Sobre el control de acceso a los contenidos para adultos
Un análisis crítico de la medida en formato "preguntas y respuestas"
¿En qué consiste exactamente la medida?
De forma muy resumida, en que conforme a lo anunciado por el Gobierno, a la documentación técnica disponible y a las modificaciones legales actualmente en trámite, se exigirá una prueba de mayoría de edad en formato digital para el acceso a contenidos para adultos alojados en plataformas españolas.
¿Está disponible esa documentación?
Por supuesto. Aquí están los enlaces:
¿Cuál es su fundamento legal?
Actualmente se está tramitando el Anteproyecto de ley de protección de menores en entornos digitales (disponible aquí) que entre otras muchas modificaciones relevantes (incluido el Código Penal) una vez aprobado supondrá la modificación de la Ley General de Comunicación Audiovisual.
Esta modificación de la LGCA es la que obligará a solicitar la verificación de mayoría de edad para poder acceder online a contenidos para adultos.
¿Qué relación tiene con lo anunciado?
El Gobierno está desarrollando paralelamente un sistema de verificación de edad basado en una app de nueva creación. Como no existe en el mercado ningún otro sistema que cumpla los requisitos del Reglamento 2024/1183, en la práctica sería obligatorio utilizar el propuesto por la Administración.
De hecho, la cláusula parece redactada de forma intencionada para obligar a usar la app. No puedo dejar de pensar que ese es uno de los objetivos adicionales: “vender” las bondades de una app pionera en el marco del nuevo Reglamento EiDAS (aunque su utilidad hoy sea nula).
¿ Y a quien se aplica?
Aunque el ministro ha sido deliberadamente ambiguo en este punto, creo que la ley sería aplicable (cuando se apruebe, y si es que se aprueba) a las conexiones desde cualquier parte del mundo a plataformas establecidas en España, que son totalmente residuales. Las grandes plataformas de contenido para adultos estarían fuera del alcance (muchas de ellas están en paises con poca supervisión). Además, si llegara a entrar en vigor, es previsible que se trasladen al extranjero. Su eficacia sería nula.
Por otro lado, también sería aplicable a redes sociales, plataformas de comunicación, etc., que puedan alojar contenido para adultos, pero de nuevo siempre y cuando estén establecidas en España. Actualmente no hay ninguna.
El Gobierno ha anunciado que ha iniciado conversaciones con los grandes actores (Meta, etc.) los desarrolladores de sistemas operativos (Google para Android, Apple para iOS) los operadores telco y los desarrolladores de navegadores para que acepten implantar esta tecnología. No hay noticias de estas conversaciones y parece inviable que acepten. En este sentido, el ejemplo puesto por el ministro de que Telegram podría solicitar prueba de mayoría de edad es absolutamente ridículo.
¿Como se ha diseñado funcionalmente?
En el momento en que haya entrado en vigor, el usuario deberá instalarse la app Cartera Digital y solicitar a través de ella una prueba de mayoría de edad, con su certificado de la FNMT, app CLAVE o equivalente.
El emisor de credenciales emitirá una validación de mayoría de edad y generará 30 identificadores que se alojarán de forma segura en la app del usuario.
Cuando un usuario desee acceder a la plataforma que lo tenga implantado (da igual a estos efectos que sea por navegador o app) la plataforma le pedirá una de esas evidencias a la app y esta se la enviará (bien de forma integrada si es app, bien medianmte lectura de codigo QR si es a través de navegador).
En ese momento la app registrará la evidencia y desbloqueará el contenido adulto.
Los 30 identificadores se irán usando aleatoriamente, y cuando se hayan gastado (no se pueden usar más de 3 veces en una misma plataforma) se podrá solicitar una nueva emisión de 30 credenciales. También habrá que hacerlo si caducan (tienen validez de 30 días).
¿Entonces no está limitado a 30 accesos al mes?
En absoluto. Con este diseño técnico, los usos son ilimitados. Pero la posibilidad técnica existe, tanto de limitar los accesos como los destinatarios.
¿Que papel juega el INCIBE?
Este organismo mantendrá listas blancas (de empresas que cumplen con la normativa) y negras (de las que no lo cumplen y de las extranjeras, además de RRSS, etc.). El Gobierno ha deslizado que su objetivo es que los navegadores accedan a estas listas y bloqueen cualquier acceso a las que no tengan mecanismos de acceso.
¿Que medidas de seguridad se han establecido?
Según la información documentada, la Administración no tiene acceso a ningún tipo de información acerca de los usos del usuario, solo emite las credenciales.
Por otro lado, las plataformas solo tienen acceso al identificador anónimo, no a los datos del emisor.
Las claves solo son guardadas en el teléfono de forma segura. Incluso en el caso de que fueran robadas, podrían ser usadas de forma fraudulenta, pero son anónimas.
La limitación a 30 días, 30 tokens y 4 usos busca evitar robos, generación ilimitada de tokens para revender y situaciones similares.
¿Son seguras las medidas comentadas?
Sobre el papel es posible, aunque en la información aportada hay diversas lagunas. Pero sobre todo, la experiencia de Radar Covid y de otras implementaciones de la Administración provoca una gran desconfianza. Hasta que se vea operativa será imposible juzgar.
¿Cuales son los riesgos?
Para mí, hay de dos tipos. Técnicos y políticos.
Existe el riesgo de que la seguridad de la información se vea comprometida y que cualquier con acceso al sistema (o bien un intruso externo) pueda acceder a los pares de ID de la persona y páginas visitadas. Teóricamente ha sido diseñado para evitarlo, pero como decía, la mediocridad recurrente de la Administración en sus diseños de seguridad me hace desconfiar. El ejemplo de Radar Covid (donde la privacidad brillaba por su ausencia) tampoco ayuda. No confío en la Administración para custodiar mis datos. Punto.
Existe también un riesgo técnico asociado: como se ve en la captura anterior, la clave pública viaja dentro de la credencial. Es decir, que el destinatario (la plataforma) podría hacer perfilado de visitas a través de la clave pública.
Por otro lado, y dado que hoy la utilidad de Cartera Digital es exclusivamente esta, el Gobierno puede deducir sin mucho esfuerzo que quien genere credenciales es consumidor, y quien las genere cada semana, gran consumidor.
El riesgo político es evidente. Se crea un modelo en el que en aras del bien común los ciudadanos aceptan ceder una parte más de su privacidad. Y si este gobierno (y cualquier otro) tiene en su mano la posibilidad de restringir el número de visitas o los destinatarios, la tentación de usarlo será muy fuerte.
Si usted quiere entrar en www.cosasdebegoña.com, como es un seudomedio y está calificado como fango por nuestro verificador, deberá dar su identidad y objetivo del acceso.
Pero ¿al menos va a funcionar?
Pues no, en absoluto, y por dos motivos muy claros y concretos:
Ninguna plataforma lo va a implantar. Antes se van fuera. Perderían el 99% del tráfico.
Nadie en su sano juicio va a dar sus datos al gobierno para acceder a plataformas de contenido pudiendo acceder a muchas otras que no tienen ningún tipo de control.
EN RESUMEN
No está claro que la ley se apruebe tal y como está. Varios partidos han manifestado su oposición.
Si se aprueba, es más que posible que se tarden meses en que la app esté operativa.
Si llega a estar operativa, ninguna plataforma la implementará.
Incluso aunque la implemente una de ellas, el 99,9% del tráfico se irá a otras. Los niños no verán menos contenido adulto. Eso es puro pensamiento Alicia.
Dentro de un año la app estará abandonada.
No tengo tan claro que no se aplique a plataformas extranjeras, en teoría España tiene jurisdicción sobre ellas siempre que se acceda desde España tal y como pasa con la GDPR.
Excelente análisis. Una pregunta: ¿Se plantea solo para controlar el acceso desde móviles? Quedarían fuera los accesos desde desktop y laptop....