Verificación de edad en plataformas online

Verificación de edad y protección de menores

La protección de menores en el entorno digital se ha convertido en una prioridad regulatoria en la Unión Europea. El Reglamento de Servicios Digitales (DSA) introduce nuevas obligaciones para las plataformas online, especialmente a través de su artículo 28, que plantea un reto clave: cómo garantizar la edad de los usuarios sin vulnerar su privacidad.

En este contexto, surge una tensión evidente entre dos objetivos legítimos: proteger a los menores y respetar los principios de la Normativa de protección de datos vigente.

Resolver este equilibrio es hoy uno de los mayores desafíos regulatorios y tecnológicos.

Qué exige el artículo 28 del DSA

El artículo 28 del DSA establece que las plataformas accesibles a menores deben implementar medidas “apropiadas y proporcionadas” para garantizar un alto nivel de privacidad, seguridad y protección. Esto implica:

Prohibición de publicidad comportamental a menores

Prohíbe mostrar publicidad personalizada basada en perfilado si el usuario es menor, aunque hubiera consentimiento (art. 6 y 8 RGPD) no legitima este tratamiento. Es decir, prohibición absoluta en la práctica.

Protección reforzada del menor

Se exige garantizar un alto nivel de privacidad y seguridad que se articula mediante protección de datos desde el diseño y por defecto (art. 25 RGPD). En definitiva, configuraciones restrictivas y entornos seguros por defecto.

Limitación del uso de datos

Se impide usar datos de menores para fines publicitarios o para hacer perfiles, por tanto, solo tratar datos estrictamente necesarios y no reutilizarlos para marketing.

Medidas proporcionales sin excesos de identificación

Aplicar un equilibrio entre proteger al menor, evitando verificar la edad de forma intrusiva.

No se trata solo de controlar el acceso, sino de rediseñar servicios digitales pensando en el interés superior del menor.

La “paradoja” de la verificación de edad

Uno de los aspectos más relevantes es que el propio DSA aclara que no es obligatorio recoger más datos personales para verificar la edad.

Aquí aparece la llamada paradoja privacidad-protección:

• Para proteger a menores, necesitas saber su edad.
• Pero para saber su edad, podrías estar tratando datos personales excesivos.

El DSA resuelve esta tensión exigiendo que las soluciones sean:

• Proporcionadas al riesgo
• Respetuosas con la privacidad
• Diseñadas por defecto con minimización de datos

Esto conecta directamente con el artículo 5.1.c del RGPD (minimización de datos).

Tipos de sistemas de verificación de edad

Las directrices europeas distinguen tres enfoques principales:

Autodeclaración

El usuario indica su edad.

• Fácil implementación
• Baja fiabilidad

Estimación de edad

Uso de algoritmos (ej. análisis facial o comportamiento).

• Mayor precisión
• Alto riesgo según el RGPD (biometría, perfilado)

Verificación de edad

Basada en fuentes fiables (DNI, credenciales, etc.).

• Alta certeza
• Riesgo elevado si no se aplica minimización

Desde el punto de vista legal, no existe un sistema universalmente válido: todo depende del riesgo del servicio.

Qué exige el RGPD en estos sistemas

El Comité Europeo de Protección de Datos (CEPD) ha dejado claro que cualquier sistema de verificación de edad debe cumplir con:

• Proporcionalidad: verificar solo si es necesario
• Minimización de datos: tratar los datos estrictamente necesarios e imprescindibles.
• Limitación de la finalidad: que los datos se recojan con propósitos específicos, explícitos y legítimos
• Privacidad desde el diseño y por defecto: incorporar medidas técnicas y organizativas para la protección de datos desde la fase inicial de desarrollo.

Además:

• Si el sistema implica alto riesgo → EIPD obligatoria (art. 35 RGPD)
• No puede utilizarse para:
  • Perfilado
  • Seguimiento
  • Reutilización de datos

Esto es clave: verificar la edad no legitima tratar datos para otros fines.

Hacia modelos de verificación respetuosos con la privacidad

Las tendencias regulatorias y tecnológicas apuntan hacia soluciones que eviten identificar al usuario.

Ejemplos promovidos por autoridades:

• Tokens anónimos
• Credenciales verificables
• Cartera de identidad digital europea

Estas soluciones permiten responder a la pregunta clave: ¿Es mayor de edad?
sin responder a: ¿Quién es esa persona?

Este enfoque es coherente con el principio de minimización y privacidad por defecto.

Riesgos legales si se implementa mal

Desde una perspectiva práctica, una mala implementación puede generar incumplimientos graves:

• Exceso de recogida de datos (art. 5 RGPD)
• Falta de base jurídica
• Ausencia de EIPD
• Uso indebido de biometría
• Perfilado encubierto

Además, el propio DSA advierte que imponer sistemas intrusivos sin justificación puede vulnerar derechos fundamentales.

Qué deben hacer las empresas (en la práctica)

Si tu empresa ofrece servicios online accesibles a menores, debes:

Evaluar riesgos

¿Tu servicio expone a menores a contenido o interacción peligrosa?

Elegir el sistema menos intrusivo

No siempre necesitas verificación documental

Diseñar con privacidad desde el inicio

Evitar soluciones invasivas por defecto

Realizar EIPD si procede

Especialmente en biometría o tratamiento masivo

Documentar la proporcionalidad

Clave ante inspecciones (AEPD / CNMC)

Business Adapter® a tu servicio

El artículo 28 del DSA no impone simplemente verificar la edad, sino hacerlo bien.

Las empresas deben encontrar un equilibrio entre seguridad y privacidad, aplicando soluciones proporcionales, minimizando datos y evitando tratamientos innecesarios.

En este nuevo escenario regulatorio, la verificación de edad deja de ser un problema técnico para convertirse en un problema de cumplimiento normativo estratégico.

Si necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: