Evaluación de Impacto en la Protección de Datos (EIPD) para productos accesibles por menores: guía práctica
La Ley 21.719 establece que el tratamiento de datos personales de niños, niñas y adolescentes solo puede realizarse atendiendo a su interés superior y al respeto de su autonomía progresiva. Para empresas que desarrollan productos o servicios digitales accesibles por menores, esto implica obligaciones específicas que van más allá de las que aplican al tratamiento de datos de adultos.
La herramienta central para cumplir estas obligaciones —y demostrar ese cumplimiento— es la Evaluación de Impacto en la Protección de Datos (EIPD) con foco en menores: un documento más amplio, más exigente y más específico que la EIPD estándar.
La APDP aún no ha publicado un modelo oficial de EIPD para menores, pero la ley ya está en proceso de implementación con vigencia desde diciembre de 2026. Esta guía presenta la estructura, el contenido y el itinerario práctico para elaborar el documento.
Lo que la Ley 21.719 exige para datos de menores
La Ley 21.719 establece dos pilares para la protección de datos de niños, niñas y adolescentes:
Principio de interés superior: Toda operación de tratamiento que involucre datos de menores debe evaluarse desde la perspectiva de su impacto en el bienestar del niño o niña, no solo desde la legalidad formal.
Autonomía progresiva: La ley reconoce que la capacidad de los menores para consentir y ejercer sus derechos evoluciona con su desarrollo. Esto implica que el tratamiento debe adaptarse a la madurez del titular, y que los mecanismos de control parental deben ser proporcionales a la edad.
Consentimiento parental: Para el tratamiento de datos de niños y niñas, se requiere el consentimiento otorgado por sus padres, representantes legales o quien tenga a su cargo el cuidado personal, salvo que la ley expresamente lo autorice o mandate. Este consentimiento debe ser válido, verificable e informado.
Prohibición de uso comercial: El tratamiento de datos de menores no puede tener fines comerciales ni incorporar prácticas abusivas. Esto incluye publicidad comportamental, perfilamiento para fines de marketing y técnicas de diseño persuasivo dirigidas a menores.
La palabra clave que subyace a todas estas obligaciones es la evaluación previa: la empresa debe identificar y mitigar los riesgos antes de lanzar el producto o funcionalidad, no después de detectar el daño.
EIPD estándar y EIPD para menores: instrumentos diferentes, obligaciones acumulativas
Una duda frecuente: si la empresa ya tiene una EIPD elaborada para su producto, ¿necesita también una EIPD específica para el tratamiento de datos de menores? Sí. Son instrumentos complementarios, no intercambiables.
| Aspecto | EIPD estándar (Ley 21.719) | EIPD para menores |
|---|---|---|
| Alcance | Tratamiento de datos personales con riesgo general | Datos de niños, niñas y adolescentes específicamente |
| Cuándo es obligatoria | Cuando el tratamiento puede implicar alto riesgo para derechos y libertades | Siempre que se traten datos de menores para fines que van más allá de la operación esencial del servicio |
| Foco de riesgo | Derechos y libertades fundamentales del titular | Salud mental y física, privacidad, seguridad, desarrollo biopsicosocial |
| Periodicidad | Puntual, con revisión ante cambios relevantes | Continua — monitoreo y evaluación permanentes |
| Regulador | APDP | APDP |
En la práctica, la empresa puede integrar ambas en un único documento, siempre que el contenido cubra los requisitos de cada una. Pero no puede elaborar solo la EIPD estándar y considerar cumplida la obligación respecto a menores, porque la EIPD estándar no evalúa los riesgos al desarrollo biopsicosocial ni requiere monitoreo continuo.
Los riesgos que la EIPD para menores debe evaluar
La EIPD para menores debe ir más allá de los riesgos tradicionales de protección de datos (filtración, acceso no autorizado, uso indebido). Debe evaluar riesgos específicos derivados de la condición de niño o adolescente.
Riesgos para la seguridad física
- Captación y explotación sexual en línea (grooming): ¿El producto permite contacto entre adultos y menores? ¿Existen mecanismos de detección y prevención?
- Geolocalización: ¿El producto rastrea o expone la ubicación de menores? ¿Existe riesgo de seguimiento por terceros?
- Compartición de información personal: ¿Los menores pueden publicar datos que permitan identificarlos o localizarlos?
Riesgos para la salud mental
- Uso compulsivo: ¿El diseño del producto incentiva el uso excesivo? ¿Hay mecánicas de gamificación con recompensas variables, rachas (streaks) o desplazamiento infinito?
- Presión social y ciberacoso: ¿El producto permite interacción entre usuarios? ¿Existen mecanismos de moderación y denuncia?
- Ansiedad y autoestima: ¿El producto expone métricas de popularidad (me gusta, seguidores, visualizaciones) a menores?
- Contenido dañino: ¿Los menores pueden acceder a contenido inadecuado para su franja etaria?
Riesgos para la privacidad
- Perfilamiento conductual: ¿El producto crea perfiles basados en el comportamiento de menores? ¿Estos perfiles se usan para publicidad o personalización?
- Recolección excesiva: ¿El producto recopila más datos de los necesarios para su funcionalidad?
- Compartición con terceros: ¿Los datos de menores se comparten con socios, anunciantes u otras empresas?
- Configuraciones por defecto: ¿La configuración de privacidad más protectora está activada por defecto, o requiere acción del usuario?
Riesgos para el desarrollo
- Explotación económica: ¿El producto incentiva compras por parte de menores? ¿Existen mecánicas de presión comercial (cajas de botín, ítems premium, monedas virtuales)?
- Desinformación: ¿El producto recomienda contenido sin curaduría? ¿Los algoritmos de recomendación pueden dirigir a menores hacia contenido perjudicial?
- Pérdida de autonomía: ¿El producto toma decisiones automatizadas que afectan a menores sin transparencia?
Estructura recomendada de la EIPD para menores
La APDP aún no ha publicado un modelo oficial. Sin embargo, es posible construir una estructura robusta combinando los requisitos de la Ley 21.719 con las referencias internacionales más maduras, especialmente el modelo del ICO británico (Annexo D del Children's Code) y las directrices del EDPB europeo.
Sección 1: Identificación del responsable
- Nombre de la organización y del delegado de protección de datos
- Productos y servicios cubiertos por la evaluación
- Fecha de la evaluación y próxima revisión prevista
Sección 2: Descripción del tratamiento
- Naturaleza de los datos tratados (personales, sensibles, conductuales)
- Finalidades del tratamiento
- Franjas etarias de los usuarios (0-12 niños/niñas; 12-18 adolescentes)
- Volumen estimado de datos de menores tratados
- Flujo de datos: recolección, procesamiento, almacenamiento, compartición
Sección 3: Base de licitud y conformidad con la Ley 21.719
- Base de licitud utilizada (consentimiento parental, mandato legal, interés superior)
- Verificación del principio de interés superior del niño
- Consentimiento parental: cómo se obtiene, cómo se verifica, cómo se revoca
- Política de privacidad: claridad, lenguaje accesible, sección específica para menores
Sección 4: Evaluación de riesgos
Para cada categoría de riesgo (seguridad, salud mental, privacidad, desarrollo), evaluar:
| Riesgo identificado | Probabilidad | Severidad | Nivel de riesgo | Medida de mitigación | Riesgo residual |
|---|---|---|---|---|---|
| Ejemplo: Acceso a contenido inadecuado | Probable | Severa | Alto | Filtro de contenido + clasificación por edad + verificación de edad | Medio |
La matriz de riesgo debe usar una escala clara:
- Probabilidad: Remota / Posible / Probable
- Severidad: Mínima / Significativa / Severa
- Nivel de riesgo resultante: Bajo / Medio / Alto
Sección 5: Medidas de mitigación
Para cada riesgo alto o medio, documentar:
- La medida técnica u organizativa adoptada
- El responsable de la implementación
- El plazo de implementación
- El efecto esperado sobre el nivel de riesgo
Sección 6: Verificación de configuraciones para menores
- Verificación de edad: mecanismo adoptado, eficacia, datos recolectados
- Diseño: evaluación de técnicas potencialmente manipulativas
- Configuraciones por defecto: documentación de que son las más protectoras
- Publicidad: confirmación de ausencia de publicidad comportamental para menores
- Supervisión parental: herramientas disponibles para los responsables legales
Sección 7: Consulta a partes interesadas
El principio del interés superior del niño exige consulta a partes relevantes:
- Especialistas en desarrollo infantil (cuando aplique)
- Representantes legales de menores que usan el producto
- Equipos internos de producto, seguridad y jurídico
- Si es inviable consultar directamente, documentar la justificación
Sección 8: Monitoreo y revisión
- Periodicidad de revisión de la EIPD (recomendado: semestral o ante cada nueva funcionalidad)
- Indicadores de monitoreo (incidentes reportados, denuncias de contenido, uso por franja etaria)
- Proceso de actualización cuando se identifican nuevos riesgos
- Responsable del monitoreo continuo
Cuándo la EIPD para menores es obligatoria
La obligación se activa cuando el responsable trata datos de niños, niñas o adolescentes para finalidades que van más allá de lo estrictamente necesario para la operación del producto o servicio. En la práctica, esto incluye:
- Recolección de datos para personalización de contenido
- Uso de datos para recomendaciones algorítmicas
- Recolección de datos conductuales (patrones de uso, tiempo de pantalla, preferencias)
- Compartición de datos con terceros (analytics, socios, anunciantes)
- Verificación de edad que involucre recolección de datos biométricos
Si el producto trata datos de menores solo para funcionalidades esenciales (autenticación, prestación del servicio contratado), la EIPD es igualmente recomendada como buena práctica.
Cómo adaptar una EIPD existente
Las empresas que ya cuentan con una EIPD elaborada pueden usarla como punto de partida. Las capas adicionales necesarias son:
- Identificación explícita de que el tratamiento involucra datos de menores, con distinción entre niños/niñas (0-12) y adolescentes (12-18)
- Evaluación de riesgos al desarrollo biopsicosocial — categoría ausente en la EIPD estándar
- Análisis de diseño — evaluación de técnicas de gamificación, empuje (nudge), presión social e incentivo al uso compulsivo
- Verificación de edad — método utilizado, datos recolectados, período de retención
- Configuraciones por defecto — documentación de que son las más protectoras
- Monitoreo continuo — plan de revisión periódica
Lo que otros países exigen
Reino Unido (ICO — Children's Code)
El ICO publicó el modelo más completo disponible para DPIA orientada a niños (Annexo D del Age-Appropriate Design Code). El documento evalúa el cumplimiento de 15 estándares obligatorios, incluyendo interés superior, minimización de datos, geolocalización, perfilamiento y técnicas de nudge.
El proceso de DPIA del ICO tiene siete etapas: identificar la necesidad, describir el tratamiento, consultar a partes interesadas, evaluar necesidad y proporcionalidad, identificar riesgos, mitigar riesgos y aprobar/registrar.
Unión Europea (GDPR)
El Art. 35 del GDPR exige DPIA cuando el tratamiento puede resultar en alto riesgo para derechos y libertades. Los niños son explícitamente considerados grupo vulnerable. Las autoridades nacionales de protección de datos publican listas de operaciones que exigen DPIA —y el tratamiento de datos de menores aparece en prácticamente todas.
Convergencia regulatoria
La dirección es clara en todas las jurisdicciones: las evaluaciones de impacto para servicios accesibles por menores se están volviendo obligatorias, deben realizarse antes del lanzamiento del servicio e incluir riesgos que van más allá de la protección de datos, abarcando salud mental, seguridad física y desarrollo.
Errores comunes a evitar
1. Tratar la EIPD como formalidad burocrática
La EIPD no es un documento para "tener en el archivo". Es una herramienta de decisión. Si la evaluación identifica riesgos altos que no pueden mitigarse adecuadamente, la decisión correcta puede ser no lanzar la funcionalidad — o rediseñarla antes del lanzamiento.
2. No diferenciar franjas etarias
Los riesgos para un niño de 8 años son fundamentalmente distintos de los riesgos para un adolescente de 16 años. La EIPD debe evaluar riesgos diferenciados por franja de desarrollo, no tratar a todos los menores como un grupo homogéneo.
3. Elaborar la EIPD después del lanzamiento
La evaluación debe realizarse antes de lanzar funcionalidades, algoritmos o servicios. Hacerlo después es invertir la lógica: el objetivo es identificar y mitigar riesgos antes de que causen daño, no documentar riesgos que ya se materializaron.
4. Ignorar el monitoreo continuo
La Ley 21.719 exige atención permanente al interés superior del menor. Una EIPD elaborada en el momento del lanzamiento y nunca revisada no cumple con este estándar. Definir periodicidad de revisión e indicadores de seguimiento es parte esencial del documento.
5. Copiar plantilla sin adaptar
Las plantillas internacionales (como la del ICO) son excelentes puntos de partida, pero deben adaptarse a la realidad chilena: la Ley 21.719, las orientaciones que publicará la APDP y el contexto específico del producto.
Itinerario práctico: 8 pasos para su primera EIPD para menores
- Forme el equipo: reúna al delegado de protección de datos, jurídico, producto, ingeniería y, si es posible, un especialista en desarrollo infantil
- Mapee los datos: identifique todos los datos de menores tratados, por quién, para qué y con quién se comparten
- Clasifique por franja etaria: diferencie el tratamiento de niños/niñas (0-12) y adolescentes (12-18)
- Evalúe la conformidad: verifique cada obligación de la Ley 21.719 sobre datos de menores (consentimiento parental, interés superior, prohibición de uso comercial)
- Identifique riesgos: use la matriz de riesgo (probabilidad × severidad) para cada categoría: seguridad, salud mental, privacidad, desarrollo
- Defina mitigaciones: para cada riesgo medio o alto, documente la medida adoptada, el responsable y el plazo
- Consulte a partes interesadas: al menos los equipos internos; idealmente, representantes legales de menores que usan el producto
- Establezca el monitoreo: defina periodicidad de revisión, indicadores y proceso de actualización
Conclusión
La EIPD para productos accesibles por menores no es solo un documento de cumplimiento. Es el instrumento que demuestra —a la APDP, a los padres y a la sociedad— que la empresa pensó en los riesgos antes de exponer a niños y adolescentes a su producto digital.
La APDP aún no ha publicado un modelo oficial, pero la Ley 21.719 ya está vigente desde diciembre de 2026 y las referencias internacionales —especialmente el modelo del ICO británico— ofrecen una base sólida. Las empresas que elaboren sus EIPDs ahora estarán adelantadas cuando la APDP publique sus orientaciones definitivas.
El momento de evaluar el impacto es antes del lanzamiento — no después de recibir la notificación.
Confidata ofrece un módulo integrado de EIPD, con plantillas adaptadas a la Ley 21.719, matriz de riesgos automatizada y trazabilidad de auditoría para revisiones periódicas. Conozca la plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.