Volver al blog
Legal

IA y menores: lo que dice la ley en Europa

IA y menores: lo que dice la ley en Europa
Por Joan Pons 13 min min de lectura

La Unión Europea cuenta con un marco regulatorio integral para proteger a los menores frente a la IA: el EU AI Act, el GDPR y la DSA. Estas leyes exigen consentimiento parental, transparencia algorítmica y protección de datos específica para menores, pero la mayoría de chatbots populares no las cumple.

Un marco regulatorio que ya existe (pero que pocos conocen)

La Unión Europea ha construido el marco legal más avanzado del mundo para la protección de menores en el entorno digital. El EU AI Act, el GDPR y la DSA crean un sistema de obligaciones concretas para las empresas de IA, pero el 49% de los padres desconoce qué derechos tiene y qué obligaciones tienen las empresas (Pew Research, 2025). Esta brecha de conocimiento es la que este artículo busca cerrar.

No es cierto que estemos en un "vacio legal". Europa dispone del marco regulatorio mas avanzado del mundo para la proteccion de menores frente a la IA. El problema no es la ausencia de leyes, sino que la mayoria de padres desconoce que derechos tiene y que obligaciones tienen las empresas.

Este articulo desglosa las leyes clave que afectan al uso de la IA por menores en Europa y que significan para ti como padre o tutor. Para entender cómo un producto diseñado con estos principios funciona en la práctica, consulta nuestra guía sobre qué es un chatbot supervisado.

EU AI Act: el Reglamento Europeo de Inteligencia Artificial

El EU AI Act (Reglamento (UE) 2024/1689) es la primera regulacion integral sobre inteligencia artificial en el mundo. Entro en vigor progresivamente desde 2024, con plena aplicabilidad en 2026.

Categorias de riesgo

El EU AI Act clasifica los sistemas de IA en cuatro categorias segun su nivel de riesgo:

Categoria Descripcion Ejemplos
Riesgo inaceptable Prohibidos. Sistemas que manipulan, explotan vulnerabilidades o realizan puntuacion social. Sistemas que explotan la vulnerabilidad de menores para manipular su comportamiento.
Alto riesgo Permitidos con requisitos estrictos. Evaluacion de conformidad obligatoria. IA en educacion que determina acceso a formacion, sistemas de evaluacion de estudiantes.
Riesgo limitado Obligaciones de transparencia. El usuario debe saber que interactua con IA. Chatbots conversacionales, sistemas de recomendacion.
Riesgo minimo Sin requisitos especificos. Filtros de spam, videojuegos con IA basica.

¿En qué categoría entran los chatbots para adolescentes?

Los chatbots conversacionales se clasifican generalmente como riesgo limitado. Esto implica:

  • Obligacion de transparencia: El usuario debe saber en todo momento que esta hablando con una IA, no con una persona.
  • Informacion clara: El proveedor debe explicar que datos recoge, como los usa y con que proposito.
  • Derechos de los usuarios: El usuario (o su tutor, en caso de menores) puede solicitar informacion sobre el sistema.

Sin embargo, hay un matiz critico: si un chatbot interactua con menores y puede influir en su comportamiento emocional o psicologico, podria elevarse a alto riesgo dependiendo de la interpretacion de las autoridades. Esto es especialmente relevante cuando un chatbot:

  • Ofrece consejos de salud mental
  • Genera contenido que podria afectar al bienestar emocional del menor
  • Crea dependencia emocional
  • Opera sin supervisión parental

Que significa para los padres

Tienes derecho a saber:

  • Que tu hijo esta interactuando con una IA (no con una persona)
  • Que datos recoge el sistema sobre tu hijo
  • Como se procesan esos datos
  • Que medidas de seguridad tiene implementadas

Si una plataforma de IA no te proporciona esta informacion de forma clara, esta incumpliendo el EU AI Act.

GDPR: la proteccion de datos de los menores

El Reglamento General de Proteccion de Datos (GDPR, Reglamento (UE) 2016/679) lleva en vigor desde 2018 y tiene disposiciones especificas para menores.

¿A qué edad puede un menor dar consentimiento sobre sus datos?

El Articulo 8 del GDPR establece que para el tratamiento de datos personales de menores en relacion con servicios de la sociedad de la informacion:

  • Menores de 16 años (o la edad que establezca cada Estado miembro, con un minimo de 13): se requiere el consentimiento del titular de la patria potestad.
  • En Espana, la edad se fija en 14 años (LOPDGDD).
  • En Francia, 15 años. En Alemania, 16 años. En Paises Bajos, 16 años.

Esto significa: Si tu hijo tiene menos de 14 años (en Espana), cualquier plataforma de IA que recoja sus datos debe obtener tu consentimiento explicito antes de permitirle usar el servicio.

Principio de minimizacion de datos

El GDPR exige que los sistemas recojan solo los datos estrictamente necesarios para el servicio. Un chatbot no necesita saber la direccion de tu hijo, su colegio, o los nombres de sus amigos para funcionar. Si lo pide, deberia levantar una senal de alarma.

Derecho de supresion (derecho al olvido)

Los padres (y los menores al alcanzar la mayoria de edad) pueden solicitar la eliminacion completa de todos los datos recogidos. La empresa esta obligada a cumplir sin demora injustificada (maximo 30 dias).

Derecho de acceso

Tienes derecho a solicitar una copia de todos los datos que una plataforma ha recogido sobre tu hijo. Incluyendo historiales de conversacion, metadatos, perfiles de comportamiento y cualquier analisis derivado.

Evaluacion de impacto (DPIA)

Cualquier sistema de IA que procese datos de menores a gran escala esta obligado a realizar una Evaluacion de Impacto en Proteccion de Datos (DPIA). Si la plataforma que usa tu hijo no ha realizado esta evaluacion, esta incumpliendo el GDPR.

DSA: Digital Services Act

La Ley de Servicios Digitales (DSA, Reglamento (UE) 2022/2065) entro en plena aplicacion en febrero de 2024 y tiene implicaciones directas para menores:

Prohibicion de publicidad dirigida a menores

Esta prohibido utilizar datos personales de menores para mostrarles publicidad segmentada. Esto incluye plataformas de IA que utilicen los datos de conversacion para personalizar anuncios.

Obligacion de proteccion de menores

Las plataformas deben implementar medidas adecuadas para garantizar un alto nivel de privacidad, seguridad y proteccion de los menores en sus servicios.

Transparencia algoritmica

Los servicios deben explicar los parametros principales de sus sistemas de recomendacion. Si un chatbot decide que responder basandose en un perfil del menor, los padres tienen derecho a saber como funciona ese mecanismo.

Evaluacion de riesgos sistémicos

Las plataformas de gran tamaño (más de 45 millones de usuarios en la UE) deben realizar evaluaciones anuales de riesgos sistémicos, incluyendo específicamente los efectos negativos sobre los derechos de los menores.

UK AADC: Children's Code (Codigo del nino)

Aunque el Reino Unido ya no forma parte de la UE, su Age Appropriate Design Code (AADC) es una referencia mundial. Establece 15 estandares que todo servicio digital accesible a menores debe cumplir:

  1. Interes superior del nino como consideracion primordial
  2. Evaluacion de impacto en los datos del menor
  3. Uso apropiado a la edad
  4. Transparencia en el uso de datos
  5. Uso perjudicial de datos prohibido
  6. Politicas y estandares comunitarios claros
  7. Configuracion predeterminada de alta privacidad
  8. Minimizacion de datos
  9. Intercambio de datos restringido
  10. Geolocalizacion desactivada por defecto
  11. Control parental disponible y transparente
  12. Perfilado restringido
  13. Tecnicas de empujon (nudge) prohibidas cuando sean perjudiciales
  14. Juguetes y dispositivos conectados incluidos
  15. Herramientas online de gestion de datos accesibles

Relevancia para padres en Espana: Aunque el AADC es legislacion britanica, muchas empresas tecnologicas lo aplican globalmente. Si una plataforma cumple el AADC, es una senal positiva de compromiso con la seguridad de los menores.

Estados Unidos: COPPA y CA SB 243

Aunque la legislacion estadounidense no se aplica directamente en Europa, es relevante porque muchas plataformas de IA son americanas.

COPPA (Children's Online Privacy Protection Act)

  • Protege a menores de 13 años
  • Requiere consentimiento parental verificable para recoger datos
  • Obliga a publicar politicas de privacidad claras
  • Permite a los padres revisar y eliminar datos de sus hijos

California SB 243 (California AI Transparency Act)

  • Obliga a las empresas de IA a informar cuando un usuario esta interactuando con IA
  • Requisitos especificos de transparencia para sistemas que interactuan con menores
  • Penalizaciones significativas por incumplimiento

Lo que significa para ti: Si tu hijo usa ChatGPT, Character.AI u otro servicio americano, estas leyes deberian aplicarse. En la practica, el nivel de cumplimiento varia enormemente. El 53% de las respuestas de ChatGPT a menores se clasificaron como potencialmente dañinas (CCDH, 2024), lo que sugiere que el cumplimiento real deja mucho que desear.

Que significan todas estas leyes para ti como padre

Resumiendo tus derechos fundamentales:

Tienes derecho a saber

  • Que tu hijo esta hablando con una IA
  • Que datos se recogen sobre el
  • Como se usan esos datos
  • Si se comparten con terceros
  • Que medidas de seguridad existen

Tienes derecho a actuar

  • Consentir o denegar el uso del servicio (para menores de 14 años en Espana)
  • Solicitar acceso a todos los datos recogidos
  • Solicitar la eliminacion completa de los datos
  • Presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD)

Tienes derecho a exigir

  • Configuracion de privacidad por defecto en su nivel mas alto
  • Transparencia sobre como funciona el sistema
  • Proteccion contra manipulacion y explotacion de vulnerabilidades
  • Ausencia de publicidad dirigida a tu hijo menor

Como HolaNolis se posiciona: "riesgo limitado" por diseno

HolaNolis está diseñado desde su arquitectura para cumplir con el marco regulatorio europeo y posicionarse como un sistema de riesgo limitado bajo el EU AI Act. Esto no es un accidente; es una decisión estratégica y ética. La razón principal es que Nolis detecta y redirige, pero nunca diagnostica: para entender esta distinción crucial, lee por qué Nolis no da consejos médicos ni psicológicos.

Que implica la clasificacion de "riesgo limitado"

  • Transparencia total. El adolescente siempre sabe que habla con una IA. No hay ambiguedad.
  • Informacion clara a padres. Que datos se recogen, como se usan, durante cuanto tiempo se almacenan.
  • Supervisión parental integrada. No como añadido, sino como parte central del producto.

Por que HolaNolis nunca sera "alto riesgo"

La clave es lo que HolaNolis no hace:

  • No diagnostica problemas de salud mental (eso seria alto riesgo)
  • No evalua el estado emocional con fines clinicos (eso seria alto riesgo)
  • No prescribe tratamientos ni intervenciones (eso seria alto riesgo)
  • No toma decisiones que afecten al acceso a servicios (eso seria alto riesgo)

HolaNolis detecta, alerta y redirige. Esta es una funcion de compania y seguridad, no de evaluación clínica. La diferencia regulatoria es enorme.

Medidas especificas de cumplimiento

  • Cifrado de datos personales en reposo (AES-256-GCM)
  • Minimizacion de datos: solo se recoge lo estrictamente necesario
  • Consentimiento parental verificado para menores de 14 años
  • Derecho de supresion implementado: un clic para eliminar todos los datos
  • Sin publicidad ni perfilado con fines comerciales
  • Evaluacion de impacto en proteccion de datos realizada
  • Alertas de crisis gratuitas en todos los planes, porque la seguridad no es una funcionalidad premium

Por que el cumplimiento normativo es una ventaja, no un coste

Muchas empresas tecnologicas ven la regulacion como un obstaculo. En HolaNolis, la vemos como un diferenciador competitivo.

Cuando un chatbot generico dice "cumplimos con GDPR" en letra pequena, suele significar que tienen un formulario de consentimiento y una politica de privacidad de 40 paginas que nadie lee.

Cuando HolaNolis dice que cumple con el marco regulatorio europeo, significa:

  • Que la arquitectura del sistema fue diseñada desde cero para cumplir
  • Que el cumplimiento esta integrado en cada decision de producto
  • Que un padre puede verificar, en cualquier momento, que datos tiene el sistema sobre su hijo
  • Que la seguridad del menor es la prioridad número uno, por encima de la engagement, la retencion o los ingresos

En un mercado donde el 53% de las respuestas de ChatGPT a menores se clasifican como daninas (CCDH, 2024) y ninguna de las 10 plataformas testadas por CNN paso los controles basicos de seguridad (CNN Investigation, 2025), cumplir con la ley no es solo una obligacion. Es lo que te separa de la competencia.

Preguntas frecuentes

¿Es legal que mi hijo menor de edad use ChatGPT en España? +
Técnicamente, para menores de 14 años en España, cualquier plataforma que recoja datos personales debe obtener consentimiento parental verificable (LOPDGDD). ChatGPT no verifica activamente la edad ni solicita este consentimiento de forma robusta. Esto representa un incumplimiento del marco legal español y europeo en muchos casos de uso real.
¿A qué edad puede mi hijo dar consentimiento para el tratamiento de sus datos en España? +
En España, la edad de consentimiento digital es 14 años, según la LOPDGDD. Entre los 14 y 17 años, el menor puede consentir por sí mismo, aunque los padres mantienen otros derechos bajo la patria potestad. Por debajo de 14 años, el consentimiento parental es obligatorio para cualquier servicio digital que recopile datos.
¿Qué derechos tengo como padre sobre los datos de mi hijo en plataformas de IA? +
Bajo el GDPR tienes derecho de acceso (copia de todos los datos), derecho de supresión (eliminación completa en máximo 30 días), derecho a la portabilidad, y derecho a oponerte al tratamiento. Para menores de 14 años en España, también tienes derecho a consentir o denegar el uso del servicio. Puedes ejercer estos derechos directamente ante la plataforma o reclamar a la AEPD.
¿Qué nivel de riesgo asigna el EU AI Act a los chatbots conversacionales para adolescentes? +
Los chatbots conversacionales se clasifican generalmente como "riesgo limitado" bajo el EU AI Act, con obligaciones de transparencia. Sin embargo, si un chatbot da consejos de salud mental, crea dependencia emocional o opera sin supervisión parental con menores, podría elevarse a "alto riesgo", con requisitos de auditoría y certificación mucho más estrictos.
¿Cómo puedo denunciar una plataforma de IA que no cumple la protección de datos de mi hijo? +
Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es. También puedes contactar directamente con la plataforma ejerciendo tus derechos GDPR. Para infracciones graves, la AEPD puede imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual de la empresa.

Conclusion: conoce tus derechos, usalos

La legislacion europea te da herramientas reales para proteger a tu hijo en el mundo digital. El problema no es la falta de leyes, sino la falta de conocimiento sobre ellas.

Como padre o tutor:

  1. Pregunta a las plataformas que usa tu hijo que datos recogen y como los protegen.
  2. Ejercita tu derecho de acceso: solicita una copia de los datos de tu hijo.
  3. Verifica que las plataformas tengan configuracion de privacidad por defecto alta.
  4. Denuncia ante la AEPD si una plataforma incumple sus obligaciones.
  5. Elige servicios disenados para cumplir la normativa, no para esquivarla.

La proteccion de los menores en el entorno digital no es solo responsabilidad de las empresas tecnologicas ni de los gobiernos. Es tambien responsabilidad de los padres: informarse, exigir y elegir con criterio. Para una guía práctica de cómo proteger a tu adolescente en internet combinando herramientas y diálogo, lee nuestra guía completa para proteger a tu adolescente en internet.

También puedes profundizar en nuestra guía de IA segura para adolescentes o registrarte para acceder a HolaNolis.

Recursos utiles

  • AEPD (Agencia Espanola de Proteccion de Datos): aepd.es
  • EU AI Act (texto completo): eur-lex.europa.eu
  • INCIBE (Instituto Nacional de Ciberseguridad): incibe.es — Recursos especificos para familias
  • IS4K (Internet Segura for Kids): is4k.es — Centro de seguridad online para menores

¿Quieres proteger a tu hijo con IA segura?

Empieza gratis
JP

Joan Pons

Fundador de HolaNolis · Padre

Padre, ingeniero de telecomunicaciones y emprendedor. HolaNolis nació en casa: al ver a mis hijos empezar a usar IA, me preocupé como padre y decidí construir la herramienta que me habría gustado tener. Lo desarrollo como proyecto familiar porque la seguridad de los adolescentes con la IA no puede ser solo un negocio — es algo personal. También soy fundador y CEO de WorkMeter, empresa líder en medición de productividad.

LinkedIn
Volver al blog