Boletín: Octubre 2025

La Comisión Europea ha publicado en el Diario Oficial de la Unión Europea (C/2025/5519, de 10 de octubre de 2025) las “Directrices sobre medidas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en línea”, en aplicación del artículo 28, apartado 4, del Reglamento (UE) 2022/2065, conocido como Reglamento de Servicios Digitales (DSA).

El objetivo de estas directrices es asistir a los prestadores de plataformas en línea accesibles a menores, así como a los coordinadores de servicios digitales y autoridades nacionales competentes, en la aplicación del artículo 28 del DSA, que obliga a garantizar un nivel elevado de privacidad, seguridad y protección de los menores en sus servicios digitales. Asimismo, la Comisión aclara que las directrices servirán de referencia interpretativa para valorar el cumplimiento de las obligaciones del DSA, sin que su adopción implique por sí sola conformidad automática con la norma.

Las principales medidas y principios recogidos son las siguientes:

• Adecuación y proporcionalidad de las medidas, según el tipo y riesgo del servicio.
• Protección de los derechos del niño, priorizando su interés superior.
• Privacidad, seguridad y protección desde el diseño, conforme al artículo 25 del RGPD.
• Diseño adecuado a la edad, adaptando las interfaces y comunicaciones a las capacidades de los menores.

Los prestadores de plataformas en línea accesibles a menores deberán realizar una revisión periódica de riesgos, al menos una vez al año o cuando se produzcan cambios sustanciales en el servicio. Esta revisión deberá identificar los riesgos para la privacidad, seguridad y protección de los menores, incluyendo los derivados de la interacción con otros usuarios o de la propia arquitectura de la plataforma.

La Comisión recomienda basar esta evaluación en herramientas de impacto sobre los derechos del niño y hacer públicos los resultados de forma transparente, sin revelar información sensible.

Además, para obtener garantía de la edad, se distinguen tres tipos de mecanismos —autodeclaración, estimación y verificación de edad—, precisando que únicamente las medidas robustas permiten alcanzar un alto nivel de protección. Se fomenta el uso de verificación de edad mediante identificadores oficiales o tókenes anonimizados, y se desaconseja el uso exclusivo de la autodeclaración.

Las directrices confirman que la Comisión Europea está probando una solución de verificación de la edad a escala de la UE, conforme a los criterios de eficacia establecidos, mientras se desarrolla la futura cartera europea de identidad digital, que permitirá acreditar la edad sin revelar datos personales adicionales.

En cuanto a la aplicación y supervisión, las autoridades nacionales y la propia Comisión podrán apoyarse en estas directrices para interpretar el artículo 28 DSA. No obstante, se aclara que su cumplimiento no exime de otras obligaciones legales derivadas del RGPD u otras normas europeas de protección de datos, derechos de los consumidores o seguridad digital.