Entre los ámbitos en los que la aplicación efectiva del marco legal a las
actividades en línea ha presentado mayores carencias se encuentra el relativo a
las restricciones de ciertas actividades respecto de menores. Restricciones,
por cierto, orientadas a la salvaguarda de derechos fundamentales. Sin ir más
lejos, resultan notorias las prohibiciones a la difusión de ciertos contenidos
entre menores, las prohibiciones relativas a la comercialización de
determinados productos o servicios a quienes no han alcanzado una determinada
edad, así como las especiales restricciones al tratamiento de datos personales
de quienes no han alcanzado una determinada edad. La exigencia de cumplir con
esas prohibiciones en el entorno digital no está subordinada al desarrollo de
soluciones tecnológicas que hagan particularmente sencillo y poco gravoso su
cumplimiento por quienes llevan a cabo esas actividades de prestación de
servicios o tratamiento de datos personales. Al contrario, son quienes llevan a
cabo las actividades que infringen de manera sistemática tales prohibiciones
-por ejemplo, permitiendo el acceso o facilitando el tratamiento de datos personales
con base en una mera autodeclaración del interesado de que alcanza la edad
requerida- quienes desde el principio deberían adaptar (haber adaptado) su
modelo de negocio para no vulnerar sistemáticamente tales prohibiciones. Sin
duda, la deficiente aplicación por las autoridades competentes del marco
jurídico ya existente -sin perjuicio de la conveniencia de su progresiva
adaptación- se encuentra en el origen de los problemas de desprotección y
manipulación de los menores en línea. En este contexto, tiene interés hacer
referencia a dos textos recientes. Por una parte, la versión para consulta
pública de Directrices de la Comisión Europea para garantizar un elevado nivel de privacidad, seguridad y protección de los menores conforme al artículo 28.4 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD). Por otra parte, el
Proyecto de Ley Orgánica para la protección de las personas menores de edad en
los entornos digitales. Comenzaré con el primero de esos dos instrumentos.
Tanto en esta reseña como en la siguiente, relativa al Proyecto de Ley Orgánica, me
limitaré a hacer referencia a algunos aspectos puntuales que suscitan estas
iniciativas.
I. Contexto y significado de las Directrices
El artículo 28.4 RSD establece la posibilidad
de que la Comisión proporcione “directrices para guiar” a los prestadores de
plataformas en línea accesibles a los menores en la aplicación de la obligación
de establecer “medidas adecuadas y proporcionadas para garantizar un elevado
nivel de privacidad, seguridad y protección de los menores en su servicio”, que
les impone el apartado 1. El apartado 2 prohíbe a esos prestadores
presentar anuncios en su interfaz basados en la elaboración de perfiles, en el
sentido del artículo 4.4 RGPD, mediante la utilización de datos personales del
destinatario del servicio “cuando sean conscientes con una seguridad razonable
de que el destinatario del servicio es un menor”. Por su parte, como reflejo del principio de minimización de datos (art.
5.1.c RGPD), el apartado 3 del artículo 28 RSD incluye la precisión de que el cumplimiento
de las obligaciones establecidas en el artículo 28 “no obligará a los
prestadores de plataformas en línea a tratar datos personales adicionales a fin
de evaluar si el destinatario del servicio es un menor”.
Las Directrices proporcionan orientaciones
sobre las medidas cuya implantación por las plataformas la Comisión considera
que son adecuadas para cumplir con el artículo 28.1 RSD. Se trata de
orientaciones sobre buenas prácticas que la Comisión tiene previsto utilizar
como referencia al valorar si los proveedores de plataformas en línea
accesibles a los menores cumplen dicha disposición. Cabe esperar que también
sirvan como referencia a las autoridades nacionales competentes, en la medida
en que la supervisión del cumplimiento del artículo 28.1 del RSD recae
principalmente en los Estados miembros, salvo cuando se trata de plataformas en
línea de muy gran tamaño conforme al artículo 33 RSD, que sí son supervisadas
directamente por la Comisión.
El artículo 28, relativo a la protección de
los menores en línea, forma parte de la sección 3 (“Disposiciones adicionales
aplicables a los prestadores de plataformas en línea”) del capítulo III (“Obligaciones
de diligencia debida para crear un entorno en línea transparente y seguro”) del
RSD. Cabe recordar que, a los efectos de la aplicabilidad de las obligaciones
que establece su Capítulo III, el RSD diferencia, tres subcategorías de
prestadores de servicios de alojamiento de datos. La más amplia es la de los
prestadores de servicios de plataformas en línea. Conforme al artículo 3.j)
RSD, un elemento que caracteriza a los servicios de plataformas en línea frente
a otros servicios de alojamiento es que no solo almacenan información a
petición de los destinatarios de sus servicios, sino que también la difunden al
público, como es característico, por ejemplo, de las redes sociales. La
difusión al público supone que la información se ponga a disposición de un
número potencialmente ilimitado de personas a petición del destinatario que ha
facilitado la información (art. 3.k) RSD). Esta circunstancia resulta
determinante para dejar ciertos servicios de alojamiento de datos al margen normalmente
de las obligaciones impuestas a las plataformas (y a sus subcategorías) en el
RSD. Tal es el caso de los servicios típicos de computación en nube o de
alojamiento web, incluso aunque proporcionen la infraestructura para el
alojamiento de un sitio web o de una plataforma, así como de los servicios de
comunicaciones interpersonales, limitados a la comunicación entre un número
finito de personas fijado por el remitente (cdos. 13 y 14 RSD). La definición
de plataforma en línea en el artículo 3.j) RSD se complementa con la precisión
de que no abarca las situaciones en las que la actividad de difusión al público
resulta menor y accesoria. En concreto, quedan excluidas aquellas situaciones
en las que la difusión de información al público presenta alguna de estas dos
circunstancias, bien es una característica menor y puramente auxiliar de otro
servicio, bien es una funcionalidad menor de otro servicio que no puede
utilizarse sin él por razones objetivas y técnicas. Además, se requiere que la
integración de la característica o funcionalidad en el otro servicio no sea un
medio para eludir la aplicación del RSD. Como ejemplo de situaciones en las que
la difusión de información puede resultar una característica menor y auxiliar
de otro servicio, el considerando 13 del RSD menciona la sección de comentarios
de un periódico en línea con respecto a la publicación de noticias bajo la
responsabilidad del editor.
En todo caso, al formar parte de la sección 3
del Capítulo III del RSD, resulta claro que las obligaciones en materia de
protección de menores que establece su artículo 28 no es exigible sólo a la
reducida categoría de plataformas en línea de muy gran tamaño sino al conjunto
de las plataformas en línea, aunque no alcancen los umbrales para considerar
que generan riesgos sistémicos, salvo que se trate de microempresas y pequeñas
empresas, a las que en virtud del artículo 19 no resulta de aplicación la
sección 3 del capítulo III. Por otra parte, con respecto a las “plataformas en línea de muy gran tamaño” en
los términos del artículo 33, junto al artículo 28 (y el resto de las
obligaciones aplicables al conjunto de las plataformas), resultan de aplicación
con carácter adicional las obligaciones establecidas en la sección 5 del
Capítulo III RSD, para hacer frente a riesgos sistémicos, entre los que figuran
de manera destacada la difusión de contenido ilícito a través de sus servicios,
así como posibles efectos negativos para el ejercicio de derechos
fundamentales.
El encuadramiento
sistemático del artículo 28 en el Capítulo III del RSD condiciona que su ámbito
de aplicación venga determinado, en primer lugar, por lo dispuesto con carácter
general en el artículo 2 RSD, que debe interpretarse a la luz de otras
disposiciones del RSD, especialmente sus artículos 3.d) y 3.e). En
consecuencia, la obligación que establece el artículo 28 es de aplicación
respecto de los servicios de plataforma ofrecidos a destinatarios que tengan su
lugar de establecimiento o estén situados en la Unión, con independencia de cuál
sea el lugar de establecimiento del prestador del servicio de plataforma en
línea. Tal ofrecimiento se considera que existe básicamente siempre que la
plataforma dirija sus
actividades hacia uno o más Estados miembros o tenga un número significativo de
usuarios en la Unión.
La particularidad en
este caso es que la obligación del artículo 28.1 RSD va referida únicamente a
las “plataformas en línea accesibles a los menores” y no al conjunto de las
plataformas. Por lo tanto, resulta clave la delimitación de cuando una
plataforma se considera “accesible a los menores”. El considerando 71 RSD
incluía ya importantes precisiones al respecto. En concreto, aclara que ese
presupuesto puede cumplirse cuando concurre alguna de estas tres circunstancias:
que las condiciones generales de la plataforma permitan a los menores utilizar
el servicio; que el servicio esté dirigido a menores o sea utilizado
predominantemente por ellos; o que el prestador del servicio sea “consciente de
que algunos de los destinatarios de su servicio son menores”.
Como ejemplo de supuesto en el que concurre
la última de esas circunstancias, el considerando 71 RSD hace referencia a
supuestos en los que el prestador del servicio “trata para otros fines datos
personales de los destinatarios de su servicio que revelan su edad”. Por su
parte, las Directrices de la Comisión hacen referencia, como otros posibles
ejemplos de situaciones en las que el prestador del servicio puede tener
conocimiento de que algunos de los destinatarios de su plataforma son menores,
en particular, a los supuestos en los que es conocido que la plataforma resulta
atractiva para menores, ofrece servicios similares a los utilizados por menores
o se promociona entre menores. Este último ejemplo ilustra que entre las tres
circunstancias que contempla el considerando 71 RSD no existe una delimitación
precisa. El que la plataforma se promocione entre menores también parece un
elemento clave para establecer que el servicio está dirigido a menores, pues no
cabe exigir para interpretarlo así que el servicio deba ir dirigido
específicamente a menores, sino que basta con que vaya dirigido a un público
más amplio que incluya menores.
En todo caso, parece
claro que el criterio de que la obligación del artículo 28.1 RSD sea de
aplicación cuando una plataforma sea “accesible” a los menores refleja una
voluntad del legislador de dotar de un alcance amplio a la exigencia de
adopción de medidas de protección de los menores, precisamente para asegurar la
tutela de sus derechos. Obviamente, la accesibilidad no requiere que se trata
de servicios intermediarios “dirigidos principalmente a menores” o “que sean
utilizados predominantemente por menores”, situaciones a las que hace
referencia el considerando 45 RSD en relación con la exigencia de un esfuerzo
especial para que la explicación de sus condiciones generales sea comprensible
con facilidad por los menores. La accesibilidad no requiere siquiera que el proveedor del servicio tenga la intención
de atraer a menores o de dirigir sus actividades a éstos o que el servicio esté
deliberadamente configurado para conseguir alguno de esos objetivos. Aunque
no se cumplan esos elementos, será suficiente con que un volumen relevante de
menores acceda al servicio en cuestión. En este sentido, las Directrices
aclaran que la mera declaración por parte del proveedor en sus condiciones
generales de que el servicio no es accesible a los menores, si no va acompañado
de medidas efectivas para evitar el acceso de los menores, no resulta
suficiente para excluir la plataforma en cuestión del ámbito de aplicación del
artículo 28.1 RSD.
Por lo demás, frente al criterio del artículo
28.1 RSD, es conocido que otras normas del Derecho de la Unión subordinan su
aplicación no solo que el servicio en cuestión esté accesible sino a que la actividad
del prestador del servicio vaya dirigida a un determinado territorio. Es el
caso, por ejemplo, en materia de protección de los consumidores en la
contratación internacional, del artículo 17.1.c) del Reglamento 1215/2012 o
Reglamento Bruselas I bis y del artículo 6.1.c) del Reglamento Roma II; e
incluso, aunque con matices, en otros sectores, del artículo 3 RGPD, del
artículo 2.1 Reglamento MICA o del propio art. 2.1 RSD –en combinación con sus
arts. 3.d) y 3.3)- que condiciona el ámbito de aplicación espacial del propio
art. 28 RSD. Aunque en la interpretación de estas normas, la mera accesibilidad
del contenido no es suficiente para apreciar que las actividades van dirigidas
a un territorio o que lo servicios se ofrecen o se prestan a quienes están ahí,
resulta de interés apreciar que el criterio de que las actividades van
dirigidas a un territorio no requiere tampoco que vayan específicamente
referidas a ese territorio, ni que el servicio esté deliberadamente configurado
para ello. También cabe entender que puede concurrir, en particular, cuando el
prestador no ha implementado medidas efectivas para evitar la contratación con
quienes están en ese territorio y efectivamente ha concluido un número
relevante de transacciones (en la medida en que se está beneficiando de operar
con quienes están en ese territorio es razonable que quede sometido al
cumplimiento del marco normativo relevante).
III. Contenido: implementación de medidas
Las Directrices detallan un conjunto de
medidas cuya implementación por los prestadores de servicios de plataforma
resulta determinante para cumplir con su obligación de adoptar medidas
adecuadas y proporcionadas para proteger a los menores. En este sentido,
desarrolla y complementa algunas de las posibles medidas contempladas ya en el
considerando 71 RSD.
Tales medidas incluyen una evaluación de
riesgos por parte de las plataformas, en particular, valorando la probabilidad
de que los menores accedan a su servicio e identificando los tipos de riesgos
que puedan vulnerar los derechos de los menores. Con respecto a las plataformas
en línea de muy gran tamaño y los motores de búsqueda de muy gran tamaño –en
los términos del art. 33 RSD-, la Comisión precisa que esta evaluación de
riesgos debe complementar la prevista en el artículo 34 RSD.
Otras recomendaciones y buenas prácticas
relativas a las medidas que las plataformas deberían implementar y su
configuración van referidas a cuestiones diversas, algunas de las cuales
contemplan cómo adaptar a las particularidades de los menores, algunas de las otras
obligaciones de diligencia debida previstas en las Secciones I a 3 del RSD.
Entre otros aspectos, las Directrices incluyen recomendaciones a las
plataformas en cuestiones como: la adaptación del proceso de registro de los
usuarios; la configuración de la cuenta de los usuarios, con referencia a los ajustes,
características y funcionalidades que deben activarse o desactivarse por
defecto (destacando la relevancia de la configuración de las cuentas como privadas por defecto); el diseño de la interfaz en línea, con herramientas y opciones que
faciliten a los menores decidir cómo su interacción con el servicio; los sistemas
de recomendación y de búsqueda, con referencia a los parámetros y factores que
deben tenerse en cuenta; recomendaciones de transparencia e información que
debe proporcionarse a los menores en relación con las prácticas comerciales,
las transacciones económicas y la publicidad; las prácticas de moderación de
contenidos que afectan a los menores, con indicaciones tendentes a reducir los
riesgos de difusión de contenidos ilícitos y nocivos a menores; buenas
prácticas para adaptar los mecanismos de información, comentarios y quejas para
menores, así como las herramientas y controles para tutores; y recomendaciones
sobre la configuración y la información que deben incluir sus condiciones
generales, incluyendo acerca del funcionamiento de las medidas adoptadas para
proteger a los menores.
IV. Especial referencia a la verificación de la edad
Particular interés presentan
las recomendaciones relativas a la aplicación de medidas de control de la edad,
por su importancia en relación con las prohibiciones relativas a la
comercialización de determinados productos o servicios a quienes no han
alcanzado una determinada edad, así como las especiales restricciones al
tratamiento de datos personales de quienes no han alcanzado una determinada edad.
Parte de la exigencia
de que el prestador de servicio de plataforma evalúa entre los diversos mecanismos
de control de la edad cuál es el más adecuado para hacer frente a los riesgos
que su concreto servicio plantea con respecto a los menores. Diferencia la
Comisión, básicamente, entre tres tipos de medidas: la mera autodeclaración del
usuario de escasa relevancia como método para comprobación de la edad, la
estimación de la edad probable basada en indicios, y la verificación efectiva de
la edad.
Las Directrices identifican un conjunto de
situaciones en las que considera necesaria el empleo de la medida de mayor alcance,
como es la introducción de mecanismos de verificación de edad. Entre ellas se
incluyen los que tienen que ver con el ofrecimiento de servicios que se ven
afectados por prohibiciones
relativas a la comercialización de determinados productos o servicios a quienes
no han alcanzado una determinada edad, como es el caso de los juegos de azar, difusión
de pornografía o comercialización de bebidas alcohólicas. También se incluyen
los servicios cuyos términos y condiciones exigen una edad mínima por los
riesgos que generan para los menores, de modo que la mera autodeclaración o la
estimación de la edad no resultan suficientes.
Desde el punto de vista práctico, presenta singular
relevancia los métodos disponibles para la verificación efectiva de la edad, en
las situaciones en las que ésta se considera necesaria, que también deberían
incluir aquellas en las que la legislación de protección de datos personales sólo
considera lícito el tratamiento de datos cuando el interesado supere una
determinada edad (véase el ‘Statement 1/2025 on Age Assurance’, adoptado el 11
de febrero pasado por el EDPB). La Comisión destaca que los métodos basados en
identificaciones verificadas y fiables emitidas por el gobierno pueden ser
especialmente eficaces para la eficaz de verificación de la edad, con referencia
específica a la “cartera europea
de identidad digital”, como medio de identificación electrónico regulado en el Reglamento
(UE) 2024/1183 que modificó el Reglamento (UE) 910/2014 en lo que respecta al
establecimiento del marco europeo de identidad digital. Ahora bien, constata
que la fecha prevista para que esté en funcionamiento es finales de 2026, de
modo que no es una opción disponible en la actualidad. Por ello, señala que,
con carácter transitorio la Comisión está desarrollando una solución de
verificación de la edad de la UE que pueda utilizarse como método de
verificación de la edad basado en dispositivos.
Como único ejemplo de buena práctica a estos
efectos, las Directrices hacen referencia a la verificación de edad mediante un
mecanismo que únicamente informa al prestador del servicio de plataforma si el
usuario supera la edad requerida, cuando esa información es creada por un
emisor de confianza basándose en el documento de identidad electrónico nacional
del usuario y se genera desde una aplicación en el usuario del teléfono. De
momento, parece un estándar alejado de las prácticas habituales de buena parte
de las plataformas preferidas por los jóvenes, pese a que implican el
tratamiento de datos personales en circunstancias que parecerían exigir una
previa comprobación efectiva de que superan la edad mínima prevista para que el
tratamiento de sus datos se considere lícito.