El pasado 4 de septiembre la Federal Trade Commission (FTC) anunció la multa impuesta a Google por recolectar a través de Youtube datos personales de menores sin el debido consentimiento de sus padres.
La multa monetaria asciende a 170 millones de dólares, además de ello, Google y Youtube se han comprometido como parte del acuerdo alcanzado a desarrollar, implementar y mantener un sistema que permita identificar los contenidos dirigidos a niños para garantizar el cumplimiento de la norma Children’s Online Privacy Protection Act (COPPA).
Esta norma hace que los sitios web y los servicios en línea dirigidos a menores deban informar del uso y tratamiento de la información personal de los mismos, así como obtener el consentimiento paterno antes de proceder al tratamiento de datos de los menores. En el ordenamiento español estas mismas obligaciones de los prestadores de servicios online se establecen en el artículo 8 del RGPD y en el artículo 7 de la LOPDGDD.
En el caso de Youtube, a pesar de contar con la plataforma Youtube Kids, exclusivamente dirigida a niños, se ha incumplido la normativa de menores al realizar tracking de los usuarios y monetizar los vídeos mostrando publicidad personalizada en esta plataforma. Youtube también ha permitido que los menores publiquen comentarios sin contar con el consentimiento de sus padres.
Parte de la doctrina y expertos internacionales han criticado la sanción por quedarse corta. Sólo para hacernos una idea: Alphabet obtuvo unos beneficios de 30.7 billones de dólares el año pasado, la gran mayoría de los cuales provienen de anuncios comportamentales y targeted ads. En esta misma dirección, Pere Simón ha afirmado recientemente en un foro sobre Seguridad y Privacidad celebrado en Toronto:
“Big Tech’s invasion of children’s lives is appalling. When companies like Google and YouTube repeatedly break the law and track kids online, the FTC must demand structural change and executive accountability—not just fines”.
Pere Simón- DPO
Es decir, las multas no son suficientes ya que una sanción pecuniaria no implica un cambio real, estructural, de la prestación de unos servicios cuyo modelo de negocio está basado en una falta de respeto brutal sobre la privacidad, también de los menores de edad. La inclusión de medidas de derecho fuerte dirigidas a incrementar la responsabilidad de los ejecutivos de esas grandes compañías o establecer cambios estructurales en el modelo de negocio podría ser una solución verdadera en orden de garantizar una nivel de respeto y tutela adecuado a la exigencias del RGPD.
Con todo, siguen siendo muchos los interrogantes alrededor de cómo garantizar en internet que el consentimiento se obtiene de los padres y no del menor.
