(12 de febrero de 2025). El Comité Europeo de Protección de Datos (CEPD) ha adoptado en reunión plenaria un Dictamen sobre la determinación de la edad (Statement 1/2025 on Age Assurance) para el uso de servicios online que requieren de una edad mínima para poder acceder a ellos. Estas directrices han sido impulsadas por la Agencia Española de Protección de Datos (AEPD) en el marco de sus acciones para la protección efectiva de la infancia y adolescencia en Internet manteniendo los derechos y libertades de toda la ciudadanía, tanto mayores como menores de edad.
En marzo de 2024, el CEPD aprobó el mandato solicitado por la Agencia para definir unas directrices en materia de verificación de edad. Ello supuso el inicio de un intenso trabajo liderado por la AEPD en un equipo formado por distintas autoridades de protección de datos (Irlanda, Francia, Alemania y España) que ha culminado con su aprobación por unanimidad.
Este Dictamen proporciona una guía que emana del Reglamento General de Protección de Datos (RGPD) y que tiene en cuenta las implicaciones y consecuencias de la utilización de herramientas y sistemas de demostración de la edad en los tratamientos de datos personales, incluyendo ejemplos prácticos. Las directrices se centran en el acceso a servicios online, incluidos aquellos casos en los que la ley establece una edad mínima para comprar productos, usar servicios o realizar actos, así como cuando exista un deber de cuidado para proteger a la infancia y adolescencia.
Este dictamen facilita el desarrollo de un enfoque más consistente en la UE para la protección del menor en relación con el acceso a servicios online en tratamientos en los que haya que garantizar la edad de acceso, basado en la aplicación de los principios de protección de datos por diseño y por defecto. Se trata de un instrumento primordial para que los intervinientes en el ecosistema de Internet, y para que las autoridades nacionales y europeas con competencia en el ámbito digital, dispongan de la información necesaria en relación con las estrategias más adecuadas para la demostración de la edad. Además, será una influencia positiva para promover soluciones realmente efectivas para la protección integral del menor, como la de un Internet Seguro por Defecto y a salvo de la exposición a patrones adictivos.
El trabajo realizado en la elaboración de este Dictamen se fundamenta en el marco de las iniciativas de la AEPD para la protección de menor en el entorno digital. En particular, se deriva directamente del Decálogo de Principios de Verificación de edad y sistemas de protección de personas menores de edad ante contenidos inadecuados presentado por la AEPD en diciembre de 2023, junto con unas pruebas de concepto prácticas.
Principios recogidos en el Dictamen
El dictamen desarrolla diez principios que establecen que las herramientas de determinación de la edad no se pueden entender de forma aislada, sino en el marco de la protección de los derechos y libertades de las personas. Así, la determinación de que se cumplen las restricciones debe suponer un incremento de los mismos, en este caso de la protección de los derechos de la infancia y la adolescencia en Internet, sin que ello suponga una merma en otros derechos de los mismos menores y de la ciudadanía en general.
Los principios desarrollan requisitos sobre la prevención de riesgos, de limitación y de minimización, que insisten, en particular, en que la verificación de edad no debe proporcionar recursos para que los servicios de internet identifiquen, localicen, perfilen o sigan la actividad digital de las personas. Enfatizan la necesidad del uso de herramientas efectivas con una visión amplia, por ejemplo, que no supongan limitar el derecho a acceder a Internet, la obligación de licitud, lealtad y transparencia, que no suponga un sometimiento de las personas a decisiones automatizadas sin las garantías del RGPD y la aplicación del principio de protección de datos desde el diseño y por defecto.
Finalmente, los principios resaltan el impacto que las brechas de datos podrían tener en el uso de dichas herramientas, con la obligación de aplicar los principios de minimización de datos además de medidas de seguridad, y estableciendo que cualquier herramienta, en un entorno tan complejo, debe implementar métodos de gobernanza en el ecosistema de Internet que demuestren el cumplimiento normativo.