California parece haber entendido tarde un problema que la comunidad open source advirtió desde el principio: no se puede tratar a Debian, Fedora, Ubuntu, Arch Linux o Linux Mint como si fueran iOS, Android, Windows o macOS. La nueva propuesta AB 1856 introduce una enmienda que excluiría de la definición de “proveedor de sistema operativo” a quienes distribuyan software bajo licencias que permitan copiar, redistribuir y modificar el código. En la práctica, esa redacción dejaría fuera a la mayoría de distribuciones Linux y a buena parte del software libre del régimen de obligaciones previsto por la Digital Age Assurance Act.
El giro llega después de meses de críticas a la AB 1043, la ley aprobada en 2025 que trasladaba la verificación de edad al nivel del sistema operativo y de las tiendas de aplicaciones. La norma, prevista para entrar en vigor el 01/01/2027, exige que los proveedores de sistemas operativos pidan durante la configuración de cuenta la edad o fecha de nacimiento del usuario principal del dispositivo y generen una señal de tramo de edad que pueda ser consultada por aplicaciones y tiendas.
La intención declarada es proteger a menores en entornos digitales. El problema es que el mecanismo elegido convertía al sistema operativo en una pieza central de identificación por edad. Eso podía tener sentido en plataformas cerradas y comerciales con cuentas, tiendas de aplicaciones y control centralizado. Pero aplicado al software libre abría una pregunta casi absurda: ¿quién tendría que verificar la edad en una ISO de Debian descargada desde un servidor espejo?
La enmienda que cambia el alcance de la ley
La AB 1856 no deroga la Digital Age Assurance Act. Lo que hace es retocar varias definiciones y obligaciones para acotar mejor a quién se aplica. El cambio más importante para Linux está en la definición de “operating system provider”. La propuesta mantiene que es la persona o entidad que desarrolla, licencia o controla el sistema operativo, pero añade que no se considerará proveedor de sistema operativo a quien distribuya un sistema operativo o aplicación bajo términos de licencia que permitan copiar, redistribuir y modificar el software.
Esa frase parece escrita pensando directamente en el software libre. Licencias como GPL, MIT, Apache o BSD se basan precisamente en esas libertades. La consecuencia sería importante: distribuciones comunitarias, proyectos mantenidos por voluntarios y sistemas derivados de Linux quedarían, en principio, fuera de la obligación de crear interfaces de declaración de edad y APIs de señalización.
La enmienda también aclara que la obligación del sistema operativo solo se aplicaría si el sistema tiene una función de configuración de cuenta respecto al uso del sistema en un dispositivo concreto. Ese matiz importa porque muchas distribuciones Linux no tienen un modelo de cuenta centralizada comparable al de Apple, Google o Microsoft. La propuesta, además, extiende el flujo de señales no solo a tiendas de aplicaciones y desarrolladores, sino también a navegadores y operadores de sitios web sujetos a leyes de verificación de edad.
| Punto de la ley | AB 1043 original | AB 1856 propuesta |
|---|---|---|
| Entrada en vigor | 01/01/2027 | Mantiene el marco, con cambios |
| Sistema operativo | Debía pedir edad o fecha de nacimiento durante configuración | Solo si tiene función de configuración de cuenta |
| Software libre | No quedaba claramente excluido | Excluye software con licencia que permita copiar, redistribuir y modificar |
| Señal de edad | Para aplicaciones y tiendas cubiertas | También puede llegar a navegadores y webs sujetas a verificación |
| Riesgo para Linux | Alto por definición amplia | Menor para distribuciones open source |
Por qué Linux no encajaba en el modelo
La reacción de la comunidad Linux fue tan intensa porque la ley partía de una idea muy propia de los móviles modernos: un sistema operativo controlado por una empresa, con una tienda de aplicaciones, cuentas de usuario, APIs comunes y capacidad de imponer reglas a desarrolladores. Ese modelo se parece a iOS o Android. No se parece a Debian, Fedora o Arch Linux.
Una distribución Linux puede estar mantenida por una comunidad global, una fundación, una empresa o una mezcla de todas ellas. Puede instalarse sin cuenta online, modificarse, recompilarse, bifurcarse y redistribuirse. Un usuario puede crear su propia imagen, eliminar componentes o instalar aplicaciones fuera de cualquier tienda. Exigir a ese universo que funcione como una plataforma cerrada de verificación de edad era técnicamente difícil y jurídicamente confuso.
También aparecía un problema de cumplimiento. Si una distribución comunitaria no tiene entidad comercial en California, ni recolecta datos, ni opera una tienda, ni controla cómo se instala el sistema, ¿a quién se sanciona? ¿Al proyecto? ¿A sus mantenedores? ¿A un mirror? ¿A quien empaqueta una derivada? La amplitud de la AB 1043 convertía una ley pensada para grandes plataformas en una posible carga para proyectos pequeños.
La Electronic Frontier Foundation fue una de las organizaciones que criticó el enfoque. Su posición es que los sistemas obligatorios de verificación de edad pueden crear barreras innecesarias para adultos y jóvenes, afectar a desarrolladores pequeños y open source, y generar riesgos de privacidad porque ninguna solución de verificación es perfecta en protección de datos, acceso universal y manejo seguro de información sensible.
La privacidad sigue siendo el punto más delicado
Aunque la enmienda alivie la presión sobre Linux, el debate de fondo no desaparece. California está apostando por un modelo donde la edad se convierte en una señal técnica que viaja desde el sistema operativo o el navegador hacia aplicaciones, tiendas o webs. La ley intenta limitar la información al mínimo necesario y prohíbe compartir la señal para fines no exigidos por la norma, pero la preocupación persiste: una infraestructura de clasificación por edad puede acabar ampliando su uso con el tiempo.
El análisis legislativo de la AB 1856 reconoce precisamente los dilemas de la verificación de edad. Pedir una fecha de nacimiento es fácil de sortear; exigir documentos crea riesgos de privacidad y excluye a quienes no los tienen; usar métodos biométricos o conductuales implica más recogida de datos y puede fallar en los límites de edad más sensibles. California intenta buscar una vía intermedia, pero esa vía desplaza responsabilidad técnica a sistemas operativos, navegadores y plataformas.
Para las grandes tecnológicas, el cumplimiento será costoso pero viable. Para el software libre, podía ser directamente incompatible con su naturaleza. Por eso la enmienda tiene sentido. No resuelve todos los problemas de privacidad, pero evita que una ley de seguridad infantil termine obligando a proyectos comunitarios a convertirse en servicios de identidad.
SteamOS y otros casos híbridos seguirán en zona gris
La exención open source no significa que todo sistema basado en Linux quede automáticamente fuera. El caso de SteamOS es el ejemplo más claro. Aunque se apoya en Linux, forma parte de un ecosistema comercial con tienda, cuenta de usuario y cliente propietario. Si una plataforma distribuye aplicaciones mediante un entorno controlado y mantiene una relación comercial directa con usuarios y desarrolladores, podría quedar más cerca de una tienda de aplicaciones cubierta que de una distribución comunitaria clásica.
Esa zona gris será relevante. Android también usa kernel Linux y no por eso se parece a una distribución comunitaria. ChromeOS, SteamOS o sistemas embebidos comerciales pueden mezclar capas abiertas y propietarias. La pregunta no será solo si hay Linux debajo, sino quién controla la experiencia, si existe tienda, si hay cuentas, si se distribuyen aplicaciones a terceros y si el proveedor encaja en la definición legal.
| Sistema o plataforma | Situación probable ante la enmienda |
|---|---|
| Debian, Fedora, Arch, Ubuntu, Mint | Probablemente excluidas si prima la licencia open source |
| Distribuciones comunitarias pequeñas | Más protegidas por la nueva redacción |
| SteamOS | Posible zona gris por su integración con Steam |
| Android | No queda fuera por usar kernel Linux; es una plataforma comercial controlada |
| iOS, macOS, Windows | Seguirían dentro del marco si cumplen la definición |
| Navegadores | Ganan peso porque la AB 1856 los incorpora al flujo de señales |
Una lección para los legisladores
El caso de California deja una lección clara: regular internet y software exige entender cómo se construye el software. Una ley pensada para Apple, Google o Microsoft puede golpear por accidente a voluntarios, fundaciones y proyectos comunitarios que no tienen cuentas, telemetría ni infraestructura legal para cumplir.
La protección de menores online es un objetivo legítimo. Pero si la solución elegida obliga a todo sistema operativo a recopilar o transmitir señales de edad, el riesgo es crear una arquitectura de identificación más amplia de lo previsto. En plataformas comerciales puede convertirse en una nueva capa de cumplimiento. En el software libre podía convertirse en una barrera de distribución.
La AB 1856 parece reconocer ese exceso. No elimina la discusión sobre privacidad ni el debate sobre la eficacia real de la verificación de edad, pero sí corrige una de las consecuencias más problemáticas: tratar el open source como si fuera una plataforma cerrada.
Para Linux, la enmienda es una señal de alivio. Para el resto del sector, es un aviso. Las leyes digitales que ignoran la arquitectura técnica terminan necesitando parches. Y, en este caso, el parche ha tenido que llegar antes incluso de que la ley entrara en vigor.
Preguntas frecuentes
¿California ha eliminado su ley de verificación de edad?
No. La Digital Age Assurance Act sigue prevista para entrar en vigor en 2027. La AB 1856 propone cambios y aclaraciones, incluida una exención para software distribuido con licencias que permitan copiar, redistribuir y modificar.
¿Linux queda fuera de la obligación?
La redacción propuesta probablemente excluiría a la mayoría de distribuciones Linux open source, pero habrá que esperar al texto final aprobado y a su interpretación práctica.
¿Por qué era problemático aplicar la ley a Linux?
Porque muchas distribuciones no tienen cuenta centralizada, tienda propia, telemetría ni una entidad comercial única que pueda verificar edades y ofrecer APIs de señalización.
¿SteamOS estaría exento?
No está claro. Aunque se basa en Linux, está ligado a Steam, una plataforma comercial con tienda y cuenta de usuario. Podría quedar en una zona más compleja que Debian, Fedora o Arch.
vía: tomshardware
