Por Efrén Díaz Díaz
Efrén Díaz Díaz, responsable del área de tecnología y espacial del Bufete Mas y Calvet, en el presente artículo analiza desde una perspectiva jurídico-crítica el debate emergente en España y en el ámbito de la Unión Europea sobre la fijación de los 16 años como edad mínima para acceder a plataformas de redes sociales.
Resumen
A partir del marco normativo vigente —integrado por el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la Directiva de Servicios de Comunicación Audiovisual y el Reglamento de Servicios Digitales (DSA)— se examina la eficacia real de la prohibición etaria como instrumento de protección, sus limitaciones técnicas de implementación y los riesgos de vulneración de los derechos fundamentales del menor. El análisis propone un enfoque de corresponsabilidad regulatoria distribuida entre plataformas, familias y Estado, articulado sobre los principios del interés superior del menor, la privacidad por diseño y la alfabetización digital como verdadera herramienta de tutela.
1. Introducción: el menor en el ecosistema digital
La presencia de menores de edad en plataformas de redes sociales constituye hoy uno de los fenómenos sociales y jurídicos más complejos de nuestra era, con consecuencias difíciles de determinar para los actuales nativos digitales y para las generaciones venideras.
Según datos del Instituto Nacional de Estadística correspondientes a 2024, el 94,5% de los jóvenes españoles de entre 10 y 15 años utiliza Internet de forma habitual, y más del 70% de los adolescentes de 12 y 13 años dispone de perfil activo en al menos una plataforma de red social, pese a que la edad mínima declarada por dichas plataformas se fija en 13 años en aplicación del marco norteamericano derivado de la Children’s Online Privacy Protection Act (COPPA).
Este desfase entre la realidad sociológica y el marco normativo formal constituye el punto de partida del debate que interesa analizar. No se pretende fijar una posición en términos ideológicos a favor o en contra de la restricción etaria, sino ofrecer un análisis técnico-jurídico riguroso que permita evaluar la aptitud, proporcionalidad y viabilidad efectiva de la elevación de la edad mínima de acceso a redes sociales hasta los 16 años, medida que han adoptado o que están evaluando activamente varios Estados miembros de la Unión Europea, entre ellos España, Francia —que la aprobó mediante Ley núm. 2023-566 de 19 de mayo de 2023— y Noruega.
El análisis se estructura en torno a cuatro ejes: 1) el marco jurídico multinivel aplicable; 2) los problemas técnicos de verificación de edad; 2) los conflictos con derechos fundamentales del menor; y 2) las alternativas regulatorias orientadas a una tutela efectiva y proporcional. A lo largo de estos ejes se prestará atención al papel que corresponde a cada actor del ecosistema digital: legisladores, autoridades de supervisión, plataformas tecnológicas, familias y, en última instancia, los propios menores como titulares de derechos.
2. Marco jurídico multinivel: de Bruselas a Madrid
2.1 El RGPD y la edad de consentimiento digital
El Reglamento (UE) 2016/679, conocido como RGPD, introdujo en su artículo 8 la figura de la «edad de consentimiento digital», y estableció un rango normativo que permite a los Estados miembros fijar el umbral entre los 13 y los 16 años para el tratamiento lícito de datos personales de menores en el contexto de servicios de la sociedad de la información ofrecidos directamente a niños.
1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.
Esta disposición es de capital importancia por cuanto reconoce implícitamente que la edad de madurez digital no es uniforme en el contexto europeo, abriendo así un espacio de diversidad normativa que, paradójicamente, puede generar arbitraje regulatorio entre jurisdicciones.
España ejerció esta facultad de margen de apreciación nacional a través del artículo 7 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y fijó dicha edad en 14 años, con el sistema de consentimiento parental por debajo de ese umbral, un año por encima de la edad mínima de los 13 años en redes sociales como Meta:
1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.
La propuesta de elevarla a 16 años, actualmente en tramitación parlamentaria, exigiría una modificación de este precepto legal.
Conviene precisar, sin embargo, que el artículo 8 del RGPD se refiere exclusivamente al consentimiento para el tratamiento de datos personales, no a la edad de acceso a plataformas digitales como categoría más amplia. La distinción es jurídicamente relevante: una cosa es que un menor de 16 años no pueda consentir válidamente el tratamiento de sus datos y otra distinta que se le prohíba directamente el acceso a la plataforma. La primera medida opera en el plano del Derecho de protección de datos; la segunda, en el plano del Derecho de las comunicaciones electrónicas y, potencialmente, en el de la libertad de expresión e información.
2.2 El Reglamento de Servicios Digitales (DSA): un cambio de paradigma
El Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales (Digital Services Act, DSA), representa la reforma más sustantiva del entorno normativo digital europeo desde la Directiva de Comercio Electrónico de 2000. Su entrada en vigor plena en febrero de 2024 ha transformado las obligaciones de las grandes plataformas —denominadas plataformas en línea de muy gran tamaño (VLOP, por sus siglas en inglés)— en materia de protección de usuarios vulnerables, con especial incidencia en los menores.
El artículo 28 del DSA prohíbe expresamente a las plataformas accesibles a menores presentar publicidad basada en perfiles de usuarios menores de edad, así como utilizar sus datos para actividades de elaboración de perfiles con fines publicitarios. El artículo 35 impone la obligación de adoptar medidas de mitigación de riesgos sistémicos para los menores, mientras que el artículo 45 establece la posibilidad de adoptar códigos de conducta sectoriales. Estas disposiciones, de aplicación obligatoria para plataformas como Instagram, TikTok o YouTube, configuran un régimen de debida diligencia reforzada que algunos expertos han calificado como constitucionalización del espacio digital.
«Las plataformas de muy gran tamaño deberán evaluar anualmente los riesgos sistémicos que plantean sus sistemas de recomendación y adoptar medidas de mitigación razonables, proporcionadas y eficaces, teniendo especialmente en cuenta el interés superior de los menores» (artículo 35.1.d DSA).
2.3 La Directiva de Servicios de Comunicación Audiovisual y el Código Europeo de Comunicaciones Electrónicas
La Directiva (UE) 2018/1808, que modifica la Directiva 2010/13/UE sobre servicios de comunicación audiovisual (AVMSD), amplía el ámbito de aplicación de las obligaciones de protección de menores a las plataformas de intercambio de vídeos, al exigir que adopten medidas adecuadas para proteger a los menores de contenidos perjudiciales para su desarrollo físico, mental o moral. España transpuso esta directiva a través del Real Decreto-ley 4/2021 y, posteriormente, mediante la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual.
El artículo 100 de esta ley establece las obligaciones específicas de los prestadores del servicio de plataforma para el intercambio de vídeos en materia de protección de menores:
La autoridad audiovisual competente pondrá en marcha actuaciones dirigidas a fomentar la producción y emisión de programas especialmente recomendados para menores de edad, adaptados a su edad, madurez y lenguaje que promuevan su desarrollo y bienestar integral.
Se incluyen sistemas de control parental, mecanismos de notificación de contenidos ilícitos y sistemas de verificación de edad para contenidos sujetos a restricción. La arquitectura normativa resultante configura, pues, un sistema de obligaciones escalonadas en función del tipo de plataforma, el carácter del contenido y la edad del usuario.
2.4 El Derecho comparado europeo: el experimento francés y australiano
La Ley francesa de 19 de mayo de 2023 sobre protección de menores en el espacio digital constituye hasta la fecha el ejemplo más avanzado de regulación etaria en el ámbito europeo. Dicha norma establece que los menores de 15 años —edad de consentimiento digital fijada en Francia desde 2018— no podrán acceder a redes sociales sin el consentimiento parental, cuya verificación recae sobre las propias plataformas. El Conseil d’État y el Conseil Constitutionnel validaron la constitucionalidad de la medida, si bien con importantes matizaciones relativas a la proporcionalidad de las técnicas de verificación de identidad.
Australia fue más lejos con la Online Safety Amendment (Social Media Minimum Age) Act 2024, que elevó la edad mínima de acceso a redes sociales a 16 años, e impuso multas de hasta 49,5 millones de dólares australianos a las plataformas que no adopten medidas razonables para hacer cumplir dicha restricción. Este precedente ha suscitado un intenso debate global sobre el modelo de enforcement y sobre si la responsabilidad debe recaer principalmente en las plataformas, en los padres o en el propio Estado a través de sistemas de identidad digital.
3. Los límites técnicos de la verificación de edad
3.1 El estado de la técnica: entre la eficacia y la privacidad
El principal problema práctico que a nuestro juicio plantea cualquier sistema de verificación de edad online reside en la tensión estructural entre dos mandatos normativos aparentemente contradictorios: la obligación de verificar la edad del usuario para cumplir la normativa protectora del menor y la prohibición de tratar datos de identidad con mayor alcance del estrictamente necesario en aplicación del principio de minimización de datos (artículo 5.1.c RGPD). Esta antinomia ha sido denominada por la doctrina anglosajona como el “age assurance paradox”.
Los sistemas de verificación de edad disponibles en la actualidad pueden clasificarse en tres grandes categorías: 1) sistemas basados en declaración propia o consentimiento parental, que presentan una eficacia mínima ante usuarios determinados a falsear su edad; 2) sistemas basados en la verificación de documentos de identidad o tarjetas de crédito, que resuelven el problema de la eficacia a costa de crear bases de datos masivas de información sensible; y 3) sistemas de estimación de edad mediante inteligencia artificial y análisis biométrico, como el reconocimiento facial, que plantean serios problemas bajo el RGPD en tanto que implican el tratamiento de datos biométricos de categoría especial (artículo 9 RGPD).
El Reino Unido, a través de su Age Appropriate Design Code (Children’s Code) de 2021, supervisado por el Information Commissioner’s Office (ICO), ha optado por un enfoque de “anonimización compatible”, al admitir sistemas que verifican el rango etario sin revelar la identidad exacta del usuario.
En España, la Agencia Española de Protección de Datos (AEPD) publicó en noviembre de 2023 un documento orientativo sobre sistemas de verificación de edad que concluía que ninguno de los modelos existentes ofrece actualmente una solución técnica plenamente compatible con los principios del RGPD.
3.2 El efecto sustitución y el riesgo de exclusión digital
Un argumento recurrente en la literatura especializada sobre restricciones de acceso digital a menores es el denominado “efecto sustitución”: la constatación empírica de que la prohibición formal de acceso a una plataforma no elimina el deseo de acceso del menor, sino que lo redirige hacia canales menos regulados y potencialmente más peligrosos. Estudios longitudinales realizados en el contexto de la regulación australiana apuntan a que hasta un 65% de los menores afectados por restricciones de acceso utiliza herramientas de evasión —como VPN, cuentas falsas o la utilización de dispositivos de terceros— para acceder igualmente a las plataformas restringidas. Así se agrava el problema del acceso de menores a redes sociales, en lugar de mitigarlo o resolverlo.
Este fenómeno tiene una doble consecuencia jurídica de primera magnitud: por un lado, vacía de eficacia real la prohibición normativa, y termina por convertir la ley en una declaración simbólica de intenciones; por otro, traslada a los menores al espacio de la irregularidad formal, privándoles de los mecanismos de protección que sí operan en las plataformas reguladas —herramientas de reporte de contenidos, cuentas con configuración de privacidad reforzada, acceso a recursos de ayuda en situaciones de ciberbullying o autolesión—.
3.3 La identidad digital soberana como alternativa estructural
En este contexto técnico-normativo, cobra especial relevancia el debate sobre la identidad digital soberana (Self-Sovereign Identity, SSI) como infraestructura que permitiría al usuario acreditar su rango etario sin revelar su identidad completa.
El Reglamento (UE) 2024/1183, relativo al establecimiento del Marco Europeo de Identidad Digital (eIDAS 2.0), contempla expresamente la creación de “carteras de identidad digital europeas” que permitirán a los ciudadanos gestionar sus atributos de identidad —incluida la edad verificada— de forma selectiva y bajo su propio control.
Su plena implementación, prevista para 2026, podría ofrecer una solución técnicamente compatible con el RGPD para los sistemas de verificación de edad.
4. Tensiones con los derechos fundamentales del menor
4.1 El menor como titular autónomo de derechos fundamentales
Una de las premisas frecuentemente omitidas en el debate político sobre la restricción de acceso a redes sociales es que los menores no son meros objetos de protección jurídica, sino sujetos titulares de derechos fundamentales propios y autónomos.
El artículo 3 de la Convención de las Naciones Unidas sobre los Derechos del Niño (CDN), de 1989, vinculante para España desde su ratificación en 1990, consagra el principio del interés superior del menor como consideración primordial en todas las medidas que les afecten, incluso cuando dichas medidas emanen del poder legislativo.
El Comité de los Derechos del Niño ha interpretado sistemáticamente este principio en el sentido de que las restricciones a los derechos del niño deben ser necesarias, proporcionales y estar orientadas a su verdadero bienestar, no a la mera conveniencia administrativa o a la tranquilidad social de los adultos.
4.2 La libertad de expresión e información del menor
El artículo 20.1.a) y d) de la Constitución Española reconoce el derecho a expresarse libremente y a recibir información veraz, sin distinguir en razón de la edad del titular. La jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) ha reconocido en múltiples pronunciamientos que las restricciones de acceso a plataformas digitales constituyen injerencias efectivas en el derecho a la libertad de expresión reconocido en el artículo 10 del Convenio Europeo de Derechos Humanos, sujetas al triple test de legalidad, necesidad y proporcionalidad. Es un enfoque diferente y más amplio que el de entender la limitación de acceso por parte del menor como una ventaja e, incluso, como una protección garantizada.
Una prohibición general de acceso a redes sociales para todos los menores de 16 años, sin distinción por tipo de plataforma, funcionalidades o perfil concreto del usuario, plantea serias dudas de superación de dicho test de proporcionalidad. La medida podría ser formalmente legal (cumpliría el requisito de base legal al derivar de una norma con rango de ley aprobada por el parlamento legítimo), pero su necesidad y proporcionalidad en sentido estricto son más discutibles, dado que existen medidas alternativas menos restrictivas —como el diseño seguro por defecto, la restricción funcional o el control parental reforzado— igualmente orientadas a proteger a los menores de los riesgos digitales identificados.
4.3 El derecho al libre desarrollo de la personalidad en el entorno digital
Las plataformas digital
