El 8 de mayo de 2026 se publicó en el Diario Oficial de la Unión Europea la Recomendación (UE) 2026/1035 de la Comisión, relativa al establecimiento de un marco común para las tecnologías de verificación de la edad a escala europea.
Aunque el título puede parecer técnico, el asunto es bastante sencillo de entender: la Unión Europea quiere que exista un sistema común, fiable y respetuoso con la privacidad para comprobar la edad de una persona cuando accede a determinados servicios o contenidos digitales.
La finalidad principal es proteger a los menores en internet, pero, como ocurre muchas veces con la tecnología, el debate no termina ahí. La cuestión importante no es solo si conviene verificar la edad, sino cómo se hace, quién interviene, qué datos se comparten y qué riesgos pueden aparecer si el sistema se utiliza mal.
Qué pretende esta recomendación de la Unión Europea
La recomendación parte de una realidad evidente: los menores acceden cada vez antes y con mayor frecuencia a servicios digitales. Plataformas online, juegos, redes sociales, contenidos audiovisuales, servicios de mensajería o páginas con contenidos restringidos forman parte de su entorno habitual.
La Comisión Europea menciona expresamente riesgos como la exposición a contenidos pornográficos, violentos, relacionados con el juego, el ciberacoso, la captación de menores o el uso excesivo y adictivo de determinados servicios digitales. Por ese motivo, considera necesario disponer de métodos sólidos para acreditar la edad de los usuarios en determinados contextos.
La idea, por tanto, no es nueva. Desde hace años existen páginas que preguntan al usuario si es mayor de edad. El problema es que ese sistema no verifica nada. Basta con pulsar un botón.
Lo que plantea ahora la Unión Europea es algo distinto: avanzar hacia soluciones de verificación de edad que sean interoperables entre Estados miembros, ciberseguras y respetuosas con la privacidad. Es decir, que funcionen de forma similar en toda la Unión Europea y que no obliguen al usuario a entregar más información personal de la necesaria.
No es una ley de aplicación directa, pero marca una dirección clara
Conviene aclarar algo importante. Estamos ante una recomendación, no ante un reglamento de aplicación directa ni una directiva que obligue a una transposición formal en cada Estado miembro.
Esto no significa que carezca de importancia. Las recomendaciones de la Comisión Europea suelen marcar una línea política, técnica y regulatoria. En este caso, además, fija fechas concretas.
La Comisión recomienda que los Estados miembros presenten un plan de ejecución antes del 30 de junio de 2026 y que faciliten una solución de verificación de edad de la UE antes del 31 de diciembre de 2026. Esa solución podrá estar integrada en la cartera europea de identidad digital, funcionar como aplicación independiente o combinar ambas posibilidades.
Dicho de forma sencilla: no estamos ante una medida que mañana vaya a cambiar el acceso a internet, pero sí ante una pieza más dentro de una infraestructura digital europea que se está construyendo con rapidez. Y esto es lo relevante.
Cómo funcionaría una verificación de edad sin revelar la identidad
El punto más interesante de la recomendación es que no plantea, al menos en teoría, que el usuario tenga que entregar su DNI, su nombre, su fecha de nacimiento o su dirección a cada página web. La lógica correcta sería otra.
Una entidad de confianza verifica previamente la edad del usuario. Esa entidad puede estar vinculada a una administración pública, a la futura cartera europea de identidad digital o a un proveedor autorizado. Después, cuando el usuario accede a un servicio restringido, la web no recibe todos sus datos personales, sino solo una respuesta limitada.
Por ejemplo: “Este usuario es mayor de 18 años: sí”. Nada más.
La web no debería saber quién es esa persona, ni cuál es su fecha exacta de nacimiento, ni dónde vive, ni qué documento de identidad tiene. Solo debería saber si supera o no el umbral de edad exigido.
Este principio se conoce como divulgación selectiva de información. En lugar de compartir el dato completo, se comparte únicamente el atributo necesario. En este caso, no se entrega la identidad, sino la confirmación de que se cumple una condición.
La recomendación también menciona el uso de pruebas de conocimiento cero, una tecnología que permite demostrar que algo es cierto sin revelar el dato que lo demuestra. Aplicado a este caso, permitiría acreditar que una persona es mayor de edad sin mostrar su fecha de nacimiento.
Es un concepto técnico, pero puede entenderse con un ejemplo sencillo.
Imaginemos que para entrar en un local no fuera necesario enseñar el DNI completo. Bastaría con que una autoridad confiable emitiera una señal verificable diciendo: “esta persona puede entrar”. El portero no sabría el nombre, la dirección ni la edad exacta. Solo sabría que se cumple la condición.
En el mundo digital, la dificultad está en que esa señal sea auténtica, no manipulable y, al mismo tiempo, no sirva para rastrear al usuario.
La cartera europea de identidad digital: mucho más que un DNI en el móvil
Uno de los elementos clave de este sistema es la cartera europea de identidad digital.
No debe entenderse simplemente como un DNI digital. Es más bien una wallet de identidad y credenciales. Un espacio digital donde el ciudadano podrá almacenar y compartir datos verificados, como su identidad, permisos, certificados, títulos académicos o atributos concretos.
Entre esos atributos podría estar la edad.
La recomendación recuerda que cada Estado miembro deberá proporcionar al menos una cartera europea de identidad digital de forma voluntaria y gratuita para las personas físicas. Esta cartera permitirá identificarse, autenticarse y compartir datos de identificación personal o declaraciones electrónicas de atributos bajo control del usuario.
Aquí está uno de los cambios de fondo que estamos viendo en Europa: pasamos de una internet basada en formularios, usuarios y contraseñas, a una internet donde la identidad digital verificable puede tener un papel cada vez mayor.
Esto encaja con una tendencia más amplia. La próxima década estará marcada por tecnologías que combinan identidad digital, inteligencia artificial, automatización, blockchain, ciberseguridad y nuevos modelos de interacción entre ciudadanos, empresas y administraciones. Ya traté esta evolución de forma más general en el artículo sobre las tecnologías que marcarán la próxima década.
La verificación de edad no es un caso aislado. Es una pieza dentro de ese cambio.
Qué papel tendrían los proveedores de confianza
La recomendación no deja la verificación en manos de cualquier empresa sin control. La Comisión habla de proveedores de declaraciones de prueba de edad y de soluciones de confianza.
Esto significa que debería existir un sistema europeo para determinar qué entidades pueden emitir esas declaraciones y qué soluciones cumplen los requisitos técnicos y de seguridad necesarios. La Comisión prevé listas de proveedores de confianza y listas de soluciones reconocidas, con el objetivo de que las plataformas puedan comprobar si una prueba de edad procede de una fuente válida.
En la práctica, el funcionamiento podría ser parecido a este:
El usuario obtiene una credencial de edad de un proveedor autorizado. Esa credencial no tiene por qué mostrar todos sus datos personales. Cuando accede a una plataforma que exige una edad mínima, la plataforma solicita una prueba. El usuario autoriza el envío de una respuesta limitada. La plataforma comprueba que la prueba es válida y que procede de un proveedor reconocido.
El objetivo es evitar tanto la autodeclaración inútil como la identificación completa innecesaria.
La clave está en el equilibrio.
Un sistema demasiado débil no protege a los menores. Pero un sistema demasiado intrusivo puede terminar afectando a derechos fundamentales de todos los ciudadanos.
El verdadero debate: privacidad frente a trazabilidad
La recomendación insiste varias veces en que la verificación de edad no debe convertirse en un mecanismo para identificar, localizar, perfilar o rastrear a personas físicas. También señala que solo deben tratarse los atributos relacionados con la edad estrictamente necesarios para el fin concreto.
Esta parte es esencial.
Porque una cosa es verificar que alguien tiene más de 18 años para acceder a un contenido restringido, y otra muy distinta es crear una infraestructura que permita saber qué persona accede a qué página, cuándo, desde dónde y con qué frecuencia.
Ahí estaría la línea roja.
Un sistema bien diseñado debería cumplir tres condiciones básicas: que la web no conozca la identidad del usuario, que el proveedor de identidad no sepa necesariamente a qué servicio está accediendo y que no exista un registro centralizado de hábitos de navegación.
Si esas condiciones no se cumplen, el riesgo cambia por completo. Ya no estaríamos hablando únicamente de protección de menores, sino de una posible herramienta de trazabilidad del comportamiento online.
Y esto no afecta solo a páginas de contenido adulto, porque hoy puede aplicarse a pornografía, juego o determinados contenidos sensibles, pero mañana podría plantearse en redes sociales, plataformas de inversión, servicios financieros, comunidades digitales o cualquier otro entorno donde se establezca una edad mínima o una condición de acceso.
Por eso conviene analizar estas medidas con calma. No desde el miedo, pero tampoco desde la ingenuidad.
¿Puede afectar a servicios financieros, inversión o criptoactivos?
La recomendación está centrada en la verificación de edad, especialmente en relación con la protección de menores. No regula directamente los criptoactivos ni los servicios financieros descentralizados.
Sin embargo, sí abre un debate más amplio sobre cómo se acreditarán ciertos atributos personales en internet. La edad es uno de ellos, pero podrían existir otros: residencia, condición profesional, capacidad legal, autorización para operar o cumplimiento de determinados requisitos.
En el ámbito financiero, esto tiene mucho recorrido.
Por ejemplo, una plataforma podría necesitar verificar si una persona tiene edad suficiente para contratar un producto, si reside en una jurisdicción concreta o si cumple determinados requisitos legales. En el mundo de las finanzas descentralizadas, este debate es especialmente delicado, porque una parte de su filosofía se basa precisamente en reducir intermediarios y operar con mayor autonomía digital. Para entender mejor ese contexto, puede ser útil revisar el artículo qué es DeFi y cómo funcionan las finanzas descentralizadas.
La cuestión de fondo es clara: si la identidad digital se convierte en una capa habitual de acceso a servicios online, habrá que definir muy bien qué datos se comparten, quién los valida, quién los conserva y con qué finalidad.
¿Se utilizará inteligencia artificial para verificar la edad?
La recomendación no presenta la inteligencia artificial como el mecanismo principal para verificar la edad.
Existen soluciones en el mercado que estiman la edad mediante análisis facial, voz o comportamiento. Pero estos sistemas plantean problemas evidentes: margen de error, sesgos, tratamiento de datos biométricos y una mayor afectación a la privacidad.
El enfoque de la Unión Europea parece ir más hacia credenciales verificables, identidad digital, proveedores de confianza, declaraciones electrónicas de atributos y tecnologías criptográficas. Es decir, no se trataría tanto de que una IA “adivine” si una persona tiene 17 o 19 años, sino de que un sistema confiable confirme si esa persona supera un umbral de edad. La diferencia es importante.
Una estimación puede equivocarse. Una credencial emitida por una fuente válida debería funcionar como una prueba verificable, siempre que el sistema esté correctamente diseñado.
Código abierto y confianza pública
Otro aspecto interesante es que la Comisión prevé un plan director de verificación de edad de la UE publicado como código abierto. La finalidad es que los Estados miembros y los agentes del mercado puedan adoptarlo, revisarlo y adaptarlo a sus necesidades. Esto es positivo.
Cuando una infraestructura afecta a identidad, privacidad y acceso a servicios digitales, la transparencia técnica es fundamental. El código abierto permite revisión pública, auditoría y detección de posibles errores o vulnerabilidades.
Ahora bien, publicar código abierto no resuelve por sí solo todos los problemas. También importan la gobernanza, los registros que se generen, los incentivos de los proveedores, las obligaciones legales, la supervisión de las autoridades de protección de datos y la arquitectura concreta del sistema.
La confianza no depende solo de la tecnología. Depende también de cómo se gestiona.
Ejemplo práctico: acceso a una web con restricción de edad
Para entenderlo mejor, pensemos en un caso sencillo.
Un usuario quiere acceder a una página que exige ser mayor de 18 años. En lugar de marcar una casilla diciendo que lo es, la web le pide una prueba de edad.
El usuario abre su cartera europea de identidad digital o una aplicación independiente de verificación de edad. Esa cartera contiene una declaración electrónica emitida por un proveedor válido. El usuario autoriza compartir únicamente el atributo necesario: “mayor de 18 años”.
La web recibe una prueba técnica. Comprueba que procede de un proveedor reconocido y que no ha sido manipulada. Si la prueba es válida, permite el acceso.
En el diseño ideal, la web no recibe el nombre del usuario. El proveedor no debería poder construir un historial de navegación. Y el Estado no debería disponer de un registro central de accesos a contenidos sensibles. Ese es el modelo aceptable.
El modelo problemático sería otro: que cada acceso quedara asociado a una identidad concreta, una página visitada, una fecha, una hora y una categoría de contenido. En ese caso, la verificación de edad dejaría de ser una medida de protección y se convertiría en una herramienta de vigilancia potencial.
La cuestión no es solo tecnológica, sino jurídica y ética
Este tipo de medidas suelen presentarse como soluciones técnicas. Pero en realidad son decisiones jurídicas, políticas y sociales.
La tecnología permite hacer muchas cosas. Permite verificar edad sin revelar identidad, pero también permite rastrear, perfilar y cruzar datos. El resultado final dependerá del diseño legal y técnico que se adopte.
Por eso es importante que estas soluciones respeten varios principios:
- La minimización de datos, para que solo se comparta lo imprescindible.
- La separación entre identidad y navegación, para evitar trazabilidad.
- La auditoría independiente, para comprobar que el sistema funciona como se promete.
- La voluntariedad real de la cartera digital, cuando así esté prevista.
- La limitación de finalidad, para impedir que una herramienta creada para proteger a menores termine extendiéndose de forma desproporcionada a otros ámbitos.
En esta materia no basta con decir que el sistema será privado. Hay que demostrarlo técnicamente y garantizarlo jurídicamente.
Valoración personal
Mi valoración es prudente.
La protección de los menores en internet es un objetivo legítimo y necesario. Sería poco serio negar los riesgos que existen en el entorno digital, especialmente cuando hablamos de pornografía, juego, violencia, captación de menores o dinámicas adictivas en determinadas plataformas.
Ahora bien, también sería ingenuo ignorar que una infraestructura de verificación de edad mal diseñada puede tener consecuencias muy relevantes para la privacidad de toda la población. La clave está en no confundir verificación con identificación.
Verificar la edad debería significar únicamente acreditar que una persona supera un umbral concreto. No debería convertirse en una forma de registrar quién accede a qué contenidos, qué intereses tiene, qué busca o qué servicios utiliza.
Si la Unión Europea consigue implantar un sistema basado en pruebas mínimas, proveedores auditados, ausencia de trazabilidad y control real por parte del usuario, estaremos ante una herramienta útil. Si, por el contrario, la implementación acaba generando registros indirectos, dependencias excesivas o integración desordenada con otros servicios digitales, el riesgo será evidente.
La tecnología, por sí sola, no es buena ni mala. Lo decisivo es el uso que se haga de ella, los límites que se impongan y la capacidad real de los ciudadanos para conservar su privacidad en un entorno cada vez más digitalizado.
