Privacidad de datos de menores en apps de IA: guía RGPD
Qué datos de tu hijo recogen las apps de IA, qué es ilegal sin tu consentimiento si es menor de 14 años (AEPD) y 6 preguntas clave antes de instalar una.
Las apps de IA que usan tus hijos —deberes, inglés, tutores virtuales— recogen desde el texto que escriben hasta grabaciones de voz y patrones de uso. Si el menor tiene menos de 14 años, la ley española exige tu consentimiento explícito antes de tratar esos datos: sin él, el registro es ilegal, aunque el colegio lo recomiende.
¿Qué datos recogen realmente las apps de IA que usa tu hijo?
Casi todas guardan datos de identificación (nombre, edad, curso), contenido generado (lo que el niño escribe o dice al chatbot) y datos de uso (tiempo, errores, actividades abandonadas). Las que tienen voz —habituales en apps de idiomas— añaden grabaciones de audio, dato biométrico en RGPD si identifican a la persona.
Hay una capa menos visible: los metadatos de rendimiento. Aislados parecen inocuos; combinados durante meses construyen un perfil de aprendizaje muy detallado, capaz de etiquetar a un menor (“es lento”) de forma permanente.
La pregunta que importa no es qué recogen sino para qué lo usan después:
| Uso del dato | ¿Aceptable sin más? |
|---|---|
| Dar el servicio (mostrar progreso al alumno) | Sí |
| Informe al docente/colegio | Sí, si está en el contrato del centro |
| Entrenar o mejorar el modelo de IA | No, debe ser opt-in explícito |
| Publicidad o perfiles comerciales | No, prohibido sin consentimiento parental |
| Venta o cesión a terceros | Casi nunca legítimo con datos de menores |
Si una política no distingue estos usos, asume que los mezcla.
¿Qué es ilegal sin tu consentimiento si tu hijo tiene menos de 14 años?
Aquí no hay zona gris: la AEPD fija en 14 años la edad de consentimiento digital. Por debajo, el tratamiento de datos del menor requiere el consentimiento de quien ejerza la patria potestad. No es una buena práctica recomendada: es el artículo 8 del RGPD desarrollado por la LOPDGDD.
Son ilegales sin tu autorización expresa:
- El registro de la cuenta del menor, aunque sea “solo” nombre y curso.
- Cualquier grabación de voz o vídeo, incluida “para mejorar el reconocimiento”.
- El envío de datos fuera de la UE sin garantías equivalentes.
- Usar el contenido del menor para entrenar modelos de IA, salvo consentimiento específico.
- Compartir datos con terceros con fines comerciales, incluida una app “hermana” del mismo fabricante.
Un matiz importante: que el colegio firme el contrato de encargado de tratamiento no sustituye tu consentimiento como madre, padre o tutor. El tratamiento de datos de tu hijo menor de 14 años sigue necesitando tu autorización explícita. Si nunca te la han pedido, pregunta al centro qué base legal están usando.
Cómo leer una política de privacidad en 5 minutos (sin ser abogado)
Las políticas están escritas para cumplir, no para que las leas entera. No hace falta: con cinco búsquedas (Ctrl+F) tienes el 90% de lo que necesitas.
- “Menor” o “niño/a”. Si no aparece en todo el documento, mala señal: la app no ha pensado en usuarios menores.
- “Conservación” o “retención”. Debe haber un plazo concreto (“18 meses tras la baja”). “El tiempo necesario” no es un plazo, es una frase vacía.
- “Terceros” o “transferencia”. Verás con quién comparten los datos: infraestructura (normal, si están en la UE), partners publicitarios (mala señal) o “afiliadas”.
- “Entrenar” o “mejorar nuestros modelos”. Si tus datos se usan para entrenar IA que venden a otros clientes, debe ser explícito y, con menores, opt-in.
- “Derechos” o “ARCO-POL”. Debe explicar cómo ejercer acceso, rectificación y supresión, y a quién dirigirte (DPO con contacto real).
Si en 5 minutos no encuentras respuesta, la política está diseñada para que no la encuentres.
6 preguntas antes de instalar cualquier app de IA para tu hijo
Antes de dar de alta a tu hijo en una app —la recomiende o no el colegio—, estas seis preguntas cubren el 80% del riesgo real:
- ¿Pide la edad y actúa distinto si es menor de 14? Un formulario idéntico para adulto y niño no está pensado para menores.
- ¿Dónde se alojan los datos? UE es lo más seguro; fuera necesita garantías explícitas.
- ¿Puedo pedir el borrado de todos los datos, y en cuánto tiempo? Debe haber un procedimiento claro, no solo “escríbenos”.
- ¿Los datos entrenan modelos de IA de terceros? Pregúntalo si no lo aclara la política.
- ¿Hay grabación de voz o vídeo, y para qué se usa? Transcribir en tiempo real no es almacenar el audio indefinidamente.
- ¿Quién ve las conversaciones: solo el alumno, también el docente, también el proveedor? En una buena herramienta, el docente ve el progreso, no cada palabra.
Un prompt para acelerar la comprobación, junto con la política de privacidad:
“Aquí tienes la política de privacidad de una app que quiere usar mi hijo de [edad] años. Dime: 1) si menciona el tratamiento de datos de menores y bajo qué base legal, 2) el plazo de conservación, 3) si los datos entrenan modelos de IA, 4) con qué terceros se comparten, 5) cómo se ejerce el derecho de supresión. Cita el fragmento exacto para cada punto; si no aparece, dilo explícitamente.”
Esto no sustituye tu criterio, pero te ahorra la lectura completa.
Lo que sí puedes exigir a una herramienta educativa de IA
Hay estándares mínimos que puedes exigir sin conocer una línea de RGPD: servidores en la UE, un DPO con contacto verificable, consentimiento parental explícito y separado del “acepto los términos”, cero uso publicitario, y baja y borrado sin trámites opacos.
Por eso recordamos a las familias que ZOE, el tutor de IA de noobe, guía sin dar las respuestas y trata los datos en la UE: es la diferencia entre una herramienta auditable y una caja negra. Lo mismo en el resto del ecosistema: MIA, el asistente de IA para docentes de noobe, ya trabaja sobre la LOMLOE y los currículos autonómicos, con el dato curricular acotado a lo que el centro necesita. Y en inglés hablado, BOB, el asistente de inglés hablado de noobe, practica speaking con seguimiento del profesor, con las grabaciones de voz bajo el mismo marco.
Si quieres una checklist más operativa para comparar herramientas antes de que el colegio las adopte, la tienes en el checklist para elegir un tutor de IA, y si lo que buscas es entender qué debe pedirte el centro al inicio de curso, la guía de IA para padres en el colegio cubre ese punto con más detalle.
El contexto normativo que viene (y por qué no puedes esperar a que llegue)
El AI Act europeo ya prohíbe desde febrero de 2025 ciertos usos de IA especialmente lesivos con menores, y prevé que las obligaciones de “alto riesgo” —que probablemente incluirán buena parte de la IA educativa— entren en vigor el 2 de agosto de 2026. Hay una propuesta de aplazamiento (Digital Omnibus) a diciembre de 2027, aún provisional. Nada de esto cambia lo ya exigible bajo RGPD y la doctrina de la AEPD sobre consentimiento parental: no depende del calendario del AI Act.
Si una app no responde con claridad a las seis preguntas de este artículo, la respuesta prudente es no instalarla. Para la perspectiva del centro educativo, complementaria a la de la familia, está la guía sobre IA segura para menores en el aula.
¿Quieres ver cómo ZOE trata los datos de tu alumnado con garantías reales, no solo sobre el papel? Pide una clase en vivo y pregunta directamente por el contrato de encargo de tratamiento.
Preguntas frecuentes
¿Puede mi hijo de 12 años usar una app de IA sin mi permiso?
No de forma legal. La AEPD fija en 14 años la edad a partir de la cual un menor puede dar su propio consentimiento para el tratamiento de datos; por debajo, hace falta el consentimiento de padre, madre o tutor. Si una app deja registrarse a un niño de 12 años sin verificar ni pedir ese consentimiento, está incumpliendo el RGPD, aunque sus términos digan lo contrario.
¿Qué datos son los más sensibles que puede recoger una app de IA educativa?
Las grabaciones de voz, las conversaciones completas con el chatbot y los datos de rendimiento académico (notas, errores, tiempo por tarea). Combinados, dibujan un perfil muy preciso del menor: cómo habla, qué le cuesta, cómo aprende. Revisa si esos datos se usan solo para dar el servicio o también para entrenar modelos o publicidad.
¿El colegio puede autorizar el uso de una app de IA en nombre de todas las familias?
El colegio puede contratar la herramienta y firmar el contrato de encargo de tratamiento, pero eso no sustituye tu consentimiento como madre o padre para el tratamiento de datos de tu hijo si tiene menos de 14 años. Un colegio serio te pide autorización explícita al inicio de curso; si nadie te la ha pedido, pregunta.
¿Cómo sé si una app de IA borra los datos de mi hijo cuando deja el colegio o cumple años?
Búscalo en la política de privacidad bajo 'conservación de datos' o 'retención'. Debe indicar un plazo concreto (no 'el tiempo necesario', que no es un plazo) y qué pasa al finalizar la relación con el colegio: borrado, anonimización o exportación. Si no lo especifica, es una señal de que no lo tienen resuelto.