Guía de implementación de la Ley de Protección de Datos Infantiles de Nueva York

Esta página se actualizó por última vez el 19 de mayo de 2025.

La Oficina del Procurador General (OAG, por sus siglas en inglés) emite esta guía antes de la fecha de entrada en vigor del 20 de junio de 2025 de la Ley de Protección de Datos Infantiles de Nueva York (NYCDPA o Ley), codificada en la Ley General de Negocios de Nueva York (N.Y. Gen. Bus. Ley) §§ 899-ee et seq.  

Esta guía proporciona aclaraciones sobre las preguntas clave planteadas a la Procuraduría General a través de la Notificación Anticipada de Propuesta de Reglamentación y a través de la divulgación de la Procuraduría General a los participantes de la industria. La Ley también confiere autoridad a la Procuraduría General para promulgar normas, y la Procuraduría General tiene la intención de emitir normas para proporcionar más detalles y aclaraciones sobre algunos de los términos abordados más adelante sobre la base de la participación de las partes interesadas durante el período de cumplimiento inicial. Hasta que se propongan y finalicen dichas reglas, la Procuraduría General informa que ejercerá discreción en la búsqueda de acciones de cumplimiento, y tendrá en cuenta los esfuerzos de buena fe de un operador para cumplir con NYCDPA de acuerdo con el lenguaje claro del estatuto y esta guía. 

Descargue una versión imprimible de esta guía

La Procuraduría General proporciona orientación con respecto a: 

  • la aplicación de la Ley de Protección de la Privacidad en Línea de los Niños, 15 U.S.C. §§ 6501 et seq, y sus reglamentos de implementación y la orientación relacionada de la Comisión Federal de Comercio (colectivamente, COPPA) a menores de 13 años de edad de conformidad con las restricciones de procesamiento de NYCDPA (N.Y. Gen. Bus. Ley § 899-ff(1)(a)).
  • responsabilidades del operador con respecto a las banderas de edad proporcionadas por el usuario bajo N.Y. Autobús General. Ley § 899-ii(1).
  • "dirigido principalmente a menores" bajo N.Y. Autobús General. Ley § 899-ee(6).
  • "Estrictamente necesario . . . propósitos permisibles" bajo N.Y. Autobús General. Ley §§ 899-ff(2).
  • requisitos para las escuelas, los distritos escolares y sus contratistas externos según NYCDPA.
  • Solicitudes de productos y servicios por parte de los padres.

Esta guía se refiere a "sitio web, servicio en línea, aplicación en línea, aplicación móvil o dispositivo conectado" tal como se usa en NYCDPA[1] colectivamente como "dispositivo o servicio en línea".

Procesamiento bajo NYCDPA y COPPA 

Para niños menores de 13 años, N.Y. Autobús General. La Ley § 899-ff(1)(a) permite el procesamiento permitido por COPPA. En otras palabras, NYCDPA adopta COPPA como el estándar aplicable para el procesamiento de datos para usuarios cubiertos que el operador sabe que tienen 12 años de edad o menos o que están utilizando un dispositivo o servicio en línea dirigido principalmente a usuarios cubiertos de 12 años de edad o menos.[2] Por lo tanto, según la NYCDPA, la COPPA rige para estos usuarios cuándo el procesamiento de datos puede ocurrir sin el consentimiento de los padres, cuándo está prohibido sin el consentimiento de los padres y cómo se puede obtener el consentimiento de los padres. 

Banderas de edad: N.Y. Autobús General. § 899-II(1) 

La Procuraduría General reconoce los posibles matices relacionados con cuándo y cómo un operador puede confiar en una comunicación o señal del dispositivo de un usuario sobre el estado de un usuario como usuario cubierto (una "bandera de edad"). En el futuro, la Procuraduría General promulgará reglas sobre factores o características relevantes que pueden hacer que una bandera de edad sea una que un operador debe respetar según la Ley de Nueva York. Autobús General. Ley § 899-ii(1). Hasta que dichas reglas estén finalizadas y en vigor, la Procuraduría General informa que ejercerá discreción en la búsqueda de acciones de cumplimiento de esta disposición, siempre y cuando los operadores muestren esfuerzos de buena fe para cumplir con todas las demás disposiciones de NYCDPA consistentes con esta guía.  

En particular, un usuario cubierto por la NYCDPA es un usuario que es "realmente conocido por el operador . . . ser menor de edad"[3] y este requisito es independiente de N.Y. Autobús General. Ley § 899-ii(1) que aborda las banderas de edad. Por ejemplo, un operador puede obtener o conocer la edad de un usuario y asociarla a la cuenta de ese usuario. Si el usuario es menor de edad, el operador tiene conocimiento real de que el usuario es un usuario cubierto en cualquier lugar donde el operador pueda reconocer la cuenta del usuario, incluso cuando el usuario inicia sesión en el mismo servicio o producto utilizando diferentes dispositivos o accede a diferentes servicios o productos utilizando las mismas credenciales de inicio de sesión, y debe cumplir con la ley en consecuencia.  

Dirigido principalmente a menores de edad 

En N.Y. Autobús General. Ley § 899-ee(1), un usuario cubierto se define como, inter alia, un usuario que está "utilizando un sitio web, servicio en línea, aplicación en línea, aplicación móvil o dispositivo conectado dirigido principalmente a menores". N.Y. Autobús General. La Ley § 899-ee(6) define "dirigido principalmente a menores" como un dispositivo o servicio en línea, "o una parte del mismo, que está dirigido a menores". 

La Procuraduría General ha recibido consultas sobre el alcance de "dirigido principalmente a menores" bajo NYCDPA, y algunas consultas hacen referencia al estándar "dirigido a niños" bajo COPPA.[4] Para menores de 12 años, N.Y. Autobús General. La Ley § 899-ff(1)(a) permite explícitamente el procesamiento de datos permitido por COPPA. Por lo tanto, cualquier dispositivo o servicio en línea cubierto por el estándar "dirigido principalmente a menores" de la NYCDPA también se encuentra dentro del estándar COPPA "dirigido a niños" y, como se establece anteriormente, sus operadores pueden cumplir con las obligaciones de cumplimiento de la NYCDPA al cumplir con la COPPA.

En el caso de los menores de 13 a 17 años, la Procuraduría General reconoce que muchos dispositivos o servicios en línea de interés general pueden ser visitados por menores de 13 a 17 años o pueden considerar que los menores de 13 a 17 años son un componente de la audiencia, pero no principalmente. En consecuencia, la norma "principalmente dirigida" establecida por la NYCDPA proporciona cierta flexibilidad adicional a los operadores en comparación con la norma de la COPPA para los niños más pequeños.  Los requisitos de la NYCDPA se aplican solo a los dispositivos o servicios en línea, o partes de los mismos, que se pueden delinear como "principalmente dirigidos" o "dirigidos" a menores.

Estrictamente necesario 

NYCDPA generalmente requiere que un usuario cubierto otorgue un consentimiento válido antes de que los datos personales del usuario cubierto puedan ser procesados. Cuando el usuario cubierto tiene entre 13 y 17 años, el procesamiento sin el consentimiento del usuario solo se permite si el procesamiento es "estrictamente necesario" para un propósito expreso enumerado en N.Y. Autobús General. Ley § 899-ff(2) de NYCDPA.[5] Para facilitar el cumplimiento, esta guía responde a las consultas relacionadas con algunos de estos propósitos expresos.  

Proporcionar o mantener un producto o servicio específico solicitado por el usuario cubierto 

Bajo N.Y. Autobús General. Ley § 899-ff(2)(a), el procesamiento "estrictamente necesario" con el propósito de "proporcionar o mantener un producto o servicio específico solicitado por el usuario cubierto" está permitido sin consentimiento. Para acogerse a esta excepción, el tratamiento debe estar relacionado con un producto o servicio "específico" "solicitado por el usuario cubierto", es decir, dentro de las expectativas de un usuario cubierto razonable para un producto o servicio determinado. Por ejemplo, los usuarios de la mayoría de los productos o servicios esperarían razonablemente que el procesamiento de datos personales proporcionara soporte al cliente para que se incluya un producto o servicio. El procesamiento de los datos personales de un usuario cubierto para este propósito generalmente no requeriría el consentimiento por separado del usuario.   

Por otro lado, la mayoría de los usuarios razonables no esperan que los operadores rastreen más de sus actividades en línea de lo necesario para el producto o servicio específico que están utilizando, o que utilicen los datos personales recopilados para fines ajenos a la provisión de ese producto o servicio. Según la NYCDPA, los operadores deben obtener el consentimiento del usuario para dicho procesamiento innecesario. Si un operador comercializa de forma clara y visible su servicio principal como uno que realiza un seguimiento de las actividades específicas de los usuarios para proporcionar un registro de las actividades (por ejemplo, una plataforma de elaboración de presupuestos que realiza un seguimiento de las actividades de gasto con el fin de ofrecer una declaración de gastos mensual), el procesamiento de ese tipo de datos de actividad de los usuarios para ese propósito específico estaría dentro de las expectativas de un usuario razonable de dicho servicio. Por lo tanto, el operador no está obligado a obtener el consentimiento para este procesamiento.  

Sin embargo, un operador no puede eludir N.Y. Autobús General. Ley § 899-ff(1) simplemente comercializando su servicio principal como uno que incluye el seguimiento de los datos personales de un usuario cubierto para respaldar la personalización, como la publicidad conductual o la creación de un perfil sobre un individuo específico para mostrar o priorizar ciertos medios. Además, cualquier dato que el operador recopile y procese en virtud de esta excepción solo puede utilizarse para el propósito esperado (por ejemplo, una plataforma de presupuesto que recopila datos personales no relacionados con el gasto mensual, como las coordenadas GPS en tiempo real de un dispositivo, no puede basarse en esta excepción para procesar los datos personales no relacionados) o de una manera coherente con N.Y. Autobús General. Ley § 899-ff(2). Los datos personales no pueden ser utilizados por el operador, sus procesadores o cualquier operador externo a quien el operador permita recopilar los datos personales, para ningún otro propósito.  

Realización de operaciones comerciales internas 

Además, N.Y. Autobús General. La Ley § 899-ff(2)(b) permite a los operadores procesar datos personales "estrictamente necesarios para . . . llevar a cabo operaciones comerciales internas". La Procuraduría General informa que muchas de las actividades permitidas bajo COPPA con el propósito de "apoyar las operaciones internas del sitio web o servicio en línea" también están permitidas bajo esta sección.[6] La Procuraduría General también aconseja, sin embargo, que a diferencia de COPPA, N.Y. Autobús General. La Ley § 899-ff(2) incluye la condición de que "las operaciones comerciales internas no incluirán ninguna actividad relacionada con el marketing, la publicidad, la investigación y el desarrollo, [o] el suministro de productos o servicios a terceros".  

Protección contra actividades maliciosas, fraudulentas o ilegales 

N.Y. Autobús General. La Ley § 899-ff(2)(d), que aborda la "actividad maliciosa, fraudulenta o ilegal", permite el procesamiento de datos personales para proteger contra el fraude, como la limitación de frecuencia de la publicidad.   

Intereses vitales de una persona física 

Por último, N.Y. Autobús General. La Ley § 899-ff(2)(b), que aborda las "operaciones comerciales internas", junto con N.Y. Autobús General. La Ley § 899-ff(2)(i), que aborda los "intereses vitales de una persona física", permite el procesamiento de datos personales asociados con las políticas de confianza, salud y seguridad del usuario de un dispositivo o servicio en línea sin consentimiento. 

Conclusión para fines permitidos 

Como se discutió anteriormente, la Procuraduría General considerará los esfuerzos de buena fe para cumplir con la ley en el ejercicio de su discreción para hacer cumplir la Ley de Nueva York. Autobús General. Ley § 899-ff(2), en virtud de la cual un operador puede procesar datos personales que sean "estrictamente necesarios" para los fines enumerados sin consentimiento. 

Requisitos para escuelas, distritos escolares y sus contratistas externos 

NYCDPA no interrumpe el marco establecido para la información de identificación personal cubierto por la Ley de Educación de Nueva York (N.Y. Educ. Ley) § 2-d y sus reglamentos de implementación, o la Ley Federal de Privacidad de los Derechos Educativos de la Familia (FERPA), 20 U.S.C. § 1232g, y sus reglamentos de implementación. Estas leyes generalmente permiten que las escuelas y los distritos escolares recopilen y usen "información de identificación personal" (PII, por sus siglas en inglés) en los "registros educativos", según la definición de la Nueva York. Educ. Ley § 2-d(1)(d) y reglamento de aplicación de FERPA, 34 C.F.R. § 99.3,[7] de los estudiantes con fines educativos.[8] Ambas leyes generalmente prohíben el uso comercial de la PII e incluyen otras protecciones.[9] Los terceros con los que las escuelas y los distritos escolares contratan para procesar dicha PII están sujetos a las mismas prohibiciones.[10] COPPA proporciona una superposición para estas leyes, con protecciones específicas para niños menores de 13 años. En virtud de la COPPA, las escuelas pueden dar su consentimiento para que terceros recopilen y procesen datos de sus estudiantes, si y solo si la recopilación y el procesamiento son con fines educativos.[11] Sin embargo, en virtud de la COPPA, los operadores deben obtener el consentimiento de los padres para la recopilación y el procesamiento de datos, ya sea dentro o fuera de las escuelas, que no sean con fines educativos.[12]  

Como se mencionó anteriormente, para niños menores de 13 años, NYCDPA, N.Y. Autobús General. La Ley § 899-ff(1)(a), permite explícitamente el procesamiento de datos que está permitido por la COPPA. NYCDPA aplica el mismo estándar que COPPA sobre cuándo se pueden recopilar y procesar datos de conformidad con la autorización de la escuela, cuándo se prohíbe el procesamiento de datos sin el consentimiento de los padres y cómo se puede obtener el consentimiento de los padres. Por lo tanto, para los niños menores de 13 años, el procesamiento de datos por parte de las escuelas, los distritos escolares y los terceros con los que contratan está permitido por la NYCDPA en la medida en que lo permita la COPPA en el statu quo, incluso bajo la orientación específica con respecto a las escuelas.[13] Una vez más, en este contexto, los operadores aún deben cumplir con N.Y. Educ. Ley § 2-d, y se les prohíbe usar dicha información para cualquier propósito comercial, incluido el marketing, la publicidad u otros fines comerciales no relacionados con la provisión del dispositivo o servicio en línea solicitado por la escuela.  

Para los niños de 13 a 17 años, los requisitos de protección de privacidad de NYCDPA proporcionan una superposición a N.Y. Educ. Ley § 2-d similar a la provista por COPPA para niños menores de 13 años. La PII de los estudiantes puede recopilarse y procesarse de acuerdo con los requisitos establecidos en N.Y. Educ. La Ley § 2-d y sus reglamentos de implementación para fines educativos sin activar el consentimiento informado por separado bajo NYCDPA. Por otro lado, para los datos que se incluyen en la definición de "datos personales" de la NYCDPA[14] pero eso no está sujeto a N.Y. Educ. Ley § 2-d, ya sea porque no es PII o porque no se recopila con fines educativos, un operador debe cumplir con NYCDPA. 

Solicitudes de productos o servicios por parte de los padres para menores de 13 a 17 años[15] 

N.Y. Autobús General. La Ley § 899-ff protege la privacidad de los usuarios cubiertos de 13 a 17 años al prohibir cualquier procesamiento de sus "datos personales" sin el consentimiento del usuario, a menos que dicho procesamiento sea "estrictamente necesario" para un propósito enumerado permitido. Esto incluye el procesamiento de datos personales estrictamente necesarios "para cumplir con las leyes, normas o reglamentos federales, estatales o locales".[16]  

Por lo tanto, la NYCDPA no altera los marcos legales existentes bajo los cuales los padres pueden acordar legalmente o celebrar acuerdos para productos o servicios particulares en nombre de sus hijos. Cuando los padres pueden acordar legalmente un producto o servicio en nombre de su hijo o conjuntamente con él, como servicios de atención médica o ciertos servicios financieros, el procesamiento de datos es estrictamente necesario para un propósito permitido según N.Y. Autobús General. La Ley § 899-ff(2), incluso para proporcionar o mantener ese producto o servicio, está permitida por la NYCDPA sin consentimiento adicional. Como se indica en este documento, el alcance del procesamiento permitido depende en parte de las expectativas del usuario cubierto con respecto al producto o servicio específico en cuestión.  

Cuando el padre acepta un producto o servicio en nombre de un niño, un operador puede considerar que las expectativas del padre con respecto al procesamiento de datos personales son estrictamente necesarias para los fines permitidos. NYCDPA no requiere que un operador obtenga el consentimiento del niño antes de procesar los datos estrictamente necesarios para cumplir con el acuerdo de los padres con el producto o servicio, incluidos los datos personales del niño proporcionados por los padres.[17] Sin embargo, el operador solo debe procesar los datos personales del niño con el fin de proporcionar el producto o servicio específico acordado con el padre. Si el operador desea procesar los datos personales del niño para fines que no son estrictamente necesarios para ese producto o servicio específico, el operador primero deberá obtener el consentimiento del niño de conformidad con la NYCDPA.   

La Procuraduría General reconoce que muchas leyes permiten a los padres ejercer derechos en nombre de sus hijos y ejercerá discreción en la búsqueda de acciones de cumplimiento contra los operadores que hacen esfuerzos de buena fe para cumplir con todas las leyes aplicables. Sin embargo, la Procuraduría General advierte que los operadores deben cumplir con la NYCDPA, y que los derechos que la NYCDPA otorga a los menores de 13 a 17 años para controlar el procesamiento de sus datos personales no pueden ignorarse a la ligera. 

[1] Por ejemplo, N.Y. Autobús General. Ley § 899-ff(1).

[2] Véase, infra, pág. 2 ("Dirigido principalmente a menores") y N.Y. Autobús General. Ley § 899-ll(3) ("Nada de lo dispuesto en este artículo se interpretará en el sentido de imponer responsabilidad por actividades comerciales o acciones de operadores sujetos a 15 U.S.C. § 6501 que sea incompatible con el tratamiento de dichas actividades o acciones bajo 15 U.S.C. § 6502").

[3] N.Y. Autobús General. Ley § 899-ee(1)(a).

[4] C.F.R. 16 § 312.2 

[5] Como se indicó anteriormente, para los usuarios menores de 12 años, la CDPA aplica los estándares de COPPA para determinar si el procesamiento de datos es permisible, incluidas las circunstancias bajo las cuales el procesamiento puede realizarse sin el consentimiento de los padres.

[6] C.F.R. 16 § 312.2; véase también 16 C.F.R. § 312.5(c)(7)-(8). Véase, en general, Comisión Federal de Comercio, Cumplimiento de COPPA: Preguntas Frecuentes: Guía para Empresas y Padres y Guía de Cumplimiento de Pequeñas Entidadeshttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions (última visita el 5 de mayo de 2025), y especialmente, id. en la Sección J. Excepciones al Consentimiento Previo de los Padres.

[7] Por lo general, se trata de información vinculada a un estudiante específico. N.Y. Comp. Códigos R. y Regs. teta. 8, § 121.1(f),(m) (haciendo referencia a las disposiciones de la FERPA y sus reglamentos de aplicación).

[8] N.Y. Comp. Códigos R. y Regs. teta. 8, § 121.5(c) (el uso debe "beneficiar a los estudiantes y a la agencia educativa (por ejemplo, mejorar el rendimiento académico, empoderar a los padres y estudiantes con información, y/o promover operaciones escolares eficientes y efectivas)"); véase también N.Y. Educ. Ley § 2-d(5)(b)(1); 20 U.S.C. § 1232g(a)(4)(A).

[9] N.Y. Educ. Ley § 2-d(3)(b)(1); Departamento de Educación del Estado de Nueva York, Memorándum Comercial y de Marketinghttps://www.nysed.gov/sites/default/files/programs/data-privacy-security/c-m-june-2023-guidance-final.pdf (última visita el 5 de mayo de 2025) en 2 (los datos cubiertos no se pueden utilizar "para publicidad o para desarrollar, mejorar o comercializar productos o servicios para los estudiantes"). Consulte 34 C.F.R. § 99.30 (que requiere el consentimiento de los padres o estudiantes para divulgar PII, excepto según lo permitan expresamente otras disposiciones de FERPA) y 20 U.S.C. § 1232g(b) (que requiere el consentimiento de los padres o estudiantes para divulgar PII, excepto según lo expresamente permitido por otras disposiciones de FERPA).  

[10] Nueva York. Educ. Ley 2-d § 5(f).

[11] Comisión Federal de Comercio, Cumplimiento de COPPA: Preguntas frecuentes: una guía para empresas y padres y guía de cumplimiento de pequeñas entidadeshttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions (última visita el 5 de mayo de 2025).

[12] Comisión Federal de Comercio, Comunicado de prensa: La FTC dice que el proveedor de tecnología educativa Edmodo utilizó ilegalmente la información personal de los niños para publicidad y subcontrató el cumplimiento a los distritos escolares, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ed-tech-provider-edmodo-unlawfully-used-childrens-personal-information-advertising (última visita el 5 de mayo de 2025).

[13] Ver Comisión Federal de Comercio, Cumplimiento de COPPA: Preguntas Frecuentes: Guía para Empresas y Padres y Guía de Cumplimiento de Pequeñas Entidadeshttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions (última visita el 5 de mayo de 2025); Comisión Federal de Comercio, Declaración de política de la Comisión Federal de Comercio sobre Tecnología Educativa y la Ley de Protección de la Privacidad en Línea de los Niños, https://www.ftc.gov/system/files/ftc_gov/pdf/Policy%20Statement%20of%20the%20Federal%20Trade%20Commission%20on%20Education%20Technology.pdf (última visita el 5 de mayo de 2025).

[14] N.Y. Autobús General. Ley § 899-ee(4) (definida como "datos que identifican o podrían vincularse razonablemente, directa o indirectamente, con una persona física o dispositivo"). 

[15] Como se indica más adelante, para los menores de 13 años, se aplica el estándar descrito en COPPA.

[16] N.Y. Autobús General. Ley § 899-ff(2)(f).

[17] La ley federal o estatal aplicable puede imponer sus propios requisitos sobre cómo el operador maneja la solicitud de los padres, y dichos requisitos continúan aplicándose. El cumplimiento de la NYCDPA no es una defensa contra la violación de otras leyes.  Por ejemplo, OAG espera que cualquier tercero contratado por una agencia educativa dentro del significado de N.Y. Educ. Ley § 2-d para continuar cumpliendo con las disposiciones de N.Y. Educ. Ley § 2-d y sus reglamentos de aplicación con respecto a los derechos de los padres y los avisos.