Datos de niños, niñas y adolescentes: reglas especiales en la Ley 21.719
El tratamiento de datos personales de niños, niñas y adolescentes (NNA) es, en la Ley 21.719, la hipótesis con las exigencias más estrictas. No aplica solo a colegios y establecimientos educacionales: cualquier organización que trate datos de menores — plataformas digitales, aplicaciones móviles, tiendas en línea, servicios de salud, empresas de entretenimiento — está sujeta a este régimen especial.
Las edades que definen las reglas
La Ley 21.719 adopta las siguientes definiciones:
| Categoría | Edad en Chile | Consentimiento parental |
|---|---|---|
| Niño/niña | Menores de 14 años | Siempre obligatorio |
| Adolescente | 14 a 18 años | No obligatorio como regla general |
Atención: estas edades son distintas a las del RGPD europeo (16 años) y a las de la ley brasileña (12 años). En Chile, la frontera crítica es los 14 años.
Para niños/niñas (menores de 14 años)
El tratamiento de datos de niños/niñas solo puede realizarse mediante consentimiento otorgado por los padres, representantes legales o quien tenga su cuidado personal. El consentimiento del propio niño/niña no es suficiente.
Ese consentimiento debe ser:
- Específico: referido a una finalidad determinada
- Destacado: visualmente separado de otros términos
- Verificado: el responsable debe hacer esfuerzos razonables para comprobar que el consentimiento fue dado por un adulto responsable y no por el propio menor
Para adolescentes (14 a 18 años)
El consentimiento del propio adolescente es válido como regla general. Excepción importante: para datos sensibles, el umbral se eleva a 16 años — los adolescentes entre 14 y 15 años requieren consentimiento parental para el tratamiento de sus datos sensibles.
El principio del interés superior del NNA aplica en todos los casos, independientemente de la edad o de la base de licitud utilizada.
Prohibición expresa: publicidad y perfilamiento
La Ley 21.719 prohíbe expresamente el tratamiento de datos personales de niños/niñas para dos finalidades:
1. Publicidad dirigida: ningún dato de un niño/niña puede utilizarse para segmentar o personalizar publicidad dirigida a él o a ella.
2. Perfilamiento (profiling) basado en comportamiento: la creación de perfiles de comportamiento de niños/niñas para cualquier fin está prohibida.
Esta prohibición es absoluta — no puede ser superada por el consentimiento parental. Incluso si los padres autorizan el registro del niño/niña en una plataforma, la prohibición de utilizar sus datos para publicidad dirigida y perfilamiento permanece vigente.
En la práctica, esto aplica a:
- Algoritmos de recomendación basados en el historial de comportamiento del niño/niña
- Publicidad segmentada por intereses, ubicación o historial de uso de menores
- Creación de perfiles de menores para fines de marketing o reventa de datos
Las bases de licitud disponibles para NNA
La Ley 21.719 restringe significativamente las bases de licitud aplicables al tratamiento de datos de niños/niñas. El responsable puede basarse en:
Con consentimiento de los padres o responsable:
- Consentimiento expreso del adulto responsable (no del propio niño/niña)
Sin consentimiento, solo en las siguientes hipótesis excepcionales:
- Contacto con los padres o responsable: con la finalidad única de obtener su consentimiento, tratando el mínimo de datos necesario y sin transferir a terceros
- Protección del NNA: cuando sea indispensable para proteger la vida o integridad física del propio niño/niña
Esto significa que bases como "interés legítimo" o "ejecución de contrato" no pueden invocarse libremente para justificar el tratamiento de datos de niños/niñas en la mayoría de los contextos comerciales.
Verificación de la edad: una obligación real
El responsable de datos tiene el deber de hacer esfuerzos razonables para verificar que el consentimiento fue efectivamente dado por un adulto responsable — y que el servicio no está siendo utilizado por menores de 14 años que se declararon mayores.
Buenas prácticas que reducen el riesgo regulatorio:
- Solicitar la fecha de nacimiento antes del registro (sin aceptar mera autodeclaración de mayoría de edad)
- Exigir confirmación del registro por correo electrónico del adulto responsable
- No redirigir datos de menores hacia finalidades no autorizadas por el responsable
- Tener un proceso documentado de verificación de edad
La responsabilidad civil por daños causados por la ausencia de verificación adecuada recae sobre el responsable.
Riesgos específicos para organizaciones que no son colegios
Riesgo 1: Recopilación indirecta de datos de menores
Muchas organizaciones recopilan datos de NNA sin darse cuenta — cuando un responsable registra a un hijo en un formulario ("nombre del dependiente", "fecha de nacimiento de los hijos"), cuando un servicio de salud almacena fichas de pacientes menores, o cuando una app de familia registra perfiles de menores.
Mitigación: identificar en el Registro de Actividades de Tratamiento (RAT) todas las actividades que involucren datos de menores, aunque sea incidentalmente. Aplicar las protecciones de la Ley 21.719 a todas esas actividades.
Riesgo 2: Ausencia de verificación de edad en plataformas digitales
Plataformas digitales que permiten el registro mediante autodeclaración de mayoría de edad y cuyo público real incluye menores están en un riesgo regulatorio significativo.
Mitigación: implementar verificación de edad efectiva. Auditar el perfil demográfico real de los usuarios.
Riesgo 3: Cookies de rastreo en sitios frecuentados por menores
El rastreo comportamental de NNA mediante cookies, incluso en sitios no dirigidos exclusivamente a ellos, puede configurar tratamiento de datos de menores sin base de licitud adecuada.
Mitigación: implementar un mecanismo de verificación de edad en el momento de la recopilación del consentimiento de cookies. Para sitios con público mixto, adoptar un perfil conservador (sin cookies de publicidad comportamental).
Riesgo 4: Transferencia de datos de menores a terceros
La transferencia de datos de NNA a terceros (socios de marketing, plataformas de analytics, redes de publicidad) exige base de licitud específica — y en la mayoría de los casos no existe base válida más allá del consentimiento parental explícitamente dado para esa compartición.
Mitigación: revisar todos los contratos con mandatarios que puedan tener acceso a datos de menores. Verificar que el consentimiento parental cubrió explícitamente la compartición con esos terceros.
Checklist para organizaciones que tratan datos de NNA
- ¿El RAT identifica todas las actividades con datos de niños/niñas y adolescentes?
- ¿El consentimiento parental se recaba de forma específica y destacada para datos de niños/niñas?
- ¿Existe un mecanismo de verificación de que el consentimiento provino de un adulto responsable?
- ¿Los datos de niños/niñas no se usan para publicidad dirigida ni perfilamiento?
- ¿Los datos de niños/niñas no se transfieren a terceros sin base de licitud específica?
- ¿El sitio o app verifica la edad de los usuarios antes de registrarlos?
- ¿Se elaboró una EIPD (Evaluación de Impacto) para actividades de alto riesgo con datos de NNA?
- ¿Los contratos con mandatarios que acceden a datos de menores están formalizados?
Conclusión
El tratamiento de datos de NNA bajo la Ley 21.719 es la hipótesis de mayor restricción: bases de licitud limitadas, consentimiento parental obligatorio para niños/niñas menores de 14 años, prohibición absoluta de publicidad dirigida y perfilamiento, y responsabilidad directa por los daños causados por fallas de verificación.
La protección de datos de NNA no es solo una obligación legal. Es una responsabilidad que la APDP fiscalizará de forma prioritaria — y que las organizaciones que traten datos de menores, directa o indirectamente, deben tomar en serio desde ahora.
Confidata ayuda a su organización a identificar y clasificar correctamente todas las actividades de tratamiento que involucran datos de NNA, con controles específicos y registro de auditoría para demostrar cumplimiento con la Ley 21.719.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.