Reflexiones sobre menores y verificación

A raíz de la estrategia de menores, salud y privacidad que la Agencia Española de Protección de Datos presentó el propio 28 de enero que entregaba sus premios anuales (enhorabuena a los premiados y, especialmente, a la secuoyer Elena Gil González), surge el hacer este artículo. Sip, voy a decir artículo y no “post” esta vez.

Este artículo es una mezcla sui generis entre el comentario de lo que me parece la estrategia presentada como gran parte + alguna reflexión o pensamiento sobre la verificación de edad planteada a finales del año pasado como prueba de concepto. Todo ello aderezado con enlaces a otros artículos o lo que sea que esté comentado en algún momento.

Para cualquiera que venga buscando el comentario jurídico-datero de la verificación de edad, de lo que se movía por Francia, por Alemania con conexión Estados Unidos por ser la misma empresa, una 1º impresión de la propia verificación de la AEPD, o del “pornorama” y de su relación directa con los videojuegos; puede consultar el texto que hice en Citizen8: la patata caliente datera de la comprobación de edad.

Obviamente, solo me centraré en las pocas líneas de actuación que me suscitan dudas, ideas o comentarios. Es decir, que dejaré fuera el tema de pactos de estado de la sociedad civil, guías, libros blancos, verdes o de todos los colores, y demás cosas sin validez legal más de postureo político o vender motos. Incluso, para mí, en ese cajón estarían el pegote del título X de la LOPDgdd (la “gdd” va en minúscula por ser ley ordinaria, aunque ni la AEPD se acuerde de ese punto) y la Carta de Derechos Digitales. Un poco de eso es necesario siempre, pero en España gastamos mucho esfuerzo en ello y muy poco en la normativa que lo regula.

Con la Carta de Derechos no me he metido nada de nada, pero mis comentarios de por qué es una castaña el Título X me parece que pueden encajar con ello. Consultable en dos artículos de allá cuándo salió: ¿COMPAÑEROS DE PISO COMPATIBLES? 1 y ¿COMPAÑEROS DE PISO COMPATIBLES? 2.

Ley de protección integral a la infancia y adolescencia

Pues habemus otra ley sobre protección de menores que no se sabe si vendrá a ser una más con las ya vigentes de no hace tanto y que se mete en unas cuántas materias: penal, procesal, administrativo, educativo, sanitario, de protección de datos, neurodatos y neuroderechos, comunicaciones audiovisuales y consumo).

Mis dudas:

  • ¿Será la primera ley que definirá el concepto de interés superior del menor? Vaya tela que un concepto clave que sobrevuela toda la normativa no tenga su definición legal concreta en normativa sectorial. Es que ni buscando en la Convención sobre los Derechos del Niño de UNICEF llegas a una definición de verdad;
  • Viendo el alcance de competencias, especialidades del derecho y normativas con rango de ley que habría que modificar para que la propuesta de ley integral salga, ¿no era mejor empezar por algo más acotado para garantizar que entre en vigor lo antes posible y empiece a revertirse la situación? ¿Seguro que todo esto no cabe en la normativa de menores ya existente?;
  • Unido a lo anterior, no perdería de vista cómo acabó la ley que un ministro de la familia política sustituida por la de la actual titular de Juventud, intentara sacar sobre cajas de botín (loot boxes) en los videojuegos. Un despropósito peligroso que te ponía en la tesitura de elegir entre infracción muy grave de Consumo o de Protección de Datos, que no iba al hueso del tema, que era un calco malo de la Ley de Juego Regulado y que acabó muerto y enterrado por la disposición adicional 10ª de promesa de “directrices”. Fui uno de los incautos que presentó escrito de alegaciones para decirles que era por consumo y a nivel de algoritmo para pillar las loot boxes y cualquiera cosa que se inventaran alternativa, pero me hicieron la “ignoración” completa. Todos ganamos con el hecho de que no viera la luz y se quedara como anteproyecto fantasma;
  • Y viendo que otros países han empezado antes a hacer cositas y tienen normas sólidas, ¿no sería mejor cogerlas de base y no jugar a inventar lo que ya está?. Estados Unidos no suele ser un espejo legal bueno para que los europeos nos miremos, pero su famosa ley de protección del menor (COPPA) es una norma con solera, actualizada periódicamente, con cosas ya muy concretas y que tiene su enfoque exclusivo en la protección del menor en internet. Es decir, lo que se intenta cubrir;
  • ¿En serio que vamos ya con los neurodatos y neuroderechos?. Es cierto que ya existe algo real y tangible sobre implantes y sistemas que permite ver, oír o recuperar capacidades que perdidas por múltiples factores, pero todavía se anda a vueltas peligrosas con la biometría, cookies y tratamientos del 22 que tela; y
  • Se menciona de pasada a los videojuegos, realidad virtual y metaverso como escenarios obvios de los neurodatos y neuroderechos, pero no lo tengo tan claro. En uno de los post del blog de la AEPD se habla en genérico de ajustar lo que pasa en pantalla a las emociones de la persona (videojuegos), pero eso se puede conseguir sin necesidad de ir a neuronada: en las propias patentes de visores e, incluso, software, se reconoce la compatibilidad con sensores biométricos, P.ej. de ritmo cardíaco que te da esa lectura acertada. O ni siquiera se necesita ir ahí para lograr eso: con Big Data, psicología aplicada y perfilado individualizado del jugador para saber qué música de las predeterminadas te puede tocar la patata.

¿Se refieren al punto del seguimiento del ojo que ahora se empieza a usar más con fines de accesibilidad (la empresa llamada Tobii); y que también podrá servir en futuro cercano para maldades publicitarias, si un guiño o parpadeo es consentimiento o la posibilidad de seguir el recorrido del ojo dentro del visor con mil posibilidades malignas.

Lo de las plataformas digitales y herramientas educativas

Se promete que la AEPD colaborará en amplio con las autoridades educativas sobre su cumplimiento en la materia, realizará investigaciones de plataformas y estará pendiente de que se hagan evaluaciones de impacto.

Mis dudas:

  • ¿Esas investigaciones de las plataformas educativas digitales se hará en el sentido de las auditorías que se ha hecho en Holanda o Dinamarca para sacar conclusiones muy concretas sobre lo que cumple y lo que no? Sería lo ideal para que exista algo tangible que permitiera a los responsables tener cuidado previo, o, en el mejor de los casos, como catalizadores para que los Google, Microsoft y demás implementan cositas para cumplir.

También para no solo dar el palo, sino la zanahoria que permita que se mejore la situación. A pesar de que en muchos casos va a ser complicado buscar proveedores alternativos, y ya nadie piensa que lo público se haga un Lexnet educativo (tampoco es el mejor ejemplo, es verdad).

Y también para que las evaluaciones de impacto que se fomente hacer puedan ser de esas de verdad que salen y no algo que se hace encajar. Y que luego lleve a abrir la mano porque se cae todo el castillo de naipes montado.

El enfoque en el “nopor” de manera preeminente y que no permite ver el bosque

Es totalmente necesaria. Lo era hace mil años y mucho más ahora. Se desliza que se están llevando a cabo actuaciones de investigación sobre páginas pornográficas y contactos con entidades

Mis dudas

  • ¿Por qué el pornorama?. Es indudable que las nuevas generaciones la están liando tanto que, a nivel mundial, todos los estados andan corriendo como pollos sin cabeza, pero ¿esos mismos menores no están en otros servicios o contenidos inapropiados para su edad sin cortapisa? ¿Qué impide que se hable en general de comprobación de edad y se pida a nivel general para controlar el acceso de menores a cualquier contenido que no deban, sin hacer tanto hincapié en el tema más inmediato de algo conectado? Esto es como las redadas. Si no se coordinan en todos los sitios de la organización a la vez, pues no acabas con la organización que sea.

Un ejemplo que nadie se espera. Los videojuegos, a los que acceden esos mismos menores cuando no están en los contenidos eróticos-festivos, con mil cosas a los que deberían acceder: compras in-game, chats y funcionales similares que las carga el diablo o juegos categorizados para una edad que no tiene, tratamientos del 22 que se aplican porque nadie sabe que son menores (sí, esos de publicidad comportamental que luego a Meta y los demás les paralizan e imponen sanciones a juego).

Me sigue pareciendo un fenómeno curioso que las autoridades no vean tanto que los mismos perros a los que intentan poner el collar están en la industria de los videojuegos, que es una industria masiva en lo que a datos se refiere y que es parte esencial si quieren proteger a los menores. Yo seguiré dando el coñazo, aunque los estadounidenses nos pasan por la izquierda desde su FTC (Doble sanción de 275 millones de dólares por falta del consentimiento de los padres o tutores legales de los menores y aplicación de parámetros por defecto perjudícales para los menores, y la imposición de devolución de 240 millones por utilizar sistemas de patrones oscuros y técnicas engañosas para incentivar las compras dentro del juego).

Vale, la AEPD reconoce que tendrá reuniones periódicas con la Asociación Española de Videojuegos para “el seguimiento de los contenidos accesibles en los juegos online apropiados para cada edad y las políticas de privacidad”. Será porque soy de Valladolid, pero me suena que se van a quedar en el etiquetado PEGI y en si tienen política de privacidad sus asociados. Aunque más importante, ¿Se está refiriendo la AEPD a AEVI como si fuera la única asociación del ramo en España? ¿y DEV dónde queda? AEVI es la que representa a las editoras y distribuidoras aka responsables naturales (incluye ahora a desarrolladores, cierto), pero faltan los estudios de desarrollo y desarrolladores de DEV; y

  • Ya era hora de entrar a saco en los algoritmos y perfilado que induzcan a un consumo irreflexivo y sobre menores. Casualidades de la vida, en videojuegos se empiezan a probar con cosas como el perfilado totalmente automatizado del patrón del sueño sobre los jugadores mayores y menores. ¿Ejemplos? Pokémon Sleep. Me parece muy gordo, se intentó algo que no salió, y aprovecho para dejar a modo de easter egg que se moverá más y ¿mejor?.

De la verificación de edad

En ese artículo al que refiero al principio del todo, ya planteo que tengo dudas sobre el hecho de que el sistema propuesto por la AEPD te permitiera discriminar varios usuarios por el mismo dispositivo tras la validación de la aplicación, de primeras. A lo mejor está previsto que se puedan incluir en la aplicación varios perfiles autorizados y ya no habría lío, pero de primeras….. no sé. Dudas:

  • La propuesta española no tiene mala pinta, pero ¿y la efectividad para cuándo? En el sistema francés iba a la par que la ley que iba a obligar a tener este sistema de comprobación de edad, pero aquí tenemos algo a nivel de prototipo, sin ley a ningún nivel y sin la famosa aplicación de la FNMT que serviría de “data room seguro”;
  • ¿No sería mejor algo único a nivel europeo para no marear a los proveedores grandes o pequeños a la hora de establecerlo? La francesa tiraba a algo más escalable por ser terceros de confianza como tu banco o tu compañía de la luz, pero la española no lo cierra del todo, pero tira más hacia la aplicación oficial que haga la FNMT. Y lo público tipo certificado electrónico puede disuadir; y
  • La AEPD parece que tiene la batuta a nivel europeo por el mandato del EDPB que ya comentó, el misterio de ¿“directrices sobre menores”? e internacionalizar el cumplimiento del decálogo hasta la propia USA/California. Por allí ya están algunos sistemas vendibles y viables de “reconocimiento facial de la edad” que encajan mal con los principios del decálogo.

También, hay varios principios que para páginas web y pura navegación están bien, pero en algo con cuenta de usuario se vuelve más imposible ¿Se puede garantizar la anonimización del usuario cuando necesitas saber qué es y quién es para mostrarle en su perfil cosas? ¿Se puede garantizar que la condición de persona autorizada para acceder no sea un sinónimo de menor de edad en la mayor parte de casos?.

Conclusiones

Pues eso. Dudas que ya nos darán resueltas.

En todo el tema de la comprobación de edad, la batuta real la llevará la CNMC como autoridad de supervisión del cumplimiento de la norma europea, pero iremos viendo cómo va todo.