La Agencia Española de Protección de Datos (AEPD) ha publicado ‘Internet seguro por defecto para la infancia y el papel de la verificación de edad , en el que analiza cómo se puede proteger a niños, niñas y adolescentes en Internet sin que ello suponga una vigilancia e invasión de la privacidad de todos los usuarios, y sin exponer a la infancia a ser localizada y expuesta a nuevos riesgos. Este análisis se centra en la obligación de cumplimiento de los principios de protección de datos recogidos en el Reglamento General de Protección de Datos (RGPD), junto con otras regulaciones que complementan o profundizan en la protección de los menores.
El documento muestra distintas estrategias de protección a niños, niñas y adolescentes (NNA) en Internet, definiendo distintos casos de usos: protección ante contenidos inadecuados, entornos seguros para la infancia, consentimiento para el tratamiento de datos personales y diseño adecuado para la infancia. Cada caso de uso analizado está sujeto a marcos regulatorios diferentes y, como marco común, al RGPD en cuanto a tratamientos de datos personales.
El análisis publicado explica que, en la actualidad, buena parte de los servicios de Internet disponen de estrategias basadas, en el mejor de los casos, en reaccionar una vez detectado que ya se ha producido un daño o impacto. Una variación de ello es posibilitar a los proveedores de servicios de Internet el conocimiento de quién es menor de edad, como con la creación de espacios o cuentas específicas para NNA. Estas estrategias, añade, precisan de una intervención intrusiva en forma de vigilancia o perfilado que vulnera la privacidad de todos los usuarios: permiten tener al menor localizado y fácilmente accesible para cualquier actor malicioso, legitiman el tratamiento de datos personales adicionales de NNA, adaptan los mensajes para que tomen decisiones que no le corresponden o esconden propósitos de perfilado en relación con patrones engañosos o adictivos, fidelización, contratación, consumo o monetización de datos personales.
La Agencia recoge ejemplos y buenas prácticas para proteger a los menores ante los riesgos relacionados con el acceso a contenidos para adultos, como pueden ser el contacto con personas que puedan ponerlos en peligro, la contratación de productos y servicios, la monetización de sus datos personales, la inducción a comportamientos adictivos que afecten a su integridad física o mental y otros aspectos.
La Agencia subraya asimismo la importancia de contar con un sistema de verificación de edad que mantenga la carga de la prueba en la persona que tiene la edad establecida para acceder a los contenidos, y nunca en el menor. De este modo, el menor no debe probar que es menor, ni exponer su naturaleza para que se bloqueen contenidos, contactos, comportamientos o contratos.
La implantación de un sistema de verificación de edad requiere la adaptación de los servicios de Internet para que sea efectiva, no genere nuevos riesgos, no permita localizar menores y no suponga pérdida de libertades para todos los usuarios de Internet. Para ello, esa adaptación ha de cumplir los principios de minimización del tratamiento de datos personales desde el diseño y por defecto.
La Agencia recuerda que las decisiones para gestionar los riesgos a los que se ven sometidos los menores deberían contar con una evaluación del impacto del tratamiento en la protección de datos personales (EIPD) . Para superar una EIPD hay que cumplir, entre otros, con el principio de minimización de datos y, en el caso de la verificación de edad, el sistema no necesita verificar una edad concreta ni una fecha de nacimiento, sino sólo la superación del umbral de edad establecido.