La fecha límite de COPPA de abril de 2026 ya ha pasado: lista de verificación de cumplimiento para el difuminado de rostros

Łukasz Bonczol
Publicado: 21/6/2026

La anonimización de datos visuales consiste en modificar fotos o vídeos para que los elementos visuales identificables dejen de ser reconocibles en la versión que se publica, se comparte o se conserva con una finalidad de menor riesgo. En este artículo, las técnicas clave son el difuminado de rostros, es decir, ocultar caras visibles, y el difuminado de matrículas, es decir, ocultar las placas de matrícula de vehículos que aparecen en las grabaciones. El software local u on-premise se refiere al software desplegado en el propio entorno de TI de una organización, en lugar de depender de la subida a la nube como modelo de procesamiento predeterminado.

La fecha límite de cumplimiento del 22 de abril de 2026 para las modificaciones de 2025 de la Children’s Online Privacy Protection Rule ya ha pasado. Para los operadores sujetos a COPPA que publican fotos y vídeos en los que aparecen menores de 13 años, y para las organizaciones que trabajan con esos operadores, esto cambia el perfil de riesgo. COPPA ya no es un proyecto de implementación futura. Es una cuestión de control operativo para equipos de marketing, equipos de comunicación escolar, plataformas EdTech, comunicadores del sector público cuando usan o contratan servicios en línea sujetos a COPPA, y equipos de cumplimiento que gestionan contenido visual.

Este artículo es una lista de verificación práctica de cumplimiento, no asesoramiento jurídico. Se centra únicamente en fotos y vídeos en el contexto de COPPA en Estados Unidos.

Un calendario con chinchetas clavadas en los viernes y un círculo que marca el día 30 del mes. Los nombres de los días de la semana aparecen en la parte superior.

Qué cambió en las modificaciones de COPPA de 2025 para imágenes y vídeos

COPPA se aplica a los operadores de sitios web y servicios en línea dirigidos a menores de 13 años, así como a los operadores que tienen conocimiento efectivo de que recopilan información personal en línea de menores de 13 años [1]. La Norma COPPA ya considera que una fotografía, un vídeo o un archivo de audio que contenga la imagen o la voz de un menor constituye “información personal” [2]. Este punto es fundamental para la publicación de contenido visual. Un vídeo de aula, una galería de fotos de un campamento, un testimonio de producto, un clip deportivo o un vídeo generado por usuarios en una aplicación puede entrar en el ámbito de aplicación cuando se recopila a través de un sitio web o servicio en línea sujeto a COPPA, se sube a él o se publica en él, y el rostro o la voz del menor aparece en el archivo.

Las modificaciones de COPPA de 2025 reforzaron varias obligaciones operativas relevantes para los medios visuales. Las organizaciones suelen centrarse en los banners de consentimiento y los datos de cuentas, pero la misma lógica de cumplimiento se aplica a fotos y vídeos en los que un menor es identificable.

En primer lugar, la norma modificada refuerza el enfoque operativo sobre la conservación y eliminación de datos. Los operadores deben conservar la información personal de menores solo durante el tiempo razonablemente necesario para la finalidad específica para la que fue recopilada, y deben eliminarla mediante medidas razonables cuando ya no sea necesaria [3]. Para los equipos de contenido visual, esto significa que las bibliotecas de material bruto, los clips exportados, las ediciones descartadas, los borradores de redes sociales y las copias de seguridad necesitan reglas de conservación.

En segundo lugar, las modificaciones aumentan la atención sobre las divulgaciones a terceros. En muchos casos, se requiere un consentimiento parental verificable separado antes de divulgar información personal de un menor a terceros, salvo que la divulgación sea parte integral de la naturaleza del sitio web o servicio en línea [3]. En el caso de fotos y vídeos, “divulgación” puede incluir poner contenido multimedia a disposición del público, enviarlo a una agencia, incrustar plataformas de terceros o facilitar grabaciones a proveedores para edición, alojamiento, analítica o promoción.

En tercer lugar, las modificaciones añaden y aclaran expectativas de seguridad y gobernanza, incluida la necesidad de contar con un programa escrito de seguridad de la información personal de menores. El contenido visual no es de bajo riesgo simplemente porque sea “solo una imagen”. Un rostro en un pasillo escolar, la voz de un menor en un clip de aula, una matrícula cerca de una zona de recogida o detalles de fondo en un vídeo pueden revelar un contexto que un campo de texto no revela.

Por qué las grabaciones de menores entran en el ámbito de COPPA

Según la Norma COPPA, cuando el operador y la recopilación están cubiertos por la norma, una foto o un vídeo que contenga la imagen o la voz de un menor puede constituir información personal [2]. Esto convierte la anonimización de datos visuales en un control práctico antes de la publicación o el intercambio. No sustituye el aviso a los padres, el consentimiento, la conservación, la seguridad ni la gobernanza de proveedores cuando esas obligaciones se aplican. Sí reduce la probabilidad de que la versión publicada exponga el rostro de un menor u otros identificadores visibles.

La distinción es importante. Si un operador cubierto graba o recibe un vídeo y posteriormente difumina los rostros antes de subirlo a un sitio web público, la versión pública puede ser menos identificable. Sin embargo, la grabación original sin difuminar puede seguir siendo información personal de menores. Por tanto, el flujo de trabajo de cumplimiento debe abarcar tanto el archivo fuente como el resultado redactado o anonimizado.

Para los equipos que necesitan un flujo de trabajo específico para fotos y vídeos, Gallio PRO permite la anonimización de datos visuales mediante la detección y el difuminado de rostros y matrículas en imágenes grabadas y archivos de vídeo. Es importante definir el alcance con precisión. El software no difumina siluetas completas. La detección automática cubre únicamente rostros y matrículas, no logotipos, tatuajes, etiquetas con nombres, documentos ni contenido mostrado en pantallas. Esos elementos adicionales pueden gestionarse manualmente mediante el editor integrado cuando sea necesario.

En la pantalla del ordenador, sobre un fondo de código, se ve una lista de tareas pendientes para el confinamiento («stayhome TODO») que incluye actividades cotidianas como tiempo en familia, trabajo, fotografía, deporte y lectura.

Lista de verificación de cumplimiento para el difuminado de rostros tras la fecha límite de COPPA de abril de 2026

La siguiente lista de verificación está diseñada para escenarios de publicación: sitios web escolares, plataformas EdTech, clips para redes sociales, materiales de relaciones públicas, grabaciones de reuniones públicas, campañas de marketing, galerías de eventos y ediciones de vídeo entregadas por proveedores.

Paso

Control práctico

Evidencia que conservar

Responsable habitual

 

1. Mapear dónde aparecen menores

Identificar todas las fuentes recurrentes de fotos y vídeos en las que aparecen menores de 13 años.

Inventario de medios, canales de publicación, carpetas fuente, lista de proveedores.

Marketing, comunicaciones, operaciones escolares.

2. Separar los archivos fuente de los archivos publicables

Mantener los originales sin difuminar en almacenamiento restringido y crear versiones exportadas redactadas.

Estructura de carpetas, reglas de acceso, convención de nombres de exportación.

TI, equipo de medios, cumplimiento.

3. Difuminar rostros antes de compartir externamente

Aplicar el difuminado de rostros antes de la publicación, la transferencia a una agencia, la difusión pública o la distribución interna amplia.

Registro de redacción, constancia de aprobación, hash o nombre de archivo final.

Responsable del contenido, responsable de privacidad.

4. Revisar el contexto visible

Comprobar matrículas, etiquetas con nombres, pantallas, tatuajes distintivos, uniformes y pistas de ubicación.

Lista de verificación de revisión manual, notas sobre ediciones manuales.

Publicador, revisor.

5. Aplicar reglas de conservación y eliminación

Eliminar material bruto y copias de trabajo cuando ya no sean razonablemente necesarios para la finalidad indicada.

Calendario de conservación, confirmación de eliminación, aprobaciones de excepciones.

Responsable de registros, TI.

6. Revisar transferencias a proveedores

Confirmar si agencias, editores, plataformas o encargados del tratamiento reciben grabaciones identificables.

Cláusulas contractuales, registro de transferencias, cuestionario de seguridad de proveedores.

Compras, legal, privacidad.

1. Auditar dónde aparecen menores en fotos y vídeos

Empiece por las fuentes de contenido, no por las categorías jurídicas. Enumere los lugares donde pueden aparecer menores: grabaciones de aula, grabaciones de retransmisiones de eventos, imágenes de patios de recreo, vídeos de aplicaciones de aprendizaje, galerías de campamentos de verano, testimonios, fotos de excursiones, grabaciones de reuniones públicas de juntas y material promocional.

La auditoría debe distinguir tres versiones de cada activo: material bruto, archivos de trabajo editados y archivos finales publicados. El riesgo COPPA suele ser mayor cuando las grabaciones cubiertas se copian en carpetas no gestionadas, se envían a proveedores creativos o se conservan indefinidamente porque nadie es responsable de su eliminación.

2. Redactar o anonimizar antes de compartir o publicar

El difuminado de rostros debe realizarse antes de que el archivo salga del flujo de trabajo controlado. Una práctica empresarial habitual es crear un “máster redactado” y usar esa versión para sitios web, boletines, redes sociales, portales de registros públicos, paquetes de prensa y materiales para socios.

El difuminado de matrículas también es útil en los flujos de trabajo de publicación visual, especialmente alrededor de escuelas, centros de cuidado infantil, recintos deportivos y zonas de recogida. COPPA no es una ley general sobre matrículas, pero las placas pueden revelar ubicación, rutinas familiares o asociaciones con vehículos cuando se combinan con grabaciones de menores.

Después de definir un flujo de trabajo, los equipos pueden probar gratis cómo las fotos y vídeos grabados pasan de la detección al difuminado de rostros y matrículas, y después a la revisión manual y la exportación.

3. No trate la detección automática como una revisión completa de privacidad

La detección automatizada debe delimitarse correctamente. Gallio PRO detecta automáticamente rostros y matrículas. No detecta automáticamente logotipos de empresas, tatuajes, etiquetas con nombres, documentos en papel ni información visible en monitores. Tampoco proporciona anonimización en tiempo real ni anonimización de flujos de vídeo. El flujo de trabajo está pensado para archivos grabados.

Esto importa en el contexto de COPPA porque un rostro difuminado puede no ser suficiente si el nombre del menor es visible en una acreditación, una pantalla del aula muestra detalles de una cuenta o el audio contiene la voz del menor. El control práctico es un paso de revisión humana antes de la publicación.

4. Documentar la conservación y la eliminación

El énfasis de la Norma COPPA modificada en la conservación hace que la disciplina en el almacenamiento visual sea esencial [3]. Un flujo de trabajo defendible debe indicar durante cuánto tiempo se conserva el material bruto, quién puede acceder a él, cuándo se eliminan los archivos de trabajo y qué versiones publicadas y redactadas se conservan como registros empresariales.

Una regla sencilla funciona bien: si la finalidad es la comunicación de un evento, conserve la grabación sin redactar solo mientras sean necesarias la edición y la aprobación. Si existe una razón legal, de seguridad o contractual para conservarla durante más tiempo, documente esa razón y restrinja el acceso. Cuando una organización tiene necesidades de despliegue complejas, como una implementación empresarial, software on-premise o requisitos estrictos de almacenamiento interno, es recomendable ponerse en contacto antes de seleccionar la arquitectura técnica.

5. Mantener los datos de detección y los registros fuera de la superficie de riesgo

Los registros operativos pueden crear su propio problema de privacidad si almacenan resultados de detección o datos personales. Gallio PRO no almacena registros que contengan datos de detección de rostros o matrículas. Tampoco recopila registros que contengan datos personales o datos sensibles. Para los equipos de cumplimiento, esto reduce el número de ubicaciones secundarias que deben revisarse al evaluar dónde pueden haberse procesado identificadores visuales.

Errores comunes después de la fecha límite de COPPA

El primer error es publicar primero y difuminar después. Una vez que el rostro de un menor se ha publicado públicamente, ha sido copiado por plataformas, indexado, descargado o compartido, una redacción posterior puede reducir la exposición continua, pero no borra la divulgación original.

El segundo error es asumir que el consentimiento parental para un uso cubre todos los usos posteriores. Un boletín escolar, una página de producto EdTech, un anuncio pagado, un caso de éxito de un socio y una publicación pública en redes sociales pueden ser contextos distintos. Que un consentimiento concreto sea suficiente depende del contexto y debe evaluarse frente al rol específico bajo COPPA, el aviso, la finalidad y el modelo de divulgación.

El tercer error es tratar la lógica de “escena grupal” como un atajo en COPPA. Algunos regímenes sobre derechos de imagen contemplan excepciones para figuras públicas, para una persona que aparece como parte de una escena más amplia de un evento público o para un modelo remunerado. Esos conceptos no deben trasladarse mecánicamente a COPPA. Para menores de 13 años, las preguntas relevantes son recopilación, uso, divulgación, aviso, consentimiento parental verificable, seguridad, conservación y eliminación.

El cuarto error es olvidar a los proveedores. Si una agencia recibe grabaciones escolares sin difuminar para crear un vídeo promocional, eso es una transferencia de datos visuales que requiere gobernanza. La revisión debe incluir contratistas de edición, almacenamiento en la nube, alojamiento de vídeo, herramientas de analítica, plataformas sociales y socios de relaciones públicas.

El quinto error es confiar únicamente en el difuminado automático de rostros. Un menor puede seguir siendo identificable por el nombre en una camiseta deportiva, una pantalla del aula, un nombre pronunciado, un dispositivo médico único o un entorno distintivo. La detección automática de rostros y matrículas debe ir seguida de una revisión manual del archivo final publicable.

Decoración geométrica en 3D para la pared con un signo de interrogación en el centro rodeado de diversas formas y texturas, entre las que se incluyen rectángulos y una esfera.

Preguntas frecuentes: lista de verificación COPPA para difuminar rostros en fotos y vídeos

¿COPPA se aplica a fotos y vídeos de menores?

Sí, cuando COPPA se aplica por otros motivos al operador y el menor tiene menos de 13 años. La Norma COPPA incluye una fotografía, un vídeo o un archivo de audio que contenga la imagen o la voz de un menor dentro de la definición de información personal [2].

¿El difuminado de rostros elimina todas las obligaciones de COPPA?

No. El difuminado de rostros es un control de publicación y reducción de riesgos. No elimina retroactivamente las obligaciones relacionadas con la recopilación, el uso, el almacenamiento, la divulgación, la seguridad o la eliminación de la grabación original sin difuminar.

¿Deben difuminarse las matrículas en grabaciones relacionadas con COPPA?

A menudo sí, como medida práctica de privacidad, especialmente cerca de escuelas, centros de cuidado infantil, eventos y zonas de recogida. COPPA se centra en la información personal de menores, pero las matrículas pueden añadir contexto identificable cuando se combinan con imágenes de niños.

¿Puede el software automatizado detectar todos los identificadores visuales de un vídeo?

No. En el flujo de trabajo de Gallio PRO, la detección automática cubre únicamente rostros y matrículas. Los logotipos, tatuajes, etiquetas con nombres, documentos y contenido de pantalla requieren revisión manual y redacción manual si deben ocultarse.

¿Se requiere anonimización de flujos de vídeo en tiempo real para esta lista de verificación?

No. Esta lista de verificación se centra en fotos y vídeos grabados antes de su publicación o intercambio. Gallio PRO no realiza anonimización en tiempo real ni anonimización de flujos de vídeo.

¿Durante cuánto tiempo deben conservarse las grabaciones sin difuminar de menores?

El enfoque de cumplimiento habitual es conservarlas solo durante el tiempo razonablemente necesario para la finalidad para la que fueron recopiladas y, después, eliminarlas mediante medidas razonables. Las modificaciones de COPPA de 2025 ponen un énfasis claro en los límites de conservación y la eliminación [3].

Lista de referencias

  1. Children’s Online Privacy Protection Act of 1998, 15 U.S.C. §§ 6501-6506, disponible a través de la U.S. House Office of the Law Revision Counsel: https://uscode.house.gov/
  2. Federal Trade Commission, Children’s Online Privacy Protection Rule, 16 C.F.R. Part 312, incluida la definición de “personal information” en 16 C.F.R. § 312.2: https://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-312
  3. Federal Trade Commission, Children’s Online Privacy Protection Rule Amendments, Final Rule, 90 Fed. Reg. 7434, 22 de enero de 2025: https://www.federalregister.gov/documents/2025/01/22/2025-00763/childrens-online-privacy-protection-rule
  4. Federal Trade Commission, Complying with COPPA: Frequently Asked Questions: https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions
  5. Federal Trade Commission, Children’s Privacy guidance for businesses: https://www.ftc.gov/business-guidance/privacy-security/childrens-privacy