado do anterior, estamos en condicións de afirmar que, se o fin perseguido é xerar certeza nos que se atopen suxeitos e afectados directa ou indirectamente pola norma, sería máis axeitado reformular o concepto actual de sinatura electrónica xeral e reconducilo, con matices, ao tradicional de sinatura electrónica simple, nunha sorte de definición, sequera algo máis clarificadora ou completa, que podería quedar como segue: a sinatura electrónica é o conxunto de datos en formato electrónico, anexos a outros datos electrónicos ou asociados de xeito lóxico con eles, que son utilizados, polo menos, como medio de identificación do asinante.
3.2 Sinatura electrónica avanzada
Elevando as exixencias de calidade e de seguridade da sinatura electrónica, o artigo 3.11) RIE-SCTE introduce o concepto de sinatura electrónica avanzada, entendendo por tal “[...] a sinatura electrónica que cumpre os requisitos recollidos no artigo 26”.
Estes requisitos, suma este último precepto, son os seguintes:
a) estar vinculada ao asinante de xeito único;
b) permitir a identificación electrónica do asinante, (menor de idade ou titular da patria potestade para, no caso que nos ocupa, prestar o consentimento a tratamentos en que o responsable do tratamento é a Administración pública);
c) ter sido creada empregando datos de creación de sinatura electrónica que o asinante pode utilizar para a creación dunha sinatura electrónica, cun alto nivel de confianza,, baixo o seu control exclusivo, e
d) estar vinculada cos datos asinados por esta de tal xeito que calquera modificación ulterior destes sexa detectable.
Obsérvese que coas tres primeiras exixencias (vinculación única ao signatario, identificación deste e creación por medios baixo o seu exclusivo control) se persegue garantir a identificación autenticada do autor e evitar o rexeitamento en orixe das mensaxes de datos; en cambio, coa última (vinculación aos datos que permite detectar calquera alteración ulterior), preténdese salvagardar a integridade dos documentos electrónicos.
3.3 Sinatura electrónica cualificada
Por último, o artigo 3.12) RIE-SCTE define a sinatura electrónica cualificada (introducindo unha nova denominación a nivel comunitario daquilo que, xa desde a Lei 59/2003, do 19 de decembro, de sinatura electrónica, se coñecía en España como sinatura electrónica recoñecida) como a “[...] sinatura electrónica avanzada que se crea mediante un dispositivo cualificado de creación de sinaturas electrónicas e que se basea nun certificado cualificado de sinatura electrónica”.
Máis que unha nova modalidade, a sinatura electrónica cualificada constitúe un novo tipo de sinatura electrónica avanzada que, acompañada de determinados elementos que lle imprimen unha maior seguridade (dispositivo cualificado de creación de sinatura electrónica, dunha parte, e certificado cualificado de sinatura electrónica, doutra), terá “[...] un efecto xurídico equivalente ao dunha sinatura manuscrita” (artigo 25.2 RIE-SCTE). Por esta razón, vese investida dun novo nomen iuris, coa finalidade de singularizala daqueloutra que, por non ser creada mediante un dispositivo cualificado de creación de sinatura electrónica ou por non se basear nun certificado cualificado de sinatura electrónica (ou por non cumprir ningún destes dous requisitos), non terá efectos legais equiparables, en termos de validez e eficacia, aos da sinatura autógrafa, integrándose baixo o nome de sinatura electrónica avanzada. Esta última, igual que a sinatura electrónica simple e que a sinatura electrónica avanzada baseada nun certificado electrónico cualificado, non se verá privada de efectos xurídicos nin de admisibilidade como proba en procedementos xudiciais polo mero feito de que estea en forma electrónica ou porque non cumpra os requisitos da sinatura electrónica cualificada (art. 25.1 RIE-SCTE), debéndose valorar, en todo caso, cal é a eficacia que teñen, algo que en ocasións pode ser complexo e custoso.
É esta maior seguridade xurídica a que xustifica que o artigo ١٠ LPACAP, entre os sistemas de sinatura admitidos polas administracións públicas, considere preferente a sinatura electrónica cualificada, de xeito que, de acordo co apartado segundo do dito precepto:
“No caso de que os interesados optasen por relacionarse coas administracións públicas a través de medios electrónicos, consideraranse válidos para os efectos de sinatura:
a) Sistemas de sinatura electrónica cualificada e avanzada baseados en certificados electrónicos cualificados de sinatura electrónica expedidos por prestadores incluídos na «Lista de confianza de prestadores de servizos de certificación”.
4 Alusións aos menores de idade na normativa actual en materia de protección de datos
Tal e como indicamos en páxinas anteriores, son varias as referencias que, ao longo da nova normativa comunitaria en materia de protección de datos persoais, se realizan aos menores de idade. Máis concretamente, estas referencias contéñense nos considerandos 38, 58, 65 e 75, ademais de na letra f) do apartado primeiro do artigo 6, o apartado primeiro do artigo 12, a letra g) do apartado segundo do artigo 40 e a letra b) do apartado primeiro do artigo 57, todos eles do Regulamento xeral de protección de datos. Pola súa banda, tamén se achegarán aspectos relativos aos menores de idade nos artigos 84 e 92, ademais de na disposición adicional 19ª, todos eles da nova Lei orgánica de protección de datos.
Na primeira destas referencias, o considerando 38 RXPD, atopa, ao final, unha excepción ao consentimento prestado por quen exerce a patria potestade ou tutela sobre o neno. De acordo con este considerando, o consentimento prestado por titular da patria potestade ou tutela non deberá ser indispensable no marco de servizos de carácter preventivo ou de asesoramento, propostos dun modo directo aos menores de idade.
Pola súa parte, conectado dun xeito inmanente ao principio de transparencia do artigo 5.1.a) RXPD, atópase o considerando 58 RXPD, que, ao analizar o conxunto de circunstancias que deberán ser informadas aos interesados, contempla que, cando esta información abranga tratamentos que aluden a menores de idade, será necesario que se lles proporcione esta información nunha linguaxe clara e sinxela, que resulte accesible ao neno.
En terceiro lugar, o considerando 65 RXPD, referíndose ao dereito de supresión, prevé o suposto do consentimento, no seu día, prestado polo menor de idade e que, con carácter ulterior, pretende ser suprimido por este. Neste contexto, indica o dito considerando que o interesado deberá poder contar con esta facultade mesmo cando, no momento de exercer o dereito precitado, xa alcanzase os 18 anos de idade.
Unha última análise no que aos considerandos da normativa comunitaria sobre protección de datos se refire lévanos a analizar o considerando 75 RXPD. Unha das novidades que incorpora o RXPD é a perspectiva do risco, en virtude da cal será necesario realizar unha análise de riscos previa ao tratamento para poder determinar o conxunto de medidas de seguridade axeitadas a ese tratamento. Neste sentido, o citado considerando establece unha serie de aspectos que poden implicar situacións de risco en relación co tratamento dos datos persoais do interesado, aludindo, entre estas situacións ou aspectos concretos, a aqueles tratamentos que afecten a persoas especialmente vulnerables, en particular a menores de idade. Iso garda relación co disposto no artigo 9 RXPD, que regula o tratamento de categorías especiais de datos persoais (datos persoais que revelen a orixe étnica ou racial, as opinións políticas, as conviccións relixiosas ou filosóficas, ou a afiliación sindical, e o tratamento de datos xenéticos, datos biométricos dirixidos a identificar de maneira unívoca a unha persoa física, datos relativos á saúde ou datos relativos á vida sexual ou a orientación sexual dunha persoa física), onde, a pesar do disposto anteriormente, non se realiza alusión ningunha aos datos persoais relativos ao neno, o que nos leva a afirmar que os datos persoais de menores de idade non terán a consideración de categorías especiais de datos persoais, con independencia de que este tipo de tratamentos estea suxeito a determinadas especificidades que buscan protexer con maior intensidade os dereitos que corresponden a esta categoría especial de interesados. Iso permitiríanos afirmar que, conectado co artigo 24 RXPD (que regula a responsabilidade do responsable do tratamento –neste caso, as administracións públicas–), será precisa a adopción de medidas técnicas e organizativas axeitadas para protexer, cumprir e poder demostrar o cumprimento do tratamento realizado sobre os datos persoais de menores de idade.
En canto aos artigos, o primeiro deles é o artigo 6 RXPD, cuxa letra f), situada no seu apartado primeiro, alude ao tratamento imprescindible para poder satisfacer intereses lexítimos perseguidos polo responsable do tratamento, sendo, nestes casos, necesario que tales intereses lexítimos nunca predominen sobre os intereses ou os dereitos e liberdades fundamentais do interesado que exixan garantir os seus datos persoais, en especial naqueles casos en que esteamos en presenza de menores de idade. En definitiva, o responsable do tratamento poderá lexitimar o tratamento que realice dos datos persoais do interesado, mesmo cando este sexa un neno, con base no interese lexítimo perseguido, sempre que este interese lexítimo nunca prevaleza sobre aquel que corresponde ao interesado, en especial cando o interesado sexa unha persoa especialmente vulnerable, como pode ser un menor de idade.
Non obstante, e no que aquí nos interesa, esta base xurídica atopa unha excepción naqueles casos en que o tratamento sexa realizado por autoridades públicas no desempeño das funcións que lle son propias. Neste caso, enténdese que, aínda tratándose de menores de idade, podería non operar a salvagarda de protección prevista no inciso final do artigo 6.1.f) RXPD, de xeito que, cando o responsable do tratamento sexa unha autoridade pública e estea a desempeñar as funcións que lle corresponden, prevalecerá o interese lexítimo perseguido pola devandita autoridade en lugar do interese lexítimo do interesado, neste caso, do menor de idade.
En segundo lugar, atópase o apartado primeiro do artigo 12 RXPD, que regula a transparencia á hora de proporcionar información acerca das circunstancias que rodean o tratamento dos datos persoais e os dereitos que lle corresponden ao interesado. Pois ben, este apartado dispón que a información a facilitar ao interesado deberá ser especialmente concisa, transparente, intelixible, de doado acceso e cunha linguaxe clara e sinxela cando o interesado sexa un menor de idade.
En terceiro lugar, a letra g) do apartado segundo do artigo 40 RXPD, conectado co punto anterior, establece que a información a subministrar aos menores de idade e a protección que sobre eles deberá recaer, así como o xeito de solicitar o consentimento dos que exercen como titulares da patria potestade ou tutela sobre o menor, constitúe aspectos que o Regulamento xeral de protección de datos busca incorporar nos códigos de conduta que, de conformidade co dito precepto, deberán promover os distintos países que integran a Unión Europea, as autoridades de control, o Comité e a Comisión.
Por último a letra b) do apartado primeiro do artigo 57 RXPD, ao falar das funcións que lle corresponden á autoridade de control, establece que, con independencia de calquera outras que se lles atribúen noutros apartados da normativa en materia de protección de datos persoais, deberán ser un total de 22, de entre as cales se inclúe unha segunda, que fai especial referencia á atención que cumprirá mostrar naquelas actividades encamiñadas de modo específico aos menores de idade con efecto de facilitar a súa mellor sensibilización e comprensión acerca dos riscos, normas, garantías e dereitos relacionados co tratamento dos seus datos persoais.
Pola súa banda, no noso ordenamento xurídico interno atopamos, en primeiro lugar, o artigo 84 LOPDGDD, que establece que os pais, nais, titores, curadores ou representantes legais procurarán que os menores de idade fagan un uso equilibrado e responsable dos dispositivos dixitais e dos servizos da sociedade da información, co obxectivo de garantir o axeitado desenvolvemento da súa personalidade e preservar a súa dignidade e os seus dereitos fundamentais. De igual maneira, a utilización ou difusión de imaxes ou información persoal de menores nas redes sociais e servizos da sociedade da información equivalentes que poidan implicar unha intromisión ilexítima nos seus dereitos fundamentais determinará a intervención do Ministerio Fiscal, que instará as medidas cautelares e de protección previstas na Lei orgánica 1/1996, do 15 de xaneiro, de protección xurídica do menor, de modificación parcial do Código civil e da Lei de axuizamento civil.
Pola súa banda, o artigo 92 LOPDGDD engade que:
“Os centros educativos e calquera persoa física ou xurídica que desenvolva actividades en que participen menores de idade garantirán a protección do interese superior do menor e os seus dereitos fundamentais, especialmente o dereito á protección de datos persoais, na publicación ou difusión dos seus datos persoais a través de servizos da sociedade da información. Cando a dita publicación ou difusión fose ter lugar a través de servizos de redes sociais ou servizos equivalentes, deberán contar co consentimento do menor ou os seus representantes legais, conforme o prescrito no artigo 7 desta lei orgánica”.
Por último, a disposición adicional décimo novena LOPDGDD conclúe indicando que, no prazo dun ano desde a entrada en vigor desta lei orgánica, o Goberno remitirá ao Congreso dos Deputados un proxecto de lei dirixido especificamente a garantir os dereitos dos menores ante o impacto de Internet, co fin de garantir a súa seguridade e loitar contra a discriminación e a violencia que sobre estes é exercida mediante as novas tecnoloxías.
En definitiva como puidemos observar nas liñas anteriores son numerosas as alusións e referencias que, de cara a protexer os dereitos e liberdades do interesado menor de idade, se establecen na nova normativa en materia de protección de datos persoais, outorgando e garantindo unha mellor conservación a esta categoría especial de interesados.
De todo iso dedúcese a necesidade, por parte das institucións comunitarias, de protexer os datos persoais dos menores de idade por medio da aplicación dunha serie de principios que deberán estar vixentes á hora de obter os datos persoais correspondentes a este grupo de interesados:
a) Os nenos non poderán proporcionar información persoal relativa a outros interesados.
b) Para poder realizar transferencias de datos persoais correspondentes a menores de idade a países terceiros ou organizacións internacionais, será preciso solicitar o consentimento explícito e demostrable dos que exercen a patria potestade ou tutela sobre o neno, que, como vimos, se deberá realizar por medio de instrumentos que garantan de forma segura a prestación deste, en especial, a sinatura electrónica.
c) Está prohibido inducir os menores de idade ao proporcionar información de carácter persoal a través da consecución de premios ou alicientes semellantes.
d) Será necesario acoutar temporalmente a validez do consentimento prestado polos que exercen a patria potestade ou tutela sobre o neno.
Bibliografía
ALAMILLO DOMINGO, I., “Identidad y firma electrónica. Nociones técnicas y marco jurídico general. Identificación y autentificación de los ciudadanos”, Fernández Ramos, S., Valero Torrijos, J. e Gamero Casado, E. (dirs.), Tratado de Procedimiento Administrativo Común y Régimen Jurídico Básico del sector público, Tirant lo Blanch, Valencia, 2017.
ALEMÁN MONTERREAL, A., “La protección de datos de menores en el ámbito sanitario: ¿discriminación necesaria?”, Actualidad Civil, n. 19, 2011.
ANDREU MARTÍNEZ, B., La protección de datos personales de los menores de edad, Thomson Reuters Aranzadi, Cizur Menor, 2013.
ARIAS POU, M., Manual práctico de comercio electrónico, La Ley, Las Rozas, 2006.
BRITO IZQUIERDO, N., “Tratamiento de los datos personales de menores de edad: supuestos, límites, retos y desafíos”, La Ley Derecho de Familia: revista jurídica sobre familia y menores, n. 14, 2017.
BRITO IZQUIERDO, N., “Tratamiento de los datos personales de menores de edad en la nueva normativa europea protectora de datos personales”, Actualidad Civil, n. 5, 2018.
BUONOMO, G. e MERONE, A., “La scrittura privata informatica: firme elettroniche, valore probatorio e disconoscimento in giudizio (alla luce delle modifiche introdotte dalla l. 221/2012)”, Judicium: il processo civile in Italia e in Europa, n. 1, 2013.
CRUZ RIVERO, D., “Las definiciones de firma electrónica en el Real Decreto-ley 14/1999, sobre firma electrónica, y el Proyecto de Ley de firma electrónica”, Davara Rodríguez, M.Á. (coord.), XVIII Encuentros sobre Informática y Derecho, 2003-2004, Universidade Pontificia de Comillas, Madrid, 2014.
CRUZ RIVERO, D., La firma electrónica reconocida: análisis de los requisitos del artículo 3.3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, Marcial Pons, Madrid, 2015.
CUADRA CHIONG, M.M., “La protección de datos personales de los menores de edad”, Anuario de justicia de menores, n. 13, 2013.
DE LAS HERAS VIVES, L. e BONMATÍ SÁNCHEZ, J., “Consentimiento de los menores de edad”, Arenas Ramiro, M. e Ortega Giménez, A. (dirs.), Protección de datos: comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD), Sepin Editorial Jurídica, Madrid, 2019.
DÍAZ MORENO, A., “Concepto y eficacia de la firma electrónica en la Directiva 1999/93/CE, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica”, Revista de la Contratación Electrónica, n. 2, 2013.
DURÁN RUIZ, F.J., “La necesaria intervención de las administraciones públicas para la preservación del derecho fundamental a la protección de datos de los menores de edad”, Durán Ruiz, F.J. (coord.), I Congreso sobre retos sociales y jurídicos para los menores y jóvenes del siglo XXI, Editorial Comares, Granada, 2013.
DURÁN RUIZ, F.J., “El tratamiento de los datos personales de los menores de edad en la nueva normativa de protección de datos”, Quesada Páez, A., Moreno Cordero, G., García Garnica, M.C. e Marchal Escalona, N. (dirs.), Aproximación interdisciplinar a los retos actuales de protección de la infancia dentro y fuera de la familia, Thomson Reuters Aranzadi, Cizur Menor, 2019.
ESCOBAR ROCA, G., Informe 2016. Tema monográfico: la protección de datos de los menores de edad, Editorial Trama, Madrid, 2017.
FERNÁNDEZ SAMANIEGO, J. e FERNÁNDEZ LONGORIA, P., “El interés legítimo como principio para legitimar el tratamiento de datos”, Rallo Lombarte, A. (coord.), Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, Tirant lo Blanch, Valencia, 2019.
GARCÍA HERRERA, V., “El válido consentimiento para el tratamiento de los datos personales de los menores de edad en Internet. Especial referencia al supuesto en que los representantes legales estén divorciados o separados”, La Ley Derecho de Familia: revista jurídica sobre familia y menores, n. 20, 2018.
GARCÍA MÁS, F.J., “El documento público electrónico (1)”, Escolano Navarro, J.J. (coord.), Nuevas tecnologías en la contratación, sociedad nueva empresa e hipoteca electrónica: seminario organizado por el Consejo General del Notariado en la UIMP en julio de 2003, Civitas, Madrid, 2005.
GÓMEZ-JUÁREZ SIDERA, I., “Reflexiones sobre el derecho a la protección de datos de los menores de edad y la necesidad de su regulación específica en la legislación española”, Revista Aranzadi de derecho y nuevas tecnologías, n. 11, 2006.
GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO, L., “Estudio de la Directiva y del Real Decreto-Ley de 17 de septiembre de 1999 sobre firma electrónica”, Mateu de Ros Cerezo, R. e Cendoya Méndez de Vigo, J.M. (coords.), Derecho de Internet: la contratación electrónica y firma digital, Thomson Reuters Aranzadi, Cizur Menor, 2000.
GONZÁLEZ MADRID, C., “Los datos de menores en el ámbito de la educación”, Datospersonales.org: la revista de la Agencia de Protección de Datos de la Comunidad de Madrid, n. 2, 2003.
GUILLÉN CATALÁN, R., “Los retos de la sociedad ante la protección de datos de los menores”, Revista Boliviana de Derecho, n. 20, 2015.
GRUPO DE TRABALLO DO ARTIGO 29, Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679, 17/ES, WP260 rev.01, de 29 de novembro de 2017.
HIDALGO CEREZO, A., “La protección de datos de los menores de edad. Especial referencia a sus excepciones en materia sanitaria y de educación”, La Ley Derecho de Familia: revista jurídica sobre familia y menores, n. 15, 2017.
MARTÍNEZ NADAL, A., Comentarios a la Ley 59/2003 de firma electrónica, Civitas, Madrid, 2004.
PALMA ORTIGOSA, A., “Ámbito de aplicación y definiciones del RGPD”, Murga Fernández, J.P., Fernández Scagliusi, M.Á. e Espejo Lerdo de Tejada, M. (dirs.), Protección de datos, responsabilidad activa técnicas de garantía, Editorial Reus, Madrid, 2018.
PIÑAR REAL, A., “Tratamiento de datos de menores de edad”, Piñar Mañas, J.L. (dir.), Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad, Editorial Reus, Madrid, 2016.
PLAZA PENADÉS, J., “La Ley de servicios de la sociedad de la información y comercio electrónico”, Plaza Penadés, J., Vázquez de Castro, E., Guillén Catalán, R. e Carbajo Cascón, F. (coords.), Derecho y nuevas tecnologías de la información y la comunicación, Thomson Reuters Aranzadi, Cizur Menor, 2013.
RODRÍGUEZ AYUSO, J.F., “Servicios de confianza en materia de transacciones electrónicas: el nuevo Reglamento europeo 910/2014”, Pérez Gallardo, L.B. (coord.), Contratación electrónica y protección de los consumidores: una visión panorámica, Editorial Reus, Madrid, 2017.
RODRÍGUEZ AYUSO, J.F., Ámbito contractual de la firma electrónica, Editorial Bosch, Barcelona, 2018.
RODRÍGUEZ AYUSO, J.F., Figuras y responsabilidades en el tratamiento de datos personales, Editorial Bosch, Barcelona, 2019.
RODRÍGUEZ AYUSO, J.F., Control externo de los obligados por el tratamiento de datos personales, Editorial Bosch, Barcelona, 2020.
TRONCOSO REIGADA, A., “Transparencia administrativa y protección de datos personales”, Troncoso Reigada, A. (coord.), Transparencia administrativa y protección de datos personales: V Encuentro entre Agencias Autonómicas de Protección de Datos Personales: celebrado el día 28 de octubre de 2008 en la Real Casa de Correos de Madrid, Editorial Agencia de Protección de Datos de la Comunidad de Madrid, Madrid, 2008.
VALERO TORRIJOS, J. e MARTÍNEZ GUTIÉRREZ, R., “Las bases jurídicas de la modernización tecnológica en las Administraciones públicas”, Plaza Penadés, J. (coord.), Derecho y nuevas tecnologías de la información y la comunicación, Editorial Aranzadi, Cizur Menor, 2013.
VATTIER FUENZALIDA, C., “De nuevo sobre el régimen legal de la firma electrónica: estudio del Anteproyecto de 26 de junio de 2002”, Actualidad Civil, n. 1, 2003.