Verificación de edad: de los principios del CEPD a la aplicación de verificación de edad de la UE

La protección de los menores en Internet implica necesariamente la verificación de su edad, un requisito que ahora imponen varios instrumentos normativos complementarios, principalmente la Ley de Servicios Digitales (DSA) y el Reglamento General de Protección de Datos (RGPD), según la interpretación autorizada del Comité Europeo de Protección de Datos (CEPD). El cumplimiento de estas obligaciones exige a los proveedores de servicios la implantación de sistemas de verificación de edad; sin embargo, aún no se ha consolidado ningún modelo eficaz que no dé lugar a un tratamiento desproporcionado de los datos personales. La cartera de Identidad Digital de la UE (EUDI) tiene por objeto constituir la solución técnica definitiva que preserve la privacidad, pero aún no ha alcanzado su pleno despliegue. Mientras tanto, la Comisión ha presentado una solución puente.

La obligación de la DSA: cuándo se requiere la verificación

La DSA y sus directrices de aplicación obligan a los proveedores de plataformas en línea accesibles a menores a establecer medidas adecuadas y proporcionadas para garantizar un alto nivel de privacidad, seguridad y protección de los menores en sus servicios. En particular, de la DSA se desprenden tres aspectos fundamentales:

• En primer lugar, un proveedor no puede basarse únicamente en una cláusula de sus condiciones de uso que prohíba el acceso a menores para argumentar que la plataforma queda fuera del ámbito de aplicación de la obligación.
• En segundo lugar, la autodeclaración no cumple los requisitos de fiabilidad y precisión, ni constituye un método adecuado de verificación de edad.
• En tercer lugar, para los servicios de alto riesgo -incluido el acceso a contenidos para adultos de carácter sexual y los juegos de azar-, la verificación de edad es una medida adecuada y proporcionada. Se indican específicamente como conformes los métodos basados en documentos de identidad verificados emitidos por las autoridades públicas que no revelan datos adicionales a la plataforma, tales como los tokens de edad anonimizados.

Sin embargo, la DSA no especifica cómo debe realizarse la verificación. Ahí es donde entran en juego el RGPD -y el CEPD-.

La restricción del RGPD: cómo debe diseñarse la verificación

El 11 de febrero de 2025, el CEPD adoptó la Declaración 1/2025 sobre la verificación de edad. La Declaración es un documento orientativo -no un instrumento vinculante-, pero reviste una importancia práctica considerable. Establece principios de alto nivel derivados del RGPD y proporciona directrices específicas que deberían tenerse en cuenta cuando se tratan datos personales en el contexto de la verificación de edad. Aunque no son obligatorios en sí mismos, es probable que estos principios orienten el enfoque de las autoridades nacionales de control en los procedimientos de ejecución, y cualquier plataforma -o proveedor de verificación externo- que se aparte de ellos deberá estar preparada para justificar su enfoque alternativo.

Los tres principios con mayor incidencia práctica son:

• Prevención de riesgos en materia de protección de datos y limitación de la finalidad. El tratamiento de datos personales con fines de verificación de edad no debe servir para el cumplimiento de finalidades ajenas a la propia verificación. A este respecto, basándose en los últimos avances en materia de verificación de edad, el CEPD aboga por tecnologías y arquitecturas que favorezcan que los datos permanezcan bajo el control del usuario y que el tratamiento se realice de forma local y segura (en el propio dispositivo), lo que hace posible la no vinculabilidad y la divulgación selectiva de datos personales bajo el control del interesado.
• Minimización de datos. Los proveedores de servicios y cualquier tercero implicado en la verificación de edad solo deben tratar los atributos relacionados con la edad que sean estrictamente necesarios para su finalidad específica, explícita y legítima. El responsable del tratamiento solo debe recabar los datos personales que sean necesarios, adecuados y pertinentes para las finalidades previstas. En muchos casos, por ejemplo, es posible que el proveedor de servicios solo necesite saber si el usuario supera o no un umbral de edad.
• Limitación del plazo de conservación. El cumplimiento del principio de limitación del plazo de conservación y el uso de períodos de conservación breves también pueden ser esenciales para la seguridad en la verificación de edad, ya que reducen el riesgo de exposición. Una política de supresión inmediata puede considerarse una garantía valiosa: una vez verificada la edad del usuario, no se conserva ningún registro de los datos personales utilizados en el proceso de verificación.

La interpretación de la AEPD

La AEPD ha articulado, a través de su Decálogo de principios y las pruebas de concepto técnicas que lo acompañan, un marco de referencia detallado sobre cómo debe configurarse un sistema de verificación de edad conforme a la normativa. El Decálogo de la AEPD exige un sistema que garantice que no sea posible identificar, rastrear o localizar a menores a través de Internet. Asimismo, el sistema debe producir un único resultado binario -acceso autorizado o no- sin revelar en ningún momento la edad exacta o la fecha de nacimiento del usuario, y debe asegurar que las credenciales de acceso permanezcan anónimas tanto para los proveedores de servicios de Internet como para terceros.

Para demostrar que esto es factible en la práctica, la AEPD, en colaboración con el Consejo General de Colegios Profesionales de Ingeniería Informática, desarrolló una serie de pruebas de concepto basadas en una separación arquitectónica clara entre la gestión de la identidad, la verificación de edad y el filtrado de contenidos. La arquitectura se basa en dos aplicaciones -una para el acceso a contenidos y otra para la verificación- y está diseñada de modo que todo el proceso se lleva a cabo en el dispositivo del usuario sin acceder a recursos externos. La aplicación de verificación actúa como intermediaria entre los proveedores de identidad existentes y el servicio de contenidos, y genera únicamente la condición «autorizado para acceder».

En contraste con lo anterior, en marzo de 2026, la AEPD dictó una resolución contra un proveedor de verificación de edad que ofrecía una solución no conforme con el RGPD. Cabe señalar que en la resolución no se implicó ni se multó a ningún responsable del tratamiento que utilizara los servicios de verificación de edad, pero esto podría no ser así en caso de que se interpusiera una reclamación o se iniciara una investigación dirigida tanto contra el proveedor externo como contra el responsable del tratamiento.

La AEPD constató que la aplicación de identidad digital del proveedor exigía a los usuarios enviar un escaneo facial para crear una cuenta, sin ofrecer formas alternativas de verificar la edad. Esto generaba una plantilla facial biométrica persistente, lo que suponía el tratamiento de datos de categorías especiales, utilizados tanto para la autenticación como para la identificación. La autoridad también detectó infracciones adicionales relacionadas con el consentimiento obtenido mediante casillas marcadas de antemano y con períodos de conservación excesivos de las plantillas biométricas, los datos de geolocalización y los datos relacionados con la verificación. La multa total ascendió a 950.000 euros, de los cuales 500.000 euros correspondían a la ausencia de una base jurídica válida para el tratamiento de datos de categorías especiales.

La solución puente y el camino hacia la cartera EUDI

Es en este contexto -una obligación de verificar, un riguroso conjunto de requisitos sobre cómo hacerlo y una práctica sancionadora que anticipa la actuación de los reguladores- en el que la Comisión emitió una recomendación instando a los Estados miembros a acelerar el despliegue de la aplicación de verificación de edad de la UE.

La aplicación se presenta explícitamente como una solución puente: un conjunto de herramientas armonizadas y transfronterizas diseñadas para funcionar mientras la cartera EUDI alcanza su plena implantación. Su objetivo es garantizar que las soluciones conformes se encuentren disponibles en todos los Estados miembros a más tardar el 31 de diciembre de 2026.

La arquitectura propuesta es una respuesta directa al marco del CEPD: un modelo de doble ciego en el que el proveedor de verificación desconoce a qué servicios accede el usuario, y la plataforma solo recibe una confirmación de umbral («mayor de 18 años»), nunca una identidad. Los mecanismos técnicos utilizados para lograrlo incluyen tokens de edad anonimizados, rotación de claves y pruebas de conocimiento cero, las mismas herramientas criptográficas que el CEPD considera compatibles con los requisitos de no vinculabilidad y minimización de datos del RGPD.

La cartera EUDI, una vez que esté plenamente implantada, representará la arquitectura definitiva: credenciales verificables bajo el control del ciudadano que permitirán la divulgación selectiva de un único atributo -la mayoría de edad- sin revelar ninguna otra información identificativa. La aplicación propuesta está diseñada para ser compatible con el marco de la cartera EUDI desde el principio, de modo que la transición, cuando se produzca, sea técnicamente fluida.

Comentario de Osborne Clarke

Para las empresas que prestan servicios sujetos a restricciones de edad, la primera cuestión que deberían plantearse es si el método de verificación actualmente empleado trata datos que exceden de una mera indicación de cumplimiento del umbral de edad -esto es, si recoge, conserva o comunica datos más allá de lo que la finalidad de la verificación estrictamente requiere-. La respuesta puede determinar si un sistema considerado razonable en el momento de su implantación sigue siendo defendible en la actualidad, tanto en términos de eficacia en la verificación de edad como de cumplimiento de los requisitos del RGPD.