Meta viola el DSA: la UE detecta fallos en la verificacion de edad de Instagram

La Comisión Europea emitió conclusiones preliminares el 29 de abril de 2026 de que Meta incumple la Ley de Servicios Digitales (DSA) por no impedir que menores de 13 años accedan a Instagram y Facebook. La investigación de la Comisión reveló que los sistemas de verificación de edad de Meta son trivialmente fáciles de eludir: cualquier menor puede crear o mantener una cuenta simplemente introduciendo una fecha de nacimiento falsa, sin ningún mecanismo efectivo de confirmación. Los hallazgos marcan la primera acción de aplicación importante del DSA en materia de seguridad infantil en una gran plataforma social - y el mecanismo propuesto para solucionar el problema tiene implicaciones significativas para la privacidad de todos los usuarios.

Que encontro la Comision Europea

Las conclusiones preliminares de la Comisión señalan que Meta no ha identificado, evaluado ni mitigado diligentemente los riesgos sistémicos que Instagram y Facebook representan para los menores. Aproximadamente entre el 10 y el 12 por ciento de los menores de 13 años utiliza actualmente estas plataformas, contradiciendo las propias evaluaciones internas de Meta. La Comisión también constató que Meta "ignoró evidencia científica fácilmente disponible" que indica que los niños más pequeños son especialmente vulnerables a los daños derivados de los feeds sociales curados algorítmicamente.

Más allá del problema de elusión de edad, la Comisión señaló que la herramienta de denuncia de cuentas de menores de Meta es "difícil de usar" y requiere hasta siete clics para acceder al formulario. Además, la Comisión constató que Meta no proporciona un seguimiento adecuado de las denuncias recibidas, por lo que las cuentas de menores denunciadas frecuentemente permanecen activas en la plataforma. La conclusión preliminar de la Comisión es que Meta no ha implementado salvaguardas proporcionadas o efectivas, a pesar de los requisitos explícitos del DSA.

Como los menores eluden la verificacion de edad

La conclusión técnica central es sencilla: las plataformas de Meta solicitan una fecha de nacimiento al crear la cuenta, pero no verifican que la fecha indicada sea correcta. Un menor que introduce una fecha que indica 16 o 18 años no encuentra ningún obstáculo adicional. No existe comprobación de documentos, servicio de verificación de terceros ni cotejo con ninguna base de datos de identidad. La barrera de edad es, en la práctica, un campo de texto que puede eludirse escribiendo cualquier número.

El Artículo 28 del DSA exige que las plataformas en línea de muy gran tamaño implementen medidas de garantía de edad proporcionadas al riesgo identificado. La posición preliminar de la Comisión es que una fecha de nacimiento autodeclarada sin verificación no cumple este estándar para una plataforma que ha identificado la seguridad infantil como un riesgo sistémico.

Consecuencias: hasta el 6% de los ingresos mundiales

Meta tiene ahora el derecho de responder a las conclusiones preliminares antes de que la Comisión emita una decisión final. Si se confirman, la Comisión puede imponer una multa de hasta el 6 por ciento de la facturación anual mundial total de Meta. Basándose en los ingresos de Meta en 2025, eso representaría una sanción potencial de alrededor de 12.000 millones de dólares. La Comisión también puede imponer multas coercitivas periódicas y, en casos de infracciones graves, ordenar restricciones de acceso temporales.

Meta ha manifestado públicamente su desacuerdo con las conclusiones y ha declarado que compartirá detalles de medidas adicionales en curso. La evaluación preliminar de la Comisión es que estas medidas se quedan cortas frente a los requisitos del DSA en toda la UE.

La consecuencia para la privacidad: verificacion obligatoria para todos

La trayectoria política derivada de esta acción de aplicación es clara: si las fechas de nacimiento autodeclaradas son insuficientes bajo el DSA, Meta necesitará implementar una forma de garantía de edad que realmente funcione. La verificación de edad efectiva requiere una comprobación de documentos, un sistema de estimación de edad biométrico, o la integración con un servicio de verificación de identidad de terceros. Los tres enfoques requieren recopilar datos personales sensibles de todos los usuarios, no solo de los menores de 13 años.

Este es el mismo problema estructural identificado en el régimen de verificación de edad del Reino Unido, la legislación australiana y la Parents Decide Act (H.R. 8250) de EE.UU.: para proteger a los menores, los reguladores están construyendo infraestructura de verificación que recopila datos de identidad de todos. El objetivo de seguridad infantil es legítimo, pero el mecanismo crea una base de datos que vincula identidades reales con cuentas en redes sociales en toda la base de usuarios de la UE.

Que significa esto para los usuarios de VPN

Una VPN enmascara tu dirección IP y cifra tu tráfico de red - y sigue siendo una herramienta esencial para ocultar tu geolocalización, cifrar datos en redes públicas y proteger tu actividad de tu proveedor de internet. Pero la verificación de edad opera en la capa de cuenta, por encima de la red. Si Meta está obligada a implementar verificación de edad basada en documentos para usuarios de la UE, tu VPN no puede evitar esa verificación. En el momento en que envías un documento de identidad o te conectas a un servicio de verificación de terceros, esos datos existen independientemente de qué red o IP utilices.

La preocupación más amplia es la normalización de la verificación de identidad como requisito previo para acceder a plataformas online. Las VPN siguen siendo eficaces contra la vigilancia en la capa de red, pero no abordan los requisitos de identidad en la capa de cuenta. A medida que madura la infraestructura de verificación de edad, el límite entre "acceso a internet" y "acceso verificado" se estrecha.

Importante: Estas son solo conclusiones preliminares. Meta tiene derecho a responder y la Comisión debe emitir una decisión final antes de que entre en vigor cualquier multa u orden de cumplimiento. Sin embargo, la dirección de la aplicación de la UE en materia de verificación de edad es clara: las fechas de nacimiento autodeclaradas ya no se consideran suficientes para el cumplimiento del DSA en plataformas de muy gran tamaño.

Cobertura relacionada en vpnlab.io

Artículos anteriores sobre legislación de verificación de edad y sus implicaciones para la privacidad:

Parents Decide Act: todos los telefonos deben recopilar tu fecha de nacimiento segun H.R. 8250 - el proyecto de ley estadounidense que traslada la verificación de edad al nivel del SO.
App de verificacion de edad de la UE hackeada en 2 minutos - Durov advierte del riesgo - cuando la infraestructura se convierte en superficie de ataque.
Tras los controles de edad en el Reino Unido, el uso de VPN se dispara - la respuesta documentada en privacidad.

Conclusion

Conclusion: Los hallazgos preliminares del DSA de la UE contra Meta confirman lo que reguladores de EE.UU., Reino Unido y Australia ya han concluido: la edad autodeclarada no es verificación de edad. La solución técnica - comprobaciones de documentos, biometría o servicios de identidad de terceros - requiere recopilar datos de identidad reales de todos los usuarios, no solo de los menores. Para los usuarios de VPN y los defensores de la privacidad, esta acción importa menos como historia de Meta y más como historia de infraestructura: cada mandato regulatorio para la verificación de edad "real" construye la capa de identidad de internet, reduciendo el espacio donde el acceso anónimo sigue siendo posible.

Sources:
• Commission preliminary findings: Meta in breach of DSA - European Commission
• EU says Meta's safeguards fail to stop under-13 users - Business Standard
• Meta told it's violating EU law - CNBC
• EU finds Meta violates digital rules - Euronews