Verificación de edad en plataformas digitales: cómo proteger los datos de menores bajo la Ley 21.719
Verificar la edad de los usuarios de una plataforma digital es uno de los desafíos prácticos más concretos que la Ley 21.719 impone a las organizaciones. La ley exige que el tratamiento de datos personales de menores de 14 años cuente con el consentimiento de su padre, madre o representante legal — y ese consentimiento debe ser válido y verificable.
El problema es que verificar la edad de un usuario en internet es técnicamente difícil, y hacerlo sin comprometer la privacidad es aún más difícil. Ninguna solución actual combina 100% de precisión, cobertura universal y protección total de datos.
La Ley 21.719 fue publicada en diciembre de 2024, y sus disposiciones sustantivas — incluidas las protecciones para menores — entrarán en vigencia el 1 de diciembre de 2026, junto con el inicio de operaciones de la Agencia de Protección de Datos Personales (APDP). Las organizaciones que desarrollan plataformas accesibles a menores necesitan definir e implementar sus mecanismos ahora, antes de que comience la fiscalización. Este artículo presenta el panorama técnico, los métodos disponibles y un camino práctico.
Qué exige la Ley 21.719 para el tratamiento de datos de menores
La Ley 21.719 establece protecciones específicas para el tratamiento de datos personales de menores de edad:
Menores de 14 años: el tratamiento de sus datos personales requiere el consentimiento de su padre, madre o representante legal. El consentimiento del menor por sí solo no es válido — ni siquiera si el menor tiene capacidad suficiente para entender lo que está consintiendo.
Menores de 14 a 17 años: los adolescentes pueden consentir con el tratamiento de sus datos para finalidades compatibles con su desarrollo y autonomía progresiva, pero en actividades de mayor riesgo la ley prevé protecciones reforzadas.
Esto tiene implicancias prácticas directas:
| Contexto | Exigencia |
|---|---|
| Plataformas accesibles a menores de 14 | Consentimiento parental verificable antes de crear la cuenta o iniciar el tratamiento |
| Plataformas de uso general (posible acceso por menores) | Mecanismos para identificar si el usuario es menor de 14 y, si lo es, solicitar autorización parental |
| Datos sensibles de menores de cualquier edad | Protecciones reforzadas; mínima recolección; uso restringido a la finalidad declarada |
La regulación que viene
En paralelo a la Ley 21.719, Chile tiene en tramitación proyectos de ley que elevarían la edad mínima para crear cuentas en redes sociales a 16 años sin supervisión parental. Aunque aún no han sido aprobados, la tendencia regulatoria global apunta inequívocamente hacia mayores protecciones para adolescentes en plataformas digitales.
Las organizaciones que implementen hoy mecanismos robustos de verificación de edad para menores de 14 estarán mejor posicionadas para adaptarse cuando esa regulación llegue.
Los métodos disponibles
No existe un método único validado por la APDP. La agencia reconoce que diferentes contextos exigen diferentes enfoques. A continuación, los principales métodos disponibles en el mercado, con sus ventajas y limitaciones.
Autodeclaración (ya no es suficiente por sí sola)
El usuario informa su fecha de nacimiento o marca una casilla de verificación. Es el método más común en internet y el más fácil de burlar — basta con ingresar una fecha falsa.
La Ley 21.719 no admite la autodeclaración como mecanismo único para acreditar el consentimiento parental. Puede usarse como primera capa de un sistema de verificación en múltiples factores, pero nunca como capa única.
Vinculación parental
La cuenta del menor se crea y vincula a la cuenta de un representante legal. El representante autoriza el acceso y puede controlar la configuración (tiempo de uso, contenido, contactos).
Es el modelo adoptado por plataformas como Reddit (vía Apple Family Sharing y Google Family Link) y expandido por Meta para Instagram y Facebook.
Ventajas: alta confiabilidad, permite supervisión continua, compatible con la exigencia legal de consentimiento parental verificable.
Limitaciones: depende de que el representante tenga cuenta en la misma plataforma o ecosistema. No funciona si el menor crea una cuenta sin involucrar al representante.
Estimación facial por inteligencia artificial
Una cámara captura la imagen del rostro del usuario y un algoritmo estima el rango etario. No identifica quién es la persona — solo estima si aparenta tener más o menos de determinada edad.
Empresas como Yoti desarrollaron modelos con precisión reportada superior al 98% para distinguir menores de 18 años de adultos.
Ventajas: proceso rápido (segundos), no exige documento de identidad, no almacena la imagen (en implementaciones bien diseñadas, la imagen se descarta tras el procesamiento).
Limitaciones: es dato biométrico (dato sensible bajo la Ley 21.719). La precisión disminuye en rangos etarios próximos al umbral (15-19 años). Puede tener sesgos en diferentes etnias y géneros.
Verificación por documento de identidad
El usuario sube un documento oficial (cédula de identidad, pasaporte) y una selfie para comparación. El sistema verifica si el rostro corresponde al documento y extrae la fecha de nacimiento.
Es el método más preciso en términos de exactitud, pero también el más invasivo en materia de privacidad. Reddit adoptó esta aproximación para desbloquear contenido restringido.
Ventajas: alta precisión, difícil de burlar.
Limitaciones: alta fricción (muchos usuarios abandonan el proceso), requiere recolección de datos sensibles (documento + biometría), plantea preocupaciones sobre almacenamiento y uso inadecuado de los datos recopilados.
Tokens de edad reutilizables (prueba de conocimiento cero)
El usuario verifica su edad una vez con un proveedor confiable (banco, gobierno, operadora de telefonía) y recibe un token criptográfico que responde solo "sí" o "no" a la pregunta "¿este usuario tiene 14 años o más?" — sin revelar nombre, documento ni edad exacta.
Este token puede reutilizarse en múltiples plataformas. La arquitectura "doble ciego" garantiza que la plataforma no conozca la identidad del usuario, y el emisor del token no sepa a qué plataformas accedió el usuario.
La tecnología de prueba de conocimiento cero (ZKP) es la referencia para verificación de edad que preserva la privacidad. En Europa, el proyecto euCONSENT desarrolló el sistema AgeAware con esta arquitectura.
Ventajas: máxima protección de privacidad, reutilizable, interoperable, sin recolección de datos sensibles por parte de la plataforma.
Limitaciones: infraestructura aún en fase inicial en Chile. Depende de emisores confiables de tokens. Adopción de mercado aún limitada.
Verificación mediante cuenta bancaria (open banking)
La edad del usuario se verifica mediante una consulta al sistema bancario, que confirma si el titular de la cuenta tiene edad superior a determinado umbral. El banco ya posee la identidad verificada del cliente.
Ventajas: alta confiabilidad (los bancos verifican identidad en el alta del cliente), no requiere nuevo envío de documentos.
Limitaciones: presupone que el usuario tiene cuenta bancaria. Una parte de la población menor de edad no la tiene. Requiere integración con APIs bancarias.
Controles en nivel de sistema operativo
Apple y Google ofrecen APIs que permiten a las aplicaciones verificar el rango etario del usuario con base en los controles parentales configurados en el dispositivo. La Declared Age Range API de Apple retorna un rango de edad sin exponer la fecha de nacimiento exacta.
Ventajas: no requiere nueva recolección de datos, integrada al ecosistema del dispositivo, buena experiencia de usuario.
Limitaciones: solo funciona en dispositivos donde los controles parentales fueron configurados. No cubre accesos vía navegador. Depende de la cooperación de las grandes plataformas tecnológicas.
Qué método elegir
La elección depende del perfil de riesgo del servicio y del público. La proporcionalidad es clave: un juego casual con registro no requiere el mismo nivel de verificación que una red social con contenido para adultos.
Un modelo práctico de decisión:
| Nivel de riesgo | Ejemplo | Método recomendado |
|---|---|---|
| Bajo | Sitio institucional con formulario de registro | Autodeclaración + validación de correo del representante |
| Medio | E-commerce, aplicación educativa | Vinculación parental o verificación por sistema operativo |
| Alto | Red social, juego con chat y compras | Estimación facial + vinculación parental, o verificación por documento |
| Muy alto | Contenido adulto, apuestas | Verificación por documento u open banking |
La aproximación ideal es de múltiples capas: autodeclaración como primer filtro, seguida de un método más robusto para confirmar. Si el usuario declara tener menos de 14 años, el flujo redirige a la vinculación parental. Si declara tener 18+, pero el perfil de uso sugiere lo contrario, se activa una segunda verificación.
El contexto regulatorio y qué hacer ahora
La APDP comenzará a operar el 1 de diciembre de 2026 y tendrá facultades para fiscalizar el cumplimiento de las protecciones para menores de la Ley 21.719. Las primeras acciones de fiscalización seguirán los patrones de reguladores equivalentes: verificar que existan mecanismos efectivos, no meramente nominales.
Las organizaciones que documenten su análisis de riesgo, elijan métodos proporcionados e implementen controles parentales estarán en posición mucho más favorable que las que mantengan solo el checkbox de autodeclaración y esperen a que llegue la fiscalización.
El plazo para comenzar no es diciembre de 2026. Es ahora.
La tensión entre verificación y privacidad
Verificar la edad de un usuario requiere, por definición, recolectar alguna información sobre él. Esta tensión es reconocida por la propia Ley 21.719 y por reguladores internacionales.
Principios para navegar esta tensión:
Minimización: recolectar solo el dato necesario para la verificación. Si basta saber que el usuario tiene 14 años o más, no hay razón para recolectar la fecha de nacimiento completa, nombre o documento.
Descarte inmediato: los datos usados exclusivamente para verificación deben descartarse tras el proceso. Si el sistema captura una selfie para estimación facial, la imagen debe eliminarse tras el análisis — no almacenarse.
Finalidad restringida: los datos recopilados para verificación de edad no pueden usarse para otros fines, como personalización de contenido o publicidad.
Transparencia: informar claramente al usuario qué método se utiliza, qué datos se recopilan, por cuánto tiempo se conservan y con quién se comparten.
Las pruebas de conocimiento cero (ZKP) son, por ahora, la mejor respuesta técnica a esta tensión. Permiten verificar la edad sin que la plataforma conozca la identidad del usuario, y sin que el verificador sepa a qué plataformas se accedió. La infraestructura es aún incipiente, pero la dirección regulatoria — en Chile y en el mundo — apunta claramente hacia este modelo.
Cómo comenzar: hoja de ruta práctica
Paso 1: Clasificar el riesgo
Evalúe todos los productos digitales de la empresa y clasifique cada uno por su nivel de riesgo para menores. Una aplicación financiera para empresas tiene un riesgo diferente al de un juego móvil gratuito.
Paso 2: Auditar los mecanismos actuales
Documente cómo funciona hoy la verificación de edad. Si es solo autodeclaración, registre eso como brecha a corregir.
Paso 3: Elegir métodos proporcionados
Para cada producto, seleccione el o los método(s) de verificación adecuado(s) al nivel de riesgo. Documente la justificación de la elección.
Paso 4: Implementar controles parentales
Si el producto es accesible a menores de 14 años, implemente herramientas de supervisión parental — como mínimo: limitación de tiempo de uso, control de recomendaciones y restricción de contactos.
Paso 5: Actualizar la política de privacidad
La política de privacidad debe informar claramente qué mecanismos de verificación de edad se utilizan, qué datos se recopilan para ese fin y por cuánto tiempo se conservan.
Paso 6: Elaborar la Evaluación de Impacto
Incluya la verificación de edad en la Evaluación de Impacto en Protección de Datos (EIPD), documentando los riesgos de la tecnología elegida y las medidas de mitigación adoptadas.
Paso 7: Monitorear la regulación chilena
Siga la tramitación de proyectos de ley sobre plataformas digitales y menores, y las instrucciones de la APDP a partir de diciembre de 2026. Ajuste la implementación conforme se publiquen nuevas directrices.
Qué están haciendo otros países
Chile no está solo en este desafío. La comparación internacional ayuda a entender hacia dónde va la regulación.
Reino Unido: la Ofcom publicó los Protection of Children Codes of Practice con más de 40 medidas prácticas. La autodeclaración fue explícitamente descartada como mecanismo eficaz. Los métodos considerados "altamente eficaces" incluyen verificación bancaria, comparación con documento de identidad, estimación facial y carteras digitales de identidad. Las sanciones pueden llegar al 10% de los ingresos globales.
Brasil: la Ley 15.211/2025 (ECA Digital) prohíbe la autodeclaración como único mecanismo etario. La ANPD estableció una hoja de ruta escalonada con fiscalización efectiva a partir de enero de 2027. Es el referente más cercano a lo que Chile podría implementar.
Estados Unidos: la FTC actualizó las reglas del COPPA en 2025. Los métodos aceptados de consentimiento parental verificable incluyen autenticación por conocimiento, videollamada, firma digital y comparación facial con documento.
Francia: la CNIL publicó estándar técnico para verificación de edad en proveedores de contenido adulto. La multa por incumplimiento puede llegar a 150.000 euros o 2% de la facturación global en la primera infracción.
Unión Europea: el proyecto euCONSENT desarrolló el sistema AgeAware, basado en tokens anónimos reutilizables con prueba de conocimiento cero. El sistema entró en operación en noviembre de 2025 y representa la dirección que la regulación europea está siguiendo.
La tendencia global es clara: la autodeclaración ya no es aceptada, los métodos basados en privacidad (ZKP, tokens) son el futuro, y la fiscalización se intensifica en todas las jurisdicciones.
Conclusión
La verificación de edad es un problema técnico sin solución perfecta — pero la ausencia de solución perfecta no es justificación para no actuar. La Ley 21.719 ya está vigente y exige consentimiento parental verificable para el tratamiento de datos de menores de 14 años.
Las organizaciones que documenten su análisis de riesgo, elijan métodos proporcionados e implementen controles parentales estarán en posición radicalmente mejor ante la APDP que las que simplemente mantengan el checkbox de autodeclaración.
El plazo para comenzar no es 2027. Es ahora.
Confidata ayuda a su organización a documentar los mecanismos de verificación de edad en la Evaluación de Impacto (EIPD) y a mantener evidencias de cumplimiento con las obligaciones de la Ley 21.719 para el tratamiento de datos de menores. Conozca la plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.