Descifrar el Artículo 28 de la DSA: Garantía de la edad y diseño de servicios ofrecidos por plataformas online

Foto de Emily Wade en Unsplash.

Dada la rápida adopción de tecnologías digitales por parte de niños y jóvenes, las Directrices de la Comisión Europea en desarrollo del Artículo 28(4) del Reglamento de Servicios Digitales (DSA) abordan cómo los prestadores de plataformas en línea accesibles a menores deben implementar medidas adecuadas y proporcionadas para garantizar un alto nivel de privacidad, seguridad y protección de los menores en su servicio. 

Esta entrada, publicada conjuntamente por la CNMC y la AEPD, como Coordinador de Servicios Digitales y como autoridad competente para la aplicación del artículo 28.2 de la DSA en España, respectivamente, explora específicamente los mecanismos para la garantía de la edad. 

Al tener en cuenta la interacción entre las obligaciones de protección de la DSA y los principios y requisitos del RGPD, las Directrices promueven soluciones que no perfilen a los usuarios y que preserven la privacidad, como los tokens anónimos y la Cartera de Identidad Digital de la UE, para garantizar que se protejan los intereses superiores del menor sin comprometer los derechos y libertades de todos los usuarios.       

La DSA tiene por objeto contribuir al correcto funcionamiento del mercado interior y crear un entorno digital más seguro, predecible y fiable. Para ello, se establecen normas armonizadas para los servicios intermediarios, de entre los que destacan las plataformas en línea. 

Una parte clave de este marco regulatorio es el artículo 28(1), que exige específicamente que las plataformas accesibles para menores implementen medidas “apropiadas y proporcionadas” para garantizar un alto nivel de privacidad, seguridad y protección para ellos. Es importante señalar que el Artículo 28(3) aclara que esta obligación de protección no exige que las plataformas recojan datos personales adicionales para demostrar la edad del usuario, resolviendo de facto la “paradoja de la privacidad-protección” mediante el fomento de soluciones que impliquen protección y privacidad desde el diseño y por defecto. En la práctica, esto significa que las plataformas deben priorizar el interés superior del menor al diseñar sus interfaces, asegurando que los usuarios más jóvenes estén protegidos, sin por ello comprometer los derechos y libertades fundamentales de sus usuarios.

Las Directrices sobre medidas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en línea buscan apoyar a los proveedores de plataformas en línea en la gestión de los diferentes riesgos que enfrentan los usuarios más jóvenes en el entorno digital. Así, proporcionan un conjunto sistemático del tipo de riesgos que pueden amenazar a los menores y de las medidas para ayudar a estos proveedores a cumplir con sus obligaciones bajo el Artículo 28(1) de la DSA. Además, estas directrices tienen como objetivo ayudar a los coordinadores de Servicios Digitales como la CNMC, y otras autoridades nacionales competentes, como la AEPD, cuando apliquen, interpreten o hagan cumplir las normas relativas a la protección de menores bajo la DSA.           

Las Directrices cubren varias áreas operativas esenciales para las plataformas, como las revisiones de riesgos, el diseño de servicios, la gestión de denuncias, observaciones y reclamaciones de los usuarios, y el sistema de gobernanza interna. Aunque están específicamente orientadas a la protección de los menores, la Comisión anima a las plataformas a adoptar estas medidas para todos los usuarios y así crear un ecosistema online más seguro de manera global. 

En estas directrices es esencial la Sección 6.1, que aborda la garantía de edad, es decir, el proceso por el cual se determina la edad del usuario para garantizar una protección adecuada.

El término "garantía de edad" engloba tres enfoques tecnológicos diferentes:

• Autodeclaración: Soluciones en las que el usuario simplemente indica su edad o confirma su rango de edad. Aunque son muy sencillas de implementar y usar, son poco fiables y fáciles de eludir.
• Estimación de edad: Métodos algorítmicos (como el análisis facial o el perfil conductual) que establecen la probabilidad de que un usuario esté dentro de un rango de edad o sea superior o menor a una edad determinada.
• Verificación de edad: Soluciones que se basan en fuentes verificadas y de confianza (como documentos de identidad o permisos de conducir) para establecer la edad con un alto grado de certeza.

Como hemos señalado, el artículo 28(1) de la DSA exige que las plataformas accesibles para menores implementen medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores. Es necesario señalar que este mandato no obliga a las plataformas a conocer la identidad de sus usuarios.

Por otro lado, el RGPD exige que se cumpla el principio de minimización de datos (artículo 5(1)(c)), lo que significa que las plataformas deben tratar la menor cantidad posible de datos personales en relación con los fines para los que son tratados. Para cumplir este principio, así como otros relacionados con la protección de datos personales, las Directrices recomiendan tener en cuenta la declaración del Comité Europeo de Protección de Datos (EDPB) sobre la Garantía de Edad.

Si una plataforma empieza a recopilar identificaciones o a escanear rostros, so pretexto de proteger a los menores sin la justificación de proporcionalidad necesaria, en atención a los riesgos que su servicio representa para los menores, y sin las debidas salvaguardas de privacidad, corre el riesgo de violar los derechos y libertades fundamentales de todos sus usuarios y el artículo 28.3 de la DSA. 

Como ya se ha mencionado, el artículo 28(3) de la DSA establece explícitamente que las plataformas no están obligadas a tratar datos personales adicionales únicamente para determinar si alguien es menor de edad. En lugar de exigir la identidad de los usuarios o procesar datos personales de los menores, las Directrices fomentan soluciones de garantía de edad que permitan a los usuarios demostrar que superan un umbral de edad sin revelar ninguna otra información.

Según las Directrices, las restricciones de acceso respaldadas por soluciones de verificación de edad son necesarias al acceder a productos o contenidos de alto riesgo (por ejemplo, drogas, alcohol, tabaco, productos que contienen nicotina, contenido pornográfico o juego), cuando los Términos y Condiciones de una plataforma requieren que los usuarios tengan al menos 18 años, cuando una revisión de riesgos identifica riesgos significativos de contenido, conducta, contacto o consumo que medidas menos intrusivas no pueden gestionar eficazmente,  y cuando la legislación de la Unión o nacional establece una edad mínima específica para acceder a ciertos productos o servicios que se ofrecen en la plataforma. 

Para este tipo de riesgos, los métodos de estimación de edad pueden complementar a los de verificación de edad o servir como alternativa temporal (este periodo transitorio no debe extenderse más allá de la primera revisión de las Directrices). Estos métodos también son adecuados cuando los servicios representan un nivel de riesgo medio para los menores o cuando el servicio exige una edad mínima inferior a 18 años (por ejemplo 13 í 16), siempre en atención a la evaluación de riesgos para menores realizada por el prestador del servicio.

Las plataformas online accesibles para menores con solo algunos contenidos, secciones o funciones que suponen un riesgo para ellos no necesitan aplicar un límite de edad general a todo el sitio. Las plataformas deben identificar áreas específicas de riesgo, como secciones para adultos, anuncios restringidos o emplazamiento de producto por parte de influencers, y usar la verificación de edad solo para esas áreas. De este modo, los niños están protegidos por defecto y las áreas de riesgo solo están disponibles para usuarios adultos cuya edad haya sido verificada.

Una vez que una plataforma determina que es necesaria una solución de garantía de edad, ya sea de verificación o de estimación, debe evaluar el método a escoger según cinco criterios rigurosos:

1. Precisión: ¿Con qué nivel de exactitud determina la solución si el usuario supera el umbral de edad?

2. Fiabilidad: ¿Funciona la solución de forma consistente en condiciones reales, no solo en un laboratorio?

3. Robustez: ¿Hasta qué punto es sencillo para un menor con conocimientos tecnológicos eludir la restricción de edad?

4. No intrusión: ¿Respeta la solución los derechos y libertades de los usuarios?

5. No discriminación: ¿Funciona la solución para todos los usuarios, independientemente del tono de piel, discapacidad o estatus socioeconómico (por ejemplo, la falta de pasaporte)?

Las Directrices establecen que la autodeclaración es generalmente insuficiente para los escenarios de alto y medio riesgo identificados, porque carece de la precisión y robustez necesarias para garantizar un alto nivel de protección. Para los métodos restantes de garantía de edad, las Directrices promueven métodos tokenizados y basados en el concepto de doble ciego, que minimizan el acceso a los datos de los usuarios.

Estos métodos se basan en la emisión por parte de la solución de garantía de edad que se utiliza de un token de edad anonimizado, que es básicamente un “SÍ” u “OK” digital que recibe la plataforma en la que hay que demostrar que se supera un umbral de edad: la plataforma recibe la garantía que necesita sin acceder a una identificación ni aprender nada más sobre el usuario, mientras que el proveedor que verifica o estima la edad y genera el token conoce su edad, pero no sabe a qué plataforma específica está accediendo. 

La Cartera de Identidad Digital de la UE, que se espera esté disponible para todos los ciudadanos en 2026, está diseñada para ser el “estándar de oro” en cuanto a garantía de edad respetuosa con la privacidad. Mientras tanto, la Comisión Europea está impulsando una solución independiente para la verificación de edad en la UE, de forma que haya una solución armonizada provisional en los diferentes Estados Miembros y que, eventualmente, pueda integrarse fácilmente en la Cartera Digital de la UE.     

Por último, hay que destacar que la garantía de edad no es una tarea de “ponerlo y olvidarlo”. La Sección 8 de las Directrices exige que las plataformas designen un equipo de protección dedicado, con acceso directo a la alta dirección y que realice evaluaciones regulares de Impacto en Derechos de la Infancia (Child Rights Impact Assessment, CRIA) para evaluar cómo afectan los cambios de diseño a los usuarios más jóvenes. La declaración del EDPB también establece que la garantía de edad debe operar bajo un marco de gobernanza, asegurando que todos los procesos y sistemas sean diseñados, implementados, revisados, documentados, evaluados, utilizados, mantenidos, probados o auditados de manera que cumplan con las normativas de protección de datos y otros requisitos legales.

Para las plataformas, el mensaje es sencillo: siempre hay que priorizar el interés superior del menor; la protección no puede conseguirse a costa de la privacidad; y tanto la protección como la privacidad deben garantizarse desde el diseño y por defecto. El objetivo es diseñar servicios digitales que sean suficientemente seguros y que puedan prosperar sin menoscabo de la seguridad, protección y derechos de los menores.  

Dado que las restricciones de acceso y la garantía de edad por sí solas no pueden sustituir otras medidas recomendadas en las Directrices, en futuras publicaciones conjuntas expondremos el contenido y alcance del resto de medidas contempladas.