La verificación de edad por IA se ha convertido en una herramienta central para plataformas que deben proteger a menores y cumplir normas emergentes. Reguladores, proveedores y sociedad civil debaten intensamente sobre cuándo y cómo usar estimaciones biométricas, comprobaciones documentales o soluciones criptográficas que demuestren la mayoría de edad sin revelar datos sensibles.
Este artículo repasa el marco regulatorio reciente (CEPD, AEPD, ICO, FTC), la evidencia técnica (NIST, ensayos nacionales y proveedores), los riesgos demostrados (filtraciones, sesgos) y las prácticas recomendadas (DPIA, minimización, enfoques por capas y ZKP). El objetivo es ofrecer una visión práctica y crítica sobre consentimiento y seguridad en la verificación de edad por IA.
Marco regulatorio europeo y español
En Europa, el Comité Europeo de Protección de Datos publicó el «Statement on Age Assurance» con 10 principios que exigen un enfoque proporcional, el uso del método menos intrusivo y la realización de evaluaciones de impacto de protección de datos. El CEPD enfatiza que los métodos deben priorizar la minimización de datos y proteger especialmente a los menores; como afirmó Anu Talus: «La garantía de la edad es esencial… el método para verificar la edad debe ser el menos intrusivo posible y los datos personales de los niños deben protegerse».
En España, la AEPD impulsó un dictamen adoptado por el Comité Europeo el 12 de febrero de 2025 que fija criterios concretos de protección de datos para sistemas de verificación de edad en servicios online. La orientación exige transparencia sobre proveedores, limitación de retención y la necesidad de DPIA antes de desplegar sistemas automatizados.
Los reguladores europeos recomiendan un diseño basado en riesgo: empezar por opciones de baja fricción y sólo escalar a métodos más invasivos cuando exista incertidumbre. Este enfoque pretende equilibrar la protección de menores con la obligación de no colectar exceso de PII o biometría innecesaria.
Evolución internacional: Reino Unido, Estados Unidos y Australia
El Reino Unido intensificó la regulación con updates a la Children’s Code (dic 2025) y acciones de supervisión por la ICO. John Edwards, comisionado de la ICO, dejó claro que «relying on self-declaration is not enough… companies operating online services likely to be accessed by children have a responsibility to protect those children». La ICO ha sancionado plataformas: el caso más notable fue la multa a Reddit de £14.47M (24 feb 2026) por procesar datos de menores sin medidas de verificación robustas ni una DPIA adecuada.
En Estados Unidos, la FTC emitió en febrero de 2026 una policy statement que abre la puerta a cierta discrecionalidad sobre la aplicación de COPPA si las soluciones de verificación cumplen condiciones estrictas (eliminación rápida, no reuso, seguridad razonable y transparencia). Christopher Mufarrige (FTC) defendió que «Age verification technologies are some of the most child‑protective technologies to emerge in decades», siempre que se acompañen de salvaguardas fuertes. La FTC también organizó un taller público el 28 de enero de 2026 para discutir técnicas, precisión y marcos regulatorios.
Australia realizó en 2025 un gran ensayo que concluyó que las tecnologías pueden funcionar, pero que «errores son inevitables», especialmente en la franja de ±2, 3 años alrededor del umbral. La recomendación australiana fue un enfoque por capas: estimación facial inicial y verificación documental o humana cuando haya incertidumbre.
Qué dice la evidencia técnica: precisión y sesgos
El NIST publicó el informe FATE/AEV (NIST IR 8525) con pruebas de seis algoritmos de estimación de edad; entre 2014 y 2024 hubo mejoras (MAE de ~4.3 a ~3.1 años en cierto conjunto de datos), pero el rendimiento varía según calidad de imagen, edad, género y región. No existe un algoritmo claramente dominante en todos los grupos demográficos.
Los hallazgos de equidad del NIST son reveladores: tasas de error más altas para rostros femeninos y variabilidad por regiones de nacimiento y tono de piel, lo que señala riesgos de sesgo demográfico en la verificación por imagen. La práctica ha mostrado además una «zona tampón» alrededor del umbral (±2, 3 años) donde las estimaciones faciales son menos fiables, lo que obliga a diseñar procesos de fallback.
Los proveedores publican métricas propias: por ejemplo, Yoti (jul 2025) difundió un white paper con altos TPR para ciertas edades (TPR ~99.3% para estimaciones <21 en sujetos de 13 y 17) y MAE declarada baja, pero esas son pruebas internas. Reguladores y expertos señalan la necesidad de validación independiente y pruebas continuas antes de confiar en afirmaciones de marketing.
Riesgos reales: filtraciones, cadena de suministro y discriminación
Los riesgos operativos se han materializado en incidentes concretos. En octubre de 2025 un tercero vinculado a la verificación de Discord sufrió acceso no autorizado que pudo exponer ~70,000 imágenes de ID gubernamental, con impacto mayor en Australia. Casos adicionales mostraron exposiciones de credenciales administrativas en proveedores KYC/ID (por ejemplo AU10TIX y otros), demostrando la fragilidad de la cadena de suministro.
La centralización de PII y biometría incrementa la superficie de ataque y el impacto de un fallo. Filtraciones o mala gestión de retención no sólo generan daños directos sino costes reputacionales que han llevado a plataformas a posponer o retirar despliegues ante presión pública y regulatoria.
La sociedad civil, representada por organizaciones como EFF, critica mandatos invasivos que fomentan la recolección masiva de IDs/biometría y que pueden discriminar a personas sin documentos, personas trans y migrantes. La crítica subraya el riesgo de crear nuevas superficies de vigilancia y pide alternativas menos intrusivas.
Soluciones técnicas y diseño recomendado
Actualmente hay varias técnicas alternativas: estimación facial (rápida, baja fricción pero con sesgos y zona tampón), verificación documental (más directa pero con PII y riesgos de filtración), comprobaciones financieras/telco o attestation de dispositivo y credenciales verificables con ZKP (que permiten probar “mayor de X” sin revelar DOB). Cada opción tiene ventajas y límites; la elección debe ser proporcional al riesgo.
Reguladores y expertos recomiendan un enfoque por capas y principios operacionales: realizar DPIA, priorizar el método menos intrusivo, usar pruebas automatizadas de baja fricción y escalar a verificación reforzada cuando exista incertidumbre, eliminar o anonimizar datos tras la verificación, auditar proveedores externos y documentar retenciones. La práctica de diseñar una «zona tampón» técnica y un proceso de fallback reduce errores injustos cerca del umbral.
Las soluciones emergentes de preservación de privacidad , ZKP y verifiable credentials, han ganado apoyo en la UE y por empresas como Google/Wallet con pilotos en 2025. Estas opciones permiten verificar la mayoría de edad sin compartir fecha de nacimiento ni imágenes de documentos, y constituyen una ruta prometedora para cumplir requisitos regulatorios respetando la minimización.
Impacto en usuarios, mercado y comportamiento
La reacción del mercado y del usuario ya es visible: tras la entrada en vigor del Online Safety Act en el Reino Unido (jul 2025) se registraron picos en descargas de apps VPN (informes citan aumentos de +1,400 a +1,800%) y caídas en visitas a sitios para adultos según algunos estudios, aunque las cifras han sido debatidas y matizadas. Estas respuestas ilustran efectos colaterales de políticas y despliegues tecnológicos.
El mercado de verificación biométrica y de edad crece rápidamente: estimaciones de MarketsandMarkets sitúan el mercado global de verificación biométrica en ~USD 8.9B en 2025 con proyección a USD 17.8B en 2030. Los ingresos sectoriales y la demanda de soluciones aumentan, lo que impulsa tanto innovación (p. ej. ZKP) como proliferación de proveedores con distintos niveles de control de calidad.
Sin embargo, la adopción depende de la confianza: incidentes como la fuga de Discord o sanciones regulatorias (ej. Reddit) muestran que las plataformas que no aplican salvaguardas sufren costes legales, reputacionales y operativos. La transparencia sobre proveedores, prácticas de retención y DPIAs aumenta la confianza pública y reduce riesgos.
La verificación de edad por IA plantea un dilema: la necesidad legítima de proteger a menores frente a la obligación de minimizar la intrusión y el riesgo. Reguladores como el CEPD y la AEPD, y autoridades como la ICO y la FTC, señalan principios claros: proporcionalidad, menor intrusión posible, eliminación y no reuso, y auditoría continua.
Adoptar soluciones responsables implica diseñar flujos escalables (estimación inicial → verificación reforzada si hay duda), utilizar tecnologías preservadoras de privacidad cuando sea viable (ZKP/credenciales verificables), realizar DPIA, auditar proveedores y comunicar con claridad a los usuarios. Con estas medidas, la verificación de edad por IA puede cumplir su propósito sin convertirse en un vector de daño adicional.
