Ilier Navarro. Los sistemas de verificación de edad pueden ser una herramienta eficaz para proteger a la infancia en el acceso a contenidos online para adultos. Hay muchos aspectos a tener en cuenta para que cumplan con su función y no se utilicen como excusa para vulnerar los derechos de los propios menores o de otros usuarios, por ejemplo, utilizando datos para crear perfiles. En principio, los niños y adolescentes no deberían “probar” o exponer que son menores para que se bloque el acceso a los contenidos para adultos. Se trata de un reto legal y técnico que requiere de una adaptación adecuada de los servicios de Internet.
Así lo destaca la Agencia Española de Protección de Datos (AEPD) en una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”. En ella se da cuenta de una serie de casos de uso para proteger a los menores ante los riesgos del acceso a contenidos que no están pensados para ellos, como el contacto con otros usuarios que puedan ponerlos en peligro, la contratación de productos y servicios, la monetización de sus datos personales o la inducción a comportamientos adictivos, entre otros.
¿En qué consisten las herramientas de verificación de edad? Son soluciones tecnológicas que permiten determinar si un usuario supera la edad mínima requerida para pasar un control de edad online, por ejemplo, si es mayor de 18 años para jugar a un videojuego cuyo contenido es para adultos porque ha sido catalogada como violento o bien para entrar en una aplicación de mensajería en la que pueda recibir comunicaciones de otros usuarios sin ningún tipo de límite. Esta clase de sistemas facilita el acceso al usuario a contenidos, contactos, contratos o funcionalidades a los que se han aplicado restricciones en base a la edad.
La necesidad de que los servicios de Internet se adapten a los sistemas de verificación de edad exige que estos ofrezcan garantías con el fin de que, por el camino, no se generen nuevos riesgos ni se permita localizar a los menores. Pero tampoco deben suponer la pérdida de libertades para los usuarios de Internet. ¿Cómo se puede lograr que todas las piezas del puzle encajen? Mediante el cumplimiento de los principios de minimización del tratamiento de datos personales desde el diseño y por defecto, subraya la AEPD.
Medidas y riesgos
Las estrategias que en los últimos tiempos se han ido desplegando en la red se basan en una actuación reactiva, es decir, cuando ya se ha detectado la existencia del daño o del impacto. Hasta ahora, se veía con buenos ojos la posibilidad de que los proveedores de servicios de Internet desplegaran mecanismos para saber qué usuarios son menores de edad. También tenía una buena acogida la creación de espacios o cuentas específicas para menores: parecen herramientas de utilidad en términos de prevención.
Pero hay que ver la otra cara de la moneda. Y es que este tipo de sistemas pueden derivar en una intervención más intrusiva, con un mayor nivel de vigilancia e, incluso, de perfilado. Esto podría vulnerar el derecho a la privacidad de todos los usuarios al legitimar un posible tratamiento de datos personales adicionales. Además, podría habilitarles para ejecutar patrones engañosos o adictivos, perjudiciales para los niños y adolescentes, e incluso localizar a los menores, que podrían ser accesibles para agentes maliciosos o personas malintencionadas.
Enfoque de habilitación
Frente a estos escenarios de riesgo, parece claro que la protección de la infancia es prioritaria, aunque sin dejar en un segundo plano los derechos y libertades de toda la ciudadanía. La AEPD considera que este objetivo se puede alcanzar si se combinan métodos, herramientas y procesos diferentes, en los que la verificación de edad desempeña un papel protagónico.
En este sentido, hay varios aspectos que se deben tener en cuenta. Uno de ellos es el principio de exactitud de los datos de acuerdo con los fines para los que se recaban y se tratan, tal como establece el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016). Si el sistema de verificación de edad tiene el potencial de limitar derechos fundamentales, debe ser exacto.
¿Supone esto que los proveedores de servicios digitales deban tratar el dato sobre la fecha de nacimiento? No: si no es necesario, iría en contra del principio de minimización. En la mayoría de supuestos será suficiente con saber si el usuario supera un umbral de edad mediante arquitecturas tokenizadas de proveedores terceros de confianza que pueden arrojar respuestas del tipo “supera el umbral de edad requerido”, “SÍ” u “OK”.
Por lo tanto, lo ideal es aplicar el enfoque de habilitación: que se demuestre que se supera el umbral de edad, lo que le habilitaría a realizar la operación que se está solicitando. Con ello se cumple con los requisitos de limitar el riesgo para los menores de edad y con los principios de minimización y proporcionalidad, evitando el tratamiento de datos personales adicionales de niños y adolescentes.
Protección desde el diseño
De acuerdo con la nota técnica, los productos digitales deberían integrar un enfoque de protección de los menores de edad desde las primeras fases de diseño, incluyendo medidas para impedir que corran riesgos sin esperar a que estén expuestos para reaccionar.
Dado el elevado riesgo para los derechos y libertades de los individuos, será indispensable que el responsable del tratamiento de datos asociados al sistema de verificación de edad realice previamente una evaluación del impacto. Lo habitual es que un proveedor tercero de confianza especializado en la verificación de edad sea quien realice las comprobaciones con el usuario, de manera que al proveedor solo le llegue un token o una credencial, sin información adicional.
Por otra parte, también hay que controlar los riesgos sistémicos, es decir, que puedan afectar a las personas a gran escala. Son los que se producirían si, por ejemplo, el proveedor de servicios de verificación de edad tiene una posición dominante en el mercado, o si cuenta con la capacidad de perfilar a un número significativo de usuarios o si una brecha de seguridad puede afectar a datos sensibles de un gran volumen de personas.
Y es que, bajo la justificación de ofrecer medidas para proteger a los menores, se podría vulnerar el derecho a la protección de datos con prácticas como la recogida de una ingente cantidad de datos para desarrollar un perfilado masivo, la categorización de contenidos y de usuarios, las evaluaciones o decisiones automatizadas, etc. El diseño seguro de servicios online para la infancia no puede, en ningún caso, utilizarse como una coartada para estos tratamientos contrarios a los principios de lealtad, transparencia o minimización.
Por otra parte, no realizar ningún tipo de verificación de edad o hacerlo de manera inadecuada también puede implicar riesgos sistémicos. Es lo que ocurriría en caso de manipulación de plataformas en línea de gran tamaño y de motores de búsqueda, en particular cuando permiten identificar y detectar a niños y adolescentes en Internet.
La selección, diseño e implementación del modelo adecuado para la verificación de edad no se debería realizar a ciegas ni con modelos estandarizados. Un punto de partida adecuado sería la realización de una evaluación de impacto para los derechos de la infancia, también de los riesgos. Todas estas medidas, junto con el enfoque habilitador, permiten gestionar los posibles impactos de manera proactiva y devolver a familiares y tutores la capacidad de ejercer su deber de cuidado. Pero será inútil si el ecosistema digital no adopta medidas para proteger por defecto a los niños y adolescentes.