Un proyecto de ley bipartidista presentado en la Cámara de Representantes de EE.UU. el 13 de abril de 2026 obligaría a Apple, Google y a todos los demás proveedores de sistemas operativos a recopilar la fecha de nacimiento de cada usuario - adulto o niño - como condición para configurar un dispositivo. H.R. 8250, la Parents Decide Act, traslada la responsabilidad de verificación de edad de las aplicaciones individuales al nivel del SO, creando lo que los investigadores de privacidad describen como un registro de identidad permanente a nivel de dispositivo que seguiría a los usuarios en cada aplicación que instalen.
Que exige realmente el proyecto de ley
Presentado por el Rep. Josh Gottheimer (D-NJ) y copatrocinado por la Rep. Elise Stefanik (R-NY), la Parents Decide Act exige que cualquier proveedor de un sistema operativo de uso general - que cubra smartphones, tablets, ordenadores, smart TVs, consolas de videojuegos, lectores de e-books y dispositivos integrados - obligue a todos los usuarios a introducir su fecha de nacimiento antes de completar la configuración del dispositivo. Si un usuario es menor de 18 años, un padre o tutor legal debe proporcionar verificación adicional. La Comisión Federal de Comercio estaría obligada a emitir reglamentos de implementación en un plazo de 180 días tras su promulgación e informar al Congreso sobre el cumplimiento en 18 meses.
El Rep. Gottheimer enmarcó el proyecto como una restauración del control parental: "Los padres deben decidir qué aplicaciones pueden descargar sus hijos, qué contenido pueden ver y cómo interactúan en línea - no los algoritmos ni las empresas tecnológicas." El proyecto también crea un puerto seguro para los proveedores de SO que cumplan de buena fe y entra en vigor un año después de su firma.
El problema de privacidad: todas las apps obtienen tu fecha de nacimiento
El elemento más controvertido de la legislación no es el mecanismo de control parental, sino la interfaz programática obligatoria que crearía el proyecto. Según H.R. 8250, los sistemas operativos estarían obligados a exponer los datos de edad recopilados a través de una API accesible para cualquier aplicación instalada en el dispositivo. Los investigadores de privacidad señalan que esto significa que cada sitio web, cada juego, cada utilidad y cada red publicitaria podría consultar al SO la fecha de nacimiento del usuario simplemente realizando la llamada a la API.
La US Internet Privacy Society ha descrito esto como obligar efectivamente a cada dispositivo a transmitir la fecha de nacimiento de su propietario a cualquier aplicación que lo solicite, sin posibilidad de exclusión para los adultos. La preocupación no es hipotética: las investigaciones han demostrado que solo tres datos - fecha de nacimiento, código postal y género - son suficientes para identificar de forma única al 87 por ciento de los estadounidenses. Una vez expuesta a través de una API obligatoria a nivel de SO, esa fecha de nacimiento se convierte en un identificador permanente de seguimiento entre sitios, permitiendo a los intermediarios de datos correlacionarla con nombres, direcciones, perfiles de comportamiento e historiales de compras en todo el ecosistema publicitario.
Alcance: cada usuario, cada dispositivo, sin excepciones
A diferencia de propuestas anteriores de verificación de edad dirigidas a plataformas o categorías de contenido específicas, H.R. 8250 se aplica de forma universal. El requisito de fecha de nacimiento cubre a todos los usuarios, no solo a los menores de 18 años. Un adulto que compre un nuevo portátil, smartphone o smart TV estaría obligado a proporcionar su fecha de nacimiento antes de completar la configuración. El alcance del proyecto sobre "dispositivos informáticos de uso general" es lo suficientemente amplio como para abarcar no solo ordenadores y teléfonos tradicionales, sino también consolas de videojuegos, televisores conectados y una amplia gama de electrónica de consumo integrada.
El proyecto se encuentra actualmente en la primera fase del proceso legislativo, remitido al Comité de Energía y Comercio de la Cámara sin que se haya programado ninguna audiencia. Necesitaría superar el comité, pasar por la Cámara, el Senado y ser firmado por el Presidente para convertirse en ley - un camino con considerable incertidumbre. Pero la dirección que señala es clara: un creciente apetito en el Congreso por la verificación de identidad en la capa de infraestructura de la tecnología de consumo.
Que significa esto para los usuarios de VPN
Una VPN enruta el tráfico de red a través de un túnel cifrado y enmascara los identificadores basados en IP, pero opera en la capa de red. H.R. 8250 opera en la capa del dispositivo, por debajo de toda la pila de red. Si se promulgara, el requisito de verificación de edad se aplicaría en la configuración del dispositivo, antes de que se genere cualquier tráfico de red. Tu proveedor de VPN, tu resolutor DNS y tu extensión de navegador para bloquear huellas digitales no tendrían ninguna visibilidad sobre el envío de edad a nivel de SO - y ninguna capacidad para impedirlo.
Lo que diferencia esto de la mayoría de marcos de vigilancia que las VPN están diseñadas para abordar es el punto final: la recopilación de datos ocurre en el propio dispositivo, en el momento de la configuración. La vinculación resultante entre fecha de nacimiento y dispositivo persistiría independientemente de qué VPN, navegador o red utilice el usuario posteriormente.
Cobertura relacionada en vpnlab.io
Artículos anteriores sobre legislación de verificación de edad y sus consecuencias para la privacidad:
- App de verificacion de edad de la UE hackeada en 2 minutos - Durov advierte del riesgo de vigilancia - qué ocurre cuando la propia infraestructura obligatoria de verificación de edad se convierte en superficie de ataque.
- Internet por pasaporte en Australia: como Google y Bing verifican la edad de los usuarios - como funcionan ya en Australia las verificaciones de edad adyacentes al SO.
- Tras los controles de edad en el Reino Unido para sitios para adultos, el uso de VPN se dispara - la respuesta de privacidad documentada cuando la verificación de edad llega a los usuarios finales.
