Skip to main content
Prueba Lexiel gratisProbar ahora →
Protección de datos de menores online en España 2026: obligaciones LOPDGDD y RGPD
Compliance9 minEquipo Lexiel

Protección de datos de menores online en España 2026: obligaciones LOPDGDD y RGPD

Guía de cumplimiento sobre protección de datos de menores en entornos digitales: edad de consentimiento (14 años en España), verificación parental, diseño conforme a RGPD y LOPDGDD y sanciones.

protección datos menoresLOPDGDD menoresedad consentimiento digitalRGPD niñosprivacidad infantil 2026Art. 7 LOPDGDD

# Protección de datos de menores online en España 2026

La LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales) y el RGPD establecen un régimen especial para el tratamiento de datos personales de menores de edad. En 2026, con el auge de las redes sociales, las plataformas educativas y los videojuegos online, este es uno de los ámbitos de mayor actividad sancionadora de la AEPD.

Edad de consentimiento para el tratamiento de datos

El RGPD establece en su Art. 8 que los menores de 16 años requieren el consentimiento de sus padres o tutores legales para que sus datos sean tratados lícitamente con base en el consentimiento. Sin embargo, el propio RGPD permite que los Estados miembros reduzcan este umbral hasta los 13 años.

España fijó en el Art. 7 LOPDGDD la edad de consentimiento en 14 años. Esto significa:

  • Menores de 14 años: necesitan consentimiento parental para cualquier tratamiento basado en su consentimiento

  • Mayores de 14 años: pueden consentir por sí mismos, con información adaptada a su nivel de comprensión

Obligación de verificación de edad

La AEPD ha señalado que las empresas no pueden limitarse a pedir que el usuario marque una casilla indicando que tiene más de 14 años. Se requieren medidas técnicas razonables para verificar la edad. En 2024, la AEPD sancionó a varias plataformas de redes sociales por carecer de mecanismos efectivos de verificación.

Las opciones técnicas más aceptadas son:

  • Verificación mediante documento de identidad (con anonimización posterior)
  • Declaración parental verificable
  • Verificación por tercero de confianza
  • Análisis de comportamiento y señales de edad (menos fiable, pero admisible como capa adicional)

Principio de "privacidad por diseño" para menores

El Art. 25 RGPD exige privacidad por diseño y por defecto. Para servicios dirigidos a menores o que puedan ser utilizados por menores, esto implica:

Configuraciones por defecto más restrictivas

  • Perfil privado por defecto (no público)
  • Sin publicidad comportamental por defecto
  • Geolocalización desactivada por defecto
  • Mensajes directos limitados a amigos/conocidos por defecto

Información adaptada a la edad

El Art. 12 RGPD exige que la información sobre el tratamiento sea clara y accesible. Para menores, la AEPD recomienda:

  • Uso de lenguaje simple y visual (iconos, vídeos breves)
  • Evitar jerga técnica
  • Información estratificada: resumen + detalle opcional

Categorías especiales de datos de menores

Si el servicio trata datos de categoría especial de menores (datos de salud, orientación sexual, datos biométricos como reconocimiento facial para verificación de edad), la base jurídica debe ser más robusta que el simple consentimiento. Se requiere además:

  • Evaluación de impacto (EIPD) obligatoria (Art. 35 RGPD)
  • Consulta previa a la AEPD si el EIPD refleja alto riesgo residual (Art. 36 RGPD)

Transferencias internacionales de datos de menores

Las transferencias de datos de menores a países fuera del EEE (especialmente a Estados Unidos) tienen un escrutinio especialmente elevado desde la invalidación del Privacy Shield. Desde julio de 2023, el EU-US Data Privacy Framework ofrece una nueva base, pero solo para entidades certificadas. Para datos de menores, muchas APDs europeas consideran que el DPF no es suficiente sin garantías adicionales.

Sanciones más relevantes de la AEPD en 2024-2025

EmpresaMotivoSanción
Red social (anónima)Sin verificación edad efectiva, publicidad a menores1,2 M€
Plataforma educativaTratamiento de datos de menores sin consentimiento parental verificado350.000€
App de videojuegosGeolocalización activada por defecto para menores200.000€
Red social globalPerfiles públicos por defecto para usuarios de 13-17 años405 M€ (DPC Irlanda)

Checklist para empresas con servicios accesibles a menores

  • [ ] Identifica si tu servicio puede ser utilizado por menores (aunque no esté específicamente dirigido a ellos)
  • [ ] Implementa mecanismo de verificación de edad (no solo auto-declaración)
  • [ ] Asegura que los menores de 14 años no pueden consentir sin validación parental
  • [ ] Revisa que la configuración por defecto es la más restrictiva posible para menores
  • [ ] Adapta la información sobre el tratamiento al nivel de comprensión del menor
  • [ ] Realiza EIPD si tratas datos de categoría especial de menores
  • [ ] Forma a tu DPO o responsable de privacidad en el régimen específico de menores

Consulta jurisprudencia AEPD sobre menores con Lexiel →

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.