A medida que los gobiernos de todo el mundo se esfuerzan por hacer que Internet sea más seguro para los niños, una idea ha ido ganando terreno: en lugar de obligar a los sitios web a mantener alejados a los niños, ¿por qué no hacer que su dispositivo lo haga en su lugar?
En Estados Unidos, California ha aprobado una ley que exige que los sistemas operativos recopilen información sobre la edad y proporcionen a las aplicaciones una señal que indique si un usuario es menor o adulto. Los legisladores de Colorado(nueva ventana) e Illinois(nueva ventana) están considerando una legislación similar.
En el Reino Unido, Apple ya ha comenzado a exigir a algunos usuarios de iPhone que verifiquen su edad a nivel del sistema operativo para acceder a ciertas funciones.
Este es un cambio importante en cómo funciona la identidad en línea. Cuando las verificaciones de identidad pasan de los sitios web a los sistemas operativos, se convierten en parte de la infraestructura de Internet. Las decisiones que se toman en esta capa pueden afectar la forma en que miles de millones de personas acceden a la información, se comunican y participan en línea.
“Crean barreras innecesarias e inconstitucionales(nueva ventana) para que los adultos y los jóvenes accedan a la información y se expresen en línea”, advierte la Electronic Frontier Foundation, especialmente cuando los miembros de la familia de diferentes edades comparten dispositivos en un hogar.
De verificaciones en el sitio web a señales a nivel de dispositivo
Las restricciones de edad en Internet históricamente han sido manejadas por aplicaciones y sitios web individuales. Si una aplicación o sitio web aloja contenido destinado a adultos, podría pedir a los usuarios que confirmen su edad antes de permitir que el usuario descargue la aplicación o acceda al sitio web. El nuevo enfoque traslada esa responsabilidad al sistema operativo que ejecuta su dispositivo, como Windows, Mac o Linux.
Bajo la Ley de Garantía de Edad Digital de California(nueva ventana), los sistemas operativos deben recopilar la edad de un usuario durante la configuración de la cuenta y categorizar a los usuarios en grupos de edad: menores de 13, de 13 a 15, de 16 a 17 o de 18 años o más. En lugar de pedir a cada sitio web que verifique la edad de un usuario, el sistema operativo en el que se ejecuta su computadora determina la categoría de edad del usuario una vez y luego comparte esa información con las aplicaciones cuando se solicita, de forma indefinida.
Mover la verificación de edad a los sistemas operativos no solo simplifica el cumplimiento. Cambia quién controla la identidad en línea.
Hoy en día, la mayoría de los dispositivos móviles se ejecutan en sistemas operativos controlados por Apple y Google. Si la verificación de edad se convierte en un requisito a nivel del SO, estas empresas se convierten efectivamente en los guardianes de las señales de edad utilizadas en millones de aplicaciones.
Los desarrolladores ya no decidirían cómo verificar a los usuarios. En su lugar, se les exigiría confiar en la clasificación del sistema operativo. En la práctica, eso significa confiar en la infraestructura de Apple o Google (y en su interpretación de los requisitos reglamentarios) para determinar quién puede acceder a qué.
Esto tiene implicaciones más allá de la privacidad. Refuerza el poder de los ecosistemas de tiendas de aplicaciones existentes, donde ambas empresas ya controlan la distribución y la aplicación de políticas. Agregar la verificación de identidad a eso consolida aún más su posición, encerrando a los desarrolladores en sus ecosistemas y limitando la capacidad de los competidores para construir plataformas o sistemas de identidad alternativos.
También plantea interrogantes sobre cómo se podría utilizar esta infraestructura más allá de su propósito original. Una vez que los sistemas operativos pueden verificar y transmitir atributos como la edad, el mismo mecanismo podría extenderse en otros países para aplicar controles más amplios.
Gobiernos como los de China y Rusia ya han mostrado su disposición a exigir a las empresas que restrinjan el acceso a las aplicaciones y al contenido. Los sistemas creados para la verificación de edad podrían convertirse en una base para formas de control más amplias.
Los partidarios argumentan que esto podría simplificar el cumplimiento y reducir la necesidad de que las plataformas recopilen datos de edad ellas mismas. Los críticos dicen que corre el riesgo de convertir el dispositivo en sí en un punto de control de identidad permanente. Bajo la nueva ley, se requerirá que cada sistema operativo verifique la edad del usuario durante la configuración(nueva ventana), y puede enviar esos datos a través de una API a los desarrolladores de aplicaciones sin el consentimiento explícito del usuario.
Los riesgos de privacidad de las verificaciones de edad centralizadas
Los sistemas de verificación de edad varían ampliamente en su funcionamiento.
Cargar documentos de identidad puede exponer a los usuarios al riesgo de vulneraciones de datos, como se ve con plataformas como Discord, donde los atacantes han obtenido acceso a miles de identificaciones gubernamentales a través de sistemas de verificación de edad.
Los sistemas biométricos plantean preocupaciones sobre la precisión y el sesgo. Los escaneos faciales, por ejemplo, no pueden determinar la edad exacta de alguien y pueden generar resultados inexactos.
Centralizar las señales de edad a nivel del sistema operativo introduce un riesgo diferente. Si los atributos de identidad se incrustan en el software que ejecuta un dispositivo, esa información podría dar forma a cómo interactúan los usuarios con todo el ecosistema digital.
Por ejemplo, en hogares multifamiliares donde muchas personas usan el mismo dispositivo, las aplicaciones podrían restringir por error el acceso al contenido según la señal de edad que reciben del sistema operativo, incluso cuando el usuario es mayor de edad. De manera similar, si un adulto registra el sistema operativo, los niños que usan el dispositivo pueden eludir fácilmente la señal de edad enviada desde el SO. En algunos casos, los desarrolladores pueden enfrentar responsabilidad legal si no aplican las restricciones de edad de manera adecuada.
Diseñar sistemas que respeten la privacidad
Proteger a los niños en línea es un objetivo importante. Los padres, educadores y legisladores tienen preocupaciones legítimas sobre el contenido dañino, las presiones de las redes sociales y las prácticas de diseño de explotación. Pero diseñar medidas de seguridad para Internet no se trata solo de objetivos de políticas. También se trata de la arquitectura técnica.
Un sistema destinado a proteger a los menores no debería exigir que todos entreguen información personal confidencial para usar los servicios en línea de todos los días.
En su lugar, las leyes integrales de privacidad pueden ayudar a proteger a los niños(nueva ventana) al tiempo que preservan la privacidad, la seguridad y el acceso a la información para todos.
A medida que las políticas de verificación de edad sigan evolucionando, los sistemas que las aplican ayudarán a determinar cómo será Internet para la próxima generación. Lo más importante es quién controla los sistemas que toman esas decisiones.
