La multa de la ICO a reddit por GDPR pone en duda las verificaciones de edad y la protección de datos de los niños

Los reguladores han reavivado el debate sobre la privacidad, la seguridad infantil en línea y la multa de GDPR a Reddit después de que la autoridad del Reino Unido sancionara a la plataforma por datos de menores de 13 años.

ICO sanciona a Reddit por datos de niños y verificaciones de edad

La Oficina del Comisionado de Información del Reino Unido (ICO) ha impuesto una multa de 14,47 millones de libras esterlinas (19,6 millones de dólares) a Reddit por supuestas violaciones del GDPR relacionadas con niños, en una decisión anunciada el 24 de febrero de 2026. Sin embargo, defensores de la privacidad advierten que el enfoque de aplicación podría socavar el anonimato y la seguridad de los usuarios en todas las plataformas en línea.

El regulador afirmó que la multa a Reddit se basó en dos fallos principales. Primero, Reddit carecía de medidas “robustas” de verificación de edad, lo que le impedía tener una base legal para procesar los datos personales de usuarios menores de 13 años. Segundo, no realizó una evaluación formal de impacto en protección de datos (DPIA) para identificar y mitigar riesgos para los niños en el servicio antes de enero de 2025.

Según la ICO, el monto de la sanción reflejaba varios factores. Entre ellos, el gran número de niños que usaban la plataforma, el daño potencial que podrían sufrir, la duración de las fallas y el volumen de negocio global de Reddit. Además, los investigadores destacaron la naturaleza del contenido al que los niños podrían haber estado expuestos.

Regulador: Reddit falló con los usuarios más jóvenes

El comisionado de información, John Edwards, afirmó que los menores de 13 años tuvieron su información personal recopilada y utilizada de formas que no podían comprender ni controlar completamente. Esto los dejó potencialmente expuestos a contenido inapropiado para su edad, argumentó en un enérgico comunicado.

“Los niños menores de 13 años tuvieron su información personal recopilada y utilizada de maneras que no podían entender, consentir ni controlar. Esto los dejó potencialmente expuestos a contenido que no deberían haber visto. Esto es inaceptable y ha resultado en la multa de hoy”, dijo Edwards. Subrayó que las empresas deben diseñar sus servicios pensando en los niños desde el principio.

Edwards añadió que los servicios en línea que probablemente atraen a niños tienen una responsabilidad clara de protegerlos. Para ello, deben conocer, con confianza razonable, la edad de sus usuarios y aplicar verificaciones de edad apropiadas y efectivas. Sin embargo, no prescribió una tecnología específica, sino que se centró en los resultados y en la reducción de riesgos.

Respuesta de Reddit y objeciones basadas en la privacidad

Reddit reaccionó argumentando que sus decisiones de diseño de larga data priorizaban el anonimato y la seguridad de los usuarios. En un comunicado, la compañía afirmó que “no requerimos que los usuarios compartan información sobre sus identidades, independientemente de su edad, porque estamos profundamente comprometidos con su privacidad y seguridad”. Sin embargo, no negó que los niños hubieran accedido a la plataforma.

La plataforma introdujo controles de edad para acceder a “contenido maduro” en julio de 2025 y comenzó a solicitar a los nuevos usuarios que indicaran su edad al crear una cuenta. La ICO reconoció estos cambios, pero afirmó que la auto-declaración por sí sola era demasiado fácil de eludir y no cumplía con los estándares del GDPR para procesos de mayor riesgo que involucren a menores.

Especialistas en privacidad expresaron apoyo a la postura de Reddit, argumentando que verificaciones más estrictas podrían alimentar preocupaciones sobre la verificación de edad. Advirtieron que imitar los requisitos intrusivos de identidad impuestos en algunos sitios de contenido para adultos podría aumentar la superficie de ataque para ciberdelincuentes y debilitar las protecciones de privacidad en general.

Expertos advierten sobre preocupaciones de privacidad en la verificación de edad

Paul Bischoff, defensor de la privacidad del consumidor en Comparitech, dijo que esperaba que Reddit resistiera la presión para implementar verificaciones de identidad severas. Argumentó que los regímenes de verificación obligatorios trasladan la carga de la prueba a los usuarios que no son sospechosos de wrongdoing, planteando cuestiones amplias de libertades civiles.

“El problema con la verificación obligatoria de identidad es que impone una carga indebida de prueba a la gran mayoría de las personas que no son sospechosas de ningún delito”, advirtió Bischoff. Además, afirmó que hay poca evidencia sólida de que estos esquemas ofrezcan los beneficios de seguridad que afirman, especialmente a gran escala.

Agregó que las verificaciones coercitivas pueden tener un efecto paralizador en la libertad de expresión y asociación. En su opinión, los padres deben asumir más responsabilidad en la supervisión de la actividad en línea de sus hijos, en lugar de transferir esa tarea a empresas privadas, gobiernos o al público en general.

Pieter Arntz, investigador senior en Malwarebytes, también advirtió que las tecnologías de evaluación de edad conllevan riesgos significativos. En particular, destacó sistemas que dependen del análisis biométrico, datos financieros o repositorios de identidad centralizados, diciendo que cada opción abre nuevas vías para abusos, vigilancia o brechas de datos.

Arntz citó la estimación de edad facial mediante biometría, verificaciones en banca abierta consultando información financiera, billeteras de identidad digital y cotejo de identificación con foto como ejemplos de herramientas que pueden concentrar datos de identidad altamente sensibles. Incluso mecanismos más simples, como verificaciones con tarjeta de crédito, inferencias por correo electrónico o verificación por red móvil, pueden generar preocupaciones sobre exclusión, perfilamiento y fiabilidad.

Modelos de doble ciego como posible compromiso

Para conciliar las preocupaciones de privacidad en la verificación de edad con los objetivos de seguridad infantil, Arntz señaló la verificación “de doble ciego” como una vía más respetuosa con la privacidad. En este modelo, un tercero de confianza confirma si un usuario cumple con un umbral de edad, como 18+, y luego emite un token anónimo al sitio web confiable.

Bajo este enfoque, el sitio recibe solo una indicación simple de que un usuario es, por ejemplo, “18+”, sin conocer su identidad completa ni qué servicio de verificación utilizó. Esto puede reducir la exposición de datos, limitar el rastreo entre servicios y evitar la creación de grandes “almacenes” de información personal sensible que sean atractivos para los atacantes.

Según Arntz, estas arquitecturas podrían ofrecer protecciones de privacidad más fuertes que muchos esquemas actuales, mientras cumplen con las demandas regulatorias. Sin embargo, requerirían un diseño técnico cuidadoso, gobernanza clara y supervisión robusta para garantizar que realmente limiten la recopilación de datos y no reintroduzcan riesgos mediante integraciones en el backend.

Obligaciones de cumplimiento y lecciones de la multa GDPR a Reddit para la industria

La multa GDPR a Reddit también subraya obligaciones más amplias en protección de datos de niños para cualquier servicio en línea utilizado por menores, independientemente de si son el público objetivo. Las fallas en estrategia y gobernanza relacionadas con DPIAs y verificaciones de edad probablemente atraerán mayor atención regulatoria a medida que la aplicación se fortalezca.

Chris Linnell, director asociado de privacidad de datos en Bridewell, afirmó que al procesar datos de niños, realizar una DPIA no es opcional. Es un requisito legal destinado a que las organizaciones evalúen, documenten y mitiguen riesgos antes de que ocurra daño, especialmente cuando se trata de perfiles o segmentación de contenido.

Linnell argumentó que la ausencia de una DPIA sólida sugiere que los riesgos para los niños no fueron correctamente identificados ni abordados desde el principio. Además, dijo que confiar únicamente en términos y condiciones que indiquen que menores de 13 años no deben usar el servicio no constituye una protección efectiva si no existen controles técnicos que respalden esa política.

“Si no hay controles técnicos u operativos efectivos para hacer cumplir esa regla, la organización no puede argumentar creíblemente que ha tomado medidas razonables para prevenir el acceso”, afirmó. “El cumplimiento no puede limitarse solo a la redacción contractual; debe reflejarse en salvaguardas prácticas.” Sus comentarios indican que las políticas en papel no serán suficientes en futuras acciones de cumplimiento.

Enfoque reciente en cumplimiento y orientación para plataformas en línea

La decisión de Reddit sigue a otro caso en el Reino Unido relacionado con datos de niños. Solo semanas antes, MediaLab, la empresa matriz de la plataforma de intercambio de imágenes Imgur, recibió una multa de más de 247,000 libras por no usar la ley de datos de niños de manera legal. En conjunto, estos casos muestran que la ICO está intensificando la vigilancia sobre cómo las plataformas sociales y de contenido tratan a los usuarios jóvenes.

Linnell instó a los proveedores de servicios en línea a actuar ahora para evitar resultados similares. Primero, deben identificar dónde es probable que los niños accedan a sus servicios, incluso si esos usuarios no son su público objetivo. Segundo, deben realizar DPIAs para procesos de alto riesgo y asegurarse de revisar y actualizar esas evaluaciones regularmente.

También aconsejó a las empresas que establezcan y documenten una base legal clara para el procesamiento de datos de niños y que implementen controles proporcionales y efectivos en lugar de confiar únicamente en declaraciones de políticas. Sin embargo, estos controles deben equilibrarse con principios de privacidad desde el diseño para evitar una captura excesiva de datos, lo cual podría crear nuevos riesgos.

Perspectivas para plataformas que equilibran seguridad, privacidad y cumplimiento

La acción de la ICO contra Reddit señala una era más estricta de aplicación en torno a la protección de datos y los niños en 2026 y en adelante. Las plataformas que dependen en gran medida del contenido generado por usuarios enfrentarán una presión creciente para conciliar seguridad, privacidad y obligaciones legales, manteniendo al mismo tiempo modelos de negocio viables y confianza comunitaria.

En la práctica, esto implica construir diseños conscientes de la edad, realizar DPIAs significativas y explorar modelos de verificación que preserven la privacidad, en lugar de recurrir por defecto a verificaciones de identidad generalizadas. A medida que reguladores y la industria prueben estos enfoques, es probable que el debate sobre el cumplimiento de GDPR de Reddit sirva para definir estándares globales en la protección de menores en línea.

En general, el caso de Reddit funciona como una advertencia de alto perfil de que la protección de datos centrada en los niños pasa de ser una guía a una obligación de cumplimiento, impulsando a las plataformas a fortalecer las salvaguardas mientras defienden la privacidad del usuario.