Verificación de edad para menores

Este dictamen facilita el desarrollo de un enfoque más consistente en la UE para la protección del menor en relación con el acceso a servicios online en tratamientos en los que haya que garantizar la edad de acceso, basado en la aplicación de los principios de protección de datos por diseño y por defecto. Se trata de un instrumento primordial para que los intervinientes en el ecosistema de Internet, y para que las autoridades nacionales y europeas con competencia en el ámbito digital, dispongan de la información necesaria en relación con las estrategias más adecuadas para la demostración de la edad. Además, será una influencia positiva para promover soluciones realmente efectivas para la protección integral del menor, como la de un Internet Seguro por Defecto y a salvo de la exposición a patrones adictivos. El objetivo perseguido por el sistema de verificación de edad presentado por la AEPD –que sirve también para verificar los accesos a redes sociales– es proteger al menor del acceso a contenidos inadecuados categorizados para adultos. Este sistema ha sido examinado a través de una serie de pruebas de concepto para demostrar que la protección del menor puede materializarse de forma práctica y concreta. La verificación de edad debe respetar los derechos fundamentales de las personas y considerar el interés superior del menor como prioridad.

Esto marcó el inicio de un proceso de trabajo liderado por la AEPD junto con autoridades de protección de datos de Irlanda, Francia, Alemania y España, lo que llevó a su aprobación unánime. De hecho, cada día muchos menores de edad acceden a contenido inapropiado online como, por ejemplo, contenido pornográfico o redes sociales que entrañan riesgos como el ciberacoso entre iguales (ciberbullying) o el acoso sexual por parte de adultos (groaming). La Asamblea Global de Privacidad es un foro anual global donde autoridades supervisoras independientes en materia de privacidad, protección de datos y libertad de información adoptan resoluciones de alto nivel y recomendaciones dirigidas a los gobiernos y organizaciones internacionales. De igual manera, su visión es mantener un entorno en el que las autoridades de privacidad y protección de datos de todo el mundo puedan actuar eficazmente para cumplir sus mandatos, tanto individualmente como de forma concertada, mediante la difusión de conocimientos y conexiones de apoyo.

Los sistemas de protección de personas menores de edad ante contenidos inadecuados implican por tanto tratamientos de alto riesgo para los derechos de las personas individualmente, pero también pueden tener un gran impacto para la sociedad en su conjunto. El alto riesgo de estos sistemas implica que las estrategias más adecuadas para gestionarlo son aquellas que preservan el anonimato de la persona usuaria de cara a los proveedores de servicios de Internet y terceras entidades en el marco de la verificación de edad. Además, han de proporcionar herramientas transparentes, auditables, bajo el control de la persona usuaria para acreditar la autorización para el acceso a contenidos inadecuados y que generen confianza. Todo ello sin perjuicio de la obligación de implementar todas las medidas de privacidad necesarias que resulten de la realización de una evaluación de impacto para la protección de datos y superar un análisis de idoneidad, necesidad y proporcionalidad.

• La utilización de certificados de uso general, o de sistemas biométricos directamente en los servidores del proveedor de contenidos o de terceras entidades, sí lo permitiría, desvelando información sobre la persona usuaria y permitiendo su perfilado.
• Hoy en día uno de los sistemas de verificación de edad más común es la autodeclaración, que esencialmente consiste en invitar al usuario o usuaria a proporcionar la edad con una declaración de veracidad.
• Para ello, esa adaptación ha de cumplir los principios de minimización del tratamiento de datos personales desde el diseño y por defecto.
• La medida de verificación de edad no puede suponer un riesgo innecesario en protección de datos de las personas interesadas, incluyendo las actividades adicionales como la identificación, localización, elaboración de perfiles o rastreo de personas.

Con los criterios desarrollados en el catálogo y tras el pertinente informe de la AEPD, la encargada de evaluar la idoneidad de los sistemas será la Comisión Nacional de los Mercados y la Competencia. Finalmente será la Fábrica Nacional de Moneda y Timbre (FNMT) quien ya se encuentra desarrollando una aplicación gratis y que estará a disposición pública que cumplirá con la función de acceder a un documento oficial para conocer la edad. Las pruebas de concepto realizadas son una demostración de que existen formas de cumplir los principios y de que, por tanto, la AEPD puede exigir su cumplimiento. Un mecanismo alternativo que siga lo señalado en las pruebas de concepto y respete los principios será tan válida como cualquier otra aproximación. Las aplicaciones para realizar estas pruebas de concepto por parte de la Agencia han sido desarrolladas por la AEPD en colaboración con un equipo del Consejo General de Colegios Profesionales de Ingeniería Informática. Partiendo de este Decálogo, la Agencia ha realizado una serie de pruebas para demostrar que la protección del menor se puede materializar de forma práctica y concreta.

¿Es igual pero no es lo mismo? Usuario informado y diseños UE

Estos principios abordan aspectos clave como la prevención de riesgos, la limitación y la minimización de datos, destacando que los sistemas de verificación de edad no deben utilizarse para identificar, rastrear o generar perfiles de los usuarios. Además subrayan la necesidad de emplear herramientas efectivas que respeten el derecho de acceso a Internet, prioricen la transparencia y la legalidad, y eviten decisiones automatizadas sin las garantías establecidas en el RGPD. El elemento más innovador de esta iniciativa es la publicación de un blueprint o proyecto base de código abierto para el desarrollo de aplicaciones de verificación de edad, diseñado para establecer un estándar de oro en la verificación online. Este proyecto técnico permitirá a los países y desarrolladores crear herramientas que permitan a los usuarios demostrar fácilmente que son mayores de 18 años al acceder a contenido restringido para adultos, como pornografía online, manteniendo al mismo tiempo el control total sobre su información personal. Cada principio resalta la importancia de proteger la privacidad, seguridad y derechos fundamentales de los menores en línea, así como la necesidad de una supervisión efectiva y transparente de los sistemas de verificación de edad. Claro ejemplo se muestra en el RGPD, con la introducción de requisitos de edad mínima para consentir el tratamiento de datos personales en el contexto de los servicios de la sociedad de la información (artículo 8).

El documento establece diez principios esenciales que integran las herramientas de verificación de edad dentro del marco de la protección de derechos y libertades. Su propósito es reforzar la seguridad de los menores en Internet sin afectar otros derechos fundamentales de la ciudadanía. Con el propósito de demostrar que es posible el cumplimiento del Decálogo de principios, y que este tipo de soluciones ya podrían ofrecerse en Internet, la AEPD, en colaboración con el Consejo General de Colegios Profesionales de Ingeniería Informática, ha desarrollado una serie de pruebas de concepto que implementan un sistema de protección que se deriva de dicho Decálogo. Las pruebas de concepto desarrolladas en la AEPD demuestran que es posible llevar estos principios a la práctica en escenarios reales, probando su idoneidad, y la aplicación del principio de necesidad y de minimización de datos de forma efectiva. Si bien en los últimos años el marco jurídico y normativo aplicable en la Unión Europea para garantizar una mayor seguridad de los menores de edad en el entorno digital ha evolucionado considerablemente, a efectos prácticos los mecanismos de verificación de la edad y las herramientas de consentimiento parental siguen siendo ineficaces en muchos casos.

Datos de contacto

Las pruebas de concepto no pretenden ser una solución final única sino demostrar que es posible la puesta en marcha de un sistema de verificación de edad efectivo y animar a los distintos intervinientes en el ecosistema de Internet a encontrar sus propias soluciones respetuosas con los derechos fundamentales. El usuario debe instalar en este teléfono la app de verificación de edad y necesita disponer en su teléfono de una app de tipo cartera digital (eWallet), por ejemplo, la cartera que próximamente proporcionará la Secretaría General de Administración Digital (SGAD), compatible con la regulación europea eIDAS2. De esta forma, la app de verificación recurre a los datos o atributos de identidad almacenados en esta cartera, que pueden ser emitidos por diferentes organismos e incorporar diferente información, para comprobar que el usuario tiene la edad adecuada para acceder a los contenidos. En la primera prueba de concepto se ha abordado el acceso a contenidos desde un dispositivo como un ordenador o consola de videojuegos. El usuario debe tener instalada en el dispositivo una aplicación de verificación de edad, de manera que cuando se reciba o acceda a un contenido para adultos lo filtre por defecto y recurra a esta aplicación para saber si el usuario está “autorizado a acceder” al mismo y mostrárselo. El usuario necesita además un código QR, proporcionado, por ejemplo, por los desarrollos de la FNMT para el Ministerio de Interior en su teléfono móvil que le permita demostrar a la aplicación de verificación que supera la edad necesaria para acceder a los contenidos para adultos.

Estas pruebas se han desarrollado sobre distintos tipos de sistemas y empleando varios proveedores de identidad accesibles a la ciudadanía, demostrando la viabilidad de su aplicación y diversas formas prácticas de llevarlo a escenarios reales. El objetivo de este desarrollo de la Agencia es demostrar que se puede construir un sistema garantista y anónimo que sólo confirma el atributo de mayoría de edad, que además se procesa en el propio dispositivo. Además, demuestra que no es necesario establecer servicios paralelos de identidad digital específicos para el acceso a contenidos de adultos y, de esta forma, separar la identidad de los ciudadanos de la verificación de edad. Verificar la edad de los usuarios para evitar que los menores de edad puedan acceder a contenidos para adultos siempre se ha planteado como difícil, por chocar con la protección de datos y por el poco interés que plataformas y responsables de páginas web han tenido en ello. Sin embargo, con leyes ya en vigor y otras en camino para la protección de la infancia en internet, los sistemas de verificación de edad están más cerca de ser una realidad, tal y como ha querido demostrar la AEPD, al presentar una propuesta práctica y efectiva de un sistema de verificación de edad. Debemos ser conscientes de que la protección de los y las menores ante contenidos inadecuados no puede ser una excusa para vulnerar derechos fundamentales.

La seudonimización, el cifrado y la reducción del período de almacenamiento pueden minimizar los efectos adversos de una posible violación de datos. Una vez que se verifica la edad del usuario, no se conserva ningún registro de los datos personales utilizados para el proceso de verificación de la edad. Se debe adoptar un enfoque basado en el riesgo para demostrar la necesidad https://casinosinternacionalesonline.co.com/ y proporcionalidad de la verificación de edad. En muchos casos, la garantía de edad supone un alto riesgo para los derechos de los interesados, por lo que puede requerir una Evaluación de Impacto en la Protección de Datos (EIPD) según el artículo 35 del RGPD.

Los proveedores de servicios deben evaluar el impacto no solo en la protección de datos personales, sino en todos los derechos fundamentales. No existe una jerarquía a la hora de considerar el interés superior del menor, y se deben tener en cuenta todos los derechos del menor,  incluidos su derecho a la protección de los datos personales, a la protección contra la violencia y todas las demás formas de explotación y a que se tengan debidamente en cuenta sus opiniones. Los principios desarrollan requisitos sobre la prevención de riesgos, de limitación y de minimización, que insisten, en particular, en que la verificación de edad no debe proporcionar recursos para que los servicios de internet identifiquen, localicen, perfilen o sigan la actividad digital de las personas. Enfatizan la necesidad del uso de herramientas efectivas con una visión amplia, por ejemplo, que no supongan limitar el derecho a acceder a Internet, la obligación de licitud, lealtad y transparencia, que no suponga un sometimiento de las personas a decisiones automatizadas sin las garantías del RGPD y la aplicación del principio de protección de datos desde el diseño y por defecto. El trabajo realizado en la elaboración de este Dictamen se fundamenta en el marco de las iniciativas de la AEPD para la protección de menor en el entorno digital.

A medida que la tecnología continúa evolucionando, también lo harán los métodos de protección a los menores y verificación de edad. La inteligencia artificial y el aprendizaje automático están comenzando a desempeñar un papel importante en la identificación de comportamientos sospechosos y en la mejora de los sistemas de seguridad. Estas tecnologías pueden ayudar a crear entornos más seguros para los menores, adaptándose a sus necesidades y comportamientos en tiempo real.

A finales de verano de 2024 estará disponible una aplicación del Gobierno para la verificación de la edad, desarrollada en colaboración con la FNMT y la AEPD, bajo el nombre de Cartera Digital Beta (aunque en el futuro tendrá más funciones, la primera de ellas será verificar la edad en base a credenciales ante los proveedores de contenidos para adultos). El sistema, que estaría instalado en el dispositivo del usuario, filtraría el acceso comprobando si la persona está o no autorizada para hacerlo, en ningún caso se comparte la edad del usuario o ningún otro dato, ni se indica si el usuario es menor de edad. Por lo anterior, la CNMC ha iniciado un proceso participativo para recabar la opinión y sugerencias de los agentes del sector audiovisual sobre cuáles pueden ser los criterios y recomendaciones que permitan alcanzar la mayor efectividad en la implantación de un sistema de verificación de edad en el ámbito de la prestación de los servicios de intercambio de vídeos a través de plataformas. Estudios recientes muestran un alto porcentaje de menores que utilizan Internet y consumen contenidos inapropiados, lo que afecta negativamente su desarrollo.

Esto resalta el principio de minimización de datos del RGPD y subraya la importancia de equilibrar la protección de datos con la protección de menores. El proceso de verificación de edad debe respetar los derechos fundamentales y libertades de las personas físicas, así como priorizar, ante todo, el interés superior del menor. Este principio debe englobar el derecho a la protección de datos, la protección contra la violencia, el acceso a la información de diversas fuentes y considerar sus opiniones. Usar alternativas efectivas y que cumplan con la ley de protección de datos, es esencial para poder crear entornos digitales más seguros para los menores. Estos sistemas de verificación de la edad alternativos deben permitir validar la edad del usuario sin exponer su edad real u otros datos personales, ni rastrearle, así como mantener la debida confidencialidad. Además, se debe establecer un marco de gobernanza efectivo que supervise y garantice la eficacia de los sistemas de verificación de edad.