Para que la prohibición de las redes sociales a menores de 16 años que quiere implantar el Gobierno de España sea efectiva, hace falta poner en práctica un método de verificación de edad que funcione. Los expertos tienen dudas de que eso sea posible. 371 científicos especializados en seguridad y privacidad de 30 países, entre ellos el premio Turing Ron Rivest y 24 profesores de centros españoles, han escrito una carta pública para señalar que comprobar la edad online no es tan fácil.
“Debes dejar muy claro qué mecanismos se utilizarán [para verificar la edad] y qué tratamiento se hará de esos datos”, puntualiza Sergio Carrasco, abogado especializado en derecho tecnológico. “Se tiene que regular mucho hacia dónde haces esa petición y garantizar que solo te den esa información que necesitas”.
Normalmente, estas medidas obligan a las plataformas digitales a implementar sistemas efectivos para hacer el trabajo de verificación ellos mismos. “En realidad, verificar la edad en internet no es complicado. Se puede hacer con determinados sistemas diseñados con esa finalidad. Lo que es complicado es hacerlo sin injerencias en el derecho a la privacidad”, apuntan desde la Comisión de Menores de la APEP·IA, Asociación Profesional Española de Privacidad e Inteligencia Artificial. “Solicitar copia de algún documento oficial como el DNI, usar biometría o cruzar datos con registros oficiales aumenta la seguridad jurídica, pero entra en conflicto con la privacidad y protección de datos”.
Lo ideal sería lo que sucede en el mundo físico con un sencillo control de acceso. Es el equivalente a enseñar el DNI para entrar en una discoteca: lo muestras, comprueban la edad, el portero no guarda el dato en ningún sitio y te permite acceder. “Al final el proveedor simplemente tiene que poder ver la edad y nada más. Lo que no puede ser es que envíes una copia completa del DNI, cuando en los hoteles, si te hacen la fotocopia completa del DNI, ya se entiende que son datos excesivos”, explica Carrasco. “Además, si después hubiera un ataque y esos datos se filtraran, ¿qué pasaría?, se pregunta. “Al final se crea un riesgo muy grande”.
La presentación de documentos oficiales, como el DNI o pasaporte, también requiere comprobar que esa identidad corresponde al usuario. Y para hacerlo se usa biometría, habitualmente un selfi, que conlleva sus propios problemas.
“Esta solución, además de no ser totalmente fiable, supone el tratamiento de datos biométricos, considerados especialmente sensibles. Requiere capturar imágenes faciales, a menudo almacenarlas para mejorar modelos y, en algunos casos, intervención humana en verificaciones dudosas. Además, los algoritmos suelen tener mayor tasa de error en ciertos grupos étnicos, lo que puede discriminar o bloquear injustamente”, señalan desde la APEP·IA.
Sin olvidar el riesgo de que estas bases de datos biométricos se usen para otros fines o que los proveedores sufran un ataque. Una filtración de información tan sensible podría tener consecuencias desastrosas. Pero incluso la combinación de documentos oficiales y biometría se puede falsificar.
“Puedo dar otro DNI o incluso usar Nano Banana, de Google, y pedirle que cambie la fecha de nacimiento al DNI”, comenta Carrasco. Y añade que a veces hay un margen de impresión. “Sobre todo cuando se trata de copias que se puede decir que son de baja calidad, hechas desde el teléfono. Los sistemas de los proveedores tienen una tolerancia y sería una medida sin mucha efectividad”.
Otra de las fórmulas que se barajan para verificar la edad es una estimación basada en el comportamiento online del usuario. Aquí Carrasco se pregunta por la metodología que deberían seguir los proveedores para determinar que ciertos patrones de actividad en su red social corresponden a una persona menor. Si no se establecen estándares al respecto, se incurre en el riesgo de falsos positivos y falsos negativos.
En todos los casos, la privacidad aflora siempre como el principal escollo. El abogado lo resume con una frase: “Tengo que tener datos suficientes, pero no tener datos de más”. Carrasco vuelve a la cuestión capital. “Cómo puedes identificar únicamente que un usuario tiene más de esa edad. Se requieren solo los datos justos y es el don de dibujar la línea lo que es importante”.
La promesa de identidad digital europea
No hay facilidades técnicas para dibujar esa línea que solo acceda a los datos justos. Lo más parecido a enseñar el DNI para entrar en la discoteca es el proyecto de identidad digital europea. El reglamento europeo eIDAS 2 introduce la Cartera Digital Europea, definida como un contendor donde almacenar documentos personales de identificación. A través de una serie de procesos de autentificación, un usuario podría compartir parte de la información de esa cartera con un proveedor digital.
Esta es la vía en la que está trabajando el Gobierno. Fuentes del Ministerio de Transformación Digital y de la Función Pública han manifestado en reiteradas ocasiones que la herramienta ya está lista y cuenta con las certificaciones de seguridad necesarias.
“Una de las principales ventajas de este sistema es que permite acreditar solo lo imprescindible”, destacan desde la APEP·IA. “Puedes demostrar que eres mayor de edad sin tener que revelar tu fecha de nacimiento completa, tu número de DNI o tu domicilio. Y esto reduce la sobreexposición de datos personales”.
El sistema estaría pensado para ofrecer transparencia y trazabilidad de la información. “El usuario podrá saber qué datos ha compartido y con quién. No es solo una cuestión tecnológica, sino una arquitectura jurídica pensada para limitar abusos y evitar que se acumulen perfiles detallados sobre la actividad digital de las personas”, enfatizan desde la APEP·IA.
Carrasco coincide en la utilidad del concepto, pero rebaja las expectativas. “Podría ayudar a solucionar la parte más compleja. Pero primero habrá que procurar que su uso esté generalizado”, apunta el abogado. Pese a que el reglamento está en vigor desde 2024, aún no se ha desplegado el sistema. Solo existen ensayos piloto limitados.
Cambiar de país con una VPN y otras tretas
Pero incluso la identidad digital europea no solventaría el problema por completo. Uno de los grandes obstáculos es el uso de VPNs (redes virtuales privadas), que ocultan tu dirección IP y permiten conectarse como si lo hicieras desde otro país. Y si la red social no detecta que un usuario es de un país, no podrá imponerle las restricciones que la legislación local establezca.
“Si obligas a verificar la edad en España y Francia, por ejemplo, me puedo poner una VPN y entro por Estados Unidos”, incide Carrasco. “Y ahora una VPN se instala con dos clics, los menores se la instalan muy fácilmente. ¿Y qué se puede hacer? ¿Bloquear las VPN? Hay muchos flecos pendientes”.
Más allá de la dirección IP, el regulador de la privacidad y la libertad de información en Australia señalaba que los proveedores de redes sociales tienen métodos para asegurarse de que los usuarios residen en el país. Entre ellos cita la localización GPS y el etiquetado en las fotos. Pero, de nuevo, existe la trampa.
El dato del GPS se puede cambiar mediante una app de suplantación de ubicación. Mientras que la actividad en la red social también puede enmascararse. No siempre hay información disponible sobre la localización en las fotos —de hecho, no siempre hay fotos o vídeos— y se corre el riesgo de incurrir en falsos positivos y falsos negativos. Esto es, confundir a turistas con residentes y viceversa.