Cuándo se aplica el cumplimiento de datos de menores y qué hacer después

El cumplimiento de datos de menores se aplica cuando un producto SaaS, un proceso de soporte, una integración, analítica, una función de IA o una implantación de cliente recopila o usa datos personales sobre menores. La respuesta práctica es identificar dónde pueden entrar esos datos, decidir si los menores son usuarios objetivo, usuarios probables o están presentes en datos de clientes, y convertir esa decisión en responsables, controles y evidencia.

El GDPR protege especialmente a los menores. El artículo 8 añade condiciones cuando se usa el consentimiento para servicios de la sociedad de la información ofrecidos directamente a un menor. En ese escenario la edad general es 16 años, pero los Estados miembros pueden bajarla hasta 13. Por debajo de la edad aplicable, el consentimiento debe darlo o autorizarlo quien tenga la responsabilidad parental, con esfuerzos razonables de verificación.

Regla rápida

Está en alcance cuando los menores pueden ser usuarios previstos, usuarios probables, personas incluidas en datos del cliente o participantes razonables en un flujo operativo.

Esto incluye educación, salud, familia, comunidades, juegos, mensajería, tickets de soporte, cargas de archivos, grabaciones, campos libres, eventos analíticos, prompts de IA e integraciones. El modelo B2B no elimina el análisis: un proveedor puede tratar datos de menores por instrucciones de su cliente.

Qué hacer después

Empieza con un inventario. Registra puntos de entrada, categorías de datos, finalidad, base jurídica, señal de edad, proveedores, retención, controles de acceso y ubicación de la evidencia. Después decide cómo se gestiona la edad. A veces aplicar configuraciones más protectoras a todos los usuarios es mejor que recopilar más datos para verificar edad.

Revisa la base jurídica y el modelo de consentimiento. El consentimiento no siempre es la opción correcta. Si se usa, deben funcionar el texto, el alcance, la retirada, la autorización parental y la evidencia.

Errores frecuentes

Los errores habituales son asumir que B2B excluye menores, tratar la edad como una simple pregunta, olvidar datos no estructurados y usar consentimiento sin una retirada operativa. La evidencia debe mostrar cómo se decidió el alcance, qué controles cambiaron y quién los mantiene.

FAQ

¿Cuándo aplica a SaaS?

Cuando los menores son usuarios objetivo o probables, aparecen en datos de clientes o pueden estar presentes en flujos de producto, soporte, analítica, IA o proveedores.

¿Qué documentar primero?

Inventario, enfoque de edad, base jurídica, consentimiento o autorización parental, decisión de DPIA, ajustes por defecto, proveedores, retención y responsable de evidencia.

Fuentes

Este artículo se basa en el GDPR, la guía de consentimiento del EDPB y la guía del Children's Code del ICO.