La AEPD desarrolla un sistema efectivo de verificación de edad para proteger los menores

La Agencia Española de Protección de Datos (AEPD) ha presentado una propuesta definitiva, después de un proceso de desarrollo iniciado en diciembre de 2023, de una solución o propuesta alternativa de verificación de edad y protección de las personas menores de edad, para evitar de manera efectiva que accedan a contenidos para adultos, tanto en Internet como en las redes.

La AEPD ha demostrado que es técnicamente posible proteger los menores del acceso a contenidos inadecuados, como también lo es garantizar el anonimato de los adultos en su navegación por Internet.

El sistema se compone de un Decálogo de principios que tendría que cumplir cualquier app o herramienta de verificación de edad, y se sustenta en la realización de diferentes pruebas de concepto (PoC) que han demostrado que su implementación es técnicamente viable y funcional en cualquier dispositivo y sistema operativo, sea cual sea la nacionalidad del proveedor de identidad que se utilice.

El propósito de la protección es que el menor no acceda a contenidos inapropiados, y no que el proveedor de Internet conozca la edad o la identidad de la persona que quiere acceder. A pesar de que a primera vista parecería que ambas vías son equivalentes, la segunda supone una forma intrusiva de conseguir el propósito real del tratamiento. Por lo tanto, no se trata de que el proveedor de contenidos o terceras personas sepa que quién está accediendo es un menor (lo que implica una exposición o identificación del usuario como menor de edad, y esto  multiplica los riesgos) sino que tenga la garantía de que esta persona que accede a los contenidos para adultos tiene la condición para hacerlo.

Los sistemas de verificación de edad utilizados actualmente (autodeclaración, compartir credenciales con el proveedor, que sea este quien estime la edad o que haya una entidad intermediaria entre el usuario y el proveedor) han demostrado riesgos claros: localización de menores a través de Internet, la falta de verificación sobre la edad declarada, la exposición de la identidad a otros usuarios de la red, perfilados masivos, recopilación y tratamiento de datos no necesarios, etc.  Por otro lado, estas metodologías empleadas hasta ahora no solo eran inseguras, sino que, además, incumplían el principio de minimización de datos establecido por el Reglamento General de Protección de Datos (RGPD), que exige que los datos que se traten sean los estrictamente necesarios para la finalidad perseguida.

El Decálogo de principios de la AEPD, alineado con las reclamaciones del Comité Europeo de Protección de Datos (CEPD), determina las condiciones mínimas que se tienen que cumplir para establecer un sistema idóneo que genere confianza y que proteja realmente el interés superior del menor y los derechos fundamentales de cualquier usuario. Tienen que ser aplicaciones, como hemos dicho, que impidan que un menor pueda ser localizado a través de Internet, que garanticen el anonimato de los usuarios adultos, que minimicen los datos tratados o reveladas a terceros, y que velen porque las familias sean también partícipes de los criterios para proteger a los menores.

Con las PoC desarrolladas por la Agencia, esta ha demostrado que se puede implementar un sistema garantista y anónimo que solo confirma el atributo de la mayoría de edad del usuario y que, además, se procesa en el propio dispositivo empleado, sin que hagan falta servicios paralelos de identidad digital para acceder a determinados contenidos, separando, de esta forma, la identidad de los ciudadanos de su verificación de edad.

Las pruebas de concepto realizadas no pretenden ser una solución final o única, sino demostrar la viabilidad de un sistema de verificación de edad efectivo, y animar a todos los sujetos proveedores de contenidos en la red de Internet a implementar sus propias soluciones de identificación, que tienen que ser respetuosas con los derechos fundamentales y, en especial, con el interés superior de los menores.

La AEPD, en base a estas PoC, y en cumplimiento de sus competencias, de ahora en adelante podría exigir y supervisar a cualquier proveedor de contenidos en la red el cumplimiento de todas las garantías de protección de datos y, por lo tanto, de los derechos y libertades de la ciudadanía.