Guía de cumprimento da COPPA: Privacidade en liña dos nenos e consentimento de cookies para editores dos EUA en 2026
O Children's Online Privacy Protection Act (COPPA) cumpriu vintecinto anos en 2024 e recibiu de inmediato a súa maior actualización dende a súa promulgación, coa regra final da Federal Trade Commission de xaneiro de 2025 que reescribiu o consentimento parental verificable, as categorías de datos sensibles e as regras sobre a publicidade de terceiros nos servizos dirixidos a nenos. Para os editores dos EUA —e para calquera operador en calquera parte do mundo que se dirija a nenos estadounidenses menores de 13 anos ou que recompile datos deles de forma consciente— a COPPA é un estatuto de responsabilidade estrita con sancións civís de cinco díxitos por infracción que pode chegar a centos de millóns en conxunto. Esta guía explica quen está cuberto pola COPPA en 2026, que cambiou realmente a regra modificada da FTC, como funcionan xuntos o consentimento de cookies e o consentimento parental verificable, e os pasos operativos que un editor debe seguir para que o tráfico dirixido a nenos siga sendo monetizable sen invitar a un decreto de consentimento da FTC.
A quen cobre realmente a COPPA
A COPPA aplícase a calquera sitio web comercial, aplicación móbil, dispositivo conectado ou servizo en liña que estea dirixido a nenos menores de 13 anos ou que teña coñecemento real de que está a recompilar información persoal dun neno menor de 13 anos. O alcance é máis amplo do que a maioría dos editores supoñen, porque a FTC interpreta ambos os criterios de forma agresiva.
Un servizo está dirixido a nenos baseándose nunha análise multifactorial: temática, contido visual, uso de personaxes animados ou actividades orientadas a nenos, música, idade dos modelos, presenza de celebridades populares entre os nenos, idioma, publicidade no servizo que sexa en si mesma dirixida a nenos, e probas empíricas competentes e fiables sobre a composición do público. Un sitio para público xeral pode converterse nun servizo de público mixto no momento en que se constrúe unha sección arredor de contido orientado a nenos.
Tres cousas que os editores malinterpretan consistentemente:
- Crer que un portal de idade nos Termos de Servizo durante o rexistro é suficiente. Non o é por si só, cando o resto do sitio indica unha intención dirixida a nenos.
- Supoñer que non hai usuarios iniciados sesión significa que non hai exposición á COPPA. Os identificadores persistentes —cookies, enderezos IP, ID de dispositivos, ID de publicidade— son información persoal baixo a COPPA cando se recompilan dun neno.
- Tratar a COPPA como algo independente das leis de privacidade estatais. O Código de Deseño Adecuado para a Idade de California, a lei de datos infantís de Connecticut e as propostas federais constrúense todas sobre as definicións da COPPA; un programa COPPA limpo é a base do cumprimento de todas elas.
O que realmente cambiou a emenda de 2025
A regra final da FTC de xaneiro de 2025, a primeira actualización completa dende 2013, modernizou a COPPA de cinco formas concretas que os editores deben internalizar.
Opt-in separado para a publicidade de terceiros
Os operadores xa non poden incluír as divulgacións publicitarias de terceiros nun único consentimento parental para usar o servizo. A publicidade condutual nun servizo dirixido a nenos require agora un consentimento parental verificable separado, en opt-in, distinto do consentimento para usar o propio servizo. A agrupación —a norma histórica para aplicacións e sitios para nenos con financiamento publicitario— está agora expresamente prohibida.
Información persoal ampliada
A emenda ampliou a definición de información persoal para incluír os identificadores biométricos capaces de autenticar un individuo, incluíndo as pegadas dixitais, as pegadas de voz, as imaxes da retina ou da iris e os modelos de xeometría facial. Tamén aclarou que os identificadores emitidos polo goberno de calquera goberno, non só dos EUA, están cualificados. Os editores que executan funciones de busca por voz, asistentes de IA ou ferramentas de carga de fotos nos servizos dirixidos a nenos necesitan trazar estes fluxos en relación á nova definición.
Límites de retención de datos
A nova regra esixe que os operadores publiquen unha política de retención por escrito que limite o almacenamento de información persoal de nenos ao que é razoablemente necesario para cumprir o propósito para o que foi recompilada. A retención indefinida xa non está permitida e a política debe estar vinculada dende o aviso de privacidade.
Métodos de consentimento parental verificable reforzados
A emenda formalizou o menú de métodos VPC aceptables e engadiu unha opción de autenticación baseada no coñecemento utilizando preguntas dinámicas de opción múltiple que só o pai pode responder. Os métodos clásicos —transacción con tarxeta de crédito, formulario asinado, videoconferencia cun operador adestrado, verificación de ID do goberno— seguen dispoñibles pero deben ser documentados por evento de consentimento.
O aviso de cambio material desencadea un novo VPC
Calquera cambio material nas prácticas de datos —novas categorías de datos recompilados, novos destinatarios terceiros, novos acordos de publicidade— desencadea un novo consentimento parental verificable. Os operadores non se poden apoiar nun consentimento de 2018 para autorizar unha integración publicitaria de 2026.
O consentimento parental verificable na práctica
O Consentimento Parental Verificable é o corazón da COPPA, e é a parte que os editores implementan con maior frecuencia de forma deficiente. O estándar legal é o consentimento razoablemente deseñado para garantir que a persoa que o outorga é o pai ou nai do neno —non simplemente un consentimento recollido de calquera forma.
Os métodos aprobados pola FTC que os editores deben coñecer:
- Transacción con tarxeta de crédito ou débito cunha notificación ao titular da tarxeta. Unha pequena cargo ou autorización de cero dólares é aceptable cando se combina cunha notificación de transacción.
- Verificación de ID emitido polo goberno a través dun provedor de identidade de terceiros seguro, co ID destruído rapidamente tras a verificación.
- Autenticación baseada no coñecemento —a nova opción da regra de 2025— usando preguntas dinámicas de opción múltiple obtidas de rexistros públicos.
- Formulario de consentimento asinado devolvido por correo postal, fax ou escaneo electrónico.
- Videoconferencia cun operador adestrado que confirma a identidade contra un ID gobernamental presentado.
- Correo electrónico máis —só permitido para información persoal de uso exclusivamente interno, e require un paso de confirmación de seguimento. Non confíes no correo electrónico máis para datos publicitarios.
A pregunta operativa clave é a documentación. Para cada usuario neno, o operador debe poder demostrar, a solicitude da FTC: que método se utilizou, quen era o pai/nai verificador, que categorías de datos foron autorizadas, que terceiros foron nomeados e o selo de tempo do consentimento. Un CMP moderno ao estilo de FlexyConsent debe integrarse co provedor VPC e almacenar este rastro no mesmo rexistro de auditoría que os eventos de consentimento de cookies.
Consentimento de cookies nos sitios dirixidos a nenos
A COPPA e o banner de cookies atópanse en capas xurídicas diferentes pero deben funcionar xuntos. Os banners de consentimento de cookies baixo o GDPR/ePrivacy ou baixo as leis estatais como a CCPA non satisfán a COPPA, e o consentimento parental verificable non exime ao operador das obrigas de divulgación de cookies. Os operadores que prestan servizos a nenos deben executar ambas as capas de forma coordinada.
Bloquear o rastrexo ata que se obteña o VPC
Nunha páxina dirixida a nenos, ningunha cookie de publicidade ou análise pode dispararse antes de que se obteña o VPC para ese usuario. Un banner estándar de aceptar todo é a ferramenta equivocada —o estado predeterminado debe ser nada se dispara ata que o consentimento parental estea arquivado, e só entón para as categorías que o pai autorizou.
Restrinxir a lista de provedores a socios seguros para a COPPA
A lista de provedores nunha propiedade dirixida a nenos é necesariamente máis curta que nun sitio de público xeral. Os SSP, DSP e provedores de análise deben garantir contractualmente que non usan datos de nenos para publicidade conductual e que non pasan o neno a redes conductuals en sentido descendente. A maioría dos principais SSP publican un modo de inventario compatible coa COPPA; configura a túa pila nese modo e elimina os socios non conformes.
Mostrar os controis parentais no pé de páxina
O aviso de privacidade debe incluír unha sección clara en linguaxe sinxela dirixida aos pais con instrucións para revisar, modificar ou revogar o consentimento para o seu fillo. Un enlace persistente no pé de páxina etiquetado como Para pais cumpre as expectativas de accesibilidade da FTC e crea un rastro defendible cando un investigador realiza unha auditoría de usabilidade.
O patrón de aplicación da FTC en 2024–2026
A aplicación baixo a COPPA acelerouse dende o acordo de YouTube de 2019 que restableceu o apetito da FTC para casos de grandes editores. Os patróns dos decretos de consentimento recentes ofrecen un mapa de ruta sobre o que a FTC busca realmente nunha investigación.
- Os identificadores persistentes como proba clave. A FTC notifica habitualmente os rexistros publicitarios do operador e correlaciónanos con datos de audiencia para demostrar que os ID de tecnoloxía publicitaria foron asignados a usuarios nenos identificables sen VPC. Os documentos internos que denominan ao público «nenos» mentres o programa de privacidade o trata como público xeral son catastróficos.
- A xestión deficiente de provedores como multiplicador. Cando un operador reenvía datos de nenos a un SSP non compatible coa COPPA, ambas as partes se fan responsables. A FTC perseguiu operadores primarios e redes en sentido descendente en accións paralelas.
- Conclusións sobre patróns de conduta. Un único fallo de VPC pode ser un achado; un patrón de fallos en varias superficies de produtos convértese nun cargo de prácticas enganosas baixo a Sección 5 do FTC Act, ampliando tanto a sanción como o alcance do decreto de consentimento.
- Escalada das sancións civís. A sanción civil máxima por infracción baixo o FTC Improvements Act axustouse ao alza anualmente; en 2025 superaba os 50.000 dólares por infracción, tratando a cada neno como unha infracción separada nalgúns asuntos.
Construíndo unha pila preparada para a COPPA
Implementar a COPPA dun xeito que realmente resista o escrutinio da FTC é un problema de coordinación entre produto, enxeñaría, operacións publicitarias e xurídico. O traballo divídese en aproximadamente seis fluxos de traballo.
1. Clasificar cada propiedade e superficie
Para cada dominio, subdominio, aplicación e punto de extremo de dispositivo conectado, decide se está dirixido a nenos, a un público mixto ou a un público xeral. Documenta a análise. Unha superficie de público mixto —por exemplo, unha páxina de inicio con contido tanto para adultos como para nenos— debe aplicar a COPPA só aos usuarios que se identifiquen como menores de 13 anos mediante un portal de idade neutral, non a todos os usuarios.
2. Construír o portal de idade da forma correcta
Un portal de idade neutral solicita a data de nacemento dun xeito que non indica que os usuarios maiores teñen máis acceso. Preguntar tes 13 anos ou máis? non é neutral e a FTC marciouno. Un sinxelo selector de día-mes-ano, utilizado unha vez por dispositivo cun cookie a proba de manipulación, é o enfoque estándar.
3. Integrar un provedor VPC
A menos que o teu equipo de produto teña a intención de operar o VPC internamente, integra un provedor especialista —hai varios provedores aprobados pola FTC— e fai que a integración sexa chamable dende o teu CMP, o fluxo de rexistro e o portal de xestión do consentimento parental. Almacena o rexistro de auditoría por evento na base de datos do CMP, non no silo do provedor VPC.
4. Configurar as pilas de publicidade e análise para o modo COPPA
Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network e os principais DSP ofrecen todos un indicador de etiqueta para o tratamento dirixido a nenos. Actívao en cada chamada publicitaria procedente dunha superficie dirixida a nenos ou dun usuario autenticado menor de 13 anos. Verifica coa documentación do provedor que o indicador activa realmente a entrega só contextual, non simplemente unha redución da documentación.
5. Conectar os controis parentais e a eliminación
Os pais teñen o dereito de revisar, modificar e eliminar os datos do seu fillo baixo demanda. Crea un portal para pais accesible dende o aviso de privacidade que autentique ao pai, mostre os datos arquivados e ofrezca controis granulares. A eliminación debe propagarse a todos os terceiros listados no rexistro de consentimento nun prazo de tempo razoable —a maioría dos operadores comprométense a 30 días.
6. Auditar trimestralmente
Realiza unha revisión trimestral que cubra: cambios na lista de provedores, novas superficies de produtos, cumprimento da retención, actualización do decreto de consentimento e actualizacións das orientacións da FTC. A FTC publica actualizacións das orientacións empresariais da COPPA regularmente; subscribir ao teu equipo de privacidade á lista de correo da FTC é o investimento de cumprimento máis económico posible.
Erros comúns que hai que evitar
Os patróns repetidos de fallos aparecen nas auditorías de editores e nos decretos de consentimento da FTC:
- Tratar a COPPA como un problema de rexistro. A maior parte da exposición á COPPA provén de identificadores de tecnoloxía publicitaria anónimos en páxinas dirixidas a nenos, non de contas rexistradas.
- Supoñer que os «anuncios contextuais» significa seguro para a COPPA por defecto. Algunhas redes publicitarias «contextuais» aínda establecen identificadores persistentes en segundo plano; verifica o comportamento real das cookies.
- Permitir que os lanzamentos de produtos superen a revisión de privacidade. Unha nova función engadida sen revisión do decreto de consentimento pode invalidar todo o teu programa. Engade un portal de privacidade ao teu proceso de lanzamento.
- Esquecerse das superficies de dispositivos conectados e de CTV. A COPPA cubre explicitamente as televisores intelixentes, os asistentes de voz e as consolas de xogos. Moitos editores aínda fallan en incluír isto no seu inventario.
- Rexistros de consentimento obsoletos. Un cambio material nas prácticas de datos invalida o VPC anterior. Os editores que realizan cambios de tecnoloxía publicitaria mensualmente necesitan un proceso para actualizar o VPC, ou acumulan exposición.
Como será a COPPA en 2027 e máis alá
Dúas traxectorias reformularán este espazo nos próximos dezaoito meses. En primeiro lugar, as propostas federais como a KOSA —o Kids Online Safety Act— engadirían deberes de coidado adicionais sobre a COPPA, incluíndo obrigas de deseño de contido e requisitos máis estritos de verificación de idade. Se a KOSA se aproba intacta ou en partes, a dirección regulatoria é cara a máis obrigas, non menos. En segundo lugar, a expansión estado por estado dos códigos de deseño para nenos —California, Connecticut, Maryland e outros na cola— crea un mosaico que os editores deben cumprir xunto coa COPPA federal. Os operadores que traten o cumprimento da COPPA de 2026 como a liña de base, con capacidade adicional para superpoñer os requisitos estatais, son os que non estarán re-arquitectando en 2027.
Conclusión
A COPPA en 2026 xa non é un requisito de nicho para os desenvolvedores de aplicacións para nenos —é infraestrutura de privacidade principal para calquera editor cuxo público inclúa nenos, aínda que sexa parcialmente. A emenda de 2025 pechou as lagoas en que os editores acostumaban vivir, especialmente o atallo do consentimento agrupado para a publicidade. Pon en marcha un portal de idade defendible, integra un provedor de consentimento parental verificable, configura a túa pila publicitaria para o modo COPPA e documenta todo nun rexistro de auditoría CMP xunto cos teus eventos de consentimento de cookies estándar. Faino ben e o tráfico dirixido a nenos seguirá sendo monetizable. Faino mal e lerás o teu propio decreto de consentimento no sitio web da FTC cunha sanción civil de varios millóns de dólares adxunta.