A partir de 2025, la Ley de Protección de la Privacidad Infantil en Línea La Ley de Protección de Datos Personales (COPPA) ha experimentado su actualización más sustancial en más de una década, transformando la forma en que las empresas gestionan los datos de menores en línea. La FTC finalizó importantes modificaciones a la COPPA el 16 de enero de 2025. Las nuevas normas, finalizadas por la Comisión Federal de Comercio (FTC), marcan un cambio drástico: de las listas de verificación de cumplimiento estáticas a una gobernanza de datos dinámica y proactiva. Con nuevas definiciones regulatorias, controles obligatorios y una mayor autoridad de cumplimiento, las aplicaciones y sitios web que generan ingresos mediante la recopilación, el intercambio y la venta de información personal infantil deben replantear su gestión del consentimiento, la retención de datos, la seguridad y las prácticas publicitarias para usuarios menores de 13 años.
Analicemos los últimos cambios en las reglas de la COPPA, lo que significan para su negocio y qué legislación futura puede estar en el horizonte.
Cambios clave en las normas COPPA de 2025: novedades y cambios
La FTC publicó las modificaciones finales a la Norma COPPA el 22 de abril de 2025. La fecha de entrada en vigor de las modificaciones publicadas es el 23 de junio de 2025, y los operadores tendrán hasta el 22 de abril de 2026 para alcanzar el cumplimiento total. A continuación, se presentan los nuevos cambios a la COPPA.
1. Suscripción obligatoria a la publicidad dirigida
Según la normativa actualizada, las empresas deben obtener el consentimiento parental verificable por separado antes de utilizar los datos de un menor para publicidad dirigida. Esto aplica a sistemas de publicidad propios y de terceros y requiere mecanismos de consentimiento granulares.
Qué significa: Las empresas ya no pueden incluir el consentimiento en las condiciones generales del servicio ni basarse en el consentimiento implícito para la monetización. Ahora es esencial contar con flujos de trabajo separados para las funciones principales y la publicidad.
2. Definición ampliada de información personal
La COPPA ahora incluye explícitamente datos de geolocalización e identificadores biométricos, como reconocimiento facial, huellas de voz, huellas dactilares y escaneos de retina, dentro de su alcance.
Qué significa: Las plataformas que capturan video y audio o usan IA/ML para personalización o moderación deben tratar estas entradas como datos regulados y garantizar que se recopilen, almacenen y utilicen solo con consentimiento válido.
3. Programas de seguridad escritos obligatorios
Las organizaciones deben implementar y mantener un programa de seguridad de datos formal y escrito que incluya medidas de seguridad administrativas, técnicas y físicas.
Qué significa: Las empresas ya no pueden alegar prácticas de seguridad imprecisas o improvisadas. Los reguladores buscarán políticas documentadas, auditorías, registros de infracciones y evidencia de controles técnicos que protejan los datos de los niños.
4. Políticas de retención y eliminación más estrictas
La COPPA ahora exige que las empresas retengan información personal solo el tiempo que sea necesario para el propósito específico para el que fue recopilada y exige su eliminación segura posteriormente.
Qué significa: El almacenamiento indefinido ya no es aceptable. Las empresas deben contar con sistemas de retención de datos basados en políticas y flujos de trabajo de eliminación automatizados.
5. Límites a la autorización escolar
La norma actualizada aclara que las escuelas no pueden autorizar el uso de datos más allá de los fines educativos y cualquier uso de datos de niños con fines comerciales todavía requiere el consentimiento de los padres.
Qué significa: Los proveedores de tecnología educativa deben revisar cómo utilizan los datos obtenidos a través de las escuelas y separar el uso relacionado con el aprendizaje de la monetización o el análisis.
6. Cumplimiento del intercambio de datos con terceros
La FTC enfatizó la responsabilidad de los socios externos que reciben datos de menores. Ahora se espera que los operadores principales supervisen y restrinjan el uso posterior.
Qué significa: Se deben examinar la sincronización de cookies, los análisis y los complementos, y los acuerdos de intercambio de datos deben reflejar las limitaciones de la COPPA.
El futuro de la COPPA: Vigilancia legislativa y tendencias del sector
Si bien los cambios en las normas de 2025 son significativos, podrían ser solo el comienzo. Esto es lo que podría suceder a continuación:
1. Posibles modificaciones del Congreso (COPPA 2.0 o KOSA)
Se han presentado múltiples propuestas, incluidas: COPPA 2.0 y el Ley de seguridad infantil en línea (KOSA). Estos tienen como objetivo:
- Aumentar la edad de protección a los 16 años
- Prohibir por completo la publicidad dirigida a menores
- Imponer estándares de deber de cuidado para el daño algorítmico
- Ampliar los derechos de acción privados
- Si bien la ley KOSA se ha estancado en el Congreso, el impulso a nivel estatal podría reavivar el interés.
2. Leyes estatales sobre privacidad infantil
- Estados como California y Connecticut están avanzando en sus versiones de leyes de datos infantiles, que a menudo superan en alcance la COPPA.
- Las empresas que atienden a niños estadounidenses pronto podrán tener que cumplir con un mosaico de leyes, lo que requerirá una gobernanza adaptable.
3. Mayor aplicación de la ley y sanciones de la FTC
- La FTC ha declarado su intención de aplicar enérgicamente las nuevas normas. Acuerdos anteriores (por ejemplo, Juegos épicos, TikTok, YouTube) alcanzó cientos de millones.
- Con una definición ampliada de información personal y una mayor visibilidad de las violaciones, es probable que aumenten las acciones de cumplimiento.
4. Influencia transfronteriza: RGPD-K y derecho internacional
- Tendencias globales como las protecciones del RGPD para los niños (especialmente Artículo 8) y normas similares del Reino Unido, Corea del Sur y la India podrían dar forma a la futura acción regulatoria de Estados Unidos.
Lo que significa para su negocio
Las empresas que operan servicios dirigidos a niños o recopilan datos de usuarios menores de 13 años ahora deben:
- Revisar y separar los flujos de trabajo de consentimiento
- Auditoría y mapeo de flujos de datos para datos secundarios
- Supervisar las integraciones de terceros y el uso de tecnología publicitaria
- Implementar políticas formales de seguridad y retención
- Cree sistemas listos para auditoría para el consentimiento, la eliminación y los informes de infracciones
Quienes tratan el cumplimiento normativo como un proyecto aislado corren un riesgo cada vez mayor. La privacidad es ahora una función operativa que debe integrarse en los equipos de producto, marketing, ingeniería y legal.
Cómo BigID le ayuda a prepararse para el futuro de la COPPA
El futuro de la COPPA exigirá mayor visibilidad, rendición de cuentas y control. Ya sea una plataforma tecnológica, un desarrollador de juegos, una aplicación educativa o un proveedor de contenido, su enfoque sobre los datos infantiles debe evolucionar.
BigID es la primera y única plataforma de seguridad y privacidad de datos que ayuda a las organizaciones Descubrir, gestionar y proteger los datos de los niños En todo su ecosistema. Así es como BigID contribuye al cumplimiento de la COPPA:
- Descubrir y clasificar datos personales y sensibles de los niños – incluidos identificadores, datos biométricos y de geolocalización
- Automatizar los flujos de trabajo de consentimiento parental con registros auditables
- Administrar el uso compartido con terceros riesgos del mapeo del flujo de datos
- Aplicación de la retención basada en políticas y la eliminación segura
- Apoyar la implementación del programa de seguridad escrito con informes de riesgos y seguimiento de incidentes
Anticípese al riesgo de incumplimiento y genere confianza digital con BigID. Programe una reunión individual para obtener más información sobre cómo BigID respalda el cumplimiento de COPPA.
Autor
