L’AEPD desenvolupa un sistema efectiu de verificació d’edat per protegir els menors

L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat una proposta definitiva, després d’un procés de desenvolupament iniciat el desembre de 2023, d’una solució o proposta alternativa de verificació d'edat i protecció de les persones menors d'edat, per evitar de manera efectiva que accedeixin a continguts per a adults, tant a Internet com a les xarxes.

L’AEPD ha demostrat que és tècnicament possible protegir els menors de l'accés a continguts inadequats, com també ho és garantir l'anonimat dels adults en la seva navegació per Internet.

El sistema es compon d’un Decàleg de principis que hauria de complir qualsevol app o eina de verificació d'edat, i se sustenta en la realització de diferents proves de concepte (PoC) que han demostrat que la seva implementació és tècnicament viable i funcional en qualsevol dispositiu i sistema operatiu, sigui quina sigui la nacionalitat del proveïdor d’identitat que s’utilitzi.

El propòsit de la protecció és que el menor no accedeixi a continguts inapropiats, i no pas que el proveïdor d’Internet conegui l’edat o la identitat de la persona que vol accedir-hi. Tot i que a primera vista semblaria que ambdues vies són equivalents, la segona suposa una forma intrusiva d’aconseguir el propòsit real del tractament. Per tant, no es tracta que el proveïdor de continguts o terceres persones sàpiga que qui està accedint és un menor (el que implica una exposició o identificació de l’usuari com a menor d’edat, i això en multiplica els riscos) sinó que tingui la garantia que aquesta persona que accedeix als continguts per a adults té la condició per fer-ho.

Els sistemes de verificació d'edat utilitzats actualment (autodeclaració, compartir credencials amb el proveïdor, que sigui aquest qui n’estimi l'edat o que hi hagi una entitat intermediària entre l'usuari i el proveïdor) han demostrat riscos clars: localització de menors a través d'Internet, la falta de verificació sobre l'edat declarada, l’exposició de la identitat a altres usuaris de la xarxa, perfilats massius, recopilació i tractament de dades no necessàries, etc.  Per altra banda, aquestes metodologies emprades fins ara no només eren insegures, sinó que, a més a més, incomplien el principi de minimització de dades establert pel Reglament General de Protecció de Dades (RGPD), que exigeix que les dades que es tractin siguin les estrictament necessàries per a la finalitat perseguida.

El Decàleg de principis de l’AEPD, alineat amb les reclamacions del Comitè Europeu de Protecció de Dades (CEPD), determina les condicions mínimes que s'han de complir per establir un sistema idoni que generi confiança i que protegeixi realment l'interès superior del menor i els drets fonamentals de qualsevol usuari. Han de ser aplicacions, com hem dit, que impedeixin que un menor pugui ser localitzat a través d'Internet, que garanteixin l'anonimat dels usuaris adults, que minimitzin les dades tractades o revelades a tercers, i que vetllin perquè les famílies siguin també partícips dels criteris per protegir els menors.

Amb les PoC desenvolupades per l'Agència, aquesta ha demostrat que es pot implementar un sistema garantista i anònim que només confirma l'atribut de la majoria d'edat de l’usuari i que, a més a més, es processa en el propi dispositiu emprat, sense que calguin serveis paral·lels d'identitat digital per accedir a determinats continguts, separant, d'aquesta forma, la identitat dels ciutadans de la seva verificació d'edat.

Les proves de concepte realitzades no pretenen ser una solució final o única, sinó demostrar la viabilitat d'un sistema de verificació d'edat efectiu, i animar tots els subjectes proveïdors de continguts a la xarxa d'Internet a implementar les seves pròpies solucions d’identificació, que han de ser respectuoses amb els drets fonamentals i, en especial, amb l’interès superior dels menors.

L’AEPD, en base a aquestes PoC, i en compliment de les seves competències, d’ara endavant podria exigir i supervisar a qualsevol proveïdor de continguts a la xarxa el compliment de totes les garanties de protecció de dades i, per tant, dels drets i llibertats de la ciutadania.