A Qui Cobreix Realment COPPA

COPPA s'aplica a qualsevol lloc web comercial, aplicació mòbil, dispositiu connectat o servei en línia que sigui dirigit a nens menors de 13 anys o que tingui coneixement real que recull informació personal d'un nen menor de 13 anys. L'abast és més ampli del que la majoria d'editors suposen perquè la FTC interpreta ambdues branques de manera agressiva.

Un servei és dirigit a nens basat en una anàlisi multifactor: temàtica, contingut visual, ús de personatges animats o activitats orientades a nens, música, edat dels models, presència de celebritats populars entre nens, idioma, publicitat al servei que és en si mateixa dirigida a nens, i evidència empírica competent i fiable sobre la composició de l'audiència. Un lloc d'audiència general pot convertir-se en un servei d'audiència mixta en el moment en què es crea una secció al voltant de contingut orientat a nens.

Tres coses que els editors consistentment fan malament:

• Creure que una barrera d'edat en els Termes del Servei en el registre és suficient. No ho és, per si sola, quan la resta del lloc assenyala una intenció dirigida a nens.
• Suposar que no tenir usuaris connectats significa no tenir exposició a COPPA. Els identificadors persistents — cookies, adreces IP, ID de dispositius, ID de publicitat — són informació personal sota COPPA quan es recullen d'un nen.
• Tractar COPPA com ortogonal a la llei de privacitat estatal. El Codi de Disseny Adequat per a l'Edat de Califòrnia, la llei de dades infantils de Connecticut i les propostes federals es construeixen sobre les definicions de COPPA; un programa COPPA net és la base del compliment amb totes elles.

Què Va Canviar Realment l'Esmena de 2025

La norma final de gener de 2025 de la FTC, la primera actualització integral des de 2013, va modernitzar COPPA de cinc maneres concretes que els editors han d'interioritzar.

Opt-In Separat per a Publicitat de Tercers

Els operadors ja no poden incloure les divulgacions de publicitat de tercers en un únic consentiment parental per usar el servei. La publicitat conductual en un servei dirigit a nens ara requereix un consentiment parental verificable separat i opt-in distinct del consentiment per usar el servei en si. L'agrupament — la norma històrica per a aplicacions i llocs de nens amb suport publicitari — ara està expressament prohibit.

Informació Personal Ampliada

L'esmena va ampliar la definició d'informació personal per incloure identificadors biomètrics capaços d'autenticar un individu, incloent empremtes dactilars, empremtes de veu, imatges de retina o iris i plantilles de geometria facial. També va aclarir que els identificadors emesos per governs de qualsevol govern, no només dels EUA, qualifiquen. Els editors que executen funcions de cerca per veu, assistents d'IA o eines de càrrega de fotos en serveis dirigits a nens han de mapear aquests fluxos respecte a la nova definició.

Límits de Retenció de Dades

La nova norma requereix que els operadors publiquin una política de retenció escrita que limiti l'emmagatzematge de la informació personal dels nens al que sigui raonablement necessari per complir el propòsit per al qual es va recollir. La retenció indefinida ja no està permesa, i la política ha d'estar enllaçada des de l'avís de privacitat.

Mètodes de Consentiment Parental Verificable Reforçats

L'esmena va formalitzar el menú de mètodes VPC acceptables i va afegir una opció d'autenticació basada en el coneixement usant preguntes dinàmiques d'opció múltiple que només pot respondre el pare. Els mètodes clàssics — transacció de targeta de crèdit, formulari signat, videoconferència amb un operador format, verificació d'ID del govern — continuen disponibles però han de ser documentats per cada esdeveniment de consentiment.

L'Avís de Canvi Material Desencadena un Nou VPC

Qualsevol canvi material a les pràctiques de dades — noves categories de dades recollides, nous destinataris de tercers, nous acords publicitaris — desencadena un nou consentiment parental verificable. Els operadors no poden confiar en un consentiment de 2018 per autoritzar una integració publicitària de 2026.

El Consentiment Parental Verificable a la Pràctica

El Consentiment Parental Verificable és el cor de COPPA, i és la part que els editors implementen més sovint malament. L'estàndard legal és el consentiment raonablement dissenyat per garantir que la persona que proporciona el consentiment és el pare del nen — no simplement el consentiment recollit de qualsevol manera.

Els mètodes aprovats per la FTC que els editors haurien de conèixer:

• Transacció de targeta de crèdit o dèbit amb una notificació al titular de la targeta. Un petit càrrec o autorització de zero dòlars és acceptable quan s'acompanya d'un avís transaccional.
• Verificació d'ID emès pel govern a través d'un proveïdor d'identitat de tercers segur, amb l'ID destruït ràpidament després de la verificació.
• Autenticació basada en el coneixement — la nova opció de la norma de 2025 — usant preguntes dinàmiques d'opció múltiple extretes de registres públics.
• Formulari de consentiment signat retornat per correu, fax o escaneig electrònic.
• Videoconferència amb un operador format que confirma la identitat contra un ID del govern presentat.
• Email-plus — només permès per a informació personal d'ús intern, i requereix un pas de confirmació de seguiment. No us recolzeu en email-plus per a dades publicitàries.

La pregunta operativa clau és la documentació. Per a cada usuari nen, l'operador ha de poder mostrar, a sol·licitud de la FTC: quin mètode es va usar, qui era el pare verificador, quines categories de dades van ser autoritzades, quins destinataris de tercers van ser nomenats, i el registre de temps del consentiment. Un CMP modern d'estil FlexyConsent hauria d'integrar-se amb el proveïdor VPC i emmagatzemar aquest rastre en el mateix registre d'auditoria que els esdeveniments de consentiment de cookies.

Consentiment de Cookies en Llocs Dirigits a Nens

COPPA i el bàner de cookies es troben en capes legals diferents però han de treballar junts. Els bàners de consentiment de cookies sota GDPR/ePrivacy o sota lleis estatals com CCPA no satisfan COPPA, i el consentiment parental verificable no eximeix a l'operador de les obligacions de divulgació de cookies. Els operadors que serveixen nens han d'executar ambdues capes de manera coordinada.

Bloquejar el Seguiment Fins que Es Capturi VPC

En una pàgina dirigida a nens, cap cookie de publicitat o analítica pot disparar-se abans que es capturi VPC per a aquest usuari. Un bàner d'acceptació total estàndard és l'eina equivocada — l'estat predeterminat ha de ser res no es dispara fins que el consentiment parental estigui en arxiu, i fins i tot llavors només per a les categories que el pare va autoritzar.

Restringir la Llista de Proveïdors a Socis Segurs per COPPA

La llista de proveïdors en una propietat dirigida a nens és necessàriament més curta que en un lloc d'audiència general. Els SSP, DSP i proveïdors d'anàlisi han de garantir contractualment que no usen dades infantils per a la segmentació conductual i no passen el nen a xarxes conductuals posteriors. La majoria dels principals SSP publiquen un mode d'inventari compatible amb COPPA; configureu la vostra pila a aquest mode i elimineu els socis no conformes.

Mostrar Controls Parentals al Peu de Pàgina

L'avís de privacitat ha d'incloure una secció clara en llenguatge senzill dirigida als pares amb instruccions per revisar, modificar o revocar el consentiment per al seu fill. Un enllaç persistent al peu de pàgina etiquetat com Per a Pares compleix les expectatives d'accessibilitat de la FTC i crea un rastre defensable quan un investigador realitza una auditoria d'usabilitat.

El Patró d'Aplicació de la FTC en 2024–2026

L'aplicació sota COPPA s'ha accelerat des que l'acord de YouTube de 2019 va restablir la disposició de la FTC per a casos de grans editors. Els patrons dels decrets de consentiment recents ofereixen una guia d'allò que la FTC realment cerca en una investigació.

• Els identificadors persistents com a prova inculpatòria. La FTC rutinàriament requereix els registres de publicitat de l'operador i els correlaciona amb dades d'audiència per demostrar que s'han assignat ID d'ad-tech a usuaris nens identificables sense VPC. Els documents interns que anomenen l'audiència nens o infants mentre el programa de privacitat el tracta com a audiència general són catastròfics.
• La mala gestió de proveïdors com a multiplicador. Quan un operador remet dades infantils a un SSP no conforme amb COPPA, ambdues parts es fan responsables. La FTC ha perseguit els operadors principals i les xarxes posteriors en accions paral·leles.
• Determinacions de patrons de conducta. Un únic fracàs VPC pot ser una determinació; un patró de fracassos en totes les superfícies del producte es converteix en un càrrec de pràctiques enganyoses sota la Secció 5 de la Llei FTC, ampliant tant la sanció com l'abast del decret de consentiment.
• Escalada de sancions civils. La sanció civil màxima per infracció sota la Llei de Millores de la FTC s'ha ajustat a l'alça anualment; el 2025 estava per sobre dels $50.000 per infracció, amb cada nen tractat com a infracció separada en alguns assumptes.

Construir una Pila Preparada per a COPPA

Implementar COPPA d'una manera que realment resisteixi l'escrutini de la FTC és un problema de coordinació entre producte, enginyeria, operacions publicitàries i legal. El treball es divideix en aproximadament sis fluxos de treball.

1. Classificar Cada Propietat i Superfície

Per a cada domini, subdomini, aplicació i punt final de dispositiu connectat, decidiu si és dirigit a nens, d'audiència mixta o d'audiència general. Documenteu l'anàlisi. Una superfície d'audiència mixta — per exemple, una pàgina d'inici amb contingut tant per a adults com per a nens — ha d'aplicar COPPA només als usuaris que s'identifiquen com a menors de 13 anys a través d'una barrera d'edat neutral, no a tots els usuaris.

2. Construir la Barrera d'Edat de la Manera Correcta

Una barrera d'edat neutral demana la data de naixement d'una manera que no assenyali que els usuaris més grans obtenen més accés. Preguntar teniu 13 anys o més? no és neutral i la FTC l'ha marcat. Un senzill selector mes-dia-any, usat una vegada per dispositiu amb una cookie a prova de manipulació, és l'enfocament estàndard.

3. Integrar un Proveïdor VPC

A menys que el vostre equip de producte tingui intenció d'operar VPC internament, integreu un proveïdor especialista — hi ha diversos proveïdors aprovats per la FTC — i feu que la integració sigui callable des del vostre CMP, flux d'inscripció i portal de gestió del consentiment parental. Emmagatzemeu el registre d'auditoria per esdeveniment a la base de dades del CMP, no en el siloz del proveïdor VPC.

4. Configurar Piles de Publicitat i Analítica per al Mode COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network i els principals DSP ofereixen tots un indicador de tag per al tractament dirigit a nens. Establiu-lo en cada crida publicitària originada des d'una superfície dirigida a nens o un usuari autenticat menor de 13 anys. Verifiqueu amb la documentació del proveïdor que l'indicador realment activa el lliurament només contextual, no simplement una reducció de la documentació.

5. Connectar Controls Parentals i Eliminació

Els pares tenen dret a revisar, modificar i eliminar les dades del seu fill a demanda. Construïu un portal parental accessible des de l'avís de privacitat que autentiqui el pare, mostri les dades en arxiu i ofereixi controls granulars. L'eliminació ha de propagar-se a tots els tercers llistats en el registre de consentiment dins d'una finestra de temps raonable — la majoria dels operadors es comprometen a 30 dies.

6. Auditar Trimestralment

Executeu una revisió trimestral que cobreixi: canvis en la llista de proveïdors, noves superfícies de producte, compliment de la retenció, actualització del decret de consentiment i actualitzacions de les directrius de la FTC. La FTC publica regularment actualitzacions de les directrius empresarials de COPPA; subscriure el vostre equip de privacitat a la llista de correu de la FTC és la inversió de compliment més barata possible.

Errors Comuns a Evitar

Els patrons repetits de fracàs apareixen en les auditories d'editors i els decrets de consentiment de la FTC:

• Tractar COPPA com un problema de registre. La majoria de l'exposició a COPPA prové d'identificadors d'ad-tech anònims en pàgines dirigides a nens, no de comptes registrats.
• Suposar que els anuncis contextuals signifiquen COPPA-segur per defecte. Algunes xarxes d'anuncis contextuals encara estableixen identificadors persistents en segon pla; verifiqueu el comportament real de les cookies.
• Deixar que els llançaments de productes superin la revisió de privacitat. Una nova funció afegida sense revisió del decret de consentiment pot invalidar tot el programa. Afegiu una porta de privacitat al vostre procés de llançament.
• Oblidar les superfícies de dispositius connectats i CTV. COPPA cobreix explícitament els televisors intel·ligents, els assistents de veu i les consoles de joc. Molts editors encara en perden en el seu inventari.
• Registres de consentiment obsolets. Un canvi material en les pràctiques de dades anul·la el VPC anterior. Els editors que executen canvis d'ad-tech mensualment necessiten un procés per actualitzar VPC, o acumulen exposició.

Com Serà COPPA el 2027 i Més Enllà

Dues trajectòries reformularan aquest espai en els propers divuit mesos. En primer lloc, les propostes federals com KOSA — la Kids Online Safety Act — superposaria deures addicionals de cura sobre COPPA, incloent obligacions de disseny de contingut i requisits d'assegurar l'edat més estrictes. Tant si KOSA passa intacte com en peces, la direcció regulatòria és cap a més obligació, no menys. En segon lloc, l'expansió estat per estat dels codis de disseny per a nens — Califòrnia, Connecticut, Maryland i altres en cua — crea un mosaic que els editors han de satisfer juntament amb COPPA federal. Els operadors que tracten el compliment de COPPA del 2026 com a línia de base, amb capacitat addicional per superposar els requisits estatals, són els que no estaran reconfigurant el 2027.

La Conclusió

COPPA el 2026 ja no és un requisit de nínxol per als desenvolupadors d'aplicacions per a nens — és infraestructura de privacitat convencional per a qualsevol editor l'audiència del qual inclou nens, fins i tot parcialment. L'esmena de 2025 va tancar les llacunes que els editors usaven per viure, especialment el drecera del consentiment agrupat per a la publicitat. Executeu una barrera d'edat defensable, integreu un proveïdor de consentiment parental verificable, configureu la vostra pila publicitària per al mode COPPA, i documenteu-ho tot en un registre d'auditoria CMP juntament amb els vostres esdeveniments de consentiment de cookies estàndard. Feu-ho bé i el tràfic dirigit a nens seguirà sent monetitzable. Feu-ho malament i estareu llegint el vostre propi decret de consentiment al lloc web de la FTC amb una sanció civil de milions de dòlars adjunta.