Si algo debe caracterizar a los nuevos desarrollostecnológicos es que tanto su diseño como su implementación busquen ofrecer soluciones a determinados problemas que tienen que afrontar las personas, pero sin crear nuevos riesgos o amenazas. Y, por supuesto, sin recortar los derechos y libertades de todos los usuarios. Cuando se habla de los sistemas de verificación de edad para menores, que establecen controles para evitar que accedan a contenidos no adecuados, no debe crear nuevos riesgos para los sujetos individuales ni tampoco riesgos sistémicos para la sociedad en su conjunto. Sin embargo, la realidad demuestra que, efectivamente, la introducción de estas herramientas puede generar situaciones de riesgo sistémico si no se diseñan o implementan de manera adecuada. ¿Quiere decir esto que puede resultar más conveniente no utilizar estos sistemas? La respuesta es no. Y es que no realizar verificación de edad alguna o hacerlo de manera que no sea idónea, a la vez, también puede derivar en sistémicos.
Tal como señala el informe de la Asociación Española de Protección en una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”, los sistemas de verificación de edad son aquellas soluciones tecnológicas que permiten determinar si un usuario supera la edad mínima requerida para pasar un control de edad online. Por ejemplo, determinar si supera los 18 años de edad para jugar a un videojuego cuyo contenido es para adultos porque ha sido catalogado como violento o bien para entrar en una aplicación de mensajería en la que pueda recibir comunicaciones de otros usuarios sin ningún tipo de límite.
Esta clase de sistemas facilita el acceso al usuario a contenidos, contactos, contratos o funcionalidades a los que se han aplicado restricciones en base a la edad.
Como se puede comprobar, su uso puede resultar de gran utilidad para proteger los derechos de los menores de edad. Pero la nota de la AEPD subraya la necesidad de que se evite que estas soluciones puedan tener un impacto significativo en la sociedad, la economía o la seguridad como consecuencia de su capacidad para afectar a un gran número de usuarios. Es decir, que genere riesgos sistémicos.
¿Cuándo pueden surgir estos riesgos? Por ejemplo, si el proveedor de esta herramientas tiene el monopolio en el mercado, si tiene la posibilidad de realizar el perfilado de un número considerable de usuarios o si se produce una brecha de seguridad que afecte a datos sensibles de un volumen amplio de usuarios.
En definitiva, no solo se deben reducir los riesgos para el menor y para los derechos y libertades de todos los ciudadanos, sino también aquellos riesgos sistémicos causados por la manera como se ha diseñado o implementado el mecanismo de verificación de edad.
¿Cuándo hablamos de un riesgo sistémico? Cuando puede provocar daños a las personas a gran escala o a sistemas esenciales para la gobernanza y buen funcionamiento de la sociedad.
Según el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 (LA LEY 22694/2022) relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (LA LEY 7081/2000) (Reglamento de Servicios Digitales) existen cuatro categorías de riesgos sistémicos. Y de ellas, hay dos que están vinculadas de forma muy directa con los tratamientos de datos personales que realizan los sistemas verificación de edad.
Tratamientos masivos de datos personales
La primera de esas dos hace referencia a los efectos reales o previsibles del servicio para el ejercicio de los derechos fundamentales, tal como los protege la Carta. Si las soluciones de verificación de edad no se diseñan e implementan de manera adecuada, muchos de estos derechos pueden verse vulnerados, incluidos la libertad de expresión y de información, el derecho a la vida privada, el derecho a la protección de datos o el derecho a la no discriminación.
Respecto del derecho a la protección de datos, la protección del menor se emplea en ocasiones como una justificación para la recogida masiva de datos de los niños y adolescentes y del resto de los usuarios en Internet: desde el perfilado masivo, a la categorización de contenidos y de usuarios, hasta evaluaciones o decisiones automatizadas, entre otras.
Las soluciones de verificación de edad en algunos casos se plantean como soluciones para la gestión de la identidad digital de los usuarios de Internet. Dicha identidad, proporcionada y gestionada como un servicio en lugar de como un derecho, no está bajo el control de los propios usuarios, sino que depende de los criterios e intereses de un proveedor que puede, por su propia cuenta, eliminar dicha identidad o limitar la capacidad de obrar de las personas.
La conclusión parece clara: la creación de un Internet seguro por defecto para la infancia no puede, en ningún caso, ser la coartada para la realización de tratamientos masivos de datos personales que no cumplen con los principios de lealtad, transparencia o minimización de datos y vulnerarían diferentes derechos y libertades.
¿Por qué se considera que este riesgo sería sistémico? Por su potencial escala y alcance. Además, si una solución de verificación de edad llega a acaparar gran parte del mercado, podría conducir a una falta de disponibilidad puntual del acceso a contenidos, servicios, contratos, etc. y afectar a diferentes derechos y libertades, pero también a la resiliencia de la infraestructura digital y a la economía.
Efectos negativos en los procesos democráticos
El segundo escenario de riesgo sistémico alude a los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, así como sobre la seguridad pública. Por su escala y nivel de intermediación en los flujos de información, ciertos servicios y aplicaciones se han convertido en espacios públicos con un papel central que facilitan el debate público, el acceso a información o las transacciones económicas, por mencionar algunos ejemplos.
Por lo tanto, el daño potencial, para los usuarios individuales, pero también para la sociedad, que implican soluciones de verificación de edad mal diseñadas e implementadas desde el punto de vista de su idoneidad es enorme (errores, sesgos, exclusión, etc.).
Debido a ello, la creación de un Internet seguro por defecto para la infancia no puede, en ningún caso, ser la coartada para la limitación de acceso a estos servicios y aplicaciones incumpliendo los principios de licitud, lealtad o exactitud y que vulnerarían diferentes derechos y libertades. Este riesgo sería además sistémico dada su potencial escala y alcance.
Razones para apostar por la verificación de edad
Con todo, es necesario apostar por los sistemas de verificación de edad. Tal como señala la nota de la AEPD: “Si bien estas dos categorías de riesgos sistémicos son las que pueden provocar las soluciones de verificación de edad si no se diseñan o implementan adecuadamente, cabe otra reflexión: no realizar verificación de edad en absoluto o hacerlo de manera que no sea idónea, también puede implicar riesgos sistémicos”.
Y es que, aunque la verificación de edad no evita por completo los riesgos para el bienestar físico y mental de los menores (que detalla la cuarta categoría de la Ley de Servicios Digitales), se trata de una herramienta fundamental para su protección, siendo el principal riesgo sistémico cuando es posible identificar y detectar a los niños y adolescentes en Internet.
En definitiva, el documento advierte que el ecosistema de Internet no puede tratarse como un conjunto de islas independientes. Este cambio de paradigma requiere no solo una cooperación entre los intervinientes (proveedores, fabricantes, intermediarios, etc.) a la hora de diseñar sus soluciones, sino también una comunicación efectiva entre ellos y con el resto de la sociedad ante la identificación de nuevas amenazas a través de un marco de gobernanza.