Errores comunes de compliance de datos de menores que los equipos SaaS aun cometen

El compliance de datos de menores suele fallar cuando el equipo lo trata como una pregunta legal estrecha y no como un workflow operativo. Los errores se repiten: asumir que B2B queda fuera, ignorar soporte y uploads, usar age checks debiles, elegir consentimiento sin retirada real, olvidar vendors y no guardar evidencia.

Errores comunes

1. Confundir B2B con "no hay menores". Los menores pueden aparecer en escuelas, cuentas familiares, uploads de clientes, tickets, capturas, grabaciones, comunidades, identity workflows, notas de salud, analytics o resumenes de IA.

2. Revisar solo la pantalla de signup. Los datos de menores tambien pueden vivir en soporte, imports, logs, analytics, prompts de IA, warehouses, backups, exports y admin tools.

3. Tratar la edad como un banner. Un checkbox no resuelve profiling, geolocalizacion, sharing, nudges, notices ni defaults. La decision de edad debe ajustarse al riesgo.

4. Elegir consentimiento sin operacion. Bajo el articulo 8 del GDPR pueden hacer falta autorizacion parental, version, idioma, timestamp, alcance, retirada y evidencia.

5. No hacer preguntas DPIA especificas de menores: necesidad, proporcionalidad, profiling, recomendaciones, ads, geolocalizacion, nudges, sharing, defaults, notices y vendors.

6. Sacar vendors del mapa. Infraestructura, analytics, IA, soporte, email, chat, logging y warehouses pueden tratar datos de menores y necesitan DPAs, retention, deletion y evidencia.

7. Mantener defaults riesgosos. Perfiles publicos, exports amplios, acceso interno amplio, tracking, location y recomendaciones no deberian activarse por conveniencia.

8. Tratar soporte como secundario. Los agentes necesitan routing, autenticacion, escalacion y limites claros para solicitudes de padres, escuelas, clientes y menores.

9. Dispersar evidencia en tickets y chat. La evidencia debe mostrar scope, rol, base legal, age approach, consentimiento, DPIA, defaults, vendor review, retention, deletion, riesgos y follow-ups.

10. Convertir decisiones antiguas en permanentes. Reabre la revision cuando cambian producto, datos, usuarios, vendors, compromisos, retention, acceso o uso de IA.

FAQ

Cuando aplica a equipos SaaS?

Cuando los menores son usuarios directos, usuarios probables, parte de datos de clientes o estan indirectamente en soporte, uploads, analytics, IA, integraciones, despliegues escolares o workflows familiares.

Que documentar o cambiar primero?

Scope, rol, inventario de datos, age assurance, base legal, consentimiento o autorizacion parental, DPIA, defaults, vendors, soporte, retention, deletion y owner de evidencia.

Cual es el mayor error?

Tratar el tema como interpretacion legal unica en vez de un workflow con owners, triggers, evidencia y escalaciones.

Sources

Este articulo se basa en el GDPR, guias del EDPB sobre consentimiento y licitud, y guidance del ICO Children's Code sobre scope, DPIAs y age-appropriate application.