COPPA: Lo Que las Empresas le Deben a Tu Hijo Menor de 13 Años (Y Dónde Falla la Ley)

Tu hijo de 9 años se registra en un juego gratis. Escribe una fecha de nacimiento falsa — 15 de octubre de 2005 — y el sitio lo deja entrar sin problema. Ahora está clasificado como adulto, y la empresa empieza a rastrear su ubicación, su comportamiento de navegación y sus compras dentro de la app. La Ley de Protección de la Privacidad Infantil en Línea (COPPA) se supone que debía evitar esto. ¿Por qué no funcionó?

COPPA lleva en vigor desde 1998, fue enmendada en 2013, y sin embargo en 2023 la FTC encontró que plataformas importantes seguían recopilando datos de millones de niños sin consentimiento verificable. Entender exactamente qué exige la ley — y dónde se rompe — es el primer paso para proteger de verdad a tu hijo.

Lo Más Importante

• COPPA aplica a sitios y apps dirigidos a menores de 13 años o donde el operador tiene conocimiento real de que el usuario es menor — pero ese “conocimiento real” es fácil de evitar.
• Las empresas deben obtener consentimiento parental verificable antes de recopilar nombre, dirección, fotos, ubicación o identificadores persistentes de menores de 13.
• La FTC aplica COPPA, pero las multas se dan con años de diferencia y los requisitos de verificación de edad son deliberadamente vagos.
• California y leyes federales como KOSA están llenando los huecos que COPPA dejó.
• Papás tienen derechos concretos: revisar datos, exigir su eliminación y revocar el consentimiento en cualquier momento.

Qué Exige COPPA Realmente

COPPA impone obligaciones a los operadores — empresas que manejan sitios web o servicios en línea dirigidos a menores de 13, o cualquier servicio donde el operador sabe que está tratando con un niño. La ley les exige:

1. Publicar una política de privacidad clara que describa qué información personal recopilan, cómo la usan y a quién se la revelan.
2. Notificar directamente a los papás antes de recopilar cualquier información personal de un menor.
3. Obtener consentimiento parental verificable antes de comenzar la recopilación.
4. Darles acceso a los papás para revisar y eliminar los datos de su hijo.
5. Permitir que los papás revoquen el consentimiento y detengan la recopilación de datos.
6. Mantener seguridad razonable sobre la información que conservan.

La información personal bajo COPPA se define de forma amplia e incluye nombre completo, domicilio, correo electrónico, teléfono, número de seguro social, fotos, videos, archivos de audio con la voz del niño, datos de geolocalización e identificadores persistentes (como cookies o IDs de dispositivo) usados para rastrear al niño entre sitios.

El Consentimiento Verificable: El Eslabón Débil

“Verificable” es donde COPPA pierde la mayor parte de su efectividad. La FTC permite métodos como:

• Formulario de consentimiento firmado enviado por correo postal o fax
• Un cargo a tarjeta de crédito o débito (incluso de 0.50 dólares solo para verificar que existe la tarjeta)
• Una llamada a un número gratuito atendido por personal capacitado
• Videoconferencia o revisión en persona
• Verificación de identificación oficial

Lo que conspicuamente no está en la lista: confirmación por correo electrónico. Un correo al papá explícitamente NO es consentimiento verificable suficiente. En la práctica, la mayoría de las empresas usa verificación con tarjeta de crédito — que funciona cuando los papás realmente están enterados, pero falla completamente cuando el niño usa la tarjeta de su papá o simplemente miente sobre su edad.

El Vacío Legal de Verificación de Edad

La mayor debilidad estructural de COPPA es que solo aplica cuando una empresa tiene “conocimiento real” de que un usuario es menor de 13. Esto significa que una empresa puede diseñar su flujo de registro para aceptar cualquier fecha de nacimiento y luego alegar legalmente que no tenía conocimiento real de la edad del usuario.

Un estudio de 2022 de la Annenberg School for Communication encontró que niños menores de 13 años eluden rutinariamente las barreras de edad en plataformas como YouTube, TikTok e Instagram. Los equipos legales de las plataformas saben esto perfectamente. Al aceptar una fecha de nacimiento falsa, la plataforma transfiere toda la responsabilidad legal al niño (o al papá) que proporcionó la información falsa.

La FTC ha atacado este comportamiento en acciones recientes. En 2023, la agencia propuso actualizaciones significativas a las reglas que incluyen:

• Restringir la publicidad conductual dirigida a niños incluso con consentimiento parental
• Limitar la recopilación de datos de menores a lo estrictamente necesario para el servicio
• Prohibir las notificaciones push diseñadas para mantener a los niños enganchados
• Requisitos más estrictos sobre retención de datos — las empresas no podrán guardar datos de niños indefinidamente

Lo Que la FTC Ha Hecho Realmente

Año	Empresa	Multa	Violación
2019	Musical.ly (TikTok)	$5.7 millones	Recopiló datos de niños sin consentimiento parental
2020	Google/YouTube	$170 millones	Permitió que canales dirigidos a niños rastrearan espectadores con cookies
2022	Epic Games (Fortnite)	$275 millones	Patrones oscuros que engañaban a niños para hacer compras
2023	Amazon (Alexa/Ring)	$25 millones	Retuvo grabaciones de voz de niños después de que papás pidieron su eliminación
2025	Meta	$1.4 mil millones (caso estatal)	Caso del fiscal general de Texas; caso federal de COPPA en curso

Las multas suenan grandes, pero para empresas con valuaciones de miles de millones, funcionan como costos operativos. La multa de $275 millones a Epic fue la mayor en la historia de COPPA en ese momento — y los ingresos anuales de Epic ese año superaron los $5 mil millones.

Cómo las Leyes Estatales Están Llenando Los Huecos

Código de Diseño Apropiado para la Edad de California (AADC)

La AADC de California, firmada en 2022, va más lejos que COPPA en varios aspectos:

• Aplica a cualquier persona menor de 18 (no solo menores de 13)
• Exige que las empresas realicen Evaluaciones de Impacto en la Protección de Datos para productos que los niños probablemente usarán
• Prohíbe prácticas perjudiciales para la salud mental de los niños
• Requiere privacidad por defecto — las configuraciones más protectoras deben estar activadas por defecto
• Exige contenido apropiado para la edad en toda la plataforma

Estado	Ley	Disposición Clave
California	AADC (AB 2273)	Protecciones para menores de 18, privacidad por defecto
Texas	Ley SCOPE	Consentimiento parental para redes sociales menores de 18
Arkansas	Ley de Seguridad en Redes Sociales	Verificación de edad para cuentas de menores de 18
Florida	HB 3	Prohíbe cuentas en redes sociales para menores de 14
Utah	Leyes de Regulación de Redes Sociales	Consentimiento parental + toques de queda digitales

La Ley de Seguridad Infantil en Línea (KOSA)

KOSA pasó el Senado en 2024 con apoyo bipartidista e impondría un deber de cuidado a las plataformas, requiriéndoles prevenir daños a menores — no solo proteger sus datos. Como está pendiente en la Cámara, vale la pena seguirle la pista.

Tus Derechos Bajo COPPA Ahora Mismo

Derecho a Revisar los Datos de Tu Hijo

Si un sitio web o app está dirigido a niños y ha recopilado datos de tu hijo, puedes solicitar verlos. La empresa debe responder. Busca la política de privacidad del sitio y encuentra la sección de “derechos de los padres” o “solicitud de datos”.

Derecho a Exigir la Eliminación

Puedes solicitar que una empresa elimine toda la información personal de tu hijo. Bajo COPPA, deben cumplir a menos que los datos sean necesarios para proteger la seguridad del niño o que la ley lo exija.

Cómo Presentar una Queja ante la FTC

Si crees que una empresa está violando COPPA, repórtalo en ReportFraud.ftc.gov o ftc.gov/complaint. La FTC no actúa sobre quejas individuales, pero los patrones de quejas desencadenan investigaciones.

Qué Observar Durante 3 Meses

• Revisa las apps instaladas de tu hijo cada mes. Para cada app, encuentra su política de privacidad y verifica si dice ser compatible con COPPA. Muchos juegos gratuitos no lo son.
• Audita las cuentas conectadas. En el primer mes, identifica todas las cuentas que tiene tu hijo menor de 13 años. En el segundo, envía solicitudes de revisión de datos a las tres más preocupantes. En el tercero, revoca el consentimiento o solicita eliminación de las que recopilaron datos excesivos.
• Monitorea el estado de KOSA. Si KOSA se aprueba, las plataformas que usa tu adolescente puede que tengan que cambiar sus configuraciones predeterminadas.
• Revisa las actualizaciones de leyes estatales. Tu estado puede haber aprobado legislación nueva. Busca “[tu estado] ley privacidad infantil en línea 2026” cada trimestre.

Preguntas Frecuentes

¿COPPA aplica a apps o solo a sitios web?

COPPA aplica a sitios web, apps móviles y cualquier servicio en línea dirigido a menores de 13 años. Si tu hijo usa una app de juegos que recopila cualquier información personal, aplican los requisitos de COPPA. “Servicio en línea” se ha interpretado ampliamente para incluir juguetes conectados que transmiten datos de voz.

¿Qué pasa si mi hijo mintió sobre su edad al registrarse?

En cuanto una plataforma descubre que un usuario es menor de 13 años, las obligaciones de COPPA se activan de inmediato. Sin embargo, si el niño nunca revela su edad real y la plataforma no tiene razón para saberlo, la plataforma puede alegar legalmente que no violó COPPA. El niño (y el papá) que proporcionaron información de edad falsa asumen el riesgo.

¿Puedo pedirle a una empresa que elimine todos los datos de mi hijo?

Puedes solicitar la eliminación de toda la información personal, y la empresa debe cumplir. Puede retener datos necesarios para cumplir obligaciones legales o proteger la seguridad. Una solicitud de eliminación completa es tu herramienta más poderosa — las empresas no pueden cobrarte por cumplirla.

¿Las apps que da la escuela están cubiertas por COPPA?

Las escuelas pueden dar consentimiento en nombre de los papás para plataformas educativas usadas con fines escolares — esto se llama la “excepción del funcionario escolar”. Sin embargo, esas plataformas solo pueden usar los datos para fines educativos, no para marketing. Muchas empresas de ed-tech han violado esta restricción.

¿Cuál es la diferencia entre COPPA y FERPA?

COPPA cubre servicios en línea comerciales dirigidos a niños. FERPA (Ley de Privacidad y Derechos Educativos de la Familia) protege los registros educativos de los estudiantes en poder de las escuelas. Se superponen en el caso de las apps emitidas por la escuela, pero sirven a propósitos diferentes.

Fuentes

1. Federal Trade Commission. (2023). Complying with COPPA: Frequently Asked Questions. FTC.gov. https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions
2. Federal Trade Commission. (2023). FTC Proposes Sweeping Changes to Children’s Online Privacy Protection Rule. FTC.gov.
3. Radesky, J. S., et al. (2020). Overstimulated consumers or next-generation learners? Pediatrics, 145(4). https://doi.org/10.1542/peds.2020-0214
4. Common Sense Media. (2022). The Common Sense Census: Media Use by Tweens and Teens.
5. Auxier, B., et al. (2020). Parenting Children in the Age of Screens. Pew Research Center.
6. California State Legislature. (2022). AB 2273: California Age-Appropriate Design Code Act.

---

Ricky Flores es el fundador de HiWave Makers e ingeniero eléctrico con más de 15 años de experiencia desarrollando tecnología de consumo en Apple, Samsung y Texas Instruments. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo saturado de tecnología. Lee más en hiwavemakers.com.