A Quiénes Cubre Realmente COPPA

COPPA se aplica a cualquier sitio web comercial, aplicación móvil, dispositivo conectado o servicio en línea que esté dirigido a niños menores de 13 años o que tenga conocimiento real de que recopila información personal de un niño menor de 13 años. El alcance es más amplio de lo que la mayoría de los editores asumen porque la FTC interpreta agresivamente ambas ramas.

Un servicio está dirigido a niños basado en un análisis multifactorial: tema, contenido visual, uso de personajes animados o actividades orientadas a niños, música, edad de los modelos, presencia de celebridades populares entre los niños, idioma, publicidad en el servicio que es en sí misma dirigida a niños, y evidencia empírica competente y confiable sobre la composición de la audiencia. Un sitio de audiencia general puede convertirse en un servicio de audiencia mixta en el momento en que se construye una sección alrededor de contenido orientado a niños.

Tres cosas que los editores hacen sistemáticamente mal:

• Creer que una barrera de edad en los Términos del Servicio al registrarse es suficiente. No lo es por sí sola cuando el resto del sitio señala una intención dirigida a niños.
• Suponer que no tener usuarios conectados significa no tener exposición a COPPA. Los identificadores persistentes — cookies, direcciones IP, ID de dispositivos, ID de publicidad — son información personal bajo COPPA cuando se recopilan de un niño.
• Tratar COPPA como ortogonal a la ley estatal de privacidad. El Código de Diseño Apropiado para la Edad de California, la ley de datos infantiles de Connecticut y las propuestas federales se construyen todas sobre las definiciones de COPPA; un programa COPPA limpio es la base del cumplimiento con todas ellas.

Qué Cambió Realmente la Enmienda de 2025

La norma final de enero de 2025 de la FTC, la primera actualización integral desde 2013, modernizó COPPA de cinco maneras concretas que los editores deben interiorizar.

Opt-In Separado para Publicidad de Terceros

Los operadores ya no pueden incluir las divulgaciones de publicidad de terceros en un único consentimiento parental para usar el servicio. La publicidad conductual en un servicio dirigido a niños ahora requiere un consentimiento parental verificable separado y opt-in distinto del consentimiento para usar el servicio en sí. El agrupamiento — la norma histórica para aplicaciones y sitios de niños con soporte publicitario — ahora está expresamente prohibido.

Información Personal Ampliada

La enmienda amplió la definición de información personal para incluir identificadores biométricos capaces de autenticar a un individuo, incluyendo huellas dactilares, huellas de voz, imágenes de retina o iris y plantillas de geometría facial. También aclaró que los identificadores emitidos por gobiernos de cualquier gobierno, no solo el de EE.UU., califican. Los editores que ejecutan funciones de búsqueda por voz, asistentes de IA o herramientas de carga de fotos en servicios dirigidos a niños deben mapear estos flujos contra la nueva definición.

Límites de Retención de Datos

La nueva norma requiere que los operadores publiquen una política de retención escrita que limite el almacenamiento de la información personal de los niños a lo que sea razonablemente necesario para cumplir el propósito para el cual fue recopilada. La retención indefinida ya no está permitida, y la política debe estar enlazada desde el aviso de privacidad.

Métodos de Consentimiento Parental Verificable Fortalecidos

La enmienda formalizó el menú de métodos VPC aceptables y añadió una opción de autenticación basada en el conocimiento usando preguntas dinámicas de opción múltiple que solo puede responder el padre. Los métodos clásicos — transacción de tarjeta de crédito, formulario firmado, videoconferencia con un operador capacitado, verificación de ID del gobierno — siguen disponibles pero deben ser documentados por cada evento de consentimiento.

El Aviso de Cambio Material Desencadena un Nuevo VPC

Cualquier cambio material en las prácticas de datos — nuevas categorías de datos recopilados, nuevos destinatarios de terceros, nuevos acuerdos publicitarios — desencadena un nuevo consentimiento parental verificable. Los operadores no pueden confiar en un consentimiento de 2018 para autorizar una integración publicitaria de 2026.

El Consentimiento Parental Verificable en la Práctica

El Consentimiento Parental Verificable es el corazón de COPPA, y es la parte que los editores implementan más a menudo de forma deficiente. El estándar legal es el consentimiento razonablemente diseñado para garantizar que la persona que proporciona el consentimiento es el padre del niño — no simplemente el consentimiento recopilado de cualquier manera.

Los métodos aprobados por la FTC que los editores deben conocer:

• Transacción de tarjeta de crédito o débito con una notificación al titular de la tarjeta. Un pequeño cargo o autorización de cero dólares es aceptable cuando se combina con un aviso transaccional.
• Verificación de ID emitida por el gobierno a través de un proveedor de identidad de terceros seguro, con el ID destruido rápidamente después de la verificación.
• Autenticación basada en el conocimiento — la nueva opción de la norma de 2025 — usando preguntas dinámicas de opción múltiple extraídas de registros públicos.
• Formulario de consentimiento firmado devuelto por correo, fax o escaneo electrónico.
• Videoconferencia con un operador capacitado que confirma la identidad contra un ID del gobierno presentado.
• Email-plus — solo permitido para información personal de uso interno, y requiere un paso de confirmación de seguimiento. No confíe en email-plus para datos publicitarios.

La pregunta operativa clave es la documentación. Para cada usuario niño, el operador debe poder mostrar, a solicitud de la FTC: qué método se usó, quién era el padre verificador, qué categorías de datos fueron autorizadas, qué destinatarios de terceros fueron nombrados y el sello de tiempo del consentimiento. Un CMP moderno de estilo FlexyConsent debe integrarse con el proveedor VPC y almacenar este rastro en el mismo registro de auditoría que los eventos de consentimiento de cookies.

Consentimiento de Cookies en Sitios Dirigidos a Niños

COPPA y el banner de cookies se encuentran en capas legales diferentes pero deben trabajar juntos. Los banners de consentimiento de cookies bajo GDPR/ePrivacy o bajo leyes estatales como CCPA no satisfacen COPPA, y el consentimiento parental verificable no exime al operador de las obligaciones de divulgación de cookies. Los operadores que sirven a niños deben ejecutar ambas capas de manera coordinada.

Bloquear el Seguimiento hasta que se Capture VPC

En una página dirigida a niños, ninguna cookie de publicidad o analítica puede dispararse antes de que se capture VPC para ese usuario. Un banner estándar de aceptar todo es la herramienta equivocada — el estado predeterminado debe ser nada se dispara hasta que el consentimiento parental esté en el archivo, y aun entonces solo para las categorías que el padre autorizó.

Restringir la Lista de Proveedores a Socios Seguros para COPPA

La lista de proveedores en una propiedad dirigida a niños es necesariamente más corta que en un sitio de audiencia general. Los SSP, DSP y proveedores de análisis deben garantizar contractualmente que no usan datos de niños para la segmentación conductual y no pasan al niño a redes conductuales posteriores. La mayoría de los principales SSP publican un modo de inventario compatible con COPPA; configure su pila a ese modo y elimine a los socios no conformes.

Mostrar Controles Parentales en el Pie de Página

El aviso de privacidad debe incluir una sección clara en lenguaje sencillo dirigida a los padres con instrucciones para revisar, modificar o revocar el consentimiento para su hijo. Un enlace persistente en el pie de página etiquetado como Para Padres cumple las expectativas de accesibilidad de la FTC y crea un rastro defendible cuando un investigador realiza una auditoría de usabilidad.

El Patrón de Aplicación de la FTC en 2024–2026

La aplicación bajo COPPA se ha acelerado desde que el acuerdo de YouTube de 2019 reinició el apetito de la FTC por casos de grandes editores. Los patrones de las órdenes de consentimiento recientes ofrecen una hoja de ruta de lo que la FTC realmente busca en una investigación.

• Los identificadores persistentes como prueba inculpatoria. La FTC citó rutinariamente los registros de publicidad del operador y los correlaciona con datos de audiencia para mostrar que se asignaron ID de ad-tech a usuarios niños identificables sin VPC. Los documentos internos que llaman a la audiencia niños mientras el programa de privacidad la trata como audiencia general son catastróficos.
• La mala gestión de proveedores como multiplicador. Cuando un operador reenvía datos de niños a un SSP no conforme con COPPA, ambas partes se vuelven responsables. La FTC ha perseguido a los operadores principales y a las redes posteriores en acciones paralelas.
• Determinaciones de patrones de conducta. Un único fallo VPC puede ser una determinación; un patrón de fallos en todas las superficies del producto se convierte en un cargo de prácticas engañosas bajo la Sección 5 de la Ley FTC, ampliando tanto la sanción como el alcance de la orden de consentimiento.
• Escalada de sanciones civiles. La sanción civil máxima por infracción bajo la Ley de Mejoras de la FTC se ha ajustado al alza anualmente; en 2025 estaba por encima de $50.000 por infracción, con cada niño tratado como una infracción separada en algunos asuntos.

Construir una Pila Lista para COPPA

Implementar COPPA de una manera que realmente resista el escrutinio de la FTC es un problema de coordinación entre producto, ingeniería, operaciones publicitarias y legal. El trabajo se divide en aproximadamente seis flujos de trabajo.

1. Clasificar Cada Propiedad y Superficie

Para cada dominio, subdominio, aplicación y punto final de dispositivo conectado, decida si está dirigido a niños, audiencia mixta o audiencia general. Documente el análisis. Una superficie de audiencia mixta — por ejemplo, una página de inicio con contenido tanto para adultos como para niños — debe aplicar COPPA solo a los usuarios que se autoidentifican como menores de 13 años a través de una barrera de edad neutral, no a todos los usuarios.

2. Construir la Barrera de Edad de la Manera Correcta

Una barrera de edad neutral pide la fecha de nacimiento de una manera que no señale que los usuarios mayores obtienen más acceso. Preguntar ¿tienes 13 años o más? no es neutral y la FTC lo ha marcado. Un sencillo selector mes-día-año, usado una vez por dispositivo con una cookie a prueba de manipulación, es el enfoque estándar.

3. Integrar un Proveedor VPC

A menos que su equipo de producto tenga la intención de operar VPC internamente, integre un proveedor especialista — hay varios proveedores aprobados por la FTC — y haga que la integración sea invocable desde su CMP, flujo de registro y portal de gestión del consentimiento parental. Almacene el registro de auditoría por evento en la base de datos del CMP, no en el silo del proveedor VPC.

4. Configurar Pilas de Publicidad y Analítica para el Modo COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network y los principales DSP ofrecen todos un indicador de etiqueta para el tratamiento dirigido a niños. Establézcalo en cada llamada publicitaria originada desde una superficie dirigida a niños o un usuario autenticado menor de 13 años. Verifique con la documentación del proveedor que el indicador realmente activa la entrega solo contextual, no simplemente una reducción de la documentación.

5. Conectar Controles Parentales y Eliminación

Los padres tienen derecho a revisar, modificar y eliminar los datos de su hijo a demanda. Construya un portal parental accesible desde el aviso de privacidad que autentique al padre, muestre los datos en el archivo y ofrezca controles granulares. La eliminación debe propagarse a todos los terceros enumerados en el registro de consentimiento dentro de un plazo razonable — la mayoría de los operadores se comprometen a 30 días.

6. Auditar Trimestralmente

Ejecute una revisión trimestral que cubra: cambios en la lista de proveedores, nuevas superficies de producto, cumplimiento de la retención, actualización de la orden de consentimiento y actualizaciones de las directrices de la FTC. La FTC publica regularmente actualizaciones de las directrices empresariales de COPPA; suscribir a su equipo de privacidad a la lista de correo de la FTC es la inversión de cumplimiento más barata posible.

Errores Comunes a Evitar

Los patrones repetidos de fallos aparecen en las auditorías de editores y las órdenes de consentimiento de la FTC:

• Tratar COPPA como un problema de registro. La mayor parte de la exposición a COPPA proviene de identificadores de ad-tech anónimos en páginas dirigidas a niños, no de cuentas registradas.
• Suponer que los anuncios contextuales significan COPPA-seguro por defecto. Algunas redes de anuncios contextuales todavía establecen identificadores persistentes en segundo plano; verifique el comportamiento real de las cookies.
• Dejar que los lanzamientos de productos superen la revisión de privacidad. Una nueva función añadida sin revisión de la orden de consentimiento puede invalidar todo su programa. Añada una puerta de privacidad a su proceso de lanzamiento.
• Olvidar las superficies de dispositivos conectados y CTV. COPPA cubre explícitamente los televisores inteligentes, los asistentes de voz y las consolas de juego. Muchos editores todavía pierden esto en su inventario.
• Registros de consentimiento obsoletos. Un cambio material en las prácticas de datos invalida el VPC anterior. Los editores que ejecutan cambios de ad-tech mensuales necesitan un proceso para actualizar VPC, o acumulan exposición.

Cómo Será COPPA en 2027 y Más Allá

Dos trayectorias remodelarán este espacio dentro de los próximos dieciocho meses. En primer lugar, las propuestas federales como KOSA — la Kids Online Safety Act — impondría deberes adicionales de cuidado sobre COPPA, incluyendo obligaciones de diseño de contenido y requisitos más estrictos de verificación de edad. Ya sea que KOSA pase intacto o en partes, la dirección regulatoria es hacia más obligación, no menos. En segundo lugar, la expansión estado por estado de los códigos de diseño para niños — California, Connecticut, Maryland y otros en cola — crea un mosaico que los editores deben satisfacer junto con COPPA federal. Los operadores que tratan el cumplimiento de COPPA de 2026 como base, con capacidad adicional para superponer los requisitos estatales, son los que no estarán reconfigurando en 2027.

La Conclusión

COPPA en 2026 ya no es un requisito de nicho para los desarrolladores de aplicaciones para niños — es infraestructura de privacidad convencional para cualquier editor cuya audiencia incluya niños, incluso parcialmente. La enmienda de 2025 cerró las lagunas en las que vivían los editores, especialmente el atajo del consentimiento agrupado para la publicidad. Ejecute una barrera de edad defendible, integre un proveedor de consentimiento parental verificable, configure su pila publicitaria para el modo COPPA, y documente todo en un registro de auditoría CMP junto con sus eventos estándar de consentimiento de cookies. Hágalo bien y el tráfico dirigido a niños sigue siendo monetizable. Hágalo mal y estará leyendo su propia orden de consentimiento en el sitio web de la FTC con una sanción civil de varios millones de dólares adjunta.