Más allá de COPPA: cómo las leyes estatales de privacidad estudiantil en EE. UU. (SOPIPA y otras) tratan las imágenes de niños

Łukasz Bonczol
Publicado: 1/6/2026

La anonimización de datos visuales consiste en modificar fotos o vídeos para que las personas u otros identificadores visibles dejen de ser directamente reconocibles en el material publicado. En el ámbito escolar y en las publicaciones EdTech, las técnicas más habituales son el difuminado de rostros, que oculta la cara de un estudiante, y el difuminado de matrículas, que oculta las placas de vehículos visibles en grabaciones del campus, fotos de excursiones, vídeos de aparcamientos o grabaciones de eventos públicos.

Este artículo no constituye asesoramiento jurídico. Explica un enfoque habitual de cumplimiento normativo para organizaciones que publican imágenes o vídeos en los que aparecen niños y estudiantes en Estados Unidos. El punto clave es práctico: COPPA es importante, pero los operadores K-12 que trabajan en varios estados no pueden limitarse a COPPA. Las leyes estatales de privacidad estudiantil suelen imponer expectativas más estrictas a los operadores que recopilan, utilizan, divulgan o comparten material visual vinculado a estudiantes.

Qué cubre COPPA cuando los niños aparecen en fotos y vídeos

La Children’s Online Privacy Protection Act y la COPPA Rule se aplican a los operadores de sitios web y servicios en línea dirigidos a niños menores de 13 años, así como a los operadores que tienen conocimiento efectivo de que recopilan información personal de niños menores de 13 años [1]. COPPA es una ley federal, por lo que establece una base nacional para los servicios en línea cubiertos.

En la publicación de contenido visual, el detalle importante es que la COPPA Rule define la información personal de forma que incluye una fotografía, un vídeo o un archivo de audio que contenga la imagen o la voz de un niño [1]. Esto significa que un servicio en línea que recopila, utiliza o divulga imágenes identificables de niños no puede tratar la imagen como un simple recurso multimedia inocuo solo porque no muestre un nombre o una dirección de correo electrónico.

COPPA es más fuerte cuando el operador recopila información personal de niños menores de 13 años a través de un servicio en línea. Sin embargo, resulta menos completa como regla general de publicación para todos los medios relacionados con la escuela. Un proveedor K-12 también puede operar con el consentimiento de la escuela en contextos educativos limitados, pero eso no cubre automáticamente el marketing, las relaciones públicas, los estudios de caso públicos, las publicaciones en redes sociales ni la reutilización promocional amplia [2]. Esos escenarios requieren una revisión independiente.

Por qué las leyes estatales de privacidad estudiantil importan más allá de COPPA

Las leyes estatales de privacidad estudiantil suelen centrarse en operadores, proveedores de servicios y vendedores que manejan información de estudiantes con fines escolares. A menudo restringen la publicidad dirigida, la elaboración de perfiles, la venta de información estudiantil, la divulgación no autorizada y la conservación de datos. Muchas de estas normas se redactaron pensando en servicios en línea, plataformas de aprendizaje, sistemas en la nube y herramientas digitales, pero sus definiciones pueden alcanzar datos visuales vinculados a estudiantes.

La SOPIPA de California es el ejemplo más conocido. Regula a los operadores de sitios web, servicios en línea, aplicaciones en línea o aplicaciones móviles utilizados principalmente para fines escolares K-12 y diseñados y comercializados con fines K-12. Restringe la publicidad dirigida, la creación de determinados perfiles de estudiantes, la venta de información cubierta y la divulgación no autorizada [3]. Una imagen de un estudiante puede quedar cubierta cuando se proporciona a través del servicio, está vinculada a una cuenta de estudiante, se asocia a una actividad del aula o está conectada de otro modo con información estudiantil.

Otros estados siguen una lógica política similar, aunque no con una redacción idéntica. La SOPPA de Illinois es especialmente relevante porque el contenido generado por estudiantes puede incluir expresamente fotografías y archivos de audio, y la información biométrica puede incluir huellas de voz y características faciales [4]. La Education Law 2-d de Nueva York y sus normas de implementación se centran en la información de identificación personal, los datos de estudiantes, los contratos, la seguridad y los derechos de los padres [5]. Las leyes de Colorado y Connecticut también regulan la información de identificación personal de estudiantes y las responsabilidades de los operadores [6], [7]. Texas cuenta con un marco de protección de la información estudiantil con restricciones sobre información cubierta, publicidad dirigida, elaboración de perfiles, venta y divulgación [8].

El resultado para los operadores que trabajan en varios estados es sencillo, pero exigente: una foto o un vídeo que presenta bajo riesgo según la redacción de un estado puede seguir tratándose como información estudiantil regulada conforme a una definición más amplia o a requisitos contractuales de otro estado.

Un hombre escribe complejas fórmulas matemáticas y químicas en una pizarra grande, rodeado de gráficos y ecuaciones.

Comparativa de estados de EE. UU. sobre imágenes de estudiantes en fotos y vídeo

Jurisdicción

Marco relevante de privacidad estudiantil

Cómo pueden tratarse las imágenes de niños

Riesgo de publicación para fotos y vídeos

Base federal de COPPA

 

California

SOPIPA, Cal. Bus. & Prof. Code § 22584

Las imágenes pueden entrar dentro de la información cubierta cuando se crean, proporcionan o recopilan a través de un servicio K-12 y están vinculadas a un estudiante o a un fin escolar.

Alto cuando las imágenes se utilizan para anuncios, perfiles, testimonios, redes sociales, marketing de proveedores o divulgación fuera del fin escolar.

COPPA cubre fotos y vídeos de niños menores de 13 años recopilados por servicios en línea dirigidos a niños o con conocimiento efectivo.

Illinois

Student Online Personal Protection Act, 105 ILCS 85

El contenido generado por estudiantes puede incluir fotografías y archivos de audio, lo que hace que los medios visuales y de audio sean directamente relevantes.

Alto para medios identificables de estudiantes almacenados en plataformas, utilizados en estudios de caso o divulgados a terceros sin la base requerida.

COPPA sigue aplicándose a la recopilación en línea de datos de menores de 13 años, pero Illinois puede ser más explícito respecto de fotos y archivos de audio de estudiantes.

Nueva York

Education Law § 2-d y 8 NYCRR Part 121

Las imágenes pueden ser relevantes cuando constituyen información de identificación personal o forman parte de datos estudiantiles protegidos gestionados por un proveedor o un sistema escolar.

Alto cuando los contratos, controles de seguridad, derechos de los padres o límites de divulgación se aplican al flujo de trabajo de medios.

COPPA no sustituye las obligaciones contractuales y de datos estudiantiles de Nueva York.

Colorado

Student Data Transparency and Security Act

Los medios visuales pueden tratarse como información de identificación personal de estudiantes cuando están vinculados a un expediente de estudiante, una cuenta, una actividad del aula o el uso de un servicio.

Medio a alto, según si la imagen está conectada con datos estudiantiles y si el operador la utiliza más allá del fin educativo.

COPPA es más limitada porque se centra en la recopilación en línea de datos de niños menores de 13 años.

Connecticut

Leyes de privacidad de datos estudiantiles, Conn. Gen. Stat. §§ 10-234aa a 10-234dd

Las imágenes pueden convertirse en información estudiantil, expedientes de estudiantes o contenido generado por estudiantes en función del contexto y del uso de la plataforma.

Medio a alto para proveedores EdTech, especialmente cuando se activan obligaciones de eliminación, seguridad, contrato o nueva divulgación.

COPPA sigue siendo un suelo federal, no un marco completo de publicación.

Texas

Texas Education Code, Chapter 32, Subchapter D

El material visual vinculado a estudiantes puede estar cubierto cuando lo gestiona un operador en relación con fines escolares K-12.

Medio a alto cuando los medios se utilizan para publicidad, elaboración de perfiles, venta o divulgación más allá de los fines autorizados.

COPPA solo se aplica cuando se cumplen sus criterios relativos a servicios en línea y menores de 13 años.

El difuminado de rostros como base para el estado aplicable más estricto

El difuminado de rostros no es un escudo mágico. Un difuminado de baja calidad, la voz restante, camisetas con nombres, pantallas visibles, tatuajes, credenciales o pistas contextuales pueden seguir identificando a un estudiante. No obstante, en los flujos de publicación, redactar u ocultar los rostros antes de la publicación externa es una base defendible cuando una empresa, distrito escolar, agencia o proveedor no necesita la identidad del niño para comunicar la historia.

La misma lógica se aplica al difuminado de matrículas en vídeos relacionados con entornos escolares. Las matrículas quizá no sean el núcleo de las leyes de privacidad estudiantil, pero las placas visibles en zonas de recogida, aparcamientos, autobuses o calles residenciales pueden identificar por contexto a familias, personal o estudiantes. En medios de cara al público, la pregunta empresarial es si la matrícula es necesaria. Normalmente, no lo es.

Las organizaciones suelen documentar justificaciones de publicación limitadas antes de decidir no difuminar a una persona:

  1. la persona es una figura pública,
  2. la imagen de la persona forma parte de una escena más amplia, especialmente de un evento abierto a las familias o al público, como un concierto, un evento deportivo o una ceremonia,
  3. la persona, o en el caso de un menor su padre, madre o tutor legal, otorgó una autorización o cesión válida para el uso de la imagen.

En el caso de niños y estudiantes, cada justificación sigue dependiendo del contexto y no debe tratarse como un atajo para eludir COPPA, las leyes estatales de privacidad estudiantil, las políticas escolares o las expectativas de los padres.

Un mapa en blanco y negro de los estados del sur de Estados Unidos, cubierto de numerosas chinchetas. Alabama se ve claramente, rodeada por un grupo de chinchetas.

Qué debe y qué no debe prometer la anonimización de datos visuales

Un flujo de trabajo de redacción útil separa la detección automática de la revisión humana. Gallio PRO permite la anonimización de datos visuales en fotos y vídeos mediante la detección y el difuminado automáticos de rostros y matrículas. Está diseñado para archivos, no para anonimización en tiempo real ni para anonimización de transmisiones de vídeo.

La limitación importa. La detección automática cubre únicamente rostros y matrículas. No detecta automáticamente logotipos, tatuajes, etiquetas con nombres, documentos, carteles del aula, pizarras ni contenido visible en pantallas de monitores. Esos elementos aún pueden identificar a un estudiante o revelar un contexto escolar. Deben revisarse manualmente cuando sea pertinente.

Por tanto, la edición manual forma parte del control, no es una ocurrencia tardía. Un revisor puede utilizar el editor integrado para difuminar elementos visibles adicionales que el proceso automático no está diseñado para detectar. Los equipos que necesitan redactar eventos escolares grabados, imágenes de pasillos, entrevistas a estudiantes o vídeos del campus pueden revisar un flujo práctico de anonimización de vídeo antes de elegir un modelo de implementación.

Para casos de uso K-12 sensibles, el software on-premise también puede ser importante. El software on-premise significa que la herramienta de redacción se ejecuta dentro de la infraestructura propia de la organización, en lugar de enviar por defecto los archivos multimedia a un servicio externo en la nube. Este modelo puede ayudar a los equipos de privacidad, TI y compras a reducir los puntos de transferencia y alinearse con expectativas más estrictas de riesgo de proveedores. Gallio PRO no almacena registros que contengan datos de detección ni datos personales.

Un flujo de trabajo práctico para operadores EdTech y K-12 en varios estados

  1. Primero, identifique el propósito de publicación. Un archivo de aula, un portal para padres, un boletín del distrito, un sitio web público, un estudio de caso de un proveedor y una campaña social de pago no implican el mismo riesgo.
  2. Segundo, clasifique el material visual. Compruebe si son visibles rostros, voces, matrículas, uniformes escolares, etiquetas con nombres, pantallas, carteles, pistas de ubicación o atributos únicos de estudiantes.
  3. Tercero, mapee los estados implicados. Un proveedor que presta servicio en California, Illinois, Nueva York, Colorado, Connecticut y Texas no debería aplicar solo la regla más estrecha. La base operativa debe reflejar el estado aplicable más estricto y las condiciones contractuales con los distritos escolares.
  4. Cuarto, aplique difuminado de rostros y difuminado de matrículas antes de la publicación, salvo que la imagen identificable sea necesaria y esté debidamente autorizada. Cuando la imagen solo se utiliza para mostrar un aula, un evento, una interfaz de producto, una instalación escolar o una actividad, los rostros identificables rara vez aportan valor.
  5. Quinto, realice una revisión manual de los elementos fuera de la detección automática. Logotipos, tatuajes, etiquetas con nombres, documentos y contenido de monitores requieren atención humana porque no se detectan automáticamente.
  6. Sexto, conserve un registro sencillo de la decisión. El registro debe indicar qué se publicó, qué se difuminó, quién aprobó la publicación y por qué cualquier imagen visible de un estudiante permaneció sin redactar.

Los equipos que quieran probar este flujo de trabajo basado en archivos pueden descargar la versión de demostración y evaluarla con fotos y vídeos representativos antes de utilizarla en producción.

Un portátil sobre un escritorio de madera, rodeado de una taza de café, documentos y un bolígrafo.

Cuándo suele ser necesaria una consulta individual

La revisión individual suele ser necesaria cuando un proveedor publica historias de clientes escolares, cuando un distrito difunde vídeo de cámaras de seguridad, cuando una agencia estatal publica grabaciones de programas juveniles o cuando una empresa quiere una configuración on-premise para medios sensibles. En esos casos, los equipos de asesoría de privacidad, compras, seguridad de TI y comunicaciones deben acordar el mismo estándar de publicación antes del lanzamiento.

Para implementaciones empresariales, configuración on-premise o un caso específico de cumplimiento normativo en varios estados, las organizaciones pueden ponerse en contacto para hablar sobre la configuración operativa.

Conclusión clave sobre la publicación de imágenes de niños en Estados Unidos

COPPA trata expresamente las fotos y vídeos que contienen la imagen o la voz de un niño como información personal cuando son recopilados por servicios en línea cubiertos. Las leyes estatales de privacidad estudiantil añaden después otra capa, especialmente para operadores y proveedores K-12. La SOPIPA de California, la SOPPA de Illinois, la Education Law 2-d de Nueva York y las leyes de Colorado, Connecticut y Texas no utilizan una redacción idéntica, pero apuntan en la misma dirección: los medios visuales vinculados a estudiantes no deben reutilizarse, divulgarse, emplearse para perfiles, venderse ni publicarse de manera informal.

Para operadores que trabajan en varios estados, el hábito operativo más seguro no es preguntarse si una ley concreta dice literalmente “foto” en cada cláusula. La mejor práctica empresarial consiste en preguntarse si la imagen identifica a un estudiante, si el propósito de publicación exige esa identificación y si la redacción puede lograr el mismo objetivo de comunicación con menos riesgo para la privacidad.

Un signo de interrogación formado por pequeñas cuentas sobre una superficie de madera rayada. Imagen en blanco y negro.

Preguntas frecuentes: COPPA, leyes estatales de privacidad estudiantil e imágenes de niños

¿COPPA se aplica a todas las fotos escolares?

No. COPPA se aplica a servicios en línea cubiertos dirigidos a niños menores de 13 años o a servicios con conocimiento efectivo de que recopilan información personal de niños menores de 13 años. Una foto escolar puede seguir estando regulada por una ley estatal de privacidad estudiantil, una política escolar, condiciones contractuales u otras normas, incluso cuando COPPA no sea el asunto central.

¿Los rostros de niños son información personal según COPPA?

Sí, cuando se aplica la COPPA Rule. La norma incluye una fotografía, un vídeo o un archivo de audio que contenga la imagen o la voz de un niño dentro de la definición de información personal [1].

¿El difuminado de rostros hace que una foto de un estudiante sea totalmente anónima?

No siempre. El difuminado de rostros reduce la identificabilidad, pero pueden permanecer otras pistas visuales. Camisetas deportivas, etiquetas con nombres, tatuajes, pantallas del aula, pancartas escolares, pistas de ubicación y la voz aún pueden identificar a un estudiante. El resultado depende del contexto.

¿Las leyes estatales de privacidad estudiantil mencionan expresamente las fotos?

Algunas sí, y otras utilizan conceptos más amplios. La SOPPA de Illinois enumera expresamente las fotografías como un tipo de contenido generado por estudiantes y también cubre determinados archivos de audio [4]. Otras leyes estatales pueden abarcar imágenes cuando están vinculadas a datos de estudiantes, cuentas de estudiantes, servicios escolares o expedientes educativos.

¿Deben difuminarse las matrículas en vídeos escolares?

A menudo, sí, como práctica empresarial. Las matrículas visibles en aparcamientos escolares, zonas de recogida, excursiones o grabaciones de barrios pueden identificar por contexto a familias o estudiantes. Si la matrícula no es necesaria para el propósito de publicación, difuminarla suele ser una medida sencilla para reducir el riesgo.

¿Puede un software automático difuminar todo lo que podría identificar a un estudiante?

No. En Gallio PRO, la detección automática cubre únicamente rostros y matrículas. Logotipos, tatuajes, etiquetas con nombres, documentos, carteles y contenido de pantallas requieren revisión manual y, cuando sea necesario, difuminado manual.

Lista de referencias

  1. Children’s Online Privacy Protection Act, 15 U.S.C. §§ 6501-6506; Children’s Online Privacy Protection Rule, 16 C.F.R. Part 312.
  2. Federal Trade Commission, Complying with COPPA: Frequently Asked Questions, incluida la orientación sobre fotos, vídeos, grabacionesde audio y consentimiento escolar.
  3. California Business and Professions Code § 22584, Student Online Personal Information Protection Act.
  4. Illinois Student Online Personal Protection Act, 105 ILCS 85.
  5. New York Education Law § 2-d; 8 NYCRR Part 121.
  6. Colorado Student Data Transparency and Security Act, Colorado Revised Statutes §§ 22-16-101 a 22-16-112.
  7. Connecticut General Statutes §§ 10-234aa a 10-234dd, disposiciones sobre privacidad de datos estudiantiles.
  8. Texas Education Code, Chapter 32, Subchapter D, disposiciones sobre protección de información estudiantil.