España ha presentado un marco legal de gran alcance para proteger a los menores en los entornos digitales, exigiendo a las empresas que adopten un cumplimiento proactivo con nuevas obligaciones en materia de seguridad digital y protección de datos.
España está avanzando en una reforma legislativa integral destinada a fortalecer la protección de niños y adolescentes en el entorno digital. La propuesta de Ley Orgánica de protección de menores en entornos digitales, anunciada en junio de 2024, forma parte de una estrategia nacional más amplia que incluye actualizaciones del derecho penal, obligaciones regulatorias para los proveedores de servicios digitales y la promoción de la alfabetización digital en escuelas, familias y sectores profesionales. Con la verificación de edad, controles parentales predeterminados y la rendición de cuentas de las plataformas como pilares fundamentales, esta iniciativa establece un nuevo referente en la UE en cuanto a regulación digital centrada en la infancia.
La respuesta legislativa de España refleja una creciente preocupación por los riesgos que enfrentan los menores en línea y la insuficiencia de los modelos de aplicación reactiva
El proyecto de ley representa un cambio en la filosofía legislativa: pasar de responder a los daños digitales después de que ocurren, a diseñar salvaguardas estructurales y preventivas que reduzcan la exposición de los menores a contenido inapropiado, comportamientos nocivos y uso indebido de datos, lo cual incluye la obligación legal de implementar mecanismos de verificación de edad adecuados para menores, reformas penales dirigidas al grooming en línea y la pornografía con deepfakes, así como medidas proactivas para apoyar a las familias y profesionales en la identificación y gestión de riesgos digitales. El gobierno español ha indicado una clara intención de liderar el debate en la UE sobre la armonización de las medidas de seguridad infantil en línea.
La ley impone obligaciones significativas a las empresas que ofrecen servicios digitales accesibles a menores
Según el proyecto legislativo, los fabricantes de dispositivos digitales deberán garantizar que las herramientas de control parental estén activadas por defecto y que los dispositivos incluyan un etiquetado claro sobre los riesgos. Las plataformas, incluidas las redes sociales y los servicios de vídeo, deberán incorporar sistemas de verificación de edad y controles parentales que sean visibles y accesibles para los usuarios. Los influencers también estarán sujetos a regulación, como parte de los esfuerzos para mitigar la influencia indirecta del contenido comercial sobre los menores. Tal vez lo más destacado sea que la ley prohíbe el uso de mecanismos de recompensa aleatoria (loot boxes) en videojuegos accesibles a menores, lo cual subraya la creciente preocupación por el diseño adictivo y la manipulación conductual en productos digitales.
La Agencia Española de Protección de Datos (AEPD) ha reforzado la necesidad de una verificación de edad eficaz y respetuosa con la privacidad como piedra angular de la protección infantil digital
En octubre de 2024, la AEPD publicó un documento analítico titulado “Una Internet segura por defecto para la infancia y el papel de la verificación de edad”, en el que se enfatiza la importancia del cumplimiento proactivo con los principios de protección de datos del RGPD. La agencia advirtió sobre los modelos basados en vigilancia, que pueden exponer a los menores a nuevas formas de perfilado, explotación o pérdida de anonimato. En su lugar, la nueva ley aboga por sistemas en los que la carga de la prueba recaiga sobre la persona que intenta acceder a contenido restringido, nunca sobre el menor. Es importante que las herramientas de verificación de edad estén diseñadas para confirmar si el usuario supera el umbral mínimo de edad, sin recopilar información identificativa innecesaria.
Las empresas deben garantizar que sus servicios digitales cumplen con los objetivos duales de seguridad y minimización de datos
El análisis de la AEPD destaca que cualquier tratamiento de datos personales en este contexto requiere una base legal válida y debe respetar los principios de minimización de datos, limitación de finalidad, y privacidad desde el diseño y por defecto. También se afirma que las organizaciones deben realizar una Evaluación de Impacto en la Protección de Datos (DPIA) al introducir o modificar mecanismos de verificación de edad. La DPIA debe demostrar que los nuevos controles no introducen riesgos desproporcionados para los menores u otros usuarios, incluyendo intrusiones innecesarias en la privacidad o recopilación de datos más allá de lo estrictamente necesario.
Las empresas que operan en España o se dirigen a usuarios españoles deben comenzar a prepararse ya para la probable entrada en vigor de esta ley en 2025
Aunque aún no está en vigor, el compromiso del Gobierno de presentar la nueva legislación ante el Parlamento tras el receso de verano indica que pronto podrían imponerse obligaciones de cumplimiento. Las organizaciones que ofrecen servicios digitales, aplicaciones o plataformas utilizadas por o accesibles a menores deben evaluar si sus sistemas cumplen con los requisitos esperados, especialmente en cuanto a verificación de edad, controles parentales y moderación de contenido. Dado que estas obligaciones se cruzarán con los requisitos existentes de protección de datos bajo el RGPD, las empresas deben trabajar junto con Delegados de Protección de Datos (DPO) o asesores legales para asegurar su preparación para la implementación.
Descubre cómo puede ayudarte Aphaia a diseñar tu estrategia de protección de datos e IA. Ofrecemos servicios de cumplimiento con el RGPD y el UK GDPR, así como DPO externo. Nos especializamos en ayudar a empresas como la tuya con soluciones innovadoras que cumplan y superen los requisitos del mercado y del panorama regulatorio actual. Contacta con Aphaia hoy.
