Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (GDPR) instituie un nivel suplimentar de protecţie raportat la prevederea legală actuală atunci când obiectul prelucrării îl constituie datele cu caracter personal ale copiilor. GDPR abordează problematica consimţământului copiilor plecând de la premisa că aceştia au nevoie de o protecţie specifică „întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal”.
Articolul 8 alin. (1) din Regulament prevede faptul că atunci când consimţământul copilului este necesar pentru oferirea de servicii ale societăţii informaţionale in mod direct, prelucrarea este legală doar dacă copilul a împlinit în mod legal 16 ani. În continuare, textul legal prevede: „Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului”.
GDPR nu defineşte noţiunea de „servicii ale societăţii informaţionale” însă îndrumări în acest sens regăsim într-o lucrare a Grupului de Lucru înființat în baza art. 29 din Directiva 95/46/CE (Grupul de Lucru art.29), aflat în coordonarea Comisiei Europene- “Article 29 Working Party Guidelines on consent under Regulation 2016/679”, adoptat la data de 28 noiembrie 2017 şi revizuit recent, la data de 10 aprilie 2018. Interpretarea oferită de grupul de lucru are la bază jurisprudenţa Curţii de Justiţie a Uniunii Europene, ce a statuat că serviciile societăţii informaţionale se referă la contracte şi alte servicii care sunt încheiate şi transmise on-line. În continuare, ghidul ne arată că în cazul în care un serviciu are două componente independente economic, una on-line- acceptarea ofertei în contextul încheierii unui contract sau activităţile de marketing şi una fizică, de exemplu, livrarea efectivă a serviciului sau produsului, doar prima este inclusă în noţiunea de serviciu al societăţii informaţionale, livrarea fizică a serviciului neintrând în aceeaşi categorie.
O altă problemă ce se impune a fi pusă în discuţie în contextul consimţământului copiilor este cea a oferirii in mod direct a serviciilor societăţii informaţionale unui copil. Practic, dacă serviciile societăţii informaţionale se adresează persoanelor ce au împlinit vârsta de 18 ani atunci serviciul nu va fi considerat ca fiind oferit în mod direct unui copil. Desigur, în aceste situaţii, operatorul trebuie să poată demonstra că persoanele vizate sunt cele ce au împlinit vârsta de 18 ani şi că această condiţie nu este doar o formalitate (asa cum arată WP29, condiţia nu ar trebui să fie compromisă, spre exemplu, de conţinutul unei pagini de internet sau planurile de marketing, ce pot demonstra contrarul).
Oferirea directă a serviciilor societăţii informaţionale în baza consimţământului impune operatorilor de date efectuarea unor verificări în ceea ce priveşte îndeplinirea condiţiei vârstei de 16 ani pentru validitatea consimţământului digital. Pentru verificare trebuie să fie avute în vedere două situaţii privind exprimarea consimţământului digital al copiilor: dacă utilizatorul afirmă că a împlinit vârsta minimă necesară, caz în care operatorul trebuie să efectueze verificări adecvate pentru a se asigura că această declaraţie este adevărată şi dacă utilizatorul afirmă că nu a împlinit vârsta minimă pentru consimţământul digital, situaţie în care operatorul poate accepta acest răspuns, fără alte verificări. În plus, în efectuarea acestor verificări, operatorul trebuie să aibă în vedere să nu ajungă la o prelucrare excesivă a datelor personale, sens în care WP29 recomandă o evaluare a riscurilor pe care le implică prelucrarea datelor pentru verificarea validităţii consimţământului digital oferit de un copil.
Cu privire la exprimarea acordului părintelui sau tutorelui, GDPR nu face referiri la metode practice de obţinere sau de verificare a acestuia. Grupul de lucru arată că verificarea cu privire la persoana care îşi exprimă propriul consimţământ sau cu privire la persoana care exprimă consimţământul în numele copilului trebuie să se raporteze la riscurile specifice prelucrării şi tehnologia utilizată. Astfel, în situaţia în care riscurile prelucrării ar fi scăzute, verificarea răspunderii părinteşti ar putea fi efectuată doar prin intermediul unui e-mail. Însă dacă riscurile prelucrării ar fi ridicate, operatorul de date poate apela la mai multe metode de verificare. De menţionat este faptul că acordul pentru prelucrarea datelor oferit sau autorizat de titularul autorităţii părinteşti expiră odată ce minorul a atins vârsta minimă obligatorie pentru exprimarea consimţământului, ceea ce înseamnă că operatorul trebuie să obţină consimţământul de la persoana vizată ale cărei date personale fac obiectul prelucrării după ce aceasta a împlinit 16 ani.
Cu siguranţă, verificarea consimţământului digital al copiilor reprezintă, pentru operatorii de date, o adevărată provocare în contextul GDPR. Aceştia vor fi nevoiţi să identifice în ce măsură este necesar să implementeze sisteme sau proceduri pentru verificarea vârstei persoanelor a căror date sunt prelucrate nu doar la momentul colectării ci şi periodic, pentru a reaminti utilizatorilor că acordul exprimat sau autorizat de titularul răspunderii părinteşti expiră odată cu împlinirea vârstei de 16 ani iar din acel moment, consimţământul trebuie reafirmat de către persoana vizată ale cărei date cu caracter personal se prelucrează.
