La Agencia Española de Protección de Datos (AEPD) ha decidido ampliar su investigación sobre el tratamiento de datos personales de menores por parte de las plataformas de videojuegos online utilizada mayoritariamente por niños y adolescentes.
El foco: los datos de los menores de edad
Con más de 111 millones de usuarios activos diarios, y un 40 % de ellos menores de 13 años, se han convertido en uno de los entornos digitales más frecuentados por niños a nivel global. Esta masiva presencia infantil convierte a las compañías en un actor especialmente sensible desde la óptica del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
El artículo 8 del RGPD y el artículo 7 de la LOPDGDD son claros: el tratamiento de datos personales de menores de 14 años requiere el consentimiento expreso de los padres o tutores. Además, el responsable del tratamiento debe disponer de mecanismos verificables de autenticación de edad, algo que, no se garantiza de forma robusta.
La AEPD considera que las plataformas globales con alto impacto sobre menores deben cumplir con los estándares europeos de privacidad desde el diseño y por defecto, conforme al artículo 25 del RGPD.
Basan su éxito en permitir a los propios usuarios crear mundos virtuales y juegos dentro de la plataforma, fomentando la creatividad, pero también el aumento los riesgos:
- Posible exposición a contenidos inapropiados o no aptos para menores.
- Interacciones entre adultos y niños sin supervisión efectiva.
- Monetización interna mediante la moneda virtual, que puede implicar un uso económico por parte de menores sin control parental suficiente.
Estos riesgos no solo afectan a la seguridad digital, sino que también pueden suponer un tratamiento ilícito o desproporcionado de datos personales, contraviniendo los principios de minimización y licitud del tratamiento recogidos en los artículos 5 y 6 del RGPD.
La investigación de la AEPD se enmarca en una tendencia europea hacia una mayor exigencia de cumplimiento en servicios digitales dirigidos a menores. Países como Reino Unido (Age Appropriate Design Code) y Francia ya aplican marcos normativos específicos para reforzar la privacidad infantil.
La resolución final del expediente podría sentar un precedente relevante en materia de tratamiento de datos en entornos de videojuegos y metaversos, reforzando la idea de que la protección de la infancia digital no es solo un deber ético, sino una obligación legal.