Lo esencial en 30 segundos
- Los datos de niños, niñas y adolescentes (NNA) exigen protección reforzada: son titulares particularmente vulnerables y no siempre comprenden las consecuencias de entregar su información.
- El interés superior del niño, niña o adolescente es el criterio que debe orientar cada decisión de tratamiento, incluso cuando la conveniencia del negocio empuje en otra dirección.
- En la práctica implica información clara y adecuada a la edad, gestión del consentimiento considerando el rol de quienes ejercen su cuidado, minimización de datos y seguridad reforzada.
- Cuando el tratamiento puede entrañar un riesgo relevante para sus derechos, lo razonable es evaluar el impacto mediante una EIPD y documentar las medidas de mitigación.
- El primer paso operativo es identificar y marcar en el Registro de Actividades de Tratamiento (RAT) todos los procesos que involucran a menores.
La Ley 21.719, publicada el 13 de diciembre de 2024 y con fiscalización plena desde el 1 de diciembre de 2026, deja atrás el esquema de la Ley 19.628 de 1999 y acerca a Chile al estándar europeo del GDPR en el que se inspira. En ese estándar, no todos los titulares están en la misma posición: hay personas que, por su etapa de desarrollo, necesitan un resguardo mayor. Los niños, niñas y adolescentes son el caso más claro, y por eso su información pide protección reforzada. Si quieres el panorama completo, parte por nuestra guía sobre la ley de protección de datos en Chile.
Si tu organización es un colegio, una plataforma educativa, una app de entretenimiento, un prestador de salud pediátrica o una marca que le habla a público joven, este artículo te afecta directamente. Y si crees que no tratas datos de menores, vale la pena revisar: aparecen con más frecuencia de la que se supone, en formularios de inscripción, programas de beneficios familiares, fichas clínicas, concursos y bases de datos de marketing.
Por qué los datos de menores reciben un cuidado especial
La razón es doble y bastante intuitiva. Primero, los niños, niñas y adolescentes son titulares particularmente vulnerables: dependen de otros, tienen menos herramientas para defenderse de un uso indebido de su información y cargan por mucho más tiempo con las consecuencias de una decisión tomada a los ocho o a los trece años. Segundo, no siempre comprenden qué están entregando ni qué se hará con ello. Un adolescente puede aceptar una política de privacidad en dos segundos sin haber procesado que acaba de habilitar un perfil publicitario que lo seguirá durante años.
A esto se suma que la información de un menor suele venir acompañada de otros datos delicados: su rendimiento escolar, su situación familiar, su salud, su comportamiento. Un dato que en un adulto sería anodino puede, en un menor, revelar mucho más de lo que aparenta. Por eso la protección reforzada no es un formalismo: es el reconocimiento de que un mismo tratamiento genera un riesgo distinto según quién sea el titular.
La consecuencia práctica es que el estándar sube. Lo que en un tratamiento con adultos podría pasar como aceptable, por ejemplo un aviso de privacidad denso, una recolección amplia por si acaso o un control de acceso estándar, con menores simplemente queda corto.
El interés superior del niño, niña o adolescente como brújula
El interés superior del niño, niña o adolescente es un principio reconocido en el derecho internacional de los derechos humanos y ampliamente asentado en la protección de la infancia. Opera como criterio orientador cada vez que una decisión afecta a un menor de edad. Llevado a la protección de datos, significa que el bienestar del niño, niña o adolescente debe pesar más que la conveniencia comercial u operativa de la organización cuando ambos entran en conflicto.
Es un criterio, no una casilla que se marca. Obliga a preguntarse, antes de lanzar una funcionalidad o de sumar un campo nuevo a un formulario: esto que vamos a hacer, ¿beneficia al menor o solo a nosotros? ¿Le abre una puerta o lo expone? ¿Entendería lo que pasa con su información si se lo explicáramos con sus propias palabras?
En la práctica, aplicar el interés superior se traduce en decisiones muy concretas: apagar por defecto la publicidad personalizada dirigida a menores, no usar patrones de diseño que empujen a compartir más información de la necesaria, evitar la exposición pública de perfiles infantiles y no reutilizar datos escolares para finalidades ajenas al proceso educativo. Cuando la duda persiste, la respuesta razonable casi siempre es la más protectora.
Quiénes tratan datos de menores, aunque no lo tengan claro
El universo es bastante más amplio que los colegios. Cualquier organización cuyo producto, servicio o base de datos toque a personas menores de edad está dentro, aunque los menores no sean el cliente que paga.
Un caso frecuente y poco advertido es el de la empresa que no se dirige a menores, pero igual los recoge. Basta con que el formulario no filtre la edad, o con que un padre inscriba a su hijo en un beneficio, para que en tu base convivan datos de adultos y de NNA sin ninguna distinción. Y si no puedes separarlos, tampoco puedes protegerlos de forma diferenciada.
- Colegios y establecimientos educacionales: matrícula, fichas de estudiantes, notas, asistencia, anotaciones conductuales, informes psicopedagógicos, fotografías y videos de actividades.
- Plataformas educativas y edtech: cuentas de alumnos, registros de actividad, métricas de progreso, contenidos que el estudiante produce y, muchas veces, analítica detallada de su comportamiento.
- Apps, juegos y servicios digitales: registro de cuentas, geolocalización, identificadores de dispositivo, chats, publicidad y perfilamiento.
- Salud pediátrica: fichas clínicas, diagnósticos, tratamientos y antecedentes familiares, que además son datos sensibles y suman ambos estándares de exigencia.
- Marcas dirigidas a público joven: concursos, clubes de beneficios, formularios con fecha de nacimiento, listas de correo y campañas en redes sociales.
- Áreas de personas y beneficios: datos de hijos de trabajadores en seguros complementarios, bonos escolares o actividades familiares.
Información clara y gestión del consentimiento
La transparencia es la primera obligación práctica, y con menores tiene una exigencia adicional: la información debe ser comprensible para quien la recibe. Un aviso de privacidad escrito para abogados no informa a nadie, y menos todavía a un niño de diez años. Adecuar el lenguaje a la edad no es un gesto de amabilidad, es lo que hace que la información cumpla su función.
Eso implica versiones distintas según el público: una explicación breve, visual y en lenguaje simple para el menor, y una versión completa para quienes ejercen su cuidado. Ambas deben decir exactamente lo mismo, sin letra chica que contradiga al resumen.
En cuanto al consentimiento, la clave es no tratarlo como un trámite que se resuelve con una casilla. Con menores hay que considerar el rol de quienes ejercen su cuidado, sean madres, padres, tutores o el establecimiento educacional según el contexto, y diseñar el flujo de modo que la autorización sea real, informada y trazable. También conviene tener claro cuándo el consentimiento ni siquiera es la vía adecuada: buena parte del tratamiento escolar o de salud suele descansar en otras bases de licitud, y forzar un consentimiento donde no corresponde solo genera una falsa sensación de cumplimiento.
- Explica el tratamiento en dos niveles: una versión adecuada a la edad del menor y una completa para quienes ejercen su cuidado.
- Evita el lenguaje jurídico, los eufemismos y las cláusulas genéricas del tipo “mejorar nuestros servicios”.
- Diseña flujos que hagan visible el rol de quienes ejercen el cuidado del NNA y deja registro de cuándo, cómo y para qué se otorgó la autorización.
- Revisa que la base de licitud elegida sea la correcta: en contextos escolares y de salud, el consentimiento no siempre es el fundamento que corresponde.
- Facilita el ejercicio de los derechos ARSOP (Acceso, Rectificación, Supresión o Cancelación, Oposición y Portabilidad) con un canal que un apoderado pueda usar sin fricción.
Minimización de datos y seguridad reforzada
La forma más eficaz de proteger el dato de un menor es no tenerlo. El principio de minimización, es decir, recolectar solo lo necesario para una finalidad definida, es exigente con cualquier titular, y con NNA se convierte en la primera línea de defensa. Cada campo adicional en un formulario escolar es un riesgo que asumes durante años, porque los datos escolares tienden a acumularse a lo largo de toda la trayectoria del estudiante.
Vale la pena revisar con lupa las prácticas heredadas: el RUT del alumno en hojas de cálculo compartidas, listas con direcciones domiciliarias circulando por correo, fotografías publicadas en redes sin criterio, respaldos históricos que nadie depura. La pregunta útil no es quién quiere este dato, sino qué pasa si este dato se filtra.
Sobre seguridad, el estándar debe ser coherente con el nivel de riesgo, y aquí el riesgo es más alto. Eso significa controles más estrictos que los del resto de la operación, no los mismos.
- Limita la recolección a lo indispensable y define plazos de conservación: los datos escolares no deberían vivir para siempre.
- Restringe el acceso por rol: no todo el personal necesita ver la ficha completa de un estudiante.
- Cifra la información en tránsito y en reposo, y saca los datos de las hojas de cálculo sueltas y de los grupos de mensajería.
- Mantén trazabilidad con registros de auditoría que permitan saber quién accedió a qué información y cuándo.
- Extiende el estándar a tus proveedores: si un tercero procesa datos de tus estudiantes o usuarios, la relación entre responsable y encargado debe estar formalizada y controlada.
Cuándo corresponde evaluar el impacto (EIPD)
La Evaluación de Impacto en Protección de Datos (EIPD) es el ejercicio de anticipar los riesgos de un tratamiento antes de ponerlo en marcha y de documentar cómo los vas a mitigar. Cuando el tratamiento involucra a niños, niñas y adolescentes y puede entrañar un riesgo relevante para sus derechos, evaluar el impacto es la decisión razonable, además de una demostración concreta de responsabilidad proactiva.
Hay señales bastante claras de que conviene hacerla: perfilamiento o segmentación de menores, uso de datos biométricos, monitoreo sistemático de conducta o de progreso, geolocalización, tratamiento a gran escala en una plataforma educativa, o incorporación de sistemas de inteligencia artificial que tomen o apoyen decisiones sobre estudiantes.
La EIPD no es un documento para el archivo. Su valor está en el momento en que se hace: obliga a mirar el diseño antes de construirlo, a descartar funcionalidades que no resisten el análisis y a dejar por escrito por qué las alternativas elegidas son las menos invasivas. Frente a la Agencia de Protección de Datos Personales, esa trazabilidad es lo que separa a una organización diligente de una que improvisa. Y si algo falla, el deber de notificar brechas también aplica: el impacto de un incidente que afecta datos de menores es potencialmente mayor, y la reacción debe estar ensayada antes de que ocurra.
Cómo identificarlos y marcarlos en el RAT
El Registro de Actividades de Tratamiento (RAT) es el inventario de qué datos tratas, para qué, con qué base de licitud, con quién los compartes y por cuánto tiempo los conservas. Es la pieza que sostiene todo lo demás: sin RAT no sabes dónde están los datos de menores y, por lo tanto, no puedes darles un trato diferenciado.
El trabajo concreto es agregar al RAT una marca explícita para los tratamientos que involucran a NNA, del mismo modo en que se marcan los datos sensibles. Esa etiqueta no es decorativa: es lo que dispara los controles adicionales, prioriza la EIPD y define el nivel de seguridad que corresponde aplicar a cada proceso.
Desde el 1 de diciembre de 2026 la fiscalización es plena y la Agencia de Protección de Datos Personales puede aplicar multas de hasta 5.000 UTM por infracciones leves, hasta 10.000 UTM por las graves y hasta 20.000 UTM por las gravísimas, además de incorporar las sanciones al Registro Nacional de Sanciones. Con datos de menores, sin embargo, el argumento más fuerte no es la multa: es que la confianza de las familias, una vez rota, no se recupera con un comunicado.
- Recorre tus procesos y pregunta en cada uno si el titular puede ser menor de edad, incluso de forma incidental.
- Agrega un campo o etiqueta NNA en el RAT y crúzalo con la marca de datos sensibles cuando aplique, por ejemplo en salud o biometría.
- Documenta para cada tratamiento marcado la finalidad, la base de licitud, cómo se informa al menor y a quienes ejercen su cuidado, el plazo de conservación y las medidas de seguridad.
- Identifica a los encargados que intervienen, como plataformas, proveedores de nube, empresas de fotografía escolar o agencias de marketing, y revisa sus contratos.
- Define quién responde: si tu organización designó un Delegado de Protección de Datos (DPO), los tratamientos de menores deberían estar en su radar de forma permanente.
¿Tu organización trata datos de niños, niñas y adolescentes?
En AlayIAtrust ayudamos a colegios, plataformas educativas, prestadores de salud y marcas a identificar sus tratamientos de NNA, marcarlos en el RAT, ejecutar las Evaluaciones de Impacto y elevar el estándar de protección antes de la fiscalización plena de la Ley 21.719. Conversemos sobre tu caso.
Solicitar diagnósticoPreguntas frecuentes
¿Por qué los datos de niños, niñas y adolescentes reciben protección reforzada?
Porque son titulares particularmente vulnerables y no siempre comprenden las consecuencias de entregar su información. Un mismo tratamiento genera un riesgo distinto según quién sea el titular: un menor tiene menos herramientas para defenderse de un uso indebido y carga por más tiempo con las consecuencias. Por eso el estándar de cuidado exigible es más alto que el aplicable a un adulto, en línea con el interés superior del NNA y con el estándar europeo del GDPR en el que se inspira la Ley 21.719.
¿Qué significa el interés superior del niño, niña o adolescente en protección de datos?
Que el bienestar del menor debe orientar cada decisión de tratamiento y pesar más que la conveniencia comercial u operativa de la organización cuando ambos entran en conflicto. No es una casilla que se marca, sino un criterio: antes de recolectar un dato o lanzar una funcionalidad hay que preguntarse si eso beneficia al menor o solo a la empresa. Ante la duda, la opción razonable es la más protectora.
¿Cómo se gestiona el consentimiento cuando el titular es un menor de edad?
Con más cuidado que en un flujo estándar. La información debe entregarse en un lenguaje claro y adecuado a la edad del menor, y también en una versión completa para quienes ejercen su cuidado, cuyo rol hay que considerar al diseñar el flujo. La autorización debe ser real, informada y trazable. Además conviene revisar si el consentimiento es la base de licitud correcta: buena parte del tratamiento escolar o de salud suele descansar en otros fundamentos.
¿Cómo identifico y marco los datos de menores en el RAT?
Recorriendo tus procesos y preguntando en cada uno si el titular puede ser menor de edad, incluso de forma incidental. Luego agregas al Registro de Actividades de Tratamiento una etiqueta explícita para esos tratamientos, la cruzas con la marca de datos sensibles cuando corresponda y documentas finalidad, base de licitud, plazo de conservación, medidas de seguridad y encargados involucrados. Esa marca es la que dispara los controles reforzados y prioriza la EIPD.