El 13 de abril de 2026, el representante demócrata Josh Gottheimer presentó ante el Congreso de los Estados Unidos un proyecto de ley bipartidista junto a la representante republicana Elise Stefanik.

La conferencia de prensa se realizó en un parque infantil. Las imágenes eran deliberadas; niños jugando, padres preocupados, y legisladores que citaron casos devastadores de menores que habían quitado su propia vida tras la exposición a contenido dañino en internet.

El nombre elegido para el proyecto no fue menos estratégico: Parents Decide Act, o Ley de decisión de los Padres.

Pero el nombre de una ley, como suele ocurrir en política, no siempre describe con precisión lo que la ley hace. El título oficial del proyecto —»To require operating system providers to verify the age of any user of an operating system, and for other purposes«—. coincidirán conmigo que es considerablemente más honesto sobre su alcance real. Y ese alcance, como se verá a continuación, va mucho más allá de las fronteras de Estados Unidos.

Para ir despejando variables analizamos qué dice exactamente el proyecto de ley.

El texto de H.R. 8250 establece, en su sección 2(a), que los proveedores de sistemas operativos —es decir, Apple con iOS y macOS, Google con Android, y Microsoft con Windows— deberán recopilar la fecha de nacimiento de cada usuario antes de que este pueda configurar una cuenta o utilizar el sistema operativo.

Hilemos fino… no se trata de una restricción aplicada únicamente a menores de edad, es decir; la verificación se exige para todos los usuarios sin excepción.

Cuando el usuario sea menor de 18 años, el proyecto exige que un padre o tutor legal verifique esa fecha de nacimiento. Adicionalmente, la ley ordena a los proveedores de sistemas operativos construir una infraestructura técnica que permita a los desarrolladores de aplicaciones acceder a los datos de edad recopilados, de modo que las aplicaciones puedan aplicar sus propias restricciones de acceso a partir de esa información.

«Con cada día que pasa, Internet se vuelve más y más peligroso para nuestros hijos. Ya no hablamos solo de redes sociales, hablamos de inteligencia artificial y plataformas que están moldeando cómo nuestros hijos piensan, sienten y actúan, muchas veces sin ningún tipo de salvaguarda real.» — Rep. Josh Gottheimer, abril de 2026

Por supuesto que la preocupación expresada por el representante Gottheimer es legítima y documentada. Lo que resulta necesario examinar es, si el mecanismo propuesto para abordarla corresponde al problema que describe, y cuáles son sus consecuencias prácticas para millones de personas más allá del territorio estadounidense.

Por ello vamos a revisar el mecanismo de control en donde la FTC opera como árbitro invisible.

Quizás el aspecto menos discutido del proyecto es el que más consecuencias tendrá, Dado que la sección 2(c) designa a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) como la autoridad de aplicación, tratando las infracciones como actos desleales o engañosos bajo la FTC Act.

En la sección 2(d) ordena a la FTC que debe redactar los reglamentos específicos en un plazo de 180 días.

Esto significa que los detalles más críticos de la ley —cómo se verifica la edad, qué documentos se aceptan, qué datos se almacenan, durante cuánto tiempo, bajo qué condiciones de seguridad, y cómo se aplica a usuarios en otros países— no los decidirá el Congreso elegido por los ciudadanos, sino reguladores administrativos cuyo mandato es más técnico que democrático.

El texto aprobado por los legisladores es, en rigor, un marco vacío que delegará su contenido más sustancial a un cuerpo no electo.

Este modelo regulatorio no es inusual en el derecho administrativo estadounidense, pero tiene una implicación directa para el debate público porque criticar la ley sin ver los reglamentos, es criticar un esqueleto y defender la ley sin saber qué contendrán esos reglamentos, es defender una promesa, no una política.

El verdadero problema de escala es que iOS, Android y Windows son productos americanos con alcance global. Es decir, el punto de partida para entender el impacto internacional de esta legislación, es reconocer que los sistemas operativos afectados por H.R. 8250 no son productos que se utilizan exclusivamente en territorio estadounidense, sino que son infraestructura tecnológica global.

Según datos de StatCounter correspondientes a 2025, Android representa aproximadamente el 71% del mercado global de sistemas operativos móviles, e iOS el 28%. En escritorio, Windows mantiene una cuota superior al 72% a nivel mundial.

Esto quiere decir que cualquier modificación estructural en el funcionamiento de estos sistemas operativos —como la obligación de recopilar la fecha de nacimiento de cada usuario como condición de acceso— tendrá efecto sobre cientos de miles de millones de personas en cientos de países que no participaron en el proceso legislativo americano y que no tienen representación en el Congreso que aprobó la norma.

Esta asimetría es, en sí misma, una cuestión de gobernanza global que merece atención separada del debate sobre si la protección de menores es un objetivo deseable. Nadie discute que lo sea.

Y justo acá es donde encontramos las primeras colisiones regulatorias, o dicho en lenguaje político; cuando Washington choca con Bruselas.

La tensión más evidente se produce frente al marco jurídico de la Unión Europea, específicamente con el Reglamento General de Protección de Datos (RGPD), vigente desde 2018 y considerado el estándar más exigente del mundo en materia de privacidad digital.

Una piedra angular de esta discrepancia es el principio de minimización de datos, que según el RGPD establece que solo pueden recopilarse los datos estrictamente necesarios para el propósito declarado del tratamiento, lo que obliga a todos los usuarios —incluidos adultos sin ninguna relación con menores— a proporcionar su fecha de nacimiento como condición de acceso al sistema operativo, entrando en conflicto directo con este principio. La verificación de edad universal no es, bajo el RGPD, la solución menos invasiva disponible.

Otra elemento que colisiona es el consentimiento explícito e informado. A la luz del RGPD se exige que el consentimiento para el tratamiento de datos sea libre, específico, informado e inequívoco. No obstante la «H.R. 8250 — Parents decide Act» establece una condición impuesta como requisito de acceso al sistema operativo —sin posibilidad de optar por no participar— lo que difícilmente puede calificarse como consentimiento libre bajo los estándares europeos. La ausencia de alternativa es, precisamente, lo que el RGPD busca prevenir.

El resultado práctico para Apple, Google y Microsoft sería la necesidad de operar simultáneamente bajo dos marcos legales contradictorios; el mandato americano de recopilar, y el mandato europeo de no recopilar más de lo necesario.

Las empresas no pueden cumplir ambos estándares con el mismo producto, por lo que tendrán que elegir, o en contraposición tendrán que fragmentar.

Que pasa con el turista, el ejecutivo y el viajero de negocios? Bueno, existe una categoría de usuarios que el debate americano ha ignorado casi por completo, a decir;  las personas que visitan Estados Unidos desde otros países, ya sea por turismo, negocios o estudios, y que durante su estancia configuran un dispositivo nuevo, restauran un teléfono o actualizan su sistema operativo.

Si la ley se aplica a cualquier usuario que configure un sistema operativo en territorio americano —y el texto actual no establece una excepción territorial explícita—, estos usuarios quedarían sujetos al requisito de verificación de edad, sin poseer documentación de identidad reconocida por el sistema americano.

Un ejecutivo costarricense, un estudiante paraguayo o un turista europeo, no necesariamente dispondrán de los documentos o credenciales que los proveedores de sistemas operativos podrían exigir bajo los reglamentos de la FTC y este vacío no es menor. De hecho, según datos de la Organización Mundial del Turismo, Estados Unidos recibió más de 66 millones de visitantes internacionales en 2024. Una fracción significativa de esas personas interactúa con dispositivos durante su estancia. La ley no tiene respuesta para ellos.

El efecto Washington busca que la regulación americana se convierte en estándar global.

En el debate académico sobre regulación tecnológica existe un fenómeno bien documentado denominado el «efecto Bruselas«, ya lo cite de hecho, y se produce cuando la Unión Europea establece estándares, las empresas tecnológicas globales tienden a adoptarlos en todo el mundo porque resulta operativamente más sencillo tener un solo producto que dos versiones diferenciadas por mercado.

El H.R. 8250 podría generar el efecto inverso, ósea si Apple, Google y Microsoft están legalmente obligados a recopilar la fecha de nacimiento de todos sus usuarios en Estados Unidos, la arquitectura técnica que construyan para cumplir ese mandato existirá en todos los dispositivos que fabrican, independientemente de dónde se vendan. La verificación de edad a nivel de sistema operativo podría convertirse, de facto, en el estándar global, no por consenso internacional, sino por la imposición unilateral del mercado más relevante para estos proveedores.

Las implicaciones geopolíticas de este escenario son considerables.

Países que llevan años expresando preocupación por su dependencia de infraestructura tecnológica estadounidense —la Unión Europea con su agenda de soberanía digital, India con sus políticas de localización de datos, y Brasil con su Ley General de Protección de Datos—, verían en este proyecto un argumento adicional para acelerar el desarrollo de alternativas propias o exigir versiones localizadas de los sistemas operativos.

China, que ya tomó ese camino hace más de una década, observará el debate con interés.

Lo que el proyecto no responde 5 días después de su introducción, es que el H.R. 8250 sigue siendo un documento de 6 páginas que plantea más preguntas de las que responde. Algunas de las más relevantes son las siguientes.

¿La verificación aplica únicamente a cuentas configuradas en territorio americano, o a cualquier dispositivo con sistema operativo americano, sin importar dónde se encuentre físicamente el usuario?

  • ¿Cómo se verifica la identidad de un menor que no posee documentación reconocida por el sistema americano?
  • ¿Qué ocurre con los datos biométricos o documentales de ciudadanos extranjeros recopilados bajo este mandato?
  • ¿Quién tiene acceso a esa información y bajo qué condiciones puede ser transferida a terceros, incluyendo autoridades gubernamentales?
  • ¿Qué responsabilidad asume el Estado americano frente a una brecha de seguridad que afecte a datos de ciudadanos de otros países?

Ninguna de estas preguntas tiene respuesta en el texto actual, por lo que deducimos que todas dependerán de los reglamentos que la FTC elabore en los próximos 180 días, si el proyecto llega a convertirse en ley.

El estado legislativo actual se encuentra en la primera etapa de su proceso. El documento fue referido al Comité de Energía y Comercio de la Cámara de Representantes el mismo día de su introducción, el 13 de abril de 2026. No existe aún un proyecto equivalente en el Senado, ni una audiencia programada ante el Comité.

El proyecto tiene como cite al inicio, 2 patrocinadores; el demócrata Josh Gottheimer y la republicana Elise Stefanik.

La naturaleza bipartidista de la iniciativa le otorga cierta viabilidad política en un Congreso polarizado, pero la complejidad técnica y las implicaciones internacionales que aquí se describen, sugieren que el camino hacia su aprobación estará atravesado por enmiendas sustanciales, si es que avanza.

En cierre, la protección de los menores en entornos digitales es un objetivo legítimo, urgente y ampliamente compartido. Los casos que el representante Gottheimer citó en su conferencia de prensa no son abstracciones; son tragedias reales que reflejan fallas estructurales en la manera en que las plataformas tecnológicas han gestionado —o no han gestionado— el acceso de los niños a contenido dañino.

El desacuerdo no debe ser con el objetivo, sino con el mecanismo.

Una ley que obliga a todos los habitantes del planeta que usen un sistema operativo americano a entregar su fecha de nacimiento a empresas privadas, cuya información será procesada bajo reglamentos aún no escritos por un organismo no electo, y que colisiona frontalmente con los marcos jurídicos de múltiples naciones soberanas, no es simplemente una ley de protección infantil, es una reconfiguración de la relación entre los Estados, las empresas tecnológicas y los ciudadanos del mundo.

Eso merece un debate más amplio, más informado y más honesto que el que ha tenido lugar hasta ahora.

Fuentes documentales

  • Texto del proyecto H.R. 8250 — GovTrack.us (govtrack.us/congress/bills/119/hr8250)
  • Biometric Update — «US bill would mandate operating system-level age verification», abril 2026
  • Conservative Ladies of America — «The Parents Decide Act Doesn’t Let Parents Decide Anything», abril 2026
  • Linuxiac — «Federal Bill Would Bring OS-Level Age Verification to the Entire U.S.», abril 2026
  • FastDemocracy / Quiver Quantitative — seguimiento legislativo H.R. 8250, 119º Congreso
  • Reglamento General de Protección de Datos (RGPD) — Unión Europea, vigente desde mayo de 2018