Reacción a "Pedro Sánchez anuncia que España prohibirá el acceso a las redes sociales a menores de 16 años"

Cualquier sistema de verificación de edad tiene que asegurar, al mismo tiempo, la privacidad de la persona a la que se le verifica la edad. Un ejemplo: hace un rato en Bluesky he visto que tengo un mensaje directo, he ido a abrirlo y me dicen que los mensajes directos no se activan a no ser que verifique mi edad. Una de las opciones que me da para verificación de edad es que dé una tarjeta de crédito, pero siempre le puedes robar la tarjeta de crédito a tu padre y, además, es poner tu tarjeta de crédito en manos de una compañía cuyas medidas de seguridad no sabes si son buenas o malas. 

La siguiente opción es un reconocimiento biométrico que protegerá a los menores a costa de que todas las grandes corporaciones tengan escaneada sus caras y las de todos los usuarios. Aquí la gente que se dedica a la biometría facial te dirá que en realidad no se escanea la cara, sino unos determinados puntos y que esos grafos físicos quedan guardados de una manera criptográfica; pero lo cierto es que una vez que se guarda ese reconocimiento facial puede ser reconocido en cualquier parte del mundo, aunque no se guarde la foto, pero se guardan los datos necesarios para volverte a reconocer. 

La tercera opción que me da es escanear mi documento nacional de identidad, pero la Agencia Española de Protección de Datos ya ha dejado claro que escanear el DNI o fotocopiarlo, como estaban haciendo en los hoteles, es excesivo, lo que puedes hacer es mostrarlo. ¿Cómo me aseguro yo de que una startup californiana como Bluesky mañana no la compra una gran corporación y todos esos datos no quedan ahí almacenados? Es decir, tenemos que encontrar sistemas que permitan verificar la edad, pero con el debido anonimato, que puede parecer raro, pero se puede hacer técnicamente. No me parece mal la verificación de edad, pero claro, ¿con qué métodos? Esta es la cuestión. 

Si el método tiene que ser la Cartera de Identidad Digital Europea (EUDI Wallet), que teóricamente tiene que haber una en España para finales de este año, en la que vamos trabajando mucha gente desde hace mucho tiempo, tiene la posibilidad de generar una presentación, que puede ser un código QR, tirando de los datos reales de una persona y diciendo que esta persona es mayor de 16 años, sin decir ni quién es la persona, ni cómo se llama. Se utiliza una tecnología que se llama Zero Knowledge Proof, es decir, alguien, una tercera parte de confianza da fe de que tú eres mayor de edad y todo el sistema funciona para que tú confíes en ese dato. Eso puede funcionar en España porque los menores pueden tener un documento nacional de identidad. 

La verificación de edad es un problema que arrastramos desde el nacimiento de Internet y ahora se puede hacer con medidas muy concretas, que no son baratas, si queremos asegurarnos la privacidad de nuestros ciudadanos.  A mí me parece que si de lo que estamos hablando es de la soberanía digital, lo primero es que ningún país tenga acceso a datos biométricos de nuestros ciudadanos. 

Y sobre el tema de la responsabilidad penal de los CEOS, yo creo que somos conscientes de que cualquier medida que tomemos solo entrará en vigor cuando el CEO pise el territorio español. Aunque tenga poca utilidad a corto plazo, me parece muy interesante, porque un CEO se lo pensará cuando vaya a ser responsable él personalmente con su propio patrimonio de lo que pase en cualquier país del mundo. No es lo mismo que te caiga una responsabilidad civil a que te caiga una responsabilidad penal. De hecho, el caso de Pavel Durov con Telegram en Francia es significativo.