El Comité Europeo de Protección de Datos (CEPD) ha adoptado el Dictamen 1/2025, relativo a la garantía de la edad, con el objetivo de proporcionar orientaciones específicas y principios de alto nivel derivados del Reglamento General de Protección de Datos (RGPD), que deben ser considerados en el tratamiento de datos personales en este contexto.
La "garantía de la edad" se define como el conjunto de métodos utilizados para determinar la edad o el rango de edad de una persona, con distintos niveles de certeza. Este dictamen cobra importancia debido al incremento en la exigencia de protección de los menores en el entorno digital, según lo establecido en el marco regulatorio europeo.
Al implementar sistemas de garantía de edad, se debe considerar, no solo el derecho a la protección de datos personales, sino también otros derechos fundamentales, tales como el derecho a la no discriminación, la integridad personal, la libertad y seguridad, y la libertad de expresión e información. En el caso específico de los menores, el interés superior de estos debe ser una consideración primordial, abarcando todos sus derechos, incluyendo la protección de datos, la protección contra la violencia y la explotación, el acceso a la información, y la debida consideración de sus opiniones.
Este dictamen establece una serie de principios fundamentales que los proveedores de servicios deben seguir al implementar medidas de garantía de la edad:
- La implementación de la garantía de la edad debe respetar plenamente los derechos y libertades fundamentales de las personas físicas, considerando primordialmente el interés superior del menor.
- Se requiere un enfoque basado en el riesgo al implementar medidas de garantía de la edad, asegurando que estas sean proporcionales y compatibles con los derechos y libertades de los individuos, resultando fundamental realizar una Evaluación de Impacto en la Protección de Datos (EIPD) antes de iniciar cualquier procedimiento.
- La garantía de la edad no debe conducir a riesgos innecesarios para la protección de datos, como la identificación, localización, creación de perfiles o seguimiento de personas. El tratamiento de datos personales debe limitarse a los fines específicos de cada caso concreto.
- Los proveedores de servicios solo deben procesar los atributos relacionados con la edad que sean estrictamente necesarios para su finalidad específica, explícita y legítima, debiendo utilizar tecnologías que mejoren la privacidad para limitar la posibilidad de reutilizar los datos personales.
- Los medios empleados para la garantía de la edad deben ser adecuados para alcanzar el objetivo del tratamiento. La eficacia de cualquier medida legalmente exigida debe ser una condición previa para cumplir con los principios de necesidad y proporcionalidad. Esta eficacia se evalúa en función de los siguientes aspectos:
- Accesibilidad. Debe ser ampliamente accesible para que las personas puedan verificar su edad o probar que cumplen con un requisito relacionado con la edad. Se deben ofrecer métodos alternativos para aquellos que puedan ser discriminados por un criterio específico.
- Fiabilidad. Debe proporcionar un nivel adecuado y consistente de precisión al determinar si una persona cumple o no con un requisito relacionado con la edad. Deben existir mecanismos de compensación apropiados.
- Robustez. Debe ser capaz de lidiar con situaciones inesperadas y resistir los intentos razonables de engañar o eludir el sistema.
- El procesamiento de datos personales para la garantía de la edad debe ser lícito, justo y transparente para los usuarios. Los responsables del tratamiento deben informar a los usuarios sobre los datos que se procesarán, cómo se realizará el tratamiento, la posible participación de terceros y los derechos que les asisten.
- Cualquier toma de decisiones automatizada debe cumplir con el RGPD. Se deben proporcionar recursos y mecanismos de reparación adecuados para los usuarios cuyos atributos relacionados con la edad no se establezcan correctamente, debiendo prestar especial atención cuando se trate de menores.
- La garantía de la edad debe diseñarse, implementarse y evaluarse considerando las tecnologías y métodos que mejor preserven la privacidad. Se debe evitar el acceso, tratamiento, intercambio y almacenamiento innecesario de datos personales.
- Se deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad proporcional al riesgo, teniendo en consideración los modelos de confianza, los cuales son imprescindibles para prevenir brechas de seguridad.
- Los proveedores de servicios deben establecer métodos de gobernanza que les permitan ser responsables de su enfoque en la garantía de la edad, demostrando el cumplimiento de las regulaciones de protección de datos y otros requisitos legales aplicables.
En resumen;
- Las organizaciones deben evaluar los riesgos específicos que sus servicios representan para los menores y adoptar medidas de garantía de la edad proporcionales.
- Es fundamental ser transparente con los usuarios, especialmente menores, sobre cómo se utilizan sus datos y obtener el consentimiento adecuado cuando sea necesario.
- La privacidad debe integrarse en el diseño de los sistemas de garantía de la edad, utilizando tecnologías que minimicen la recopilación y el procesamiento de datos.
- Las organizaciones deben establecer un marco de gobernanza claro para la garantía de la edad, definiendo responsabilidades y asegurando que las medidas implementadas son auditables.
En conclusión, el Dictamen 1/2025 del CEPD representa un avance significativo hacia la creación de un entorno digital más seguro para los menores para prevenir riesgos innecesarios de protección de datos y los proveedores de servicios deben implementar medidas y salvaguardas efectivas que impidan que la garantía de edad cause riesgos innecesarios, asegurando así la protección eficaz de los menores sin menoscabar sus derechos fundamentales.
Redactado por Carlota Moreno, a fecha 27 de marzo de 2025.