El debate | ¿Es posible técnicamente impedir el acceso de los menores de 16 años a las redes sociales?

Australia ha puesto en marcha la ley de internet más restrictiva del mundo al prohibir a los menores de 16 años hacer uso de las plataformas digitales. La norma pone la carga del cumplimiento sobre las empresas, que se arriesgan a multas millonarias si no incumplen las restricciones. Pero quedan sin contestar cuestiones importantes para valorar el alcance y la viabilidad de la medida, que tienen que ver con cómo se va a aplicar el veto y qué impacto tendrá en la privacidad y la conexión social.

Mar España, directora de la Agencia Española de Protección de Datos, defiende que hay que cambiar el enfoque de la regulación y prohibir a todos los usuarios el acceso por defecto salvo que quien cumpla la edad y esté autorizado a ello pueda acceder al resto de los contenidos. Pero Borja Adsuara, abogado experto en Derecho y Estrategia Digital, es tajante: la tecnología actual no permite hacer esa discriminación sin atentar contra los derechos de los usuarios.

La falsa dicotomía entre privacidad y protección

Mar España

El acceso de la infancia y adolescencia al entorno digital ha supuesto un cambio drástico en su forma de informarse, comunicarse y relacionarse. Las ventajas de la evolución tecnológica son indudables, siendo una herramienta que ha habilitado el ecosistema de los servicios de internet. Sin embargo, este ecosistema podría haber evolucionado de otra forma a como está configurado hoy, en su mayoría con servicios basados en la monetización de datos personales e intrusión en la privacidad.

Niños y adolescentes están expuestos a efectos nocivos en relación con el contenido al que acceden: problemas conductuales, contratación de productos, perfilado, localización, contacto con terceros y otras amenazas. Culpar a la tecnología de esta situación es intentar desviar hacia un ente impersonal la responsabilidad que sí tienen los actores que diseñan productos y servicios. Los menores son objeto de monetización y fidelización, exponiéndose a un grave daño en un momento en el que su cerebro se encuentra en fase de formación, y con consecuencias sobre su salud (física, mental y sexual), neurodesarrollo, aprendizaje, rendimiento educativo y relaciones.

El Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales recoge la propuesta, que en su momento presentó la Agencia Española de Protección de Datos, de elevar la edad de consentimiento para tratar datos personales a 16 años (actualmente se encuentra en 14), lo que supone en la práctica que un menor de esa edad no podrá crear una cuenta en redes sociales sin el permiso de sus padres o tutores.

Ya hay varias normas europeas y nacionales que establecen la obligación de proteger a la infancia y adolescencia mediante, entre otros, el uso de la verificación de edad. Es importante insistir en que el objetivo no es la verificación de edad en sí misma sino la protección de un colectivo vulnerable, lo que precisa que los actores que participan del ecosistema de internet la utilicen para prevenir el daño en relación con contenidos, configuraciones, servicios y productos.

La Agencia ha trabajado en demostrar que dicha protección del menor es posible, tanto para que sea eficaz como para que no conlleve un recorte a las libertades de la ciudadanía. Para ello ha cambiado el enfoque reactivo, con el que tradicionalmente se ha abordado este problema, por otro proactivo de protección por defecto.

El enfoque habitual ha consistido en mantener la exposición de los menores a los riesgos, y someterlos, a ellos y a todos los internautas, a identificación, perfilado, seguimiento y vigilancia. Y una vez que el menor ya está sufriendo un daño, dejar a los servicios de internet la detección y acción ante ese daño.

La visión de la Agencia trata de enfocar la raíz del problema, que es hacer evolucionar a los actores del ecosistema digital hacia un internet seguro por defecto. Cuando una persona con la edad adecuada desee acceder un servicio para el que se requiere un umbral mínimo, lo podrá hacer mediante un atributo de “autorizado a acceder”, sin revelar su identidad. Es un cambio de paradigma que está calando poco a poco en la industria. Es un punto de vista que no es limitante sino habilitante; que no necesita que los servicios sepan quién es menor sino que permite que sólo los adultos que deseen utilizar un determinado servicio manifiesten su voluntad de hacerlo; que no es reactivo sino proactivo; y que protege al menor por defecto.

La Agencia ha demostrado que es posible. Los principios de esta nueva visión se han desarrollado en el Decálogo de Principios sobre verificación de edad, añadiendo unas pruebas de concepto prácticas realizadas en los sistemas operativos más extendidos que muestran empíricamente que, si los actores de internet quieren comprometerse, pueden hacerlo.

La propuesta de la Agencia resuelve la falsa dicotomía entre privacidad y protección del menor. Para proteger al menor hay que proteger sus derechos fundamentales, y esto solo se puede conseguir protegiendo su privacidad. La única dicotomía que hay que resolver es la que se plantea entre la protección de la infancia y adolescencia y los intereses de ciertos actores en internet.

Con la tecnología existente, no es posible

Borja Adsuara Varela

Una cosa es prohibir en una ley el acceso y uso de redes sociales por menores de 16 años e, incluso, obligar a estas a adoptar las medidas tecnológicas para impedirlo, bajo la amenaza de graves sanciones (cosa que ya hacen las normas de la Unión Europea) y otra cosa muy distinta es que actualmente exista la tecnología para impedirlo eficazmente, sin vulnerar los derechos de (todos) los usuarios.

El Reglamento General de Protección de Datos de la UE dice que “el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años”. Pero admite que “los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años”. En España, la Ley Orgánica de Protección de Datos la fijó en 14 años.

Pero esto no quiere decir que los menores de 16 años (o de 14) no puedan usar las redes sociales, sino que no pueden acceder a ellas sin autorización paterna: “Si el niño es menor de 16 años (o de 14 en España) tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó”.

El problema es la aplicación práctica de esta prohibición; es decir: la verificación de la edad. Hasta tal punto que solo se exige que “el responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado (por el mayor de 16 años) o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”.

Por su parte, el Reglamento de Servicios Digitales de la UE establece que “los prestadores de plataformas en línea (entre ellas, las redes sociales) accesibles a los menores (de 18 años) establecerán medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en su servicio”. Más adelante apunta: “Dichas medidas podrán incluir, cuando proceda: la adopción de medidas específicas para proteger los derechos de los menores, incluidas herramientas de comprobación de la edad y de control parental, herramientas destinadas a ayudar a los menores a señalar abusos u obtener ayuda, según corresponda”.

Este Reglamento es de plena aplicación directa en todos los Estados miembros desde el pasado 17 de febrero y, por tanto, ya se podrían imponer —a las redes sociales que no lo cumplan— multas de hasta el 6% del volumen de negocios anual en todo el mundo. Pero no se hace porque aún no están disponibles esas herramientas seguras de verificación de edad.

El Reglamento de Identificación electrónica y de servicios de confianza de la UE (de 2014) ha sido modificado este año para introducir algunas novedades (cartera europea de identidad digital y declaraciones electrónicas de atributos de la identidad) que van a tener repercusiones positivas en el desarrollo de herramientas seguras para la verificación de edad. La Comisión Europea sigue trabajando, por una parte, en definir los estándares técnicos que deben cumplir las herramientas de identificación electrónica y los servicios de confianza para adaptarse al nuevo Reglamento y, por otra, ha lanzado una licitación para una solución de verificación de la edad, por un valor cuatro millones de euros y una duración máxima de 24 meses.

En España, la Comisión Nacional de los Mercados y de la Competencia hizo una consulta pública sobre criterios de los sistemas de verificación de edad, y el Ministerio de Transformación Digital y Función Pública trabaja con la Fábrica Nacional de Moneda y Timbre en una primera aplicación (Beta) de verificación de edad basada en la Cartera europea de Identidad Digital.

Aunque tenemos el marco normativo aprobado y ya empieza a haber tecnología disponible para la verificación de edad de los menores, los primeros proyectos presentados han suscitado dudas sobre la posible vulneración de derechos de los usuarios, puesto que para proteger a los menores habría que verificar la edad de todos, sin acceder a otros datos personales, ni identificarlos.