El acceso de menores a contenido inapropiado es una preocupación frecuente para los padres en un mundo cada vez más conectado. Por ejemplo, la edad del primer acceso a contenidos pornográficos en España ha bajado hasta los ocho años, mientras que, a partir de los catorce, el consumo de este tipo de contenidos es generalizado[i].
En este sentido, la verificación de la edad de los menores para evitar el acceso a este tipo de contenidos es sin duda, una asignatura pendiente[ii].
Tal como señala la Agencia Española de Protección de Datos en sus recomendaciones para la protección del menor en Internet[iii], “no hay constancia de que editores y publicadores de contenido para adultos en España utilicen algún método efectivo para verificar la mayoría de edad de los usuarios, más allá de peticiones al propio usuario para confirmar su mayoría de edad”[iv].
Si bien en la última década, el marco jurídico y normativo de la UE para garantizar una seguridad de los menores en el entorno digital aún más efectiva ha evolucionado de manera considerable, los mecanismos de verificación de la edad y las herramientas de consentimiento parental siguen siendo ineficaces en muchos casos.
El ya derogado Real Decreto 1720/2007 de desarrollo de la LOPD, respecto al tratamiento de datos de menores, establecía en su artículo 13.4 que, “corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales”.
Dicho precepto no establecía un procedimiento determinado, dejando libertad a cualquier entidad para establecer el que considerara adecuado.
El Reglamento General de Protección de Datos (RGPD) ha reforzado este aspecto, señalando que los datos personales de los niños exigen una protección especial, y estableciendo que el consentimiento de los progenitores es necesario hasta una determinada edad (entre los 13 y los 16 años, dependiendo del Estado miembro), y el artículo 8.2, en relación a las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información, establece que “el responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”.
Así, por ejemplo, la Agencia Española de Protección de Datos ha sancionado[v] recientemente al propietario de cinco páginas webs de contenido pornográfico por no acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679: “La entidad decide que las categorías de interesados se limitan a los mayores de edad, por lo que le corresponde implementar las medidas técnicas y organizativas apropiadas para que el tratamiento se efectúe únicamente respecto de interesados mayores de edad. Ello conlleva que también implemente las medidas técnicas y organizativas apropiadas para que los datos de los menores de edad no sean tratados”.
En la misma resolución, se hace referencia a la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en cuyo artículo 89, vigente desde el 9 de julio de 2022, en relación con el servicio de intercambio de vídeos, se establecen las medidas para la protección de los usuarios y de los menores frente a determinados contenidos audiovisuales. Se establece que “1. Los prestadores del servicio de intercambio de vídeos a través de plataforma, para proteger a los menores y al público en general de los contenidos audiovisuales indicados en el artículo anterior, tomarán las siguientes medidas: e) Establecer y operar sistemas de verificación de edad para los usuarios con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más nocivos, como la violencia gratuita o la pornografía”.
Además, encarga a la Comisión Nacional de Mercados y Competencia (CNMC) controlar el cumplimiento por las plataformas de intercambio de vídeos de las obligaciones previstas en la norma. Entre éstas, le corresponde, con ayuda de la Agencia Española de Protección de Datos, analizar y evaluar la idoneidad de los mecanismos implementados para garantizar que los menores no se vean expuestos a contenidos como la pornografía.
El problema actual reside en que muchas de las soluciones de verificación de identidad como las que ofrecen los proveedores de medios sociales y las entidades financieras, plantean cuestiones relacionadas con la privacidad y la protección de datos, ya que el conocimiento de la identidad de un individuo puede vincularse a su actividad en línea, y el Comité Europeo de Protección de Datos, en sus Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, ya indicó que la verificación de la edad no debe conducir a un tratamiento excesivo de datos. “El mecanismo elegido para verificar la edad del interesado debe conllevar una evaluación del riesgo del tratamiento propuesto, y en algunas situaciones de bajo riesgo, puede resultar adecuado solicitar a los nuevos subscriptores de un servicio que indiquen su año de nacimiento o rellenen un formulario en el que declaren que son (o no son) menores, y en caso de duda, el responsable deberá revisar sus mecanismos de verificación de la edad en un caso concreto y considerar si se requieren otras comprobaciones”.
Para cumplir con estos requisitos, por ejemplo, la autoridad francesa de protección de datos (CNIL), emitió unas recomendaciones[vi] donde pide que los sistemas de verificación de edad se estructuren en torno a seis pilares: minimización, proporcionalidad, robustez, sencillez, estandarización e intervención de terceros, y precisó algunos principios fundamentales para conciliar la protección de la privacidad y la protección de los menores, mediante la implementación de sistemas de verificación de edad en línea para sitios pornográficos:
- ninguna recopilación directa de documentos de identidad por parte del editor del sitio pornográfico;
- no puede haber estimaciones de edad basadas en el historial de navegación web del usuario;
- ningún procesamiento de datos biométricos con el fin de identificar o autenticar de manera única a una persona física (por ejemplo, comparando, a través de tecnología de reconocimiento facial, una fotografía en un documento de identidad con un autorretrato o selfi).
La CNIL también recomienda, de manera más general, el uso de un tercero independiente de confianza para evitar la transmisión directa de datos de identificación sobre el usuario al sitio o aplicación que ofrece contenido pornográfico. Con sus recomendaciones, la CNIL persigue el doble objetivo de evitar que los menores vean contenidos inapropiados para su edad, al tiempo que minimiza los datos recopilados sobre los usuarios de Internet por los editores de sitios pornográficos.
Se espera que la Ley de Servicios Digitales, que será directamente aplicable en toda la UE a partir del 2024, mejore significativamente la seguridad de todos los usuarios y parte de la problemática comentada.
Dicha normativa incluye disposiciones destinadas a garantizar que las personas físicas y jurídicas tengan la posibilidad de solicitar y obtener, almacenar, combinar y utilizar de forma segura datos de identificación personal y declaraciones electrónicas de atributos para autenticarse en línea y fuera de línea, así como a permitir el acceso a bienes y a servicios públicos y privados en línea bajo el control del usuario.
La propuesta de un Marco para una Identidad Digital Europea[vii] permitirá a los menores, sobre la base de la legislación nacional, utilizar la cartera de identidad digital, por ejemplo, para demostrar su edad sin revelar otros datos personales.
A la espera de implementación de un marco adecuado, la Agencia Española de Protección de Datos propone soluciones que podrían dar respuesta a esta problemática, como servicios de terceros[viii] que se encargan de verificar la identidad y/o edad del usuario mediante un documento como el pasaporte o carné de conducir, y una vez verificada la mayoría de edad la información personal es cifrada o destruida, de forma que únicamente se conserva y comparte con el servicio de contenido para adultos si el usuario es mayor de edad o no.
También la CNIL ha facilitado un catálogo de alternativas que permitirían mejorar el nivel de protección de los menores y cumplir razonablemente con la normativa, por ejemplo, la verificación de edad a través de la validación de la tarjeta de pago.
Si bien los sistemas de pago no están diseñados para verificar atributos, particularmente la edad del titular de la tarjeta (o su mayoría), pueden ayudar a evitar que los menores accedan a sitios o servicios que no están destinados a ellos, sujeto a ciertas condiciones. Este sistema permitiría, en particular, proteger a los niños más pequeños que no pueden disponer de una tarjeta bancaria para realizar pagos en línea y para quienes la probabilidad de utilizar la tarjeta de un tercero es más baja.
O por ejemplo, la verificación de edad a través de una estimación basada en análisis facial, si bien el uso de tales sistemas, por su aspecto intrusivo (acceso a la cámara del dispositivo del usuario durante un registro inicial con un tercero, o una verificación puntual por parte del mismo tercero, que puede ser fuente de chantaje a través de la webcam cuando se solicita el acceso a un sitio pornográfico), así como por el margen de error inherente a toda evaluación estadística, debería estar condicionada imperativamente al cumplimiento de estándares de funcionamiento, confiabilidad y desempeño, requisitos que deberían verificarse de forma independiente, ya que el uso de este tipo de técnicas en redes sociales como Instagram, ya ha creado alguna polémica[ix].
Como conclusión, hay que indicar que cualquiera que sea la técnica que se utilice para verificar la edad, debe tratarse de un sistema respetuoso para la privacidad, teniendo en cuenta que como se ha demostrado, existen alternativas en el mercado que permiten garantizar la protección de la identidad del individuo y la seguridad del menor.
[i] https://www.rtve.es/noticias/20190610/edad-acceso-pornografia-espana-se-adelanta-ocho-anos-se-generaliza-14/1954225.shtml
[ii] https://www.cde.ual.es/esquivar-la-verificacion-de-la-edad-en-las-redes-sociales/
[iii] https://www.aepd.es/es/media/guias/nota-tecnica-proteccion-del-menor-en-internet.pdf
[iv] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-recomendaciones-orientadas-evitar-el-acceso
[v] https://t.co/0zicDcph29
[vi] https://www.cnil.fr/en/recommendation-7-check-age-child-and-parental-consent-while-respecting-childs-privacy
[vii] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_es
[viii] https://www.ageid.com/
[ix] https://www.xataka.com/aplicaciones/ensename-cara-para-ver-que-eres-tu-ultimo-instagram-pedir-video-selfie-para-verificar-nuestra-identidad
