La notificación cayó sobre una sola empresa
El 16 de julio de 2026 Ofcom, el regulador británico de comunicaciones, abrió una investigación formal sobre las medidas de garantía de edad utilizadas por TikTok Information Technologies UK Ltd. El deber en cuestión es la section 12 de la Online Safety Act 2023, y esas obligaciones están vigentes desde el 25 de julio de 2025. Una entidad con nombre, una disposición legal con nombre, un regulador que ha decidido que la fase informal ha terminado.
La sanción máxima bajo la ley es de GBP 18 millones o el 10% de la facturación mundial computable, la cifra que sea mayor. Para una compañía del tamaño de TikTok, la segunda opción es la que importa, y la primera - aproximadamente EUR 21 millones al cambio actual - es más un suelo que un techo. Ofcom ha señalado que la recopilación de pruebas durará al menos tres meses y que publicará una actualización en octubre de 2026.
Leído como noticia, esto es una plataforma bajo escrutinio. Leído como señal, es bastante más, por lo que Ofcom ha decidido cuestionar.
Lo que está en el banquillo es el método
A Ofcom no le preocupa que TikTok no hiciera nada. Le preocupa que TikTok se apoye en la inferencia de edad - estimar la edad a partir de señales de comportamiento y de perfil que el usuario ya emite - en lugar de la verificación de edad. La inferencia de edad no figura explícitamente en la guía de Ofcom como un método capaz de ser altamente eficaz en la garantía de edad.
Esa distinción es el caso entero, y no se detiene en una empresa. Un regulador que abre una investigación partiendo de la premisa de que una técnica queda fuera de su propia lista de métodos aceptables ha puesto en aviso a la técnica, no solo a su usuario más visible. Cualquier operador de un servicio dirigido al Reino Unido que eligió la inferencia tiene la misma exposición, sin el titular.
Lo incómodo para un consejo es que la inferencia no parece una laguna. Parece un control. Produce una edad, registra una decisión y puede describirse en un documento de cumplimiento como una comprobación de edad. La posición del regulador es que describirla así no la convierte en tal.
Se eligió la inferencia porque no pregunta
La inferencia se convirtió en el estándar por una razón comercial, no técnica. No exige subir un documento, no produce abandono en el registro y no genera una conversación sobre consentimiento biométrico que haya que explicar a los usuarios ni a un delegado de protección de datos. Es la comprobación de edad que no cuesta nada en la parte alta del embudo.
Ahí está justamente el problema. La propiedad que hizo atractiva la inferencia es la propiedad que la hace insuficiente: funciona porque no pregunta. Un método construido para evitar la fricción es, por construcción, un método construido para evitar el momento en que un usuario afirma algo comprobable. La guía de Ofcom reconoce métodos que crean ese momento. La inferencia está diseñada para saltárselo.
Así que el caso comercial y el caso de cumplimiento apuntan en direcciones opuestas, y todo operador que hizo ese cálculo en 2025 lo hizo antes de que el regulador enseñara sus cartas. No es un error de criterio. Es una posición que ahora debe revisarse por escrito.
La trampa de la elusión
La segunda mitad de la exposición llegó el mismo día, del mismo regulador. Ofcom publicó el 16 de julio de 2026 una investigación según la cual el uso diario de VPN en el Reino Unido se ha duplicado aproximadamente desde que entraron en vigor las obligaciones de comprobación de edad: unos 2,2 millones de usuarios diarios, frente a cerca de 1,2 millones antes del 25 de julio de 2025. Los usuarios están rodeando las comprobaciones al doble de ritmo que antes.
La secretaria de Tecnología del Reino Unido, Liz Kendall, afirmó que las VPN no se someterán a control de edad ni se prohibirán, y que la carga de impedir la elusión recae sobre las plataformas. Es una decisión política coherente. Para un operador es también difícil de asumir: la herramienta que se usa para derrotar tu barrera de edad queda fuera del alcance, y aun así respondes del resultado.
Unidas las dos mitades, la posición de cumplimiento es más aguda de lo que parece a primera vista. Una plataforma puede tener que responder por una tasa de elusión que no controla, empleando un método de verificación en el que quizá no se le permita apoyarse. Eso no es lo que sugiere "hemos añadido una comprobación de edad" cuando aparece en un informe para el consejo.
Qué entra en el ámbito y qué no
Esto es derecho británico. Es la UK Online Safety Act 2023, aplicada por un regulador británico, y no se aplica en la Unión Europea. El trabajo propio de la UE sobre protección de menores y verificación de edad avanza por una vía separada, y nada de la investigación a TikTok cambia la posición jurídica de un operador que solo opera en la UE.
El ámbito que sí muerde es territorial, no societario. Un operador establecido en cualquier lugar de la UE que atienda a usuarios británicos queda dentro del régimen del Reino Unido con independencia de dónde esté constituido. Y la categoría es más amplia que las plataformas sociales: alcohol, juego, cosmética, cuchillos, finanzas, citas y videojuegos llevan contenidos, productos o funciones restringidos por edad al mercado británico. Nuestra lectura, ofrecida como lectura y no como ley, es que la dirección del viaje es compartida a ambos lados del Canal, y que la garantía basada en inferencia es el método con más probabilidades de ser puesto a prueba primero.
La acción es estrecha y concreta. Averigüe en qué método de garantía de edad se apoya realmente su servicio hoy, y si es uno que la guía de Ofcom reconoce como capaz de ser altamente eficaz. "Tenemos una barrera de edad" no es una respuesta a esa pregunta. Pregúnteselo a su equipo de producto antes de la actualización de Ofcom de octubre de 2026, porque después de esa fecha la respuesta deja de ser un asunto de planificación.
Leer a continuación: La UE está reescribiendo el RGPD | Alemania ya tiene un regulador de IA con nombre propio



