Los menores representan una parte sustancial de los usuarios de Internet, lo que crea la necesidad imperiosa de crear un entorno en línea seguro y protegido. La mayoría de los proveedores de contenido en línea restringido para adultos se basan en la autodeclaración de la edad sin una validación adicional, lo que ha demostrado ser ineficaz y fácil de eludir.
El RGPD introduce requisitos de edad mínima para dar su consentimiento al tratamiento de datos personales en el contexto de los servicios de la sociedad de la información (artículo 8 RGPD), y en el artículo 7 y 92 de la LOPDGDDD. Son varios Estados miembros que han incorporado a su propia legislación nacional requisitos de edad mínima para realizar actos jurídicos, ejercer determinados derechos o acceder a determinados bienes y servicios. Concretamente en España se fijó en catorce años la edad a partir de la cual un menor puede consentir acerca del tratamiento de sus datos personales.
En España, la Ley General de Comunicación Audiovisual de 2022 exige, como medidas para la protección de personas menores de edad frente a determinados contenidos audiovisuales, que los prestadores de servicios de intercambio de vídeos a través de plataforma han de establecer y operar sistemas de verificación de edad de las personas usuarias con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de la población menor de edad y que, en todo caso, impidan su acceso a los contenidos más nocivos como la violencia gratuita o la pornografía. La idoneidad de estas medidas deberá ser evaluada por la Comisión Nacional de los Mercados y la Competencia, previo informe preceptivo de la AEPD (artículo 93.3 RGPD). Concretamente el pasado 30 de diciembre la CNMC ha sancionado con cinco multas de 44.829 euros a una entidad por contravenir lo establecido en el artículo 89.1 e) de la LGCA, al no haber implementado un SVE (sistema de verificación seguro), eficaz, que impidiera el acceso a los menores a los contenidos pornográficos ofrecidos a través de sus plataformas. Podéis consultar el contenido de la resolución y su fundamentación aquí.
Por su parte, el Comité Europeo de Protección de Datos (en adelante CEPD) ha adoptado un Dictamen sobre la determinación de la edad (Statement 1/2025 on Age Assurance) para el uso de servicios online que requieren de una edad mínima para poder acceder a ellos. Estas directrices han sido impulsadas por la Agencia Española de Protección de Datos (AEPD) en el marco de sus acciones para la protección efectiva de la infancia y adolescencia en Internet. En particular, se deriva directamente del Decálogo de Principios de Verificación de edad y sistemas de protección de personas menores de edad ante contenidos inadecuados presentado por la AEPD en diciembre de 2023, junto con unas pruebas de concepto prácticas y que fueron objeto de análisis en una entrada anterior a nuestro Blog.
El dictamen desarrolla diez principios que establecen que las herramientas de determinación de la edad no se pueden entender de forma aislada, sino en el marco de la protección de los derechos y libertades de las personas y que pasamos a detallar a continuación:
1.- GARANTIA DE LOS DERECHOS Y LIBERTADES FUNDAMENTALES:
La verificación de edad debe respetar los derechos fundamentales de las personas y considerar el interés superior del menor como prioridad. Los proveedores de servicios deben evaluar el impacto no solo en la protección de datos personales, sino en todos los derechos fundamentales. No existe una jerarquía a la hora de considerar el interés superior del menor, y se deben tener en cuenta todos los derechos del menor, incluidos su derecho a la protección de los datos personales, a la protección contra la violencia y todas las demás formas de explotación y a que se tengan debidamente en cuenta sus opiniones.
2.-EVALUACIÓN BASADA EN EL RIESGO
Se debe adoptar un enfoque basado en el riesgo para demostrar la necesidad y proporcionalidad de la verificación de edad. Esto implica una evaluación para identificar los riesgos que un servicio representa para los menores. En muchos casos, la garantía de edad supone un alto riesgo para los derechos de los interesados, por lo que puede requerir una Evaluación de Impacto en la Protección de Datos (EIPD) según el artículo 35 del RGPD.
3.-PREVENCIÓN DE RIESGOS DE PROTECCIÓN DE DATOS
El aseguramiento de edad no debe generar riesgos innecesarios para la protección de datos, como la identificación, localización, perfilado o rastreo de personas. Los proveedores y terceros deben implementar salvaguardas efectivas para evitar estos riesgos.
4.-LIMITACIÓN DE LA FINALIDAD Y MINIMIZACIÓN DE DATOS
Solo deben procesarse los atributos relacionados con la edad estrictamente necesarios para su propósito. No se debe reutilizar ni combinar estos datos con información adicional de manera incompatible con dichos fines. Se recomienda el uso de tecnologías de mejora de la privacidad (“PET”) para limitar la reutilización de datos.
Un atributo relacionado con la edad es cualquier atributo que indique que una persona física tiene una determinada edad, o dentro de un rango de edad. Por lo tanto, el responsable del tratamiento solo debe recopilar datos personales que sean necesarios, adecuados y pertinentes para los fines a los que se pretende servir. Por ejemplo, es posible que el proveedor de servicios solo necesite saber si el usuario está por encima o por debajo de un umbral de edad.
5.-EFICACIA DEL ASEGURAMIENTO DE LA EDAD
El aseguramiento de la edad debe alcanzar de forma demostrable un nivel de eficacia adecuado a la finalidad para la que se lleva a cabo, evaluando aspectos como:
Accesibilidad: Debe ser accesible para todos los usuarios, considerando alternativas para quienes no posean documentos de identidad o dispositivos móviles adecuados.
Fiabilidad: De acuerdo con el principio de exactitud (artículo 5, letra d) del RGPD), cualquier método cuyo objetivo sea determinar si una persona física cumple un requisito relacionado con la edad debe proporcionar un nivel de precisión adecuado y coherente a la hora de determinar si cumple o no dicho requisito.
Robustez: Debe resistir intentos de fraude o elusión. Cabe señalar que la robustez tiene poco significado en el contexto de la autodeclaración de un atributo relacionado con la edad, ya que la fiabilidad de dicho método depende principalmente de la buena voluntad del usuario.
6.-LICITUD, EQUIDAD Y TRANSPARENCIA
Los proveedores de servicios y cualquier tercero que participe en el aseguramiento de la edad deben garantizar que el tratamiento de cualquier dato personal con fines de aseguramiento de la edad sea lícito, justo y transparente para los usuarios.
Antes de que se procesen datos personales con fines de garantía de edad, los usuarios deben ser informados (de conformidad con los artículos 12, 13 y 14 del RGPD), entre otras cosas, sobre:
- qué datos personales se tratarán y cómo;
- sí habrá terceros involucrados en el proceso y, de ser así, quiénes son y quiénes son los controladores y procesadores en este escenario;
- si sus datos se compartirán con otros o se transferirán a un tercer país;
- cuánto tiempo se conservarán sus datos personales o, si esto no es posible, los criterios para determinar el período de almacenamiento;
- cuáles son sus derechos en relación con sus datos personales (artículos 15 a 22 del RGPD), incluida la forma en que pueden impugnar una decisión incorrecta tomada como resultado de la garantía de edad.
7.-TOMA DE DECISIONES AUTOMATIZADA
Las decisiones automatizadas en el aseguramiento de la edad deben cumplir con el RGPD. Si afectan significativamente a las personas, especialmente a menores, deben establecerse salvaguardas adecuadas, como mecanismos de reparación y la posibilidad de intervención humana con información adaptada a los menores, cuando les corresponda.
8.-PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
Debe evitarse el tratamiento, almacenamiento o intercambio innecesario de datos personales. Los sistemas de verificación de edad deben actualizarse periódicamente para integrar tecnologías que refuercen la privacidad y el procesamiento local seguro.
9.-SEGURIDAD DE LA GARANTÍA DE EDAD
Se deben aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad proporcional al riesgo. La seudonimización, el cifrado y la reducción del período de almacenamiento pueden minimizar los efectos adversos de una posible violación de datos. Se recomienda una política de no registro para evitar la retención innecesaria de información personal. Una vez que se verifica la edad del usuario, no se conserva ningún registro de los datos personales utilizados para el proceso de verificación de la edad.
10.-RESPONSABILIDAD
El aseguramiento de la edad debe operar bajo un marco de gobernanza claro que garantice el cumplimiento normativo. Debe especificarse:
- Quién es responsable del tratamiento de datos.
- Cómo se documentan y auditan los procesos.
- Mecanismos de supervisión para garantizar la transparencia y confianza en el sistema.
En resumen, este dictamen, constituye un instrumento primordial para que los intervinientes en el ecosistema de Internet, y para que las autoridades nacionales y europeas con competencia en el ámbito digital, dispongan de la información necesaria en relación con las estrategias más adecuadas para la demostración de la edad.
Por su parte, España está dando pasos significativos para reforzar la protección de los menores en los entornos digitales, alineándose con los avances europeos en materia de verificación de edad. La combinación de iniciativas como la Cartera Digital Beta y el Anteproyecto de Ley de protección de los menores de edad en los entornos digitales (véase una entrada anterior a nuestro blog), aprobado por el gobierno y que modificará la actual Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual (LGCA) refleja un compromiso claro con la seguridad y la privacidad en el acceso a contenidos para adultos, en particular en cuanto a minimización de datos, limitación de la finalidad y protección de datos desde el diseño, equiparables a los de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024. Queda por ver cómo evolucionarán estos sistemas en la práctica y cuál será su grado de aceptación tanto por parte de los usuarios como de las plataformas digitales. Sin duda, este será un tema clave en la regulación del entorno digital en los próximos años.
