El CEPD adopta un dictamen sobre la verificación de edad en Internet
El interés superior del menor es un principio fundamental consagrado en la Convención sobre los Derechos del Niño de las Naciones Unidas, que persigue priorizar las necesidades y derechos de las niñas, niños y adolescentes en relación con las decisiones que han de tomar.
Protección de los menores en la era digital
En el contexto social actual, el entorno digital al que acceden los menores también debe estar protegido por medidas que eviten la vulneración de sus derechos.
Esta protección de los menores en el entorno digital se exige a nivel normativo en Europa. Claro ejemplo se muestra en el RGPD, con la introducción de requisitos de edad mínima para consentir el tratamiento de datos personales en el contexto de los servicios de la sociedad de la información (artículo 8).
Asimismo, la Ley de Servicios Digitales hace alusión a la verificación de la edad como medida de mitigación de riesgos (artículo 35) y distintos Estados se han sumado a este ecosistema protector, implementando requisitos de edad mínima para llevar a cabo actos jurídicos.
El papel clave de la AEPD
Para profundizar más en la importancia de este amparo en favor de los menores, el Comité Europeo de Protección de Datos (CEPD) ha adoptado un dictamen sobre la determinación de la edad (Statement 1/2025 on Age Assurance) para el uso de servicios online que requieren de una edad mínima para poder acceder a ellos.
Por su parte, la Agencia Española de Protección de Datos (AEPD) ha sido quien ha dado el impulso a este dictamen, tras haber liderado el inicio de este trabajo en un equipo junto con otras autoridades de control de países como Irlanda, Francia y Alemania.
Finalmente, este proyecto ha culminado con su aprobación por unanimidad y desarrolla diez principios que establecen que las herramientas que determinan la edad no se pueden entender de manera aislada, sino dentro del marco de la protección de derechos y libertades de las personas.
Principios para la determinación de la edad en servicios online
Estos son los 10 principios:
1. Pleno disfrute de los derechos y libertades
El proceso de verificación de edad debe respetar los derechos fundamentales y libertades de las personas físicas, así como priorizar, ante todo, el interés superior del menor. Este principio debe englobar el derecho a la protección de datos, la protección contra la violencia, el acceso a la información de diversas fuentes y considerar sus opiniones.
Para garantizar este principio, los proveedores de servicios deberán evaluar el impacto de todos los derechos fundamentales, sin ceñirse solo a la protección de datos.
2. Evaluación basada en el riesgo
La verificación de edad debe ser proporcional y basada en el riesgo, respetando los derechos de las personas. Es necesario evaluar los riesgos que un servicio puede suponer para los menores, ya que, la determinación de edad puede suponer un alto riesgo para sus derechos y libertades, siendo necesario la realización de una Evaluación de Impacto de la Protección de Datos previa al tratamiento.
3. Prevención de riesgos de protección de datos
La medida de verificación de edad no puede suponer un riesgo innecesario en protección de datos de las personas interesadas, incluyendo las actividades adicionales como la identificación, localización, elaboración de perfiles o rastreo de personas.
4. Limitación de la finalidad y minimización de datos
El principio de limitación de finalidad y minimización de los datos tendrá cabida en este supuesto, ya que, los proveedores de servicios y cualquier tercero involucrado en la verificación de edad, solo recopilarán los datos necesarios, adecuados y pertinentes para los fines pretendidos.
5. Eficacia de la verificación de edad
La verificación de edad se alcanzará demostrando el nivel de eficacia adecuado para el objetivo, teniendo en cuenta aspectos como la accesibilidad y la robustez.
6. Licitud, lealtad y transparencia
Los proveedores de servicios deben cumplir con los principios de transparencia, licitud y lealtad recogidos en los artículos 12, 13 y 14 RGPD, para informar de los datos que se tratarán, los terceros involucrados, la posibilidad de transferencia, la conservación, entre otros.
7. Toma de decisiones automatizadas
Siguiendo el marco normativo europeo y con ello, el RGPD, los proveedores de servicios deberán proporcionar recursos y mecanismos de reparación adecuados cuando se tomen decisiones automatizadas en la verificación de edad de menores.
8. Protección de datos desde el diseño y por defecto
De acuerdo con el artículo 25 del RGPD, los responsables de tratamiento que participen en la verificación de edad aplicarán medidas técnicas y organizativas apropiadas para asegurar el cumplimiento de los principios de protección de datos. De esta manera, los responsables estarán obligados a tener en cuenta el proceso actual de la tecnología disponible en el mercado para determinar las medidas adecuadas.
9. Aseguramiento de la seguridad de la verificación de edad
Para asegurar la seguridad en el proceso de verificación de edad, los proveedores de servicios deberán implementar medidas técnicas y organizativas apropiadas como la seudonimización, el cifrado, políticas de no registro o limitación de almacenamiento.
10. Responsabilidad
Se deben implementar métodos de gobernanza para demostrar el cumplimiento con la normativa de protección de datos que garantice la eficacia, la protección de datos desde el diseño y por defecto y la seguridad de la verificación de edad.
