El ‘pornopasaporte’ del Gobierno para controlar la edad de los menores en las webs de adultos, cuestionado por juristas por usar datos como el DNI

El Gobierno ha anunciado que, a finales del verano, lanzará una app para evitar que los menores accedan a pornografía o páginas de juego online: Cartera Digital Beta. Tal y como explicó el ministro para la Transformación Digital y de la Función Pública de España, José Luis Escrivá, la aplicación permitirá a los internautas obtener unas credenciales digitales anónimas si quieren acceder a contenidos “inapropiados para menores”.

Sin embargo, han sido numerosas las críticas recibidas por la iniciativa, tanto por su efecto solo en páginas con sede en España como por el hecho de que este filtro puede ser evitado de manera sencilla con el uso de una VPN.

Expertos de Panda Security han señalado que el uso de esta aplicación puede crear ciertos riesgos para los usuarios. Tal y como han explicado, el primero de ellos podría ser el robo de datos personales.

Pese a que en el anuncio han explicado desde el ministerio que su uso garantiza el anonimato, los expertos estiman que los que accedan a estas páginas estarían dejando un mayor rastro de sus datos, una información que los grupos de cibercriminales buscan con ansia para llevar a cabo sus ciberataques y extorsiones.

Para verificar la edad de los usuarios, la aplicación puede requerir información personal, como el nombre completo, fecha de nacimiento, dirección o número de documento de identidad. Por ello, es fundamental que se garantice que esta información se almacena y procesa de manera segura para evitar filtraciones o robo de datos.

Además, Cartera Digital Beta se enmarca en el estándar eIDAS2, que establece la obligatoriedad por parte de las plataformas de contenidos de aceptar el uso de carteras europeas de identidad digital como muy tarde en octubre de 2027.

La directora general de Gobernanza Pública, Carmen Cabanillas, explicó en su intervención cómo la app de Cartera Digital Beta otorgará una credencial totalmente anónima que garantice la mayoría de edad sin incluir datos personales, los cuales las plataformas podrán consultar para permitir el acceso a pornografía.

Esta Cartera Digital despierta recelos en su seguridad por la cantidad de datos que va a albergar de terceros. (Imagen: Ministerio de Transformación Digital)

Cuidado con los datos que se dan

Ofelia Tejerina, presidenta de la Asociación de Internautas, subraya que “desde el punto de vista técnico parece que los estándares de seguridad se cumplen y que puede facilitar un internet controlado y respetar el anonimato. Desde una vertiente legal, esta herramienta ha utilizado una medida que podría haber sido mucho más efectiva, y es que, en lugar de utilizar el DNI, dato directo aunque se anonimice y que haya un tercero de confianza, podría utilizarse un dato indirecto”.

Desde su punto de vista, “si utilizamos ese dato directo que es el DNI, no se va a fiar absolutamente nadie. Se podría haber utilizado algo como, por ejemplo, un contrato de luz o de telefonía, que el día de mañana te puedes deshacer de él, pero el DNI o la huella dactilar digitalizada serían invasivos para seguir estos contenidos. No es ninguna buena idea y puede generar un problema, sobre todo porque ese dato afecta a la esfera más íntima de la persona”.

Para esta jurista, “no solo estamos hablando de protección de datos, sino de la intimidad más salvaje que puede tener un adulto. Al final, esta cuestión tiene una derivada social importante. El problema de base de este asunto es que no se da confianza en este tipo de iniciativas, pese a todos los estándares técnicos que pueda tener esta aplicación. No olvidemos que vivimos en un entorno de ciberataques y fugas de datos. Nos dicen que protejamos nuestros datos y nos piden el DNI para esta cuestión. Es difícil que se facilite”.

A juicio de la presidenta de la Asociación de Internautas, se tenía que haber ido a pedir un dato indirecto para saber si eres adulto o no. Esto genera un problema de confianza y creemos que no va a funcionar. Además, está el riesgo de que esa plataforma de contenidos para adultos sea ciberatacada, con el consiguiente riesgo para nuestros datos. Se ha dicho alguna vez que la creación de esta herramienta viene porque los padres no saben utilizar la aplicación de control parental para adultos. Lo que habría que hacer es facilitar el uso de esta herramienta para menores y no ir a esta otra de adultos”.

Nuestra interlocutora no olvida el alcance limitado de esta medida: “El problema afecta a nuestro país, pero tenemos que recordar que se podrá acceder a esos contenidos para adultos desde otros sitios con el uso de VPN o lo que quieran, lo que evitará que no tengan que verificar nada. La idea es buena, pero la ejecución es complicada por la falta de confianza y la cantidad de posibilidades para saltarse esa herramienta. Ya le dijimos a la directora de la Agencia Española de Protección de Datos (AEPD), que forma parte de este Comité de Expertos, que podría haber otras herramientas mejores para usar, como datos internos o un sistema similar al PIN que nos da Hacienda, como numerito que se tiene que meter”.

En cuanto a las consultas que están recibiendo de ciudadanos y ciudadanas que forman parte de la asociación, “les vamos a decir que cumplan la legalidad si realmente la herramienta se pone en marcha tras el verano de la forma que conocemos. Si no la quieren utilizar, pueden optar como alternativa por la aplicación de control parental para tus hijos o controlar el móvil”.

“Habrá que ver realmente el funcionamiento, pero ya en algunos foros se habla de que es una mala comunicación y algunos otros esta app les recuerda a Radar Covid, herramienta que se creó para controlar los contagios en la pandemia pero que, por esa falta de confianza de la que estamos hablando, no funcionó como se esperaba”.

Ofelia Tejerina considera que es muy invasivo reclamar el uso del DNI y otros datos directos para el uso de la aplicación. (Imagen: Asociación de Internautas)

Marco legal definido

En cuanto al marco legal que define esta herramienta, Borja Adsuara, abogado, consultor y profesor universitario, experto en derecho digital, privacidad y protección de datos, y uno de los miembros del Comité de Expertos de la Carta de Derechos Digitales, indica que “esta aplicación será una de las aplicaciones o sistemas que se podrán utilizar para poder acceder a contenidos para adultos. Hay tres leyes que obligan a las plataformas digitales a verificar la edad de los usuarios”.

A este respecto, este jurista recuerda que desde 2026 el Reglamento General de Protección de Datos (RGPD) Europeo, el Reglamento de Servicios Digitales y la Directiva Europea de Servicios de Comunicación Audiovisual ya indicaban que se harían esfuerzos razonables para comprobar la edad de los usuarios y, en el caso de las autorizaciones de los tutores, validarlas.

Este experto recuerda que realmente no se hizo nada, aunque el año pasado la AEPD impuso un par de multas importantes a plataformas de contenidos de adultos por infringir el RGPD, una de 200.000 euros y otra superior a 525.000 euros para Techpump Solutions S.L., titular de cinco páginas web de contenido para adultos, por incumplir nueve artículos del Reglamento General de Protección de Datos. Esta sanción se dio a conocer en noviembre de 2022.

En cuanto a la Ley General de Comunicaciones Audiovisuales, que se aprobó en 2022, y el Reglamento de Servicios Digitales, que se aprobó en octubre de este mismo año, “incluía como obligación la verificación de esas edades. La aplicación del Reglamento tenía que haber sido a partir del 17 de febrero pasado, pero en nuestro país la estructura de la CNMC, regulador que iba a llevar este tema, no se ha modificado y no está interviniendo en su función de supervisión de imponer multas por no tener medidas efectivas de verificación de edad”.

Para este jurista, “lo que está más claro es el marco jurídico, porque hay tres leyes que imponen esta obligación. En el fondo, esta aplicación que presentó el ministro Escrivá estos días y otras que van a salir, porque algunas plataformas crearán la suya propia, serán la manera de acceder a contenidos para adultos. De lo contrario, la plataforma bloqueará al propio usuario. Al final, este tipo de herramientas se va a generalizar en otros usos, y es posible que las veamos en alguna red social para demostrar si eres mayor de edad. Ahora el Gobierno ha querido anticiparse y hacer una beta sobre esta herramienta desde la Secretaría de Estado de Administración Digital, que está liderando como grupo de trabajo de Eidas2 sobre verificación de edad”.

Borja Adsuara recuerda que ya hay un marco legislativo que obliga a dicha verificación, ahora completado con el Reglamento EIdas2. (Imagen: CEU)

La importancia de Eidas2

Adsuara recuerda que EIdas2 ya ha entrado en vigor como reglamento comunitario, como nuevo sistema de identificación electrónica, el cual va a permitir el almacenamiento, gestión y sistemas de validación de forma segura. Permitirá a los ciudadanos de la Unión Europea (UE) almacenar de manera segura sus documentos e información personal en una aplicación. “Tenemos hasta 2027 para adaptarnos. Llegará un momento en que cualquier sistema de verificación de edad tendrá que cumplir este reglamento EIdas2”.

Desde su punto de vista, “la base legal está clara; otra cosa es cómo se va a diseñar la herramienta al final para su uso. Ahora tenemos la aplicación del Gobierno que nos han presentado hace unos días. Es una beta que irá mejorando y cambiando en las próximas semanas con las especificaciones técnicas que se vayan incorporando”.

“En la actualidad, a la herramienta española hay que unir otra similar que se está impulsando en Francia. Hay que darse cuenta de que está aprobado el marco legal de EIdas2, pero faltan sus especificidades técnicas. Hasta que no se vayan aprobando y se pongan de acuerdo todos los países de la UE, lo que se va haciendo es provisional”.

En su opinión, “el Gobierno, adelantándose a los acontecimientos, quiere mandar un mensaje a estas plataformas para adultos de que ya hay tecnología disponible. Pueden utilizar esta o cualquier otra parecida. Las plataformas se amparaban en que no tenían la tecnología adecuada para hacer ese control de las edades. Con esta aplicación ya no tienen excusas para incumplir la obligación de verificar esa edad, y, si no lo hacen, podrán recibir multas. Es previsible que de aquí a 2027 aparezcan otros sistemas de verificación de edad”.

“Todos tendrán que cumplir EIdas2, donde la figura del servicio del tercero de confianza emerge con estas herramientas”, subraya.

En cuanto a la identificación con estos terceros de confianza, “lo bueno de su uso es que no tienes que dar todos tus datos, solo algunos concretos para esa verificación de la edad del usuario. Al final, esta verificación podrá extenderse a otras actividades, como tener una cuenta en una red social o alquilar un coche sin tener que dar tu DNI. Estamos regalando nuestros datos en muchas ocasiones sin darnos cuenta. En cuanto a esta herramienta que acaba de presentarse, va a ser más útil que para verificar nuestra edad en páginas porno”.

Cecilia Álvarez, vocal de APEP: «El Gobierno debe proporcionar esta información, así como las garantías de privacidad por el diseño que se hayan incorporado». (Imagen: APEP)

APEP y los menores

Para Cecilia Álvarez, vocal miembro de la Junta Directiva de APEP, “las iniciativas que contribuyan tanto a proteger como a empoderar a nuestros jóvenes y faciliten el cumplimiento de las difíciles y necesarias tareas que incumben a los padres son bienvenidas”.

“Esto es una tarea de todos: el Estado, los proveedores de hardware y sistemas operativos, las páginas web/apps, las app stores, los padres, los educadores y los propios jóvenes. Y se requiere la combinación de medidas de muy distinta naturaleza, y no todas ellas serán de carácter técnico”, comenta.

A su juicio, en relación a sistemas de verificación o estimación de edad, que obviamente requerirán el tratamiento de datos de carácter personal, es importante identificar el caso de uso concreto y su grado de eficacia en tal contexto. “Entendemos que el caso de uso en este caso es exclusivamente evitar el acceso de menores a un contenido considerado inadecuado por el legislador (i.e., la pornografía)”.

“Si este sistema se utilizara para otros casos de uso u otras edades, los aspectos a considerar en protección de datos serán distintos”, advierte.

Desde su punto de vista, “para valorar la eficacia del sistema que pretenda evitar que menores de 18 años accedan a apps/web pornográficas situadas en cualquier país y accesibles a través de cualquier navegador o app store, los siguientes parámetros serán relevantes:

En primer lugar, “estándares operativos (en particular, si son solo españoles, de la UE o internacionales), métricas de su fiabilidad (falsos positivos/negativos y cuán difícil es burlar el sistema), garantías de su viabilidad técnica, operativa y económica por quien lo explote, así como grado de aceptabilidad e inclusión social (en particular, si hay barreras de utilización para los no-nativos digitales y/o aquellos que no cuenten con dispositivos de última generación)”.

“Esperamos que el gobierno facilite esta información, así como las garantías de privacidad por el diseño que se hayan incorporado, en particular en cuanto al rol que el Estado juegue, en su caso, en su operativa y supervisión”.

Paz Martín advierte que los datos personales están en peligro ante cualquier vulneración o hackeo de la plataforma. (Imagen: Cesión propia)

Suscita muchas reticencias

Para Paz Martín, socia directora de Legal Things Abogados y miembro activo de APEP, ISMS Forum y ENATIC, “cualquier iniciativa tendente a verificar la edad de un menor que potencialmente puede acceder a contenidos para adultos (no solo pornografía, sino también juegos y otros) es bienvenida. El acceso al porno por parte de menores de edad es un problema social que hasta ahora carece de control y produce irremediablemente daños en nuestros menores”.

A su juicio, la creación de sistemas de verificación de edad es una buena idea y más que nunca es necesaria. Sin embargo, estos sistemas, y en concreto la denominada Cartera Digital Beta, que ha anunciado el Ministerio de Transformación Digital que se instrumentalizará vía app y exige un registro de las personas que van a acceder a dichos contenidos, suscita ciertas—bastantes, diría yo—reticencias.

“Aunque el acceso, al parecer, será anónimo, siempre estará vinculado a una verificación a través de una app que sí contiene datos personales, y en caso de existir vulnerabilidades, provocaría que el simple acceso a material pornográfico se filtrara. Ello podría suponer una vulneración gravísima de los derechos fundamentales de las personas”, comenta.

Para esta jurista, “la simple descarga de la app, si únicamente tiene ese uso, me parece en sí misma un riesgo muy alto para la intimidad de las personas. En algunos foros ya se le denomina el carnet porno”.

Esta jurista subraya que, “en mi opinión, la citada app deberá ser rigurosamente examinada desde el punto de vista de la seguridad y exigirá una Evaluación de Impacto en Protección de Datos exhaustiva precisamente para determinar si la finalidad pretendida supera el triple juicio de idoneidad, necesidad y proporcionalidad que exige cualquier tratamiento de datos de alto riesgo”.

Esta experta subraya que, “a mi juicio, la Agencia Española de Protección de Datos, si no ha intervenido y participado ya en este proceso, debería intervenir. Bien aplicada, será una medida protectora de los menores, pero los riesgos deberán ser suficientemente mitigados o se abrirán nuevos riesgos y se limitará la libertad de las personas”.

Paz Martín indica que “la finalidad es, por supuesto, loable, pero suscita enormes dudas y reticencias. Algunos expertos hemos pensado en Radar Covid, la aplicación que se creó para gestionar la pandemia y que no nos contagiásemos, también de uso público y que no acabó de funcionar.

A su juicio, “salvando las distancias, son cuestiones de seguridad y privacidad las que hacen que herramientas de este tipo no funcionen. Hay que darse cuenta de que quien la tenga parece que accede a contenidos pornográficos. Es el choque entre el derecho a libertad con otro como el interés superior del menor. Habrá que ver cómo se gestiona”.