Según una encuesta de la ONG “Save The Children”, más de la mitad de los y las menores han accedido por primera vez a la pornografía antes de los 13 años, y un 8,7% antes de los 10 años, siendo la edad media de inicio de su consumo los 12 años. Estos contenidos para adultos están provocando situaciones de acoso escolar, sexting, llegando incluso a generar importantes desordenes en la concepción de las relaciones sexuales. La protección de las personas menores de edad nos afecta a todos como sociedad y es urgente la adopción de medidas de protección al respecto.
Los sistemas de verificación de edad que se emplean actualmente en Internet por editores y publicadores de contenido para adultos en España (autodeclaración, compartir credenciales con el proveedor de contenidos, que sea este el que estime la edad o que exista una entidad intermediaria entre el usuario y el proveedor) han demostrado riesgos claros: localización de menores de edad a través de Internet, falta de certidumbre sobre la edad declarada, exposición de la identidad a múltiples intervinientes en la Red, perfilado masivo, o recopilación y tratamiento de datos no necesarios, entre otros.
En España, la Ley General de Comunicación Audiovisual de 2022 exige, como medidas para la protección de personas menores de edad frente a determinados contenidos audiovisuales, que los prestadores de servicios de intercambio de vídeos a través de plataforma han de establecer y operar sistemas de verificación de edad de las personas usuarias con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de la población menor de edad y que, en todo caso, impidan su acceso a los contenidos más nocivos como la violencia gratuita o la pornografía. La idoneidad de estas medidas deberá ser evaluada por la Comisión Nacional de los Mercados y la Competencia, previo informe preceptivo de la AEPD (artículo 93.3 RGPD).
Por su parte artículo 28 de la DSA (Reglamento UE 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo al mercado único de servicios digitales, por sus siglas en inglés DSA) “Protección de los menores en línea”, establece que la verificación de edad, y la protección del interés superior del menor, no es una base jurídica que legitime el tratamiento adicional de datos de una persona menor:
“3. El cumplimiento de las obligaciones establecidas en el presente artículo no obligará a los prestadores de plataformas en línea a tratar datos personales adicionales a fin de evaluar si el destinatario del servicio es un menor.”
Los sistemas de protección de personas menores de edad ante contenidos inadecuados implican por tanto tratamientos de alto riesgo para los derechos de las personas individualmente, pero también pueden tener un gran impacto para la sociedad en su conjunto. El alto riesgo de estos sistemas implica que las estrategias más adecuadas para gestionarlo son aquellas que preservan el anonimato de la persona usuaria de cara a los proveedores de servicios de Internet y terceras entidades en el marco de la verificación de edad. Además, han de proporcionar herramientas transparentes, auditables, bajo el control de la persona usuaria para acreditar la autorización para el acceso a contenidos inadecuados y que generen confianza. Todo ello sin perjuicio de la obligación de implementar todas las medidas de privacidad necesarias que resulten de la realización de una evaluación de impacto para la protección de datos y superar un análisis de idoneidad, necesidad y proporcionalidad.
Por su parte en la normativa de protección de datos nos encontramos con la siguiente regulación:
El art. 8.2. del RGPD asigna al responsable o titular del servicio online la obligación de hacer los mejores esfuerzos para verificar que el consentimiento prestado por un menor ha sido autorizado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible. Por tanto para el acceso a contenidos online para adultos será necesario acudir a algún método efectivo para verificar la mayoría de edad del que está al otro lado de la pantalla.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su artículo 84.1, “Protección de los menores en Internet”, el papel que también han de tener aquellos que ostentan la patria potestad en proteger a las personas menores de edad con relación al uso de Internet:
- Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.
En el mismo sentido, la Carta de Derechos Digitales adoptada por el Gobierno de España en julio de 2021, incluye dentro del punto X sobre “Protección de las personas menores de edad en el entorno digital” la necesidad de promover la implantación de procedimientos para la verificación de la edad.
Pues bien, tras exponer la normativa de referencia sobre la necesidad de implementar procedimientos para la verificación de edad, el pasado 14 de diciembre de 2023, la Agencia Española de Protección de Datos (en adelante AEPD), presentó una propuesta práctica y efectiva de sistema de verificación de edad y protección de las personas menores de edad en Internet ante el acceso a contenidos para adultos. Con la presentación de este sistema, la Agencia demuestra que es técnicamente posible proteger a los menores del acceso a contenidos inadecuados a la vez que se garantiza el anonimato de los adultos en su navegación por internet.
El sistema presentado por la Agencia se compone de:
- Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad:
- El sistema de protección de personas menores de edad ante contenidos inadecuados debe garantizar que no es posible la identificación, el seguimiento o la localización de menores a través de Internet.
- La verificación de edad debe estar orientada a que las personas con la edad adecuada acrediten su condición de “persona autorizada a acceder”, y no permitir la acreditación de la condición de“menor de edad”.
- La acreditación para el acceso a contenidos inadecuados debe ser anónima para los proveedores de servicios de Internet y terceras entidades.
- La obligación de acreditar la condición de “persona autorizada a acceder” estará limitada únicamente al contenido inadecuado.
- La verificación de edad se debe realizar de forma cierta y la edad categorizada a “persona autorizada a acceder”.
- El sistema debe garantizar que las personas no pueden ser perfiladas en función de su navegación.
- El sistema debe garantizar la no vinculación de la actividad de una persona entre distintos servicios.
- El sistema debe garantizar el ejercicio de la patria potestad por los progenitores.
- Todo sistema de protección de personas menores de edad ante contenidos inadecuados debe garantizar los derechos fundamentales de todas las personas en su acceso a Internet.
- Todo sistema de protección de personas menores de edad ante contenidos inadecuados debe tener definido un marco de gobernanza.
- una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, con sistemas operativos distintos y empleando varios proveedores de identidad.
- Ello se complementa con un gráfico que recoge los riesgos de los sistemas de verificación de edad que utilizan en la actualidad.
- Preguntas prácticas sobre las pruebas de concepto. (PoC).
El objetivo del sistema de verificación de edad (también sirve también para verificar los 14 años como acceso a redes sociales), es proteger al menor del acceso a contenidos para adultos y que estos contenidos, a su vez, puedan ser accesibles para aquellas personas que puedan demostrar su edad sin necesidad de hacer visible su identidad. No se trata de que los proveedores de contenidos o terceros conozcan que la persona que está accediendo es menor (lo que supondría una exposición o señalamiento de un usuario como menor y se multiplicarían los riesgos) sino que tengan la garantía de que la persona que accede a los contenidos para adultos puede hacerlo, demostrando su condición de “persona autorizada a acceder”.
El Decálogo de principios para la verificación de edad y protección de personas menores de edad ante contenidos para adultos en Internet de la Agencia establece las condiciones mínimas que se deben cumplir para establecer sistemas idóneos que generen confianza y protejan el interés superior del menor y los derechos fundamentales de todos los ciudadanos. A su vez, que sean sistemas que impidan que un menor pueda ser localizado a través de Internet, garanticen el anonimato de los usuarios adultos, minimicen los datos tratados o desvelados a terceros y velar por que las familias sean partícipes de los criterios para proteger a los menores. Además, estos sistemas están alineados con los principios y soluciones de las normativas nacionales y europeas que garantizan la identidad como un derecho, y en particular, con la regulación eIDAS2 y la cartera digital europea.
Con el propósito de demostrar que es posible el cumplimiento del Decálogo de principios, y que este tipo de soluciones ya podrían ofrecerse en Internet, la AEPD, en colaboración con el Consejo General de Colegios Profesionales de Ingeniería Informática, ha desarrollado una serie de pruebas de concepto que implementan un sistema de protección que se deriva de dicho Decálogo. Las pruebas de concepto desarrolladas en la AEPD demuestran que es posible llevar estos principios a la práctica en escenarios reales, probando su idoneidad, y la aplicación del principio de necesidad y de minimización de datos de forma efectiva.
Las pruebas de concepto se basan, fundamentalmente, en que es posible una separación clara entre la gestión de la identidad, la verificación de la edad y el filtrado de contenidos, de tal forma que no es necesaria la localización, seguimiento y perfilado de menores en Internet (ni de las personas usuarias en Internet en general), para implementar la protección ante contenidos inadecuados. La confianza que se genere en la ciudadanía con respecto a estos sistemas es fundamental para garantizar la idoneidad de estos. Un sistema que no genere la suficiente confianza en las personas usuarias provocará discriminación, autocensura y, finalmente, rechazo por las mismas.
Si bien, estas pruebas de concepto no pretenden ser una solución final única sino demostrar que es posible la puesta en marcha de un sistema de verificación de edad efectivo y animar a los distintos intervinientes en el ecosistema de Internet a encontrar sus propias soluciones respetuosas con los derechos fundamentales.
Con la presentación de este decálogo de principios, todos aquellos proveedores de contenidos (páginas de pornografía, sitios de juego, redes sociales con contenidos de todo tipo, páginas de compras que venden artículos como tabaco o alcohol, etc.) que estén obligados a verificar la edad de sus usuarios o que decidan hacerlo voluntariamente deben cumplir con los requisitos necesarios para proteger los datos de todos los usuarios, adultos y menores, a la vez que se protege el interés superior de estos últimos.
Son varios ya los procedimientos sancionadores de nuestra autoridad de control, algunos de los cuales hemos tenido ocasión de hablar en otras entradas anteriores en nuestro blog (pincha aquí, aquí y aquí), contra entidades titulares de páginas de pornografía por falta de exactitud en la verificación de la edad y de privacidad desde el diseño. Entidades en las que las limitaciones o cautelas para evitar el acceso de menores a páginas web de contenidos inadecuados eran insuficientes.
Debemos ser conscientes de que la protección de los y las menores ante contenidos inadecuados no puede ser una excusa para vulnerar derechos fundamentales. De igual forma, los derechos fundamentales, en particular los relativos a la protección de datos, no se pueden usar como una excusa para no desarrollar las medidas adecuadas para proteger a las personas menores de edad. La protección de los y las menores tiene que atender al interés superior del menor en todas sus facetas. La urgencia de la necesidad de soluciones para la protección ante contenidos inadecuados no justifica la utilización de tratamientos de datos que incumplan con los principios, derechos y obligaciones del RGPD, incluyan operaciones de alto riesgo para los derechos y libertades de las personas usuarias y, lo que es peor, establezcan limitaciones importantes en la protección del interés superior del menor y a los derechos fundamentales.
Tendremos por tanto que estar atentos al desarrollo de estas nuevas apps de verificación de edad por parte de entes públicos y privados y si los mismo cumplen con todas las garantías de protección de datos. Al menos la Fábrica Nacional de Moneda y Timbre (FNMT), ya se ha comprometido a desarrollar la app de verificación de edad para uso público.
Por su parte, la Comisión Nacional de los Mercados y la Competencia (CNMC) se ha adherido a la propuesta de Pacto de Estado para proteger a los menores en Internet y las redes sociales. Actualmente la CNMC es la autoridad competente para supervisar que los sistemas de verificación de la edad en las plataformas de vídeo y ha abierto una consulta pública hasta el 31 de enero, sobre los criterios para garantizar la idoneidad de estos sistemas en los servicios de intercambio de video a través de plataformas sobre contenidos perjudiciales para el menor.