La AEPD presenta un sistema de verificación de edad para proteger a los menores de edad ante el acceso a contenidos de adultos en Internet

(14 de diciembre de 2023). La Agencia Española de Protección de Datos (AEPD) ha presentado una propuesta práctica y efectiva de sistema de verificación de edad y protección de las personas menores de edad en Internet ante el acceso a contenidos para adultos. Con la presentación de este sistema, la Agencia demuestra que es técnicamente posible proteger a los menores del acceso a contenidos inadecuados a la vez que se garantiza el anonimato de los adultos en su navegación por internet.

El sistema presentado por la Agencia se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, con sistemas operativos distintos y empleando varios proveedores de identidad. Ello se complementa con un gráfico que recoge los riesgos de los sistemas de verificación de edad que utilizan en la actualidad.

La presentación de este sistema ha tenido lugar en el acto de celebración del 30 aniversario de la AEPD, en el que la directora de la Agencia, Mar España, ha destacado la importancia de implementar un mecanismo que trate el atributo de la edad en el dispositivo del usuario, sin que la identidad de la persona ni la condición de menor sea accesible para las páginas web. “En este proyecto hemos conjugado la protección a la infancia y el interés superior del menor con el derecho fundamental a la protección de datos de todos los ciudadanos, poniendo sobre la mesa una solución práctica, respetuosa y pionera en Europa. 

Creemos que esta iniciativa supone un gran paso adelante hacia una sociedad digital avanzada que protege a la ciudadanía y especialmente a su infancia”. 
Además de la legislación sobre protección de datos, otras regulaciones establecen disposiciones para proteger a los menores. La Ley General de Comunicación Audiovisual obliga a las plataformas de intercambio de vídeos a establecer sistemas de verificación de edad respecto a contenidos que puedan perjudicar a los menores y que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más nocivos, como la violencia gratuita o la pornografía. La Comisión Nacional de los Mercados y la Competencia (CNMC) evaluará la idoneidad de los sistemas, previo informe preceptivo de la AEPD conforme a los criterios que se han desarrollado en el Decálogo. En este sentido, la presidenta en funciones de la Sala de Supervisión Regulatoria de  la CNMC, Pilar Sánchez,  ha anunciado el lanzamiento hoy mismo de una consulta pública dirigida a los distintos agentes implicados a fin de poder conocer la situación de los sistemas de verificación de edades con el objetivo de conseguir una norma eficiente.

Por su parte, la presidenta-directora general de la Fábrica Nacional de Moneda y Timbre (FNMT), Isabel Valldecabres, ha anunciado que “como entidad pública, que siempre garantiza la seguridad y la confianza, estamos totalmente comprometidos con esta iniciativa, por lo que ya estamos trabajando en el desarrollo de una app que servirá para ayudar a proteger a este colectivo tan vulnerable”.

Los sistemas de verificación de edad que se emplean actualmente en Internet (autodeclaración, compartir credenciales con el proveedor de contenidos, que sea este el que estime la edad o que exista una entidad intermediaria entre el usuario y el proveedor) han demostrado riesgos claros: localización de menores de edad a través de Internet, falta de certidumbre sobre la edad declarada, exposición de la identidad a múltiples intervinientes en la Red, perfilado masivo, o recopilación y tratamiento de datos no necesarios, entre otros. 

El objetivo del sistema de verificación de edad presentado hoy por la Agencia, que también sirve también para verificar los 14 años como acceso a redes sociales, es proteger al menor del acceso a contenidos para adultos y que estos contenidos, a su vez, puedan ser accesibles para aquellas personas que puedan demostrar su edad sin necesidad de hacer visible su identidad. No se trata de que los proveedores de contenidos o terceros conozcan que la persona que está accediendo es menor (lo que supondría una exposición o señalamiento de un usuario como menor y se multiplicarían los riesgos) sino que tengan la garantía de que la persona que accede a los contenidos para adultos puede hacerlo, demostrando su condición de “persona autorizada a acceder”. 

La última Memoria de la Fiscalía General del Estado recoge un ascenso preocupante de las agresiones sexuales cometidas por menores de edad, con un aumento del 116% desde 2017. Solo en 2022 se investigaron 1.973 abusos sexuales cometidos por menores. Según la Fiscalía, las causas que explican este auge son complejas, destacando entre ellas el visionado inapropiado y precoz de pornografía violenta. En paralelo, según una encuesta de la ONG Save The Children, más de la mitad de los menores ha accedido por primera vez a la pornografía antes de los 13 años, y un 8,7% antes de los 10 años, con una edad media de 12 años. Esa misma encuesta refleja que casi la mitad de los adolescentes ha imitado alguna vez lo que ha visto en la pornografía y que no siempre lo ha hecho de mutuo acuerdo. 

El Decálogo de principios para la verificación de edad y protección de personas menores de edad ante contenidos para adultos en Internet de la Agencia establece las condiciones mínimas que se deben cumplir para establecer sistemas idóneos que generen confianza y protejan el interés superior del menor y los derechos fundamentales de todos los ciudadanos. A su vez, que sean sistemas que impidan que un menor pueda ser localizado a través de Internet, garanticen el anonimato de los usuarios adultos, minimicen los datos tratados o desvelados a terceros y velar por que las familias sean partícipes de los criterios para proteger a los menores. Además, para que estos sistemas estén alineados con los principios y soluciones de las normativas nacionales y europeas que garantizan la identidad como un derecho, en particular, con la regulación eIDAS2 y la cartera digital europea.

Partiendo de este Decálogo, la Agencia ha realizado una serie de pruebas para demostrar que la protección del menor se puede materializar de forma práctica y concreta.

Pruebas de concepto prácticas

El Decálogo de principios se complementa con un conjunto de tres pruebas de concepto que muestran varias alternativas para verificar la edad y proteger a los menores en Internet ante el acceso a contenidos inadecuados en diferentes dispositivos. Estas pruebas se han desarrollado sobre distintos tipos de sistemas y empleando varios proveedores de identidad accesibles a la ciudadanía, demostrando la viabilidad de su aplicación y diversas formas prácticas de llevarlo a escenarios reales. El objetivo de este desarrollo de la Agencia es demostrar que se puede construir un sistema garantista y anónimo que sólo confirma el atributo de mayoría de edad, que además se procesa en el propio dispositivo. Además, demuestra que no es necesario establecer servicios paralelos de identidad digital específicos para el acceso a contenidos de adultos y, de esta forma, separar la identidad de los ciudadanos de la verificación de edad.

Las pruebas de concepto realizadas son una demostración de que existen formas de cumplir los principios y de que, por tanto, la AEPD puede exigir su cumplimiento. Un mecanismo alternativo que siga lo señalado en las pruebas de concepto y respete los principios será tan válida como cualquier otra aproximación. Las aplicaciones para realizar estas pruebas de concepto por parte de la Agencia han sido desarrolladas por la AEPD en colaboración con un equipo del Consejo General de Colegios Profesionales de Ingeniería Informática.

En la primera prueba de concepto se ha abordado el acceso a contenidos desde un dispositivo como un ordenador o consola de videojuegos. El usuario debe tener instalada en el dispositivo una aplicación de verificación de edad, de manera que cuando se reciba o acceda a un contenido para adultos lo filtre por defecto y recurra a esta aplicación para saber si el usuario está “autorizado a acceder” al mismo y mostrárselo. El usuario necesita además un código QR, proporcionado, por ejemplo, por los desarrollos de la FNMT para el Ministerio de Interior en su teléfono móvil que le permita demostrar a la aplicación de verificación que supera la edad necesaria para acceder a los contenidos para adultos. 

En la segunda prueba de concepto el acceso a contenidos se realiza con un teléfono móvil con Android instalado. El usuario debe instalar en este teléfono la app de verificación de edad y necesita disponer en su teléfono de una app de tipo cartera digital (eWallet), por ejemplo, la cartera que próximamente proporcionará la Secretaría General de Administración Digital (SGAD), compatible con la regulación europea eIDAS2. De esta forma, la app de verificación recurre a los datos o atributos de identidad almacenados en esta cartera, que pueden ser emitidos por diferentes organismos e incorporar diferente información, para comprobar que el usuario tiene la edad adecuada para acceder a los contenidos.

En la tercera prueba, el acceso a contenidos se realiza de nuevo con un teléfono móvil, pero en este caso, con el sistema operativo iOS instalado. El funcionamiento es similar: el usuario debe instalar en su teléfono la app de verificación de edad y una app de acceso a contenidos preparada para trabajar con la de verificación (la de acceso a una red social, a una plataforma de contenidos audiovisuales o a una tienda online, por ejemplo). Para esta prueba, los datos necesarios para verificar la edad del usuario se extraen de alguno de sus documentos de identidad oficiales, como puedan ser su DNI o pasaporte. Para ello, también se ha desarrollado una app capaz de recoger estos datos de los documentos físicos y de validar que el usuario es su propietario, mediante biometría o firma digital. 

Las pruebas de concepto no pretenden ser una solución final única sino demostrar que es posible la puesta en marcha de un sistema de verificación de edad efectivo y animar a los distintos intervinientes en el ecosistema de Internet a encontrar sus propias soluciones respetuosas con los derechos fundamentales. 

Con la presentación de este decálogo de principios, todos aquellos proveedores de contenidos (páginas de pornografía, sitios de juego, redes sociales con contenidos de todo tipo, páginas de compras que venden artículos como tabaco o alcohol, etc.) que estén obligados a verificar la edad de sus usuarios o que decidan hacerlo voluntariamente deben cumplir con los requisitos necesarios para proteger los datos de todos los usuarios, adultos y menores, a la vez que se protege el interés superior de estos últimos.