Checklist de compliance de datos de menores para founders y compliance leads

El compliance de datos de menores esta listo para revision cuando un equipo SaaS puede mostrar donde pueden entrar datos de menores, por que el tratamiento es licito, que salvaguardas aplican, quien decide y donde vive la evidencia. La meta no es frenar cada release; es hacer visible el riesgo antes de que producto, soporte, vendors o auditoria lo descubran tarde.

El GDPR da proteccion especifica a los menores porque pueden entender peor los riesgos, consecuencias, garantias y derechos. El articulo 8 anade reglas cuando se usa consentimiento para servicios de la sociedad de la informacion ofrecidos directamente a menores, y los Estados miembros pueden fijar la edad relevante entre 13 y 16 anos.

Checklist

1. Confirma si hay menores en scope: cuentas directas, uso escolar o familiar, datos de clientes sobre menores, adjuntos de soporte, uploads, analytics, IA, geolocalizacion, perfilado o preguntas comerciales sobre menores.

2. Define el rol de la empresa por workflow: controller, processor o ambos. Documenta quien decide finalidad, instrucciones, derechos, notices, vendors y evidencia.

3. Mapea datos y sistemas: cuenta, edad, escuela, padre o tutor, hogar, imagen, audio, localizacion, mensajes, tickets, importaciones, logs, prompts de IA, outputs, warehouses, backups y exports.

4. Decide como se evalua la edad. La autodeclaracion puede bastar en bajo riesgo; en mayor riesgo puede hacer falta mas assurance o aplicar protecciones por defecto a todos. Documenta que pasa si la edad es desconocida.

5. Confirma base legal y logica de consentimiento. Si se usa consentimiento, deben funcionar version, idioma, timestamp, alcance, retirada y autorizacion parental cuando aplique.

6. Ejecuta una DPIA o product privacy review con preguntas especificas de menores: necesidad, proporcionalidad, perfilado, recomendaciones, anuncios, geolocalizacion, nudges, sharing, defaults, notices, vendors y riesgo residual.

7. Configura defaults protectores: visibilidad limitada, exports estrechos, acceso por rol, features opcionales apagadas o limitadas, retention definida y explicaciones claras antes de decisiones relevantes.

8. Revisa vendors y subprocesadores. DPAs, transferencias, subprocesadores, evidencia de seguridad, retention, borrado, backups, entrenamiento de IA y usos secundarios deben cuadrar con los compromisos.

9. Prueba derechos, soporte y borrado. Padres, escuelas, clientes, menores y equipos internos necesitan reglas de routing, autenticacion y escalacion.

10. Guarda evidencia de auditoria: scope, rol, base legal, consentimiento, inventario, DPIA, defaults, acceso, retention, borrado, vendor review, riesgos aceptados y fechas de seguimiento.

FAQ

Cuando aplica a equipos SaaS?

Puede aplicar cuando los menores son usuarios, usuarios probables, aparecen en datos de clientes o estan presentes indirectamente en soporte, uploads, analytics, IA, integraciones, despliegues escolares o workflows familiares.

Que se documenta primero?

Scope, rol, inventario de datos, age assurance, base legal, consentimiento o autorizacion parental, resultado de DPIA, defaults, vendors, retention, borrado y owner de evidencia.

Cual es el mayor error?

Tratar el compliance de datos de menores como una interpretacion legal unica en vez de convertirlo en un workflow con owners, triggers, evidencia y rutas de escalacion.

Sources

Este checklist se basa en el GDPR, guias del EDPB sobre consentimiento y licitud, y guidance del ICO Children's Code sobre scope, DPIAs y age-appropriate application.