Riesgos de privacidad de datos y verificación de identidad digital para startups y cumplimiento GDPR.

Yoti comparte datos faciales con terceros: riesgos para tu startup

por

Qué reveló el estudio de Georgia Tech sobre Yoti

El 19 de mayo de 2026, investigadores del Georgia Institute of Technology y UC Irvine publicaron un estudio que expone un problema crítico: los sistemas de verificación de edad como Yoti comparten fotos faciales, direcciones IP y huellas digitales de dispositivos con terceros, incluyendo compañías de tarjetas de crédito, servicios de geolocalización y data brokers.

El estudio titulado "Papers Please: A First Look at Age Verification on the Web" fue presentado en el 47th IEEE Symposium on Security and Privacy en San Francisco. Los investigadores liderados por Shreyas Minocha (Ph.D. student de Georgia Tech) documentaron que este flujo de datos crea un riesgo de privacidad "inútil" y desproporcionado frente al objetivo simple de comprobar la edad de un usuario.

Para founders que implementan o planean implementar verificación de edad en sus productos, esto no es solo un problema técnico: es un riesgo regulatorio, reputacional y de conversión que puede afectar directamente tu negocio.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Qué datos sensibles se comparten exactamente

Según el estudio de Georgia Tech, cuando un usuario pasa por un flujo de verificación de edad típico, la información que se transmite incluye:

  • Foto facial o selfie (datos biométricos)
  • Huella digital del dispositivo (device fingerprinting)
  • Dirección IP y datos de geolocalización
  • Información de identidad (nombre, fecha de nacimiento, número de documento según el método)

El problema no es solo que Yoti reciba estos datos para procesar la verificación. El estudio revela que la información se "broadcasts" a empresas de tercera y cuarta parte dentro del ecosistema técnico del proveedor, muchas veces sin que el usuario final ni la startup que implementó el sistema tengan visibilidad completa de quién recibe qué.

La propia política de privacidad de Yoti en español indica que, según el método usado, puede recibir información de identidad y luego devolver a la organización un resultado de "más" o "menos" (mayor o menor de edad), o la fecha de nacimiento completa. Sin embargo, el estudio de Georgia Tech sostiene que la minimización de datos prometida no se extiende al ecosistema de terceros del proveedor.

Qué regulaciones están en riesgo

Este hallazgo tiene implicaciones directas para el cumplimiento del GDPR (Reglamento General de Protección de Datos) y leyes similares en Latinoamérica. Los datos biométricos y los identificadores de dispositivo se consideran datos personales de alto riesgo bajo el GDPR, lo que exige:

  • Una base jurídica sólida para el procesamiento
  • Principio de minimización de datos (solo recoger lo estrictamente necesario)
  • Limitación de propósito (usar los datos solo para el fin declarado)
  • Transparencia sobre qué terceros acceden a la información

El estudio señala que muchos sitios web cubiertos por leyes de protección de menores aparentemente no aplican realmente la verificación, y cuando sí la implementan, recurren a terceros como Yoti que comparten datos sensibles más allá de lo necesario. Para founders, esto significa que cumplir con "verificación de edad" no equivale automáticamente a cumplir con "privacidad por diseño".

En España y la Unión Europea, las multas por violaciones del GDPR pueden alcanzar hasta 4% de la facturación anual global o €20 millones, lo que para una startup en crecimiento puede ser existencial.

Qué significa esto para tu startup

Si tu startup opera en sectores que requieren verificación de edad (e-commerce de productos restringidos, gaming, contenido para adultos, fintech, salud), este estudio debe activar alarmas inmediatas. El impacto es doble:

Riesgo regulatorio y contractual: Si integras verificadores de edad que comparten más datos de los necesarios, aumentas tu exposición bajo leyes de privacidad. En caso de una investigación o brecha, tu startup será responsable ante los usuarios y las autoridades, aunque el problema esté en el proveedor tercero.

Riesgo de conversión y fricción: Si los usuarios perciben que deben capturar selfies, compartir huellas de dispositivo o que sus datos se transfieren a múltiples terceros, aumentan el abandono y la desconfianza. Esto es especialmente sensible en productos de consumo y marketplaces donde la fricción en el onboarding mata la conversión.

Acciones concretas para founders

Basado en el estudio y las mejores prácticas del mercado, aquí hay 5 acciones que puedes implementar esta semana:

  1. Audita tu proveedor actual de verificación de edad: Solicita documentación escrita sobre qué subprocesadores y terceros reciben datos, con qué propósito, y por cuánto tiempo los retienen. Si no pueden proporcionarlo claramente, considera migrar.
  2. Exige arquitectura de mínimo dato: Negocia con tu proveedor que solo devuelva un resultado binario (sí/no o mayor/menor) en lugar de fecha de nacimiento completa, salvo que tengas una necesidad regulatoria específica que justifique lo contrario.
  3. Implementa verificación sin retención: Busca proveedores que eliminen la información personal inmediatamente tras determinar la edad. Yoti afirma hacer esto en su documentación, pero ese tipo de promesa debe auditarse contractualmente.
  4. Realiza un DPIA (Data Protection Impact Assessment): Antes de lanzar cualquier feature que involucre verificación de edad, documenta el flujo completo de datos, los riesgos identificados y las mitigaciones. Esto es obligatorio bajo GDPR para procesamiento de alto riesgo.
  5. Evalúa alternativas de age estimation: Proveedores como Jumio, Veriff y Onfido ofrecen enfoques basados en biometría, liveness y verificación documental. Compara si devuelven edad estimada, atributo binario o verificación documental completa, y elige según tu nivel de riesgo regulatorio.

Alternativas y mejores prácticas en el mercado

El mercado de verificación de edad está evolucionando rápidamente. Según análisis de proveedores en el ecosistema hispanohablante, las mejores soluciones combinan:

  • Precisión biométrica con detección de liveness antifraude
  • Cumplimiento normativo (GDPR, CCPA, leyes locales)
  • Mínima fricción para el usuario final
  • Transparencia sobre el flujo de datos a terceros

Yoti publica documentación en español y español latinoamericano, lo que indica que el tema ya es relevante para startups en España y Latinoamérica. Sin embargo, el caso concreto de sensibilidad de datos fue documentado por investigadores de Georgia Tech y UC Irvine, no por una institución hispanohablante, lo que sugiere que hay una brecha de investigación y auditoría independiente en nuestro ecosistema.

Para founders hispanohablantes, la lección es clara: no asumas que un proveedor establecido cumple automáticamente con los estándares de privacidad que tu negocio necesita. La debida diligencia técnica y legal es tu responsabilidad, no opcional.

Conclusión

El estudio de Georgia Tech sobre Yoti y los sistemas de verificación de edad es una señal de alerta para todo el ecosistema startup. La privacidad no es un feature opcional: es un requisito fundamental que afecta tu cumplimiento regulatorio, tu reputación de marca y tu tasa de conversión.

Como founder, tu trabajo no termina en integrar una API de verificación. Debes entender qué datos salen de tu producto, quién los recibe, y por qué. La minimización de datos y la transparencia con tus usuarios no son solo buenas prácticas: son ventajas competitivas en un mercado donde la confianza es cada vez más escasa.

En Ecosistema Startup, hemos visto cómo startups que priorizan la privacidad desde el día uno construyen relaciones más sólidas con sus usuarios y evitan costosos rediseños regulatorios cuando escalan. La lección del caso Yoti es simple: verifica a tus verificadores.

Fuentes

  1. https://techxplore.com/news/2026-05-online-age-pointless-privacy.html (fuente original)
  2. https://research.gatech.edu/online-age-checks-create-pointless-privacy-risk (estudio Georgia Tech)
  3. https://www.yoti.com/privacy/age-verification/es/ (política de privacidad Yoti)
  4. https://didit.me/es/blog/best-age-verification-software/ (análisis de proveedores)

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Verificación de edad en sistemas operativos iOS, Android y Windows, ilustrando regulación tecnológica y protección de datos en startups.H.R.8250: verificar edad en iOS, Android y Windows Pickup eléctrico Kia 2026 con robots humanoides Atlas en fábrica, mostrando estrategia de movilidad eléctrica y automatización industrial.Kia 2026: pickup eléctrico, robots Atlas y nuevo objetivo EV Impacto de la Digital Age Assurance Act en distribuciones Linux y startups FOSS con verificación de edad en California.Digital Age Assurance Act: Impacto en FOSS y Startups 2027 Camión eléctrico Rivian en producción con un fundador observando, simbolizando la financiación federal y el crecimiento de startups en movilidad eléctrica.Rivian reduce préstamo DOE a $4.5B: lecciones para founders Verificación facial y de identidad en Discord usando IA para cumplimiento y protección de datos en plataformas digitales.Discord exigirá verificación facial o ID desde marzo 2026

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.


Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly