Verificación de edad en UK: qué exige la ley, métodos “altamente efectivos” y cómo implementarlos con mínima fricción

Key takeaways (TL;DR)
 

La Online Safety Act 2023 exige una garantía de mayoría de edad “altamente efectiva” para proteger a menores; mientras que Ofcom supervisa el cumplimiento.

Sanciones en caso de incumplimiento: hasta el 10% de ingresos globales o £18m y posible bloqueo en UK.

No basta la autodeclaración de mayoría de edad; se requieren técnicas como estimación de edad con respaldo de documento + liveness e integraciones de identidad con respuesta binaria.

Patrón recomendado: método primario de baja fricción (estimación de edad) + fallback documental en casos dudosos; privacy by design y medición continua.

La verificación de edad en Reino Unido ya no es opcional ni algo cosmético: desde 2025, las plataformas que operan en UK deben impedir el acceso a menores a contenido dañino y demostrarlo con métodos “altamente efectivos”, bajo la supervisión de Ofcom, el organismo nacional que se encarga de regular las telecomunicaciones.

No cumplir con las normativas puede conllevar multas de hasta el 10% de los ingresos globales y alcanzar los 18 millones de libras esterlinas, además de bloqueos de servicio y los daños reputacionales. Por ello, las empresas que operan en Reino Unido estarán bajo una vigilancia cada vez mayor sobre cómo se tratan los datos personales y cómo de fluida es la verificación de la edad de los usuarios.

En este artículo guiaremos a tus responsables de producto, legal y compliance a entender todos los entresijos de esta nueva normativa y qué cuestiones se deben valorar para elegir e implementar una solución de verificación de edad adecuada para reducir fricción y acelerar la aceptación.

Qué cambió con la Online Safety Act y desde cuándo se aplica

La Online Safety Act 2023 traslada a las plataformas un deber claro: impedir el acceso de menores a contenidos dañinos y demostrarlo con medidas que garanticen el acceso de mayores de edad “altamente efectivas”. El calendario operativo es escalonado: para Part 5 (servicios que publican su propia pornografía), la obligación comenzó el pasado 17 de enero de 2025; para Part 3 (user-to-user y buscadores), la evaluación de acceso infantil se completó el 16 de abril de 2025 y, desde el 25 de julio de 2025 —Age Verification Day— todos los servicios que permiten pornografía deben tener controles de edad robustos en producción. Ese mismo día, Ofcom comenzó a verificar y abrir las primeras investigaciones.

Este marco se apoya en los códigos de protección de la infancia y la guía de Ofcom (enero–abril de 2025), que precisan expectativas sobre efectividad, proporcionalidad y privacidad. Desaparece la autodeclaración (“Sí, tengo 18 años”) y se exige evidencia técnica: estimación de edad basada en biometría e IA, verificación de documento con coincidencia facial (Face Match 1:1) y liveness, o integraciones de identidad que devuelven un sí/no con mínima transferencia de datos, como las wallets de identidad o identity wallets. Estas técnicas son válidas cuando son fiables, robustas y están monitorizadas de forma continua.

En caso de incumplimiento, Ofcom puede imponer multas de hasta el 10% de los ingresos globales o £18 millones, además de solicitar el bloqueo del servicio en Reino Unido. El regulador espera decisiones basadas en riesgo, documentación, métricas de efectividad y una implantación privacy by design que no convierta la verificación en un cuello de botella.

¿Quién tiene que verificar la edad? El alcance real (más allá del porno)

La obligación no se limita a los “sitios para adultos”. Desde el 25 de julio de 2025, cualquier servicio que publique o permita pornografía —sitios y apps propios o con contenido generado por usuarios— debe aplicar controles de edad “altamente efectivos” para impedir el acceso de menores. El marco distingue dos casos:

• Part 5 (pornography providers). Servicios que publican su propio contenido pornográfico: están obligados desde 17/01/2025.
• Part 3 (user-to-user y buscadores). Redes sociales, comunidades, foros, mensajería y motores de búsqueda: debían realizar la evaluación de acceso infantil antes del 16/04/2025 y, cuando exista riesgo de exposición a contenidos dañinos (incluida pornografía), aplicar medidas proporcionadas, entre ellas age assurance.

En la práctica, el alcance incluye plataformas UGC con subforos o canales +18, servicios de streaming con espacios comunitarios donde pueda aflorar ese contenido, buscadores que indexan y presentan resultados pornográficos a usuarios en Reino Unido e incluso herramientas de IA generativa que publican material sexual explícito dentro del servicio. Allí donde exista un riesgo razonable de exposición, Ofcom espera sistemas y procesos capaces de prevenir esa exposición, no simples avisos.

Además de la pornografía, los códigos de protección de la infancia para Part 3 obligan a gestionar riesgos de autolesiones, suicidio, trastornos alimentarios y otros daños a menores. En estos casos, la garantía de mayoría de edad se combina con medidas de diseño y moderación (p. ej., limitar los mensajes privados de desconocidos, ajustar recomendaciones, activar safe-search por defecto y controles parentales), en función del riesgo.

Métodos para verificar la edad: cómo elegir según riesgo, privacidad y UX

Las guías oficiales contemplan varios métodos “altamente efectivos” que pueden combinarse en una estrategia de defensa en profundidad:

• Estimación de edad facial. Mediante biometría e inteligencia artificial, se predice el rango de edad del usuario sin solicitar más información ni necesitar identificar a la persona. Ofrece una baja fricción.
• Documento + Biometría. Se verifica la mayoría de edad mediante validación documental y biometría (Face Match 1:1 y liveness). Obliga a una mayor fricción y a gestionar datos sensibles.
• Tarjeta de crédito. Una prueba de acceso a medios reservados a adultos. Ofrece una cobertura limitada.
• Identidad digital (mediante wallet de identidad). Permite solo enviar una respuesta de mayoría de edad o no, sin mayores trasvases de información. Es sólido como propuesta privacy by design.
• Señales telco o email. Útiles como complemento, pero no válidas por sí solas.

De esta forma, la selección debe balancear nivel de riesgo, contexto de contenido, jurisdicción, privacidad, aceptación por parte de los usuarios y coste total.

Privacidad primero: cumplir sin almacenar datos sensibles

El regulador y el gobierno británico insisten en la proporcionalidad y la minimización de datos. En términos prácticos:

• No almacenar biometría o documentos si no es necesario.
• Definir la retención mínima de la información, con encriptado, segregación y controles de acceso.
• Ejecutar DPIAs (Data Protection Impact Assessment o Evaluación de Impacto en la Protección de Datos), registro de actividades y evaluaciones de proveedores.
• Mensajería transparente, para explicar los motivos de la verificación, qué se procesa y durante cuánto tiempo.

El objetivo es demostrar cumplimiento y generar confianza sin elevar la fricción.

Impacto y controversia: qué esperar del mercado

Tras la entrada en vigor, el gobierno ha apuntado a un cambio significativo en la interacción de menores con internet, con chequeos de edad extendiéndose a más superficies y algoritmos ajustados para reducir la exposición a contenidos dañinos. En paralelo, se ha observado un uso creciente de VPNs para intentar eludir controles; el mandato regulatorio subraya que las plataformas deben prevenir bypasses dirigidos a menores y no promover atajos. El debate continúa entre ONGs que valoran el refuerzo de seguridad y defensores de la privacidad y la libertad de expresión que exigen proporcionalidad y transparencia. Para las empresas, la conclusión es clara: cumplimiento práctico, trazable y respetuoso con la privacidad.

Estimación de edad de Didit: verificación sin fricciones y con fallback seguro

La solución de estimación de edad de Didit es una solución basada en biometría que estima la edad del usuario con muy baja fricción y, cuando detecta una incertidumbre, activa un fallback (documento más biometría) para aportar más seguridad al proceso.

El enfoque de Didit prioriza:

• UX sin fricciones. Resuelve la validación de edad en segundos, minimizando el abandono.
• Aceptación más rápida. Menos pasos y fricción, lo que eleva la tasa de verificación.
• Respaldo seguro. El fallback responde con garantías en caso de zonas grises, manteniendo el balance privacidad-riesgo.
• Privacy by design. Arquitectura orientada a minimizar los datos capturados y obtener respuestas cuando el caso lo permite.

A nivel de integración, Didit permite comenzar a verificar la edad de tus usuarios en apenas unos minutos, mediante links de verificación (No Code) o APIs, para aportar más flexibilidad a los procesos. Esta es una vía especialmente adecuada para aquellas plataformas donde la conversión es fundamental, donde cada fricción impacta en los resultados de negocio.

Puedes conocer todos los detalles técnicos de la feature de Age Estimation en nuestra documentación técnica.

Conclusión: una verificación de edad que cambia las reglas del juego en UK

El nuevo marco exige resultados medibles: menores sin acceso a contenidos que les dañan, sin sacrificar la privacidad ni penalizar la UX. La fórmula efectiva combina métodos de baja fricción con respaldos de alta certeza, observabilidad y evidencias. La solución de estimación de edad de Didit se ajusta a este enfoque: reduce fricción, acelera la aceptación y aporta garantías cuando son necesarias, con privacy by design desde la arquitectura.