Administrador

Directrices sobre medidas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en línea (10 octubre 2025)

EL DO C de 10 diciembre 2025 publica la Comunicación de la Comisión sobre Directrices sobre medidas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en línea, de conformidad con el artículo 28, ap.4, del Reglamento (UE) 2022/2065 (C/2025/5519)

Ests directrices destinadas a ayudar a los prestadores de plataformas en línea a elevar de forma acreditable la privacidad, la seguridad y la protección de los menores que acceden a sus servicios. El documento se emite conforme al artículo 28, apartado 4, del Reglamento (UE) 2022/2065 sobre servicios digitales (DSA, por sus siglas en inglés) y constituye un referente operativo para proveedores y autoridades de supervisión a la hora de aplicar, interpretar y verificar el cumplimiento del artículo 28 del DSA.

Por qué ahora

Niños y adolescentes utilizan con creciente intensidad plataformas que abren oportunidades educativas, de socialización y de creatividad; aun así, la realidad del entorno digital muestra riesgos persistentes: exposición a contenidos ilícitos o nocivos; acoso y contactos depredadores; prácticas comerciales inadecuadas o explotadoras; uso excesivo o compulsivo; integración de chatbots, asistentes virtuales y ultrafalsificaciones basadas en IA que alteran los patrones de interacción y amplifican amenazas. El texto fija un objetivo claro: orientar a los operadores para que adopten medidas adecuadas y proporcionadas que eleven el listón de protección, sin degradar derechos fundamentales ni el acceso legítimo de los menores a servicios útiles.

Qué cubren las directrices

El art. 28 del DSA impone a toda plataforma accesible a menores la obligación de establecer medidas idóneas para asegurar un nivel elevado de privacidad, seguridad y protección. Además, prohíbe la publicidad basada en perfiles cuando el prestador sea razonablemente consciente de que el destinatario es menor y clarifica que cumplir el artículo 28 no exige tratar datos adicionales con el solo fin de verificar la edad. Las directrices desarrollan este marco y orientan sobre cómo valorar riesgos, cómo diseñar el servicio “desde el diseño” y “por defecto”, cómo organizar mecanismos de apoyo y reclamación, y cómo gobernar el cumplimiento de forma trazable.

La Comisión recuerda que la accesibilidad a menores no queda neutralizada por una cláusula genérica que prohíba su acceso en los términos y condiciones si no se implementan barreras eficaces. Plataformas que alojan contenidos para adultos, por ejemplo, se considerarán “accesibles a menores” cuando carezcan de medidas eficaces para impedir su acceso. También se contempla el supuesto de conocimiento razonable del prestador cuando ya trata datos que revelan la edad o cuando existen indicios sólidos derivados del público objetivo, de la investigación propia o independiente, o de la similitud con servicios utilizados por menores.

A quién se aplican

Las obligaciones del art. 28 alcanzan a los prestadores cuyas plataformas sean accesibles a menores, con la salvedad de microempresas y pequeñas empresas (art. 19 DSA), salvo designación como “plataforma en línea de muy gran tamaño” (VLOP). El texto no sustituye ni interpreta las obligaciones reforzadas del capítulo III, sección 5, para VLOPs y motores de búsqueda de muy gran tamaño; quienes entren en esa categoría deberán complementar lo previsto con medidas adicionales conforme a su régimen específico.

Principios generales que deben regir las medidas

Las directrices fijan cuatro vectores que han de impregnar cualquier medida que se adopte:

  • Adecuación y proporcionalidad. La elección de medidas exige una evaluación caso por caso: naturaleza y uso del servicio, tamaño y alcance, características y base de usuarios, probabilidad y severidad de los riesgos, impacto sobre los derechos de los niños y otros derechos consagrados en la Carta de Derechos Fundamentales, y referencia a normas técnicas y mejores prácticas disponibles. La proporcionalidad implica evitar injerencias más allá de lo necesario y, al mismo tiempo, dar preferencia a soluciones con estándares más exigentes cuando existan alternativas comparables.
  • Protección de los derechos del niño. El interés superior del menor debe prevalecer en toda decisión organizativa y técnica. Se incluyen, entre otros, los derechos a la protección, a la no discriminación, a la inclusión, a la privacidad y a la protección de datos personales, a la libertad de expresión e información, a la educación y a la participación, con atención al deber de escuchar sus opiniones en los asuntos que les afecten.
  • Privacidad, seguridad y protección desde el diseño. Las plataformas deben integrar, desde la concepción del producto y durante todo su ciclo de vida, configuraciones por defecto y arquitecturas que reduzcan superficie de riesgo y protejan datos, integridad y dignidad de los menores. Se fomenta el uso sistemático de metodologías de “privacy/security/safety by design and by default”, con revisiones periódicas y documentación de decisiones.
  • Diseño adecuado a la edad. La experiencia debe adaptarse a etapas de desarrollo y capacidades cognitivas y emocionales, con interfaces comprensibles, flujos de consentimiento y configuración inteligibles, y limitaciones razonables de funcionalidades que entrañan riesgos elevados para menores más pequeños.

Revisión de riesgos: la piedra angular

Los prestadores deben realizar una revisión de riesgos específica y periódica —al menos anual o cuando se introduzcan cambios significativos de diseño— que:

  • Determine la probabilidad de acceso de menores al servicio.
  • Analice impactos potenciales y reales sobre privacidad, seguridad y protección usando tipologías reconocidas (por ejemplo, marcos 5C), con clasificación del nivel de riesgo (bajo/medio/alto) sustentada en criterios claros.
  • Identifique medidas existentes, su eficacia y brechas; proponga medidas adicionales necesarias y proporcionales.
  • Evalúe efectos positivos y negativos sobre derechos de niños y demás usuarios, preservando libertades fundamentales y ajustando mitigaciones a la menor intrusión posible.
  • Consigne parámetros para monitorizar la eficacia a lo largo del tiempo y active ciclos de mejora continua.

Se recomienda involucrar a niños y tutores, así como expertos y colectivos potencialmente afectados, y apoyarse en instrumentos y plantillas de evaluación de impacto sobre derechos del niño (UNICEF, CEN-CENELEC, administraciones nacionales). Los resultados deben ponerse a disposición de las autoridades de supervisión y publicarse con prudencia suficiente para no exponer información sensible de seguridad u operaciones.

Diseño del servicio: medidas que marcan la diferencia

A la hora de traducir la revisión de riesgos en decisiones de producto, las directrices orientan sobre áreas clave:

  • Configuración por defecto de cuentas de menores. Perfiles privados por defecto; límites a la localización y a la indexación; controles granulares de contacto y visibilidad; vetos a la mensajería entrante de desconocidos; filtros de descubrimiento restrictivos.
  • Publicidad y técnicas de perfilado. Prohibición de anuncios basados en elaboración de perfiles cuando exista conciencia razonable de que el usuario es menor; restricción de técnicas de captación que exploten vulnerabilidades etarias; transparencia reforzada de contenidos patrocinados aptos para menores; mecanismos de señalización y retirada.
  • Sistemas de recomendación. Opciones de desactivación o ajuste; mecanismos que eviten espirales hacia contenidos nocivos; explicabilidad adaptada a la edad; circuitos de “cortafuegos” algorítmico para impedir el escalado hacia material dañino o conductas adictivas.
  • Funciones sociales y de mensajería. Controles de contacto; detección y disuasión de comportamientos abusivos; ritmos de interacción que eviten presión excesiva; límites de reenvío y viralización en grupos con presencia de menores.
  • Prácticas de diseño. Prohibición o contención de patrones oscuros y mecánicas manipuladoras; simplicidad en la retirada de consentimiento; desactivación de rastreo innecesario; minimización de datos estricta; ciclos de retención reducidos y borrado verificable.
  • IA generativa y ultrafalsificaciones. Salvaguardas para evitar suplantaciones, distorsiones y exposición a contenidos engañosos; etiquetado visible de contenido sintético; filtros de entrada/salida; barreras de uso para menores en funciones de mayor riesgo.
  • Garantía de la edad sin sobretratar datos

La Comisión enfatiza que el artículo 28.3 DSA no impone la recogida de datos adicionales solo para determinar la minoría de edad. Se promueve un enfoque que combine señales múltiples, configuraciones prudentes por defecto y, cuando proceda, tecnologías de garantía de edad respetuosas con la privacidad (p. ej., verificación sin revelar la fecha exacta de nacimiento, comprobaciones criptográficas de mayoría de edad, atestaciones de terceros de confianza), con impacto mínimo y evaluación de proporcionalidad. Plataformas que afirman prohibir el acceso a menores deberán articular medidas eficaces de barrera; la simple declaración en términos y condiciones no basta para quedar fuera del ámbito del artículo 28.1.

Apoyo al usuario, herramientas para tutores y vías de denuncia

Una plataforma que pretenda ser segura para menores ha de proporcionar:

  • Canales de denuncia accesibles y rápidos, con tiempos de respuesta razonables y comunicación clara del resultado.
  • Herramientas para tutores que permitan configurar límites de contacto y visibilidad, administrar tiempo de pantalla, ajustar parámetros de recomendación, acceder a orientaciones educativas y recibir avisos sobre riesgos significativos, todo ello con respeto al interés del menor y a su esfera privada conforme a la edad.
  • Educación y alfabetización integradas en la experiencia, con materiales adaptados a distintas franjas de edad que expliquen privacidad, seguridad y huella digital.
  • Gobernanza y rendición de cuentas

Las directrices recomiendan un dispositivo de cumplimiento verificable:

  • Responsables internos identificados, con mandato y recursos para coordinar el cumplimiento del artículo 28 DSA y reportar al nivel ejecutivo.
  • Políticas y procedimientos escritos, incluidos criterios de activación de medidas técnicas, protocolos de respuesta a incidentes que afecten a menores, flujos de escalado y auditorías internas.
  • Transparencia pública graduada, con informes periódicos sobre riesgos detectados, medidas adoptadas y métricas de eficacia, preservando la seguridad de la plataforma.
  • Supervisión y cooperación con autoridades, facilitando la revisión por coordinadores de servicios digitales y autoridades nacionales competentes.
  • Revisión independiente, cuando resulte oportuno, por expertos externos u órganos de autorregulación que acrediten la efectividad de los controles.

Interacción con otros marcos regulatorios

El DSA convive con instrumentos europeos que protegen a los menores en el ecosistema digital: Directiva de servicios de comunicación audiovisual, Derecho de consumo, Reglamento general de protección de datos, entre otros. Las directrices no alteran obligaciones derivadas de esos marcos ni las sustituyen; la vigilancia y ejecución continúan correspondiendo a las autoridades competentes. Prestadores sujetos a obligaciones reforzadas (por ejemplo, VLOPs) no deben considerar suficiente la adopción parcial o total de las medidas aquí descritas para cumplir el capítulo III, sección 5, del DSA.

Proceso de elaboración y vigencia práctica

La Comisión ha consultado a la Junta Europea de Servicios Digitales y a su grupo de trabajo sobre protección de menores, así como a partes interesadas del ámbito regulatorio, académico y social. Las directrices fueron sometidas a consulta ante la Junta el 2 de julio de 2025. A partir de su adopción, la Comisión anuncia que orientará su práctica de aplicación del artículo 28.1 DSA conforme a estos criterios, con el alcance y límites propios de un instrumento de soft law: referencia significativa para valorar la adecuación y proporcionalidad de las medidas, sin generar una presunción automática de cumplimiento por mera adhesión formal.

Expectativas para el sector

Se espera que los prestadores:

  • Integren revisiones de riesgo periódicas, públicas en lo sustancial y accesibles para autoridades.
  • Apliquen configuraciones por defecto seguras para cuentas de menores y limiten el contacto no solicitado.
  • Eliminen el perfilado publicitario dirigido a menores cuando exista conocimiento razonable de la edad.
  • Desplieguen mecanismos efectivos de denuncia y herramientas parentales respetuosas con la autonomía progresiva del menor.
  • Documenten decisiones de diseño, demuestren minimización de datos y articulen controles de IA adecuados.
  • Adopten un modelo de gobernanza que asegure continuidad, recursos y rendición de cuentas.

Un llamado a la mejora continua

La Comisión subraya que las medidas de las secciones 5 a 8 de las directrices no agotan las opciones disponibles. El avance tecnológico y el conocimiento científico abrirán nuevas herramientas de mitigación y evaluación; conviene incorporarlas de manera dinámica, bajo el principio de precaución cuando existan indicios razonables de riesgo para niños. Se invita al sector a explorar estándares y normas técnicas emergentes y a cooperar con autoridades, sociedad civil y academia.

Mensaje clave

Las directrices ofrecen un marco operable para pasar de declaraciones genéricas a controles efectivos. Plataformas que ajusten su diseño y su gobernanza a estos principios estarán en mejor posición para demostrar diligencia, proteger a los menores y reforzar la confianza de familias y educadores. La protección de la infancia en el entorno digital exige medidas proporcionadas y verificables, en las que la privacidad, la seguridad y la protección no se conciban como añadidos, sino como condiciones de diseño y funcionamiento de los servicios.

Deja un comentarioCancelar respuesta