Nuevas directrices europeas para proteger a los menores en el entorno digital

La Comisión Europea publicó el 10 de octubre las "Directrices sobre medidas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en línea", con el objetivo de asistir a los prestadores de plataformas en línea en el cumplimiento de la Ley de Servicios Digitales (DSA). Específicamente, estas recomendaciones buscan aclarar cómo cumplir con el artículo 28.1 de la DSA, que exige "medidas apropiadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores".

Si bien el documento es formalmente no vinculante y proporciona una lista no exhaustiva de buenas prácticas, su impacto regulatorio es considerable. La Comisión ha declarado explícitamente que utilizará estas directrices para "evaluar el cumplimiento del artículo 28.1 de la DSA". Esta postura convierte el documento en un estándar de diligencia de facto. Cualquier plataforma que se desvíe de estas recomendaciones clave, como no implementar la configuración de privacidad por defecto, podría ser considerada como insuficientemente protectora, exponiéndose a las sanciones previstas en la DSA.

Ámbito de aplicación y principios fundamentales

Las obligaciones recaen sobre todos los prestadores de plataformas en línea accesibles a menores. La accesibilidad se define por un criterio de conocimiento razonable: se considera que un prestador está obligado si ya procesa datos que revelan la edad (durante el registro, por ejemplo), si la plataforma resulta atractiva para menores, o si una investigación independiente demuestra la presencia de usuarios menores de edad.

Este alcance se extiende incluso a servicios destinados a adultos (como plataformas de contenido pornográfico) si tienen usuarios menores debido a que utilizan herramientas de verificación de edad inadecuadas. La Comisión aclara que no basta con una mera declaración en las condiciones de uso que prohíba el acceso a menores, sino que es imprescindible la adopción de medidas técnicas y organizativas eficaces para impedir dicho acceso.

Las directrices se fundamentan en cuatro principios generales que deben considerarse de manera holística: adecuación y proporcionalidad, protección de los derechos del niño, privacidad y seguridad desde el diseño y diseño adecuado a la edad.

El interés superior del menor y la evaluación de riesgos

El fundamento ético y legal de las directrices es el artículo 24 de la Carta de Derechos Fundamentales, que estipula que el interés superior del menor debe ser una consideración primordial. Esto requiere que las plataformas realicen una evaluación de riesgos detallada y específica para la infancia. El análisis debe considerar el tamaño y el alcance del servicio, el impacto de las medidas en los derechos de los niños y la necesidad de basarse en las normas más estrictas disponibles. Las evaluaciones deberán incorporar los puntos de vista de los menores, recabando su participación, así como los de las personas tutoras, los representantes de otros colectivos que puedan verse afectados y de los expertos y partes interesadas relevantes. Esta evaluación debe documentarse, publicarse y servir de base para un plan de mitigación con parámetros de seguimiento de su eficacia.

Mecanismos de verificación de la edad

La implementación de métodos de verificación de la edad se considera una medida adecuada y proporcionada solo cuando los riesgos para el menor son elevados y no mitigables por medios menos intrusivos. Esto incluye el acceso a contenido pornográfico, juegos de azar o cuando el servicio exige una edad mínima por ley o por sus condiciones.

Estos mecanismos deben ser precisos, fiables, sólidos, no intrusivos y no discriminatorios. La Comisión promueve tecnologías que cumplen con el estándar de minimización de datos, como la futura cartera de identidad digital de la UE o los prototipos de aplicaciones desarrollados por la propia Comisión. La elección del método debe recaer siempre en el más discreto posible que ofrezca el mismo nivel de eficacia.

Configuración por defecto y sistemas de recomendación

Las directrices concretan el concepto de diseño apropiado a la edad, exigiendo que los servicios se alineen con las necesidades de desarrollo, cognitivas y emocionales de los niños. Un requisito fundamental es que las cuentas de los menores deben establecerse por defecto como privadas para mitigar riesgos críticos como el contacto no solicitado o el ciberacoso. Además, la información sobre configuraciones y los mecanismos de queja deben presentarse en un lenguaje y con un diseño accesible y adaptado a ellos.

En cuanto al perfilado, la Comisión restringe severamente el uso de sistemas de recomendación basados en la vigilancia constante. Las directrices recomiendan expresamente evitar que el perfilado se base en un tratamiento de datos de comportamiento tan amplio que refleje la totalidad o la mayoría de las actividades del menor en la plataforma. Esto se considera una forma de seguimiento continuo de la vida privada. Por lo tanto, las plataformas deben priorizar el uso de "señales explícitas facilitadas por el usuario" (ej. intereses seleccionados) para determinar el contenido recomendado, justificando cualquier uso de señales implícitas bajo los criterios más rigurosos de minimización y transparencia.

Moderación 24/7 y respuesta a emergencias

Para garantizar la seguridad, las directrices establecen estándares operativos muy altos. La moderación de contenidos debe ser activa y estar disponible 24 horas al día, siete días a la semana. Se requiere que los equipos de moderación estén bien formados y que prioricen las denuncias relativas a la privacidad, seguridad y protección de los menores, con mecanismos para marcar urgencia, sin perjuicio de la prioridad de los alertadores fiables.

Un requisito particularmente oneroso es la exigencia de que haya al menos un empleado de guardia en todo momento para responder a solicitudes urgentes y emergencias. Esto obliga a las plataformas a implementar protocolos de escalamiento rápido y a garantizar la disponibilidad de revisión humana para evaluar contenidos o cuentas que supongan un riesgo inminente. Las plataformas también deben aplicar soluciones técnicas (como la comparación de huellas digitales o hash matching) y explorar el uso de clasificadores de inteligencia artificial para detectar contenido ilícito conocido o nuevo. También se exige que se restrinja la capacidad de otros usuarios para descargar o realizar capturas de pantalla de las publicaciones de los menores.

Por último, las directrices también abordan la protección contra prácticas comerciales desleales, reconociendo y buscando proteger a los menores del riesgo asociado a las monedas virtuales y cajas de recompensas de pago (loot boxes) que se aprovechan de su falta de alfabetización comercial.

Comentario Osborne Clarke

Las directrices establecen un estándar operativo para el cumplimiento del artículo 28 de la DSA, trasladando la protección del menor del plano declarativo al de toma de decisiones en el diseño, la gobernanza y los datos. El mensaje es claro: la garantía de edad, el diseño por defecto y los sistemas de recomendación seguros son ahora pilares de cumplimiento y no meras recomendaciones voluntarias. La implementación efectiva requerirá inversiones sustanciales por las plataformas digitales en tecnología, recursos humanos y procesos, pero constituye un paso necesario hacia un ecosistema digital más seguro y responsable para la infancia.