La infancia y la adolescencia son hoy usuarias intensivas de servicios y dispositivos conectados. Esto multiplica la exposición a prácticas de perfilado, interfaces persuasivas y difusión no controlada de imágenes.
A este escenario se suma la Ley Orgánica 8/2021, de protección integral a la infancia y la adolescencia frente a la violencia (LOPIVI), que establece obligaciones transversales para garantizar entornos seguros, incluidos los digitales.
Aunque la LOPIVI no es una norma de protección de datos en sentido estricto, incide en la gestión y tratamiento de datos de menores como parte de su objetivo de prevenir y detectar la violencia, el acoso, la explotación sexual y otros riesgos en entornos online.
Su articulado impone protocolos de actuación, formación en seguridad digital y deber de denuncia ante indicios de violencia, lo que conecta con mecanismos como el Canal Prioritario de la AEPD para la retirada urgente de contenidos ilícitos.
La LOPIVI, junto con el RGPD, la LOPDGDD, el Reglamento de Servicios Digitales (DSA) y las guías e instrumentos de la AEPD, forman un ecosistema normativo complementario que obliga a cualquier centro educativo, proveedor EdTech, red social o servicio digital a cumplir simultáneamente con la protección de datos y la protección integral frente a la violencia.
Marco normativo esencial (España y UE)
• RGPD, art. 8: condiciones del consentimiento de menores en servicios de la sociedad de la información; verificación razonable del consentimiento paterno/materno cuando proceda.
• LOPDGDD, art. 7: edad de consentimiento fijada en 14 años en España y pautas para su obtención en entornos educativos y familiares.
• DSA, art. 28: medidas apropiadas y proporcionadas para garantizar un alto nivel de privacidad, seguridad y protección de los menores en plataformas accesibles a NNA; prohibición de la publicidad basada en perfilado a menores.
• AEPD: Canal Prioritario para retirada urgente de contenido sexual o violento; guía específica para centros educativos; nota técnica y decálogo sobre verificación de edad “segura y privada”.
• Agenda 2025 (en tramitación): Proyecto de Ley Orgánica sobre menores en entornos digitales, con control parental por defecto, medidas frente a deepfakes y otros riesgos.
Riesgos y retos actuales
• Perfilado y rastreo ubicuo (cookies/SDKs, ID de publicidad): impacto en autonomía y desarrollo. El DSA limita expresamente la publicidad basada en perfiles a menores.
• “Dark patterns”: diseños que empujan a opciones intrusivas o dificultan la baja/borrado. El EDPB publicó directrices con patrones a evitar y buenas prácticas de UX.
• Difusión de imágenes y contenidos sensibles: sextorsión, grooming y retos virales. La AEPD habilita retirada urgente mediante su Canal Prioritario.
• EdTech y nube educativa: DPIA a menudo ausentes, transferencias internacionales y cláusulas contractuales incompletas. La Guía AEPD para centros educativos recoge pautas concretas.
• IA generativa y ultrafalsificaciones: necesidad de salvaguardas (detección, trazabilidad, respuesta) que el Proyecto de Ley 2025 pretende reforzar.
Casos y referencias reales
• TikTok (DPC Irlanda, 2023): multa de 345 M€ por deficiencias de privacidad infantil en configuraciones por defecto y transparencia.
• Instagram (DPC Irlanda, 2022): multa de 405 M€ por exposición pública de datos de cuentas de menores.
• Comisión Europea (2025): directrices para evaluar el cumplimiento del art. 28 DSA por parte de plataformas accesibles a menores.
Recomendaciones prácticas
Diseño y producto
• Privacidad por defecto y lenguaje claro adaptado a la edad. Evita patrones engañosos; ofrece controles simétricos (aceptar/rechazar) y explicaciones breves.
• Desactiva perfilado publicitario a menores; limita la analítica a métricas agregadas o señales efímeras.
• Etiqueta y restringe funciones de alto riesgo (DM abiertos, geolocalización precisa, públicos “por defecto”).
Consentimiento y verificación
• En España, la edad de consentimiento es 14 años; por debajo, obtén consentimiento de quienes ostenten la patria potestad/tutela con verificación proporcionada y sin acopiar documentos más allá de lo necesario.
• Implementa verificación de edad con preservación de anonimato (credenciales verificables, pruebas “sí/no” de mayoría de edad, separación de identidad y atributo).
Entornos educativos
• Política específica de imágenes del alumnado: consentimiento granular; repositorios privados, no redes públicas.
• Contratación EdTech: contrato de encargado, subencargados, localización de datos, transferencias, logs de acceso, plazos de conservación y DPIA cuando haya alto riesgo.
Gobernanza y respuesta
• Registro de actividades, DPIA en funciones de riesgo, formación periódica y auditorías de interfaz (dark patterns).
• Canal de reporte visible y protocolo de retirada urgente vía Canal Prioritario de la AEPD.
• Métricas de desempeño: tiempo de respuesta a derechos, ratio de incidentes, efectividad de controles parentales.
Checklist por rol
• Centros educativos: DPIA para herramientas de alto riesgo; política de imágenes; DPD; matriz de proveedores con cláusulas de encargado y subencargados.
• Proveedores EdTech: SDKs sin tracking; retención mínima; transparencia granular; API de soporte a derechos.
• Plataformas: sin anuncios basados en perfiles a menores; controles parentales; auditoría de patrones engañosos; borrado simplificado.
• Familias: ajustes de privacidad; conversación sobre huella digital; reporte y retirada urgente cuando proceda.
Conclusión
La protección efectiva de NNA exige alinear legal, diseño y operaciones: “cumplimiento usable” y verificaciones proporcionadas, sin crear nuevos riesgos. Invertir en privacidad por defecto y gobernanza evita sanciones y, sobre todo, protege a la infancia.
