Guía de Cumplimiento de COPPA: Protección de la Privacidad Infantil en Línea (2026)

COPPA (15 U.S.C. §§ 6501-6506), la Ley de Protección de la Privacidad Infantil en Línea, exige a los operadores de sitios web y servicios en línea dirigidos a menores de 13 años obtener el consentimiento parental verificable antes de recopilar información personal. La FTC hace cumplir estas obligaciones a través de la Regla COPPA (16 C.F.R. Parte 312), con sanciones civiles que alcanzan hasta $50,120 por infracción.
Los menores interactúan con sitios web, aplicaciones y dispositivos conectados a edades cada vez más tempranas. La Ley de Protección de la Privacidad Infantil en Línea, conocida como COPPA, es la principal ley federal que regula cómo las empresas recopilan y usan la información personal de menores de 13 años. Promulgada en 1998 y aplicada por la Comisión Federal de Comercio (FTC), COPPA impone obligaciones específicas a los operadores de sitios web comerciales, servicios en línea y aplicaciones móviles.
Esta guía explica a quién se aplica COPPA, qué exige, cómo la aplica la FTC y qué cambios se avecinan. Para un contexto más amplio sobre los marcos legales relacionados con la familia y los menores, consulte nuestra página central de Leyes de Manutención Infantil de Estados Unidos.
¿Qué es COPPA y por qué existe?
El Congreso aprobó la Ley de Protección de la Privacidad Infantil en Línea en 1998 (15 U.S.C. §§ 6501-6506) para dar a los padres control sobre qué información personal recopilan las empresas de los menores en línea. La ley entró en vigor el 21 de abril de 2000, cuando el reglamento de implementación de la FTC, la Regla COPPA (16 C.F.R. Parte 312), se volvió exigible.
El estatuto refleja un principio sencillo: los menores de 13 años carecen de la madurez para comprender los riesgos de privacidad, por lo que los padres deben tomar las decisiones sobre los datos de sus hijos. COPPA no prohíbe que los menores usen internet. Impone obligaciones a las empresas que operan sitios web y servicios en línea.
La FTC actualizó la Regla COPPA en 2013 para abordar los teléfonos inteligentes, las tabletas, las redes sociales y otras tecnologías que no existían cuando se redactó la regla original. A partir de 2024, la Comisión ha propuesto nuevas enmiendas para fortalecer la Regla.
¿Quién debe cumplir con COPPA?
COPPA se aplica a dos categorías de operadores:
Operadores de sitios web o servicios en línea dirigidos a menores de 13 años. La FTC considera factores como el tema del sitio, el contenido visual, el uso de personajes animados, la música, las actividades orientadas a menores, la edad de los modelos, la presencia de publicidad dirigida a menores y si el sitio usa lenguaje o términos dirigidos a menores. Un sitio web no necesita dirigirse exclusivamente a menores; si una parte de la audiencia son menores y el sitio está diseñado de manera que los atraiga, COPPA puede aplicarse.
Operadores de sitios web o servicios en línea de audiencia general que tienen conocimiento real de que están recopilando información personal de menores de 13 años. "Conocimiento real" significa que el operador ha sido informado o tiene evidencia clara de que un usuario específico es menor de 13 años. La FTC ha sostenido que evitar deliberadamente la información relacionada con la edad no exime de las obligaciones de COPPA.
Los complementos de terceros y las redes de publicidad también enfrentan requisitos de COPPA cuando recopilan datos a través de un sitio dirigido a menores, incluso si el tercero en sí no opera el sitio. Las Preguntas Frecuentes sobre COPPA de la FTC abordan esto en detalle.
Entidades Exentas de COPPA
COPPA se aplica específicamente a los operadores comerciales. Las organizaciones sin fines de lucro que no actúan en una capacidad comercial generalmente están exentas bajo los límites jurisdiccionales de la Ley de la FTC. Las escuelas y los distritos escolares no son operadores bajo COPPA, aunque los proveedores de tecnología educativa que recopilan datos de estudiantes en nombre de las escuelas pueden estar cubiertos. Las agencias gubernamentales también quedan fuera del alcance de COPPA.
¿Qué Cuenta como Información Personal?
COPPA define la "información personal" de forma amplia. Bajo el 16 C.F.R. § 312.2, esto incluye:
- Nombre y apellido
- Domicilio o dirección física (incluyendo el nombre de la calle y la ciudad o municipio)
- Información de contacto en línea (dirección de correo electrónico, identificador de mensajería instantánea)
- Nombre de usuario o alias que funcione como información de contacto en línea
- Número de teléfono
- Número de Seguro Social
- Una fotografía, video o archivo de audio que contenga la imagen o voz de un menor
- Información de geolocalización suficiente para identificar el nombre de una calle y una ciudad o municipio
- Identificadores persistentes (cookies, direcciones IP, números de serie de dispositivos, números de serie de procesadores) cuando se usan para reconocer a un usuario a lo largo del tiempo y en distintos sitios web, salvo cuando se usan únicamente para operaciones internas
La actualización de la Regla de 2013 amplió significativamente esta definición. Agregar los identificadores persistentes, las fotos, las grabaciones de audio y la geolocalización alineó la definición con la forma en que los menores realmente usan los dispositivos y aplicaciones modernos.
Requisitos de Consentimiento Parental Verificable
Antes de recopilar, usar o divulgar información personal de un menor de 13 años, un operador debe obtener el consentimiento parental verificable (VPC). La FTC exige que el método de consentimiento esté "razonablemente calculado, a la luz de la tecnología disponible, para asegurar que la persona que otorga el consentimiento es el padre o madre del menor".
Métodos de Consentimiento Aprobados
La FTC reconoce varios métodos para obtener el VPC:
- Formulario de consentimiento firmado devuelto por correo, fax o escaneo electrónico
- Tarjeta de crédito u otro sistema de pago en línea en el que el operador notifica al titular de la tarjeta y cobra una pequeña transacción
- Número telefónico gratuito o videoconferencia atendida por personal capacitado
- Identificación emitida por el gobierno verificada contra una base de datos, con la identificación eliminada rápidamente después de la verificación
- Preguntas de desafío basadas en conocimiento que serían difíciles de responder para un menor
- Reconocimiento facial que compara la identificación con foto de un padre con una selfie en tiempo real, para luego eliminar ambas después de la verificación
Para uso exclusivamente interno (cuando la información personal no se divulgará a terceros), la FTC permite un método simplificado de "correo electrónico más": el operador envía un correo electrónico de confirmación al padre, quien debe responder, llamar a un número o conectarse a través de otro mecanismo para confirmar el consentimiento.
El Requisito de la Política de Privacidad
Los operadores deben publicar una política de privacidad clara y completa en cada página donde se recopilen datos de menores. La política debe describir:
- Qué información recopila el operador y cómo se usa
- Las prácticas de divulgación del operador
- El derecho del padre a revisar, eliminar y rechazar la recopilación adicional de los datos del menor
- La información de contacto del operador
- La fecha de vigencia de la política
Los operadores también deben proporcionar una notificación directa a los padres antes de recopilar información, describiendo los datos específicos que se recopilarán y cómo se usarán.
Programas de Puerto Seguro de la FTC
La Sección 312.11 de la Regla COPPA establece la disposición de puerto seguro, que permite a grupos de la industria presentar pautas de autorregulación para su aprobación por la FTC. Las empresas que participan en un programa de puerto seguro aprobado y cumplen con sus pautas se consideran en cumplimiento de la Regla COPPA, sujeto a revisión.
Programas de Puerto Seguro Actualmente Aprobados
La Unidad de Revisión de Publicidad Infantil (CARU), operada por BBB National Programs, es el puerto seguro COPPA más antiguo. CARU supervisa y revisa la publicidad dirigida a menores y las prácticas de privacidad en los medios digitales.
El Programa de Sello kidSAFE se enfoca en sitios web, aplicaciones, juegos y productos conectados para menores. kidSAFE ofrece un proceso de certificación que incluye evaluaciones de privacidad, monitoreo de cumplimiento y un sello público que los padres pueden buscar.
iKeepSafe ofrece certificación de puerto seguro COPPA junto con certificaciones relacionadas para FERPA y las leyes estatales de privacidad estudiantil. iKeepSafe trabaja principalmente con empresas de tecnología educativa.
PRIVO ofrece un programa de puerto seguro basado en tecnología. La plataforma de PRIVO ofrece herramientas de verificación de edad y consentimiento parental que los operadores pueden integrar directamente en sus productos.
La participación en un programa de puerto seguro no garantiza inmunidad ante la aplicación de la FTC. La FTC conserva la autoridad para investigar y tomar medidas contra cualquier operador, incluidos los participantes de puerto seguro, si encuentra infracciones a COPPA.
Principales Acciones de Aplicación de COPPA
La FTC ha presentado docenas de casos de aplicación de COPPA desde 2000. Las sanciones se han elevado significativamente en años recientes, reflejando tanto el aumento en el número de infracciones como el incremento del tope de sanciones.
Epic Games ($520 Millones, 2022)
En diciembre de 2022, la FTC anunció un acuerdo de $520 millones con Epic Games, el creador de Fortnite. El caso incluyó dos componentes: $275 millones por infracciones a COPPA relacionadas con la recopilación de información personal de menores de 13 años sin consentimiento parental, y $245 millones por patrones oscuros que engañaban a los jugadores para que hicieran compras no deseadas. Esta sigue siendo la mayor acción de aplicación de COPPA en la historia.
Epic Games había configurado el chat de voz y texto abierto de forma predeterminada para todos los jugadores, conectando a menores con desconocidos sin el conocimiento de los padres. La empresa también recopiló información personal e identificadores persistentes de jugadores que sabía que eran menores de 13 años.
Google/YouTube ($170 Millones, 2019)
Google y YouTube pagaron $170 millones ($136 millones a la FTC y $34 millones al Fiscal General de Nueva York) por rastrear a menores en canales de YouTube dirigidos a niños. YouTube se había promocionado ante los creadores de contenido como un destino principal para menores, mientras que al mismo tiempo les decía a los anunciantes que podía rastrear y dirigirse a esos mismos espectadores jóvenes. El acuerdo exigió a YouTube crear un sistema para que los operadores de canales identificaran el contenido dirigido a menores.
TikTok/Musical.ly ($5.7 Millones, 2019)
Musical.ly (ahora TikTok) pagó $5.7 millones por recopilar nombres, direcciones de correo electrónico y otra información personal de menores de 13 años sin consentimiento parental. La aplicación tenía conocimiento real de que muchos usuarios eran menores según las fechas de nacimiento que los usuarios ingresaban, y aun así continuó recopilando datos. TikTok posteriormente lanzó un modo restringido para usuarios menores de 13 años.
Otros Casos Notables
La FTC también ha perseguido casos contra Edmodo ($6 millones, 2023, empresa de tecnología educativa que usaba datos de estudiantes para publicidad), Flo Health (2021, que compartía datos de salud reproductiva) y numerosos operadores más pequeños. El patrón es claro: la FTC prioriza los casos que involucran recopilación a gran escala, conocimiento real de usuarios menores y empresas que se benefician de los datos de los menores.
Sanciones por Infracciones a COPPA
La FTC hace cumplir COPPA bajo la Sección 5 de la Ley de la FTC, que autoriza sanciones civiles por prácticas desleales o engañosas. La sanción civil máxima por infracción se ajusta anualmente por inflación.
A partir de 2024, la sanción máxima es de $50,120 por infracción, según los montos de sanciones ajustados de la FTC. Cada instancia de recopilación de información personal de un menor sin el consentimiento adecuado cuenta como una infracción separada. Para una aplicación o sitio web con millones de usuarios menores, las sanciones se acumulan rápidamente.
Más allá de las sanciones monetarias, las órdenes de la FTC típicamente exigen que la empresa:
- Elimine toda la información personal recopilada en infracción de COPPA
- Implemente un programa integral de privacidad
- Obtenga evaluaciones independientes de privacidad cada dos años durante 20 años
- Presente informes de cumplimiento a la FTC
- Se abstenga de tergiversar sus prácticas de privacidad
Los fiscales generales estatales también pueden hacer cumplir COPPA bajo el 15 U.S.C. § 6504, presentando acciones en un tribunal federal en nombre de los residentes del estado.
COPPA 2.0, KOSA y Legislación Pendiente
Los legisladores federales han presentado varios proyectos de ley para actualizar las protecciones de privacidad infantil en línea más allá del marco original de COPPA.
COPPA 2.0 (S. 1628)
La Ley de Protección de la Privacidad en Línea de Niños y Adolescentes, comúnmente llamada "COPPA 2.0", elevaría el umbral de edad de 13 a 17 años, prohibiría la publicidad dirigida a menores, crearía un "Botón de Borrado" que permitiría a los padres y menores eliminar información personal, y establecería una División de Privacidad y Mercadeo Juvenil dentro de la FTC. El proyecto de ley pasó el Comité de Comercio del Senado en 2024, pero no ha recibido una votación completa en el pleno a principios de 2026.
Ley de Seguridad en Línea para Menores (KOSA)
KOSA (S. 1409) impondría un deber de cuidado a las plataformas cubiertas para prevenir y mitigar daños a los menores, incluida la promoción del suicidio, los trastornos alimenticios, el abuso de sustancias, el acoso y la explotación sexual. Las plataformas necesitarían habilitar las configuraciones de privacidad más estrictas de forma predeterminada para los usuarios menores de 17 años. KOSA pasó el Senado en julio de 2024 con una votación de 91 a 3, pero se estancó en la Cámara de Representantes.
Actualizaciones de la Regla COPPA de la FTC
Por separado de la legislación, la FTC ha propuesto enmiendas a la Regla COPPA que exigirían un consentimiento de exclusión voluntaria (opt-in) separado para la publicidad dirigida a menores, limitarían la retención de datos, fortalecerían los requisitos de seguridad de datos y actualizarían la definición de información personal para incluir datos biométricos. Estos cambios regulatorios pueden entrar en vigor sin nueva legislación.
Para conocer un panorama estado por estado de la legislación de privacidad infantil que va más allá de COPPA, consulte nuestra guía de Privacidad en Línea de los Menores por Estado.
Pasos Prácticos para el Cumplimiento de COPPA
Las organizaciones que operan sitios web, aplicaciones o productos conectados usados por menores pueden seguir estos pasos para construir un programa que cumpla con COPPA.
Paso 1: Determine si COPPA se Aplica
Evalúe si su sitio o servicio está "dirigido a menores" usando la prueba de totalidad de las circunstancias de la FTC. Revise su contenido, diseño, publicidad y la demografía real de sus usuarios. Si su audiencia incluye menores de 13 años o si tiene conocimiento real de usuarios menores, COPPA se aplica.
Paso 2: Audite su Recopilación de Datos
Mapee cada punto donde se recopila información personal (según la define el 16 C.F.R. § 312.2). Esto incluye formularios de registro, compras dentro de la aplicación, funciones de chat, seguimiento analítico, SDK de terceros, redes de publicidad e integraciones de inicio de sesión social. Documente qué datos se recopilan, por qué y a dónde van.
Paso 3: Implemente el Filtro de Edad
Use un control de edad neutral (pida la fecha de nacimiento sin sugerir la respuesta "correcta"). La FTC ha sancionado a empresas que permitían a los menores simplemente ingresar una fecha de nacimiento falsa después de ser rechazados. Bloquee la recopilación de información personal de usuarios que indiquen ser menores de 13 años, a menos que implemente el proceso completo de VPC.
Paso 4: Obtenga el Consentimiento Parental Verificable
Elija un método de VPC apropiado para su servicio. Para aplicaciones y juegos, la verificación con tarjeta de crédito o el reconocimiento facial pueden ser prácticos. Para uso interno de menor riesgo, el método de correo electrónico más funciona. Mantenga registros del consentimiento con fines de auditoría.
Paso 5: Redacte una Política de Privacidad Conforme
Su política de privacidad de COPPA debe ser clara, visible y completa. Enumere cada categoría de información personal recopilada, cada propósito de la recopilación, todos los terceros que reciben datos y los derechos de los padres respecto a los datos de su hijo. Evite la jerga legal. Use un lenguaje sencillo.
Paso 6: Establezca Procedimientos de Retención y Eliminación de Datos
Retenga la información personal de los menores solo el tiempo necesario para el propósito por el que se recopiló. Implemente procesos para que los padres soliciten la eliminación de los datos de su hijo. Responda a las solicitudes de eliminación con prontitud.
Paso 7: Asegure los Datos de los Menores
Aplique medidas de seguridad razonables y proporcionales a la sensibilidad de los datos. La FTC espera cifrado, controles de acceso, capacitación de empleados y procedimientos de respuesta a incidentes. Las violaciones de datos que involucran información de menores conllevan un riesgo de aplicación más alto.
Paso 8: Considere la Certificación de Puerto Seguro
Unirse a un programa de puerto seguro aprobado por la FTC proporciona un marco de cumplimiento estructurado y demuestra un compromiso con la privacidad infantil. Programas como CARU, kidSAFE, iKeepSafe y PRIVO ofrecen evaluaciones y monitoreo que ayudan a mantener el cumplimiento continuo.
Cómo se Cruza COPPA con las Leyes Estatales
COPPA establece un piso federal, pero los estados agregan cada vez más sus propios requisitos de privacidad infantil. La Ley del Código de Diseño Apropiado para la Edad de California impone evaluaciones de impacto en la protección de datos para los servicios que probablemente sean utilizados por menores. Utah, Texas, Luisiana, Arkansas y Florida han promulgado restricciones de redes sociales para menores que van más allá del alcance de COPPA.
Estas leyes estatales no reemplazan a COPPA; agregan obligaciones adicionales sobre el marco federal. Las empresas que operan a nivel nacional deben cumplir tanto con COPPA como con las leyes estatales aplicables más restrictivas. Para un desglose detallado, consulte nuestra guía de Privacidad en Línea de los Menores por Estado y las páginas individuales de privacidad de datos por estado, como California y Texas.
Enlaces Relacionados a Otros Temas
Las familias que enfrentan cuestiones de privacidad infantil en línea a menudo se encuentran con preguntas legales relacionadas sobre manutención infantil, custodia y derechos parentales. Las agencias estatales de manutención infantil usan cada vez más herramientas digitales que recopilan datos familiares, lo que plantea sus propias preocupaciones de privacidad.
- Leyes de Manutención Infantil de Estados Unidos (página central)
- Leyes de Manutención Infantil de California
- Leyes de Manutención Infantil de Texas
- Privacidad de Datos Estudiantiles y FERPA
Este artículo ofrece información legal general sobre el cumplimiento de COPPA. No constituye asesoría legal. Consulte a un abogado para obtener asesoría específica sobre su situación.
Guías de Privacidad Relacionadas
- Leyes de Privacidad de Datos de EE. UU.: el marco estatal y federal de privacidad del consumidor.
- Leyes de Privacidad en Línea de los Menores por Estado: cómo los estados van más allá del piso de COPPA.
- Leyes de Privacidad Biométrica por Estado: otra categoría de datos personales sensibles.
Preguntas frecuentes
¿Qué edad protege COPPA?
COPPA protege a los menores de 13 años. La ley exige a los operadores de sitios web y servicios en línea obtener el consentimiento parental verificable antes de recopilar información personal de usuarios que saben que son menores de 13 años. La legislación propuesta (COPPA 2.0) elevaría este umbral a 17 años, pero a principios de 2026, el límite de edad federal sigue siendo 13.
¿Se aplica COPPA a las organizaciones sin fines de lucro?
Generalmente, no. COPPA se hace cumplir bajo la Ley de la FTC, que se aplica a las entidades que operan en el comercio. La mayoría de las organizaciones sin fines de lucro quedan fuera de la jurisdicción de la FTC. Sin embargo, una organización sin fines de lucro que opera un sitio web comercial o se asocia con una entidad comercial para la recopilación de datos podría estar sujeta a los requisitos de COPPA.
¿Qué es el consentimiento parental verificable bajo COPPA?
El consentimiento parental verificable (VPC) es un mecanismo razonablemente calculado para asegurar que la persona que otorga el permiso para la recopilación de datos es realmente el padre o tutor del menor. Los métodos aprobados incluyen formularios de consentimiento firmados, verificación con tarjeta de crédito, verificación de identificación oficial, preguntas basadas en conocimiento y videoconferencia. El método específico debe coincidir con la sensibilidad de los datos que se recopilan.
¿Cuánto puede multar la FTC a una empresa por infracciones a COPPA?
La FTC puede imponer sanciones civiles de hasta $50,120 por infracción a partir de 2024, ajustadas anualmente por inflación bajo el 15 U.S.C. § 45(m)(1)(A). Cada instancia de recopilación indebida de los datos de un menor cuenta como una infracción separada. La mayor acción de aplicación de COPPA hasta la fecha fue el acuerdo de $520 millones con Epic Games en 2022.
¿Las escuelas deben cumplir con COPPA?
Las escuelas en sí no son 'operadores' bajo COPPA y no están directamente sujetas a sus requisitos. Sin embargo, los proveedores de tecnología educativa y los servicios en línea que las escuelas usan para recopilar datos de estudiantes pueden ser operadores cubiertos por COPPA. La FTC ha declarado que las escuelas pueden otorgar el consentimiento en nombre de los padres cuando los datos se usan únicamente con fines educativos, no comerciales.
¿Qué es un programa de puerto seguro de COPPA?
Un programa de puerto seguro es un programa de autorregulación aprobado por la FTC que establece pautas para el cumplimiento de COPPA. Las empresas que se unen y cumplen con un puerto seguro aprobado (como CARU, kidSAFE, iKeepSafe o PRIVO) se consideran en cumplimiento de la Regla COPPA. Sin embargo, la FTC conserva la autoridad de aplicación y todavía puede investigar a los participantes de puerto seguro.
¿Se aplica COPPA a las aplicaciones y los videojuegos?
Sí. COPPA se aplica a cualquier servicio en línea comercial, incluidas las aplicaciones móviles y los videojuegos, que esté dirigido a menores de 13 años o que tenga conocimiento real de que recopila datos de menores de 13 años. La actualización de la Regla COPPA de 2013 abordó específicamente las aplicaciones móviles, la recopilación de datos dentro de la aplicación y los identificadores persistentes usados por las redes de publicidad basadas en aplicaciones.
¿Qué sucede si mi estado tiene leyes de privacidad infantil más estrictas que COPPA?
COPPA no reemplaza las leyes estatales que ofrecen mayores protecciones a la privacidad de los menores. Las empresas deben cumplir tanto con COPPA como con cualquier ley estatal aplicable. Estados como California (AADC), Utah (SB 152) y Texas (HB 18) han promulgado leyes de privacidad infantil que imponen requisitos adicionales más allá del piso federal.
Fuentes y referencias
- Ley de Protección de la Privacidad Infantil en Línea (15 U.S.C. §§ 6501-6506)(uscode.house.gov).gov
- Regla COPPA de la FTC (16 C.F.R. Parte 312)(ecfr.gov).gov
- Preguntas Frecuentes sobre COPPA de la FTC: Cumplimiento de COPPA(ftc.gov).gov
- Plan de Cumplimiento de COPPA en Seis Pasos de la FTC(ftc.gov).gov
- Acuerdo de Epic Games con la FTC por $520M (2022)(ftc.gov).gov
- Acuerdo de Google/YouTube por COPPA de $170M (2019)(ftc.gov).gov
- Acuerdo de TikTok/Musical.ly por COPPA de $5.7M (2019)(ftc.gov).gov
- Montos de Sanciones Civiles Ajustados por Inflación de la FTC 2024(ftc.gov).gov
- Autoridad de Aplicación de los Fiscales Generales Estatales (15 U.S.C. § 6504)(uscode.house.gov).gov
- COPPA 2.0 (S. 1628, 118º Congreso)(congress.gov).gov
- Ley de Seguridad en Línea para Menores (S. 1409, 118º Congreso)(congress.gov).gov
- Enmiendas Propuestas a la Regla COPPA de la FTC(ftc.gov).gov
- Ley del Código de Diseño Apropiado para la Edad de California (AB 2273)(leginfo.legislature.ca.gov).gov
- Definición de Información Personal de COPPA (16 C.F.R. § 312.2)(ecfr.gov).gov
- Acción de Aplicación de la FTC contra Edmodo (2023)(ftc.gov).gov