La Recomendación sobre elestablecimiento de un marco común para las tecnologías de verificación de la edad a escala de la UE, C(2026) 4225 final, publicada por la Comisión
ayer (disponible, de momento solo en inglés), obedece, en buena medida, a la
necesidad de la Comisión de dar una respuesta a los heterogéneos anuncios de
medidas a nivel nacional, en particular, la intención de prohibir el acceso de
ciertos menores a redes sociales anunciadas por los gobiernos de varios Estados
miembros. Se trata de futuribles medidas nacionales que podrían resultar incompatibles
con el mercado interior y el marco de armonización en materia de servicios
digitales que incluye medidas para proteger a los menores a escala de la Unión.
Frente al riesgo de fragmentación inherente a esos anuncios nacionales, este
nuevo instrumento no vinculante pretende contribuir a promover la introducción
de herramientas importantes para la aplicación efectiva del acervo de la Unión relativo
a la protección de los menores en Internet, incluyendo recomendaciones sobre un
marco de referencia común en materia de verificación de la edad (apdos. 5 a 11
de la Recomendación). Se recomiendan medidas cuya adopción por los Estados miembros
permitiría garantizar el acceso por todos los ciudadanos de la UE a un sistema
de verificación de la edad fiable y que respete la privacidad antes del final
del presente año, a lo que se espera que contribuya el desarrollo por la
Comisión de un modelo de solución de verificación de edad, con especificaciones
técnicas, (blueprint), así como la aplicación del régimen de los proveedores
de soluciones de certificación de la edad y de verificación de la edad en tanto
que declaraciones electrónicas de atributos en el marco del Reglamento (UE)
910/2014 (eIDAS). Por ejemplo, tal sería el caso de una solución de
verificación de la edad solo indica al prestador concernido si el usuario tiene
al menos una determinada edad. Tal información puede ser creada por un emisor
de confianza sobre la base, por ejemplo, del documento de identidad digital del
Estado del usuario y recibida desde una aplicación en su dispositivo. Se
contempla la creación por la Comisión de un sistema de verificación de la edad
de la UE, con los requisitos exigidos a los proveedores de certificados de edad
y de soluciones de verificación de la edad, y los mecanismos para comprobar la
fiabilidad de dichos proveedores. También se prevé la elaboración de una lista
de las soluciones de verificación de la edad que cumplan los estándares modelo
de verificación de la edad de la UE, así como una lista de proveedores de
confianza de certificados de edad.
Más allá de la referencia a esos aspectos centrales de la Recomendación,
en esta reseña me voy a detener en dos elementos. Por una parte, las carencias
de la Recomendación en lo relativo a la exposición del marco legal de la Unión
que justifica la exigencia de verificación de edad en relación con el uso de
servicios digitales por menores. Esa exposición resulta muy ilustrativa de las
tradicionales deficiencias de la aplicación del acervo de la UE respecto de los
prestadores de servicios digitales, de manera específica en lo que tiene que
ver con la protección de menores en Internet (I, infra). Por otra parte,
resulta de interés detenerse en las advertencias a los Estados miembros acerca
de cómo el acervo de la Unión en materia de servicios de la sociedad de la
información y de servicios digitales condiciona y limita decisivamente la
posibilidad de que los Estados miembros adopten medidas a nivel nacional (II, infra).
I. Inobservancia del acervo de la Unión en materia de protección de
menores en Internet: referencia al RGPD
El extenso (relativamente) preámbulo de la Recomendación incluye una
exposición del marco normativo de la Unión relativo a la protección de menores
en Internet (cdos. 2 a 13.) Dedica especial atención a las disposiciones del
Reglamento (EU) 2022/2065 de Servicios Digitales (RSD), con especial referencia
a su artículo 28, dedicado a la protección de menores en línea, y a las medidas
frente a los riesgos sistémicos también en este ámbito que puedan plantear las
plataformas y buscadores de muy gran tamaño (arts. 34 y 35). Se destaca también
la relevancia de las Directrices adoptadas el año pasado por la Comisión en
virtud del artículo 28.4 RSD, para guiar a los prestadores de plataformas en
línea en el establecimiento de las medidas relevantes para alcanzar un elevado
nivel de privacidad, seguridad y protección de los menores, que reseñé en su
momento en esta entrada. Junto a ciertos instrumentos en materia de
protección de los consumidores y de prácticas comerciales desleales, también
reciben atención específica las disposiciones de la Directiva sobre servicios
de comunicación audiovisual, en particular las obligaciones de los proveedores
de plataformas de intercambio de vídeos en relación con los contenidos
audiovisuales nocivos y su repercusión en relación con la protección de menores
(a la eventual evolución del marco de transposición español en el Proyecto de
Ley Orgánica para la protección de las personas menores de edad en los entornos
digitales, me referí en esta otra entrada).
A la luz de esos considerandos y del conjunto de la Recomendación resulta
sorprendente que cuando se detalla el marco normativo de la UE en materia
protección de menores del que deriva la exigencia de implementar (por parte de
prestadores de servicios en línea) mecanismos de verificación de edad no se
haga referencia al RGPD. Como es bien conocido, el artículo 8 RGPD solo permite
el tratamiento de datos personales de un niño fundado en su consentimiento cuando
tenga como mínimo 16 años, o la edad entre 13 y 16 años prevista en la
legislación nacional de desarrollo. En el caso de España, conforme al artículo
7 de la LO 3/2018 de Protección de Datos Personales y garantía de los derechos
digitales, el tratamiento de los datos personales de un menor de edad
únicamente puede fundarse en su consentimiento cuando sea mayor de catorce
años. Solo es lícito el tratamiento de los datos de los menores de catorce años
fundado en su consentimiento, cuando consta el del titular de la patria
potestad o tutela y sólo en la medida en que lo autorizó.
Conforme a la jurisprudencia del Tribunal de Justicia, el tratamiento de
los datos personales del usuario (menor o no) de una red social típicamente no
puede fundarse en que es necesario para la ejecución del contrato de prestación
del servicio de red social (art. 6.1.b RGPD) o para la satisfacción de
intereses legítimos (art. 6.1.f RGPD), ni tampoco en otra base de licitud
distinta al consentimiento (y siempre que este se obtenga cumpliendo los
requisitos del RGPD). En consecuencia, el acceso generalizado de menores a
algunos de esos servicios, al margen del consentimiento del titular de su
patria potestad, como consecuencia de la ausencia de controles efectivos sobre
la edad de quienes acceden a esos servicios, parece suponer una vulneración del
RGPD, que ha no recibido la atención que merecía por las autoridades
competentes.
Llama la atención el silencio de la Recomendación con respecto a la
importancia de las medidas de verificación de la edad para el cumplimiento con
lo dispuesto en el artículo 8 RGPD. Se trata de una norma aplicable -al menos
sobre el papel, conforme al artículo 99 RGPD- desde el 25 de mayo de 2018. En
consecuencia, la Recomendación es testimonio de la ineficacia del marco de la
Unión relativo a la ordenación de los prestadores de servicios digitales (en
este caso, en tanto que responsables del tratamiento de datos personales de sus
usuarios), en particular, en lo relativo a la protección de los menores que los
usan, como consecuencia de la reiterada falta de aplicación de manera eficaz de
normas esenciales de la Unión a estos determinados prestadores de servicios en
línea.
II. Límites del Derecho de la Unión a la adopción de medidas nacionales para la protección de menores en servicios digitales
En el contexto de los anuncios por los gobiernos de distintos Estados
miembros de futuribles medidas nacionales restrictivas del acceso de ciertos
menores a plataformas, resulta significativo que el considerando 21 de la Recomendación
se esfuerza en destacar los importantes límites que derivan del actual marco de
la Unión con respecto a ese tipo de iniciativas nacionales, que serían una
fuente de fragmentación del mercado interior. A partir de la constatación de
que el RSD armoniza plenamente los requisitos aplicables a los servicios de intermediación
con el objetivo de garantizar un entorno en línea seguro, predecible y de
confianza, lo que incluye garantizar un alto nivel de protección de los menores
conforme a su artículo 28, la exposición de motivos de la Recomendación pone de
relieve que la adopción de normas nacionales restrictivas de tales servicios
deberán ser conformes con el artículo 3, sobre mercado interior, de la
Directiva 2000/31 sobre el comercio electrónico. Este artículo impone una
prohibición de amplio alcance a los Estados miembros con respecto a la adopción
de medidas que restrinjan la libertad de prestación de servicios de la sociedad
de la información -por ejemplo, de plataforma en línea- establecidas en otro
Estado miembro.
Las medidas restrictivas nacionales solo pueden ser compatibles con el
Derecho de la Unión cuando persigan otros intereses públicos legítimos
distintos de los ya perseguidos por el RSD (en la jurisprudencia del TJUE
resultan de interés a este respecto sus sentencias sobre la interacción entre
el criterio de origen de la Directiva sobre comercio electrónico y las medidas nacionales
de aplicación del Reglamento (UE) 2019/1150 sobre servicios de intermediación
en línea, reseñadas aquí). La Comisión reitera su criterio de
que los Estados miembros pueden adoptar
ciertas leyes que establezcan una edad mínima para acceder a determinados
productos o servicios ofrecidos en plataformas en línea, pero respetando las
exigencias del Derecho de la Unión. Las medidas nacionales no pueden imponer
obligaciones adicionales a las plataformas en línea, incluidas las obligaciones
de verificación de la edad, habida cuenta de que los objetivos de tales medidas
se solaparían con los que ya persigue el RSD. En todo caso, las indicaciones
contenidas en el considerando 21 resultan un tanto imprecisas, al no proporcionar
elementos adicionales acerca de en qué supuestos y con qué alcance la
imposición por los Estados de una edad
mínima para acceder a determinados productos o servicios de plataformas en
línea -que típicamente tendrá que ser respaldada por un método de verificación
de la edad- resulta conforme con el Derecho de la Unión.
Además, en los considerandos 22 a 24 de la Recomendación la Comisión
recuerda que las eventuales medidas nacionales para restringir el acceso de los
menores a las plataformas en línea serían proyectos de reglamentos técnicos que
pueden afectar a servicios de la sociedad de la información que deben ser
comunicados con carácter previo a la Comisión, de conformidad con la Directiva
(UE) 2015/1535. Al margen de la referencia a ciertas vías de colaboración en
los apartados 11 y 12 de la Recomendación, su exposición de motivos destaca que
la notificación de un proyecto de reglamento técnico tiene por efecto la
apertura de un período de tres meses, susceptible de ser prorrogado, durante el
cual el Estado miembro no puede adoptar el proyecto de reglamento técnico
notificado. Se recuerda, además, que, conforme a la jurisprudencia del TJUE el
incumplimiento de la obligación de notificación -o de respetar el periodo de
statu quo- determina que la medida nacional, en caso de ser adoptada, no sea
oponible a los particulares en los procedimientos judiciales nacionales (vid.,
por ejemplo, aquí). Advierte, por último, la Comisión acerca
de la posibilidad de incoar procedimiento de infracción frente a los Estados
miembros que pretendan adoptar medidas restrictivas sin respetar estas
exigencias (cdo. 24).
