Privacidad de tus hijos en línea: Lo que COPPA no te protege
Tabla de contenido
General 16 min de lectura

Privacidad de tus hijos en línea: Lo que COPPA no te protege

COPPA supuestamente protege la privacidad de los niños en internet — pero la ley tiene enormes huecos, casi no se aplica, y cualquier niño puede saltársela con un clic. Esto es lo que necesitas saber.

Una mamá en Ohio descubrió que su hija de 10 años tenía cuentas en tres plataformas que ella nunca había visto. Cada una había recolectado la ubicación de su hija, los identificadores de su dispositivo, sus datos de comportamiento y, en dos casos, hasta una foto — todo sin que mamá se enterara. Cuando fue a investigar, descubrió que cada plataforma había cumplido técnicamente con la Ley de Protección de la Privacidad Infantil en Línea, conocida como COPPA. Su hija nomás marcó una casilla diciendo que tenía 13 años. Ahí terminó la protección de COPPA.

Esto no es un caso raro. Es el funcionamiento normal de un sistema construido sobre una ley de 1998 que intenta gobernar el internet de 2026. Cuando se escribió COPPA, los dispositivos conectados a internet eran computadoras de escritorio que compartía toda la familia, las redes sociales no existían, y la publicidad conductual apenas estaba en pañales. Entender lo que COPPA realmente cubre — y por qué sus huecos importan más que lo que sí protege — es información que todos los papás necesitamos para tomar decisiones reales sobre la vida digital de nuestros hijos.

El problema de fondo con la privacidad infantil en línea

La diferencia entre lo que los papás creemos que pasa con los datos de nuestros hijos y lo que realmente sucede es enorme y va creciendo. Según una encuesta de Pew Research Center de 2024, el 81% de los padres con hijos menores de 13 años dicen estar “muy” o “algo” preocupados por cómo las empresas usan los datos de sus hijos. Menos del 30% entiende correctamente qué es lo que COPPA les exige a las empresas. El resultado es una falsa sensación de seguridad muy significativa: los papás asumen que una ley federal está protegiendo a sus hijos de maneras que, en la práctica, de plano no funciona así.

El problema de fondo no es que COPPA sea una mala ley. Cuando se aprobó, fue un avance real. Lo que pasa es que el internet para el que fue escrita ya no existe. COPPA aplica a operadores de sitios web y servicios en línea “dirigidos a niños” y a operadores de sitios de audiencia general con “conocimiento real” de que están recopilando datos de menores de 13 años. Estas dos categorías tienen escapes tan grandes que toda una industria pasa por ahí sin problema.

Una plataforma puede declarar que no está “dirigida a niños” aunque los niños la usen de forma rutinaria — mientras no se anuncie para niños y no recopile sus datos “a sabiendas”. Como “a sabiendas” se establece principalmente mediante la edad que el usuario reporta, y en la práctica la verificación de edad en internet es puro sistema de honor, la mayoría de las plataformas grandes evitan las obligaciones de COPPA con solo pedirle al usuario que confirme su edad al registrarse. Esto no es un hueco en la ley. Es el mecanismo que la ley tenía previsto. COPPA fue diseñada esperando que la verificación de edad mejorara. No mejoró.

La Electronic Frontier Foundation ha documentado esta dinámica ampliamente, señalando que el incentivo estructural para las plataformas es evitar la verificación real de edad — porque la verificación genuina reduciría el número de cuentas que pueden monetizar. Una plataforma que excluye rigurosamente a menores de 13 pierde ingresos. Una plataforma que acepta una casilla no pierde nada y gana todo.

Lo que dice la investigación de verdad

La revisión de 2023 de la FTC sobre la efectividad de COPPA produjo una evaluación detallada de los huecos de la ley, y los hallazgos no fueron nada halagadores para el sistema actual. La revisión encontró que:

  • La mayoría de las aplicaciones populares para niños recopilan datos mucho más allá de lo que los papás considerarían necesario para el funcionamiento de la app
  • Los mecanismos de consentimiento parental, cuando existen, frecuentemente están diseñados para confundir, no para informar
  • Las solicitudes de eliminación de datos se atienden de manera inconsistente y, en muchos casos, no se ejecutan de verdad — los datos se “eliminan” de las interfaces visibles para el usuario pero se conservan en los sistemas internos

Radesky et al., en un estudio de 2020 publicado en JAMA Pediatrics, analizaron 135 aplicaciones para niños disponibles en Google Play. Encontraron que el 72% de las apps recopilaban información de identificación personal y la compartían con terceros sin divulgación explícita. La mayoría de estas apps estaban técnicamente diseñadas para niños de 5 años o menos — la población que COPPA tiene más explícitamente la intención de proteger. La brecha entre cumplimiento legal y protección real fue contundente.

El marco conceptual de Shoshana Zuboff de 2019 sobre el “capitalismo de la vigilancia” es muy útil aquí. El argumento central de Zuboff es que la extracción y monetización de datos de comportamiento no es algo accidental en las plataformas tecnológicas modernas — es su modelo de negocio principal. Cuando los niños usan apps y plataformas, no son clientes comprando un servicio. Son fuentes de datos de comportamiento que se empaquetan y venden a anunciantes, corredores de datos y otros terceros. COPPA, enfocada en mecanismos de consentimiento y notificación a los padres, aborda la capa superficial de este sistema sin tocar su base económica.

La investigación “Privacy Not Included” de Common Sense Media de 2024 encontró que, de 50 apps populares usadas por niños y adolescentes, solo 14 cumplían con lo que la organización considera una protección de privacidad adecuada. Las otras 36 tenían al menos uno de los siguientes problemas: políticas de retención de datos poco claras, compartir datos con anunciantes sin divulgación real, rastreo de comportamiento activado por defecto, o recopilación de datos de ubicación más allá de lo que la función de la app requería.

ProtecciónLo que exige COPPALo que los papás suelen asumirLo que suele pasar
Verificación de edadAutocertificación (casilla)Verificación genuinaCasilla; datos recopilados de menores
Consentimiento parentalRequerido para menores de 13 en sitios cubiertosRequerido en generalSolo en sitios/apps que se identifican como dirigidos a niños
Eliminación de datosSe debe eliminar a peticiónLas apps borran al instanteVaría mucho; retención interna es común
Compartir con tercerosDivulgación requerida en sitios cubiertosProhibido sin consentimiento explícitoGeneralizado; suele estar enterrado en los términos de servicio
Aplicación de la leyBasada en denuncias a la FTCMonitoreo rutinarioReactiva; multas raras y pequeñas en relación a los ingresos
Publicidad conductualProhibida en sitios cubiertosAmpliamente prohibidaRampante en plataformas no cubiertas por COPPA usadas por menores

La encuesta de Pew Research de 2024 a adolescentes (de 13 a 17 años) encontró que el 54% de los teens dice que les sería “muy difícil” dejar de usar las redes sociales aunque quisieran. Más relevante aún para la privacidad: el 45% de los adolescentes dice haber compartido información personal en línea que después deseó no haber compartido, y el 62% dice sentir que tiene “poco o ningún control” sobre los datos que las empresas recopilan sobre ellos. Estos adolescentes están fuera del rango de edad protegida por COPPA. También son la generación que, dos a cuatro años antes, estaba dentro de ese rango — y cuyos datos fueron recopilados durante todo ese tiempo.

El panorama de aplicación de la ley es consistente con la caracterización de la EFF de COPPA como principalmente aspiracional. Entre 2000 y 2023, la FTC presentó menos de 35 acciones de cumplimiento bajo COPPA. La multa más grande — 170 millones de dólares contra Google/YouTube en 2019 — fue un récord en ese momento y representó aproximadamente 11 horas de los ingresos anuales de YouTube. A TikTok le impusieron una multa de 5.7 millones de dólares en 2019, también récord en ese momento. Ninguna de las dos multas cambió los modelos de negocio de fondo de las plataformas involucradas.

Qué hacer de verdad

COPPA no va a proteger adecuadamente los datos de tu hijo. Esto no es razón para entrar en pánico, pero sí es razón para construir un modelo diferente de cómo piensas en la privacidad digital de tus hijos — uno que no dependa de una protección regulatoria que no está funcionando. Los pasos prácticos que siguen están organizados por lo que realmente reduce la exposición de datos, no por lo que hace sentir a los papás que están haciendo algo.

Audita qué usa tu hijo de verdad

Siéntate con tu hijo y hagan una lista de cada app, plataforma, sitio web y juego que usa con alguna regularidad. La mayoría de los papás, cuando hacen este ejercicio, encuentran entre un 30 y 50% más de cuentas de las que estaban rastreando. Para cada una, busca la política de privacidad — no para leerla de punta a punta, sino para responder tres preguntas: ¿Este servicio comparte datos con terceros? ¿Usa publicidad conductual? ¿Puedo solicitar la eliminación de datos? La base de datos “Privacy Not Included” de Common Sense Media (commonsensemedia.org/privacy) ofrece evaluaciones preanalizadas de cientos de productos y es un atajo muy práctico.

El control de edad es tu trabajo, no el de la plataforma

La verificación de edad en línea es, en la práctica, tu responsabilidad, no la de la plataforma. Si tu hijo tiene menos de 13 años, la pregunta operativa no es “¿tiene permitida esta app recopilar sus datos?” sino “¿tiene esta app algún modelo de negocio que involucre sus datos?” Las plataformas gratuitas con anuncios casi siempre están monetizando datos de usuarios. No hay excepciones que valgan. Las apps de pago sin publicidad son significativamente diferentes — no perfectamente privadas, pero categóricamente distintas en sus incentivos de extracción de datos.

Usa las funciones de cuenta familiar con ojo crítico

Apple Screen Time, Google Family Link y Amazon Parent Dashboard ofrecen cierto nivel de supervisión y control, pero también tienen limitaciones importantes. Estas herramientas son más efectivas para filtrar contenido y establecer límites de tiempo. Son menos efectivas para bloquear la recopilación de datos de apps que ya han sido instaladas y autorizadas. Antes de otorgar permisos a apps, usa el dispositivo de tu hijo — no el tuyo — para revisar la configuración de la app y revocar cualquier permiso (ubicación, contactos, micrófono, cámara) que no sea estrictamente necesario para la función principal de la app. La configuración de permisos por defecto en prácticamente toda app está configurada para recopilar al máximo.

Habla con tus hijos mayores sobre los datos de comportamiento

Para niños de 10 años en adelante, las conversaciones sobre cómo las apps ganan dinero son más protectoras que las restricciones solas. Un niño que entiende que una app gratuita está recopilando y vendiendo sus datos de comportamiento a anunciantes toma decisiones diferentes que uno que simplemente piensa que la app es muy buena. No tiene que ser una plática formal. Puede ser tan sencillo como: “Esta app es gratis. ¿Cómo crees que le pagan a sus empleados?” Deja que el niño llegue a la respuesta. La conversación sobre herramientas de IA y datos sigue líneas similares — ayudar a los niños a entender el modelo económico cambia su relación con él.

Usa protecciones de privacidad a nivel de red

Un bloqueador de rastreadores a nivel DNS (NextDNS, Pi-hole o similares) bloquea solicitudes de rastreo de apps y navegadores en toda tu red doméstica, incluso en dispositivos donde no puedes instalar software de control parental. Esto no requiere conocimientos técnicos avanzados — NextDNS tiene una configuración orientada a familias que toma unos 15 minutos activar. No es una solución completa, pero reduce significativamente los datos que los dispositivos de tu hijo envían a rastreadores de terceros en tu red doméstica.

Conoce tus derechos según las leyes estatales

COPPA es un mínimo, no un techo, y varios estados han promulgado protecciones de privacidad infantil más sólidas que las que exige la ley federal. El Código de Diseño Apropiado para la Edad de California (AADC), que entró en vigor en 2022, exige que las plataformas que probablemente sean accedidas por niños apliquen los ajustes de privacidad más altos por defecto y prohíban recopilar datos de ubicación sin opt-in explícito. Legislación similar ha pasado o está pendiente en Virginia, Texas, Nueva York y otros estados. Saber qué exige tu estado te da una palanca que la ley federal no te da.

Qué vigilar en los próximos 3 meses

La revisión de COPPA de 2023 de la FTC resultó en propuestas de actualización de reglas que están avanzando en el proceso regulatorio, y la postura de aplicación puede cambiar dependiendo del entorno político. En concreto, hay que estar pendientes de:

Actividad legislativa de COPPA 2.0. Múltiples versiones de legislación actualizada de privacidad infantil en línea están pendientes en el Congreso a principios de 2026. Las disposiciones clave a vigilar son si extienden la protección a los 13-17 años (la ley actual se detiene en los 13), si incluyen requisitos reales de verificación de edad, y si trasladan la carga de protección de datos de los papás a las plataformas.

Leyes AADC a nivel estatal. El Código de Diseño Apropiado para la Edad de California ha sido objeto de impugnaciones legales por parte de grupos de la industria tecnológica. La forma en que los tribunales fallen determinará si las protecciones de privacidad infantil más sólidas a nivel estatal sobreviven y se extienden a otros estados.

Datos de entrenamiento de IA e infancia. Un número creciente de investigadores y grupos de defensa están planteando preguntas sobre si los datos de niños — recopilados de manera legal o no — están siendo usados para entrenar modelos de IA. Este es un hueco que la ley existente no aborda, y vale la pena seguirlo de cerca conforme se desarrolla.

Revisar las apps que tu hijo usa ahora, antes de que la legislación cambie, garantiza que no estés dependiendo de protecciones que pueden o no materializarse.

Preguntas frecuentes

¿COPPA protege a los adolescentes — niños de 13 a 17 años?

No. Las protecciones de COPPA solo aplican a niños menores de 13. Los adolescentes no tienen protecciones federales equivalentes para sus datos en línea. Varios grupos de defensa y la propia revisión de 2023 de la FTC han señalado este hueco, y la legislación propuesta ha incluido disposiciones para extender las protecciones hasta los 16 o 17 años — pero hasta 2026, ninguna ley federal así ha sido aprobada.

¿Puedo solicitar que una empresa elimine los datos de mi hijo?

Bajo COPPA, puedes solicitar la eliminación de datos de sitios web y apps cubiertos — aquellos dirigidos a niños o los que tienen conocimiento real de que recopilaron datos de un menor de 13. En la práctica, el cumplimiento es inconsistente. Para plataformas no cubiertas por COPPA (plataformas de audiencia general donde tu hijo certificó su edad), no tienes un derecho automático federal a la eliminación. Los residentes de California tienen derechos de eliminación más amplios bajo CCPA, independientemente de si la plataforma está cubierta por COPPA.

¿Qué significa “dirigido a niños” bajo COPPA?

La FTC usa múltiples factores para determinar si un sitio o servicio está “dirigido a niños”, incluyendo el tema, el contenido visual, el uso de personajes animados, música, celebridades que atraen a niños, y publicidad dirigida. Una plataforma puede usar todas estas características y aun así argumentar que no está dirigida a niños si incluye una barrera de edad. Los tribunales generalmente han sido deferentes con este argumento, razón por la que plataformas como TikTok y YouTube (antes de un decreto de consentimiento separado) operaron durante años mientras los niños las usaban extensamente sin ser clasificadas como dirigidas a ellos.

Si mi hijo miente sobre su edad para crear una cuenta, ¿la plataforma queda libre de responsabilidad?

Legalmente, en gran medida sí. Si un niño certifica que tiene 13 años o más, la plataforma generalmente está protegida de la responsabilidad bajo COPPA aunque el usuario sea en realidad menor. La FTC ha presentado casos donde las plataformas tenían “conocimiento real” de las edades de los niños a pesar de la certificación de edad — por ejemplo, a través del contenido que publicaban — pero estos casos son raros y difíciles de ganar.

¿Qué es lo más protector de privacidad que puedo hacer ahora mismo?

La acción de mayor impacto es revisar y revocar los permisos innecesarios de apps en el dispositivo de tu hijo. El acceso a ubicación, el acceso al micrófono y el acceso a la lista de contactos otorgados a apps que no los necesitan para su función principal representan la mayor exposición innecesaria de datos para la mayoría de los niños. Esto toma unos 20 minutos por dispositivo y tiene efecto inmediato. Combínalo con revisar las calificaciones “Privacy Not Included” de Common Sense Media para las apps más utilizadas.

¿Debo preocuparme específicamente por las apps de IA?

Sí, más que por el promedio. Las apps con IA — particularmente las apps de compañía IA, las apps de tutoría y las herramientas de chat con IA — recopilan datos de comportamiento y conversacionales que son cualitativamente más sensibles que los datos de uso estándar de apps. Las conversaciones con un compañero de IA pueden incluir revelaciones sobre salud mental, dinámica familiar y relaciones con compañeros. Estos datos generalmente no están protegidos por COPPA a menos que la app esté específicamente dirigida a niños y haya obtenido consentimiento parental. La investigación sobre apps de compañía IA para niños y adolescentes vale la pena leerla antes de permitir que tus hijos usen cualquier producto de chat de IA.

Sobre el autor

Ricky Flores es el fundador de HiWave Makers e ingeniero eléctrico con más de 15 años de experiencia desarrollando tecnología de consumo en Apple, Samsung y Texas Instruments. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo dominado por la tecnología. Lee más en hiwavemakers.com.

Fuentes

  • Federal Trade Commission. (2023). COPPA Rule Review: Staff Report and Proposed Amendments. ftc.gov/coppa-rule-review-2023
  • Electronic Frontier Foundation. (2023). COPPA at 25: Gaps, Workarounds, and What Reform Should Actually Address. eff.org
  • Radesky, J., Hiniker, A., McLaren, C., Akana, J., Schaller, A., & Weeks, H. V. (2020). Prevalence and characteristics of advergames in free children’s apps. JAMA Pediatrics, 174(12), 1151–1157.
  • Common Sense Media. (2024). Privacy Not Included: Annual Product Review. commonsensemedia.org/privacy-not-included
  • Zuboff, S. (2019). The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. PublicAffairs.
  • Pew Research Center. (2024). How Teens Navigate Online Privacy. pewresearch.org
  • Pew Research Center. (2024). Parents, Children, and the Digital World: Concerns About Data and Advertising. pewresearch.org
Ricky Flores
Escrito por Ricky Flores

Fundador de HiWave Makers e ingeniero eléctrico con más de 15 años trabajando en proyectos con Apple, Samsung, Texas Instruments y otras empresas Fortune 500. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo impulsado por la tecnología.

Artículos relacionados

Qué Compra $200,000 MXN en Tutorías de Primaria — y Qué No
General

Qué Compra $200,000 MXN en Tutorías de Primaria — y Qué No

13 min de lectura
Por qué las apps educativas dejan de funcionar después de 3 meses — la ciencia del abandono
General

Por qué las apps educativas dejan de funcionar después de 3 meses — la ciencia del abandono

14 min de lectura
Por qué hacer es mejor que ver: la ciencia del aprendizaje práctico en STEM
General

Por qué hacer es mejor que ver: la ciencia del aprendizaje práctico en STEM

16 min de lectura