La reciente publicación conjunta de la AEPD y la CNMC sobre las directrices que desarrollan el artículo 28 del Reglamento de Servicios Digitales (DSA) ha puesto el foco en la protección de los menores en entornos digitales. Aunque gran parte del debate se ha centrado en la verificación de edad, creo que el aspecto más interesante se encuentra en otro lugar: la importancia de la gestión de riesgos a la hora de diseñar medidas de protección eficaces y proporcionadas.
La principal conclusión que extraigo de estas directrices es que la protección de menores no puede abordarse únicamente desde la tecnología. Antes de implantar cualquier medida, las plataformas deben ser capaces de entender qué riesgos existen, evaluar su impacto y justificar por qué una solución es adecuada y proporcionada.
Lo interesante es que este planteamiento no resulta especialmente nuevo para quienes trabajamos en privacidad, compliance o GRC.
Los que trabajamos en privacidad y GRC estamos acostumbrados a este enfoque. Antes de implantar una medida, analizamos los riesgos asociados a un tratamiento, proceso, producto o servicio y valoramos qué controles son necesarios para mitigarlos.
De hecho, muchas de las cuestiones que plantea la Comisión Europea son muy similares a las que solemos abordar en una evaluación de riesgos o en una EIPD.
La Comisión propone que las plataformas evalúen aspectos como la precisión, fiabilidad, robustez, intrusión o posible discriminación de los mecanismos utilizados para garantizar la edad de los usuarios. Estos criterios, recogidos en la Sección 6.1 de las directrices sobre garantía de edad, obligan a las plataformas a ir más allá de la simple elección de una tecnología concreta. Además, se insiste en la necesidad de valorar alternativas menos invasivas y aplicar principios como la minimización de datos o la protección desde el diseño.
En la práctica, una plataforma online que se encuentre dentro del ámbito de aplicación del artículo 28 debería plantearse un ejercicio muy similar al de una EIPD antes de implantar mecanismos de verificación o estimación de edad.
Si analizamos algunas de las preguntas que plantea la Comisión Europea, los paralelismos son evidentes. Evaluar los riesgos que una plataforma puede generar para los menores recuerda al análisis de riesgos que exige el artículo 35 del RGPD. Cuestionarse si realmente es necesaria una verificación de edad o si existen alternativas menos intrusivas conecta directamente con los principios de minimización de datos y proporcionalidad. Del mismo modo, valorar qué información personal va a tratarse, si determinados colectivos podrían verse afectados de forma desproporcionada o si existen soluciones con menor impacto sobre la privacidad son cuestiones que encajan perfectamente con la filosofía del RGPD y la protección de datos desde el diseño.
Sin embargo, la gestión del riesgo no termina en la evaluación inicial.
Tan importante como analizar los riesgos es revisar qué medidas técnicas y organizativas tiene implantadas la organización para garantizar un equilibrio adecuado entre la protección de los menores y la privacidad de los usuarios.
Al final, más allá de la verificación de edad, las directrices de la DSA refuerzan una idea conocida para quienes trabajamos en privacidad y GRC: antes de decidir qué medida implantar, es necesario entender el riesgo que se pretende gestionar.
