Privacidad de menores: Michigan aprueba leyes contra el rastreo de Big Tech

El panorama digital para las nuevas generaciones ha alcanzado un punto de inflexión legislativo sin precedentes. El 29 de abril de 2026, el Senado de Michigan marcó un hito al aprobar el paquete de leyes “Kids Over Clicks”, una ofensiva regulatoria diseñada para desmantelar el modelo de negocio extractivo de las grandes tecnológicas (Big Tech) en relación con los usuarios más jóvenes. Esta legislación, que incluye los proyectos de ley del Senado (SB) 757, 758, 759 y 760, no es simplemente un conjunto de directrices éticas; es una reingeniería obligatoria de cómo las plataformas deben gestionar la privacidad de menores y la arquitectura de sus algoritmos.

La urgencia de esta medida responde a una crisis de salud pública digital. Con la aprobación de este paquete, Michigan se une a una vanguardia de estados que buscan mitigar los efectos de la economía de la atención, donde el rastro de metadatos de un niño se convierte en la moneda de cambio para algoritmos de recomendación altamente adictivos. La premisa es clara: los derechos de los niños a un entorno digital seguro deben prevalecer sobre las métricas de “engagement” y los márgenes de beneficio trimestrales de Silicon Valley.

La anatomía de “Kids Over Clicks”: Un blindaje para la privacidad de menores

El paquete legislativo se divide en tres pilares fundamentales que atacan diferentes frentes del ecosistema digital actual. Cada uno de estos pilares introduce requisitos técnicos estrictos que obligarán a las plataformas a realizar cambios estructurales en su código y en sus políticas de recolección de datos.

1. La Ley SAFE for Kids (SB 757): Desmantelando el algoritmo adictivo

La Stop Addictive Feeds Exploitation (SAFE) for Kids Act ataca el corazón del problema: el feed algorítmico. Bajo esta ley, las plataformas tienen prohibido ofrecer “feeds adictivos” —definidos como aquellos que utilizan datos personales del usuario para priorizar contenido— a menores de 18 años sin el consentimiento explícito y verificable de los padres. Técnicamente, esto significa que, por defecto, los menores deberán ver feeds cronológicos o basados exclusivamente en cuentas que ellos mismos han decidido seguir de forma proactiva, eliminando la recomendación automatizada que explota vulnerabilidades cognitivas.

2. El “Kids Code” (SB 758 y 759): Privacidad por diseño y por defecto

Inspirado en estándares internacionales como el Código de Diseño Apropiado para la Edad del Reino Unido y leyes similares en California, este componente exige que las plataformas configuren la privacidad de menores en su nivel más alto de forma predeterminada. Esto incluye:

• Minimización extrema de datos: Las empresas solo pueden recopilar y almacenar la cantidad “absolutamente mínima” de datos personales necesarios para verificar la edad del usuario. Una vez cumplido este propósito, los datos deben ser eliminados o anonimizados mediante técnicas de hashing avanzado.
• Bloqueo de geolocalización: El rastreo de la ubicación precisa debe estar desactivado por defecto, evitando que las empresas generen perfiles de movimiento de los menores.
• Prohibición de publicidad dirigida: Se veta cualquier forma de marketing basado en el comportamiento, el historial de navegación o las inferencias algorítmicas sobre la personalidad del menor.

3. La Ley LEAD for Kids (SB 760): Regulando la frontera de la Inteligencia Artificial

Quizás el avance más innovador es la Leading Ethical AI Development (LEAD) for Kids Act. Esta ley reconoce el riesgo emergente de los chatbots de IA y los compañeros virtuales. Michigan se convierte en uno de los primeros estados en exigir que los sistemas de IA generativa sean inaccesibles para niños si no cuentan con salvaguardas que prevengan interacciones que fomenten el autodaño, actividades ilegales o interacciones sexualmente explícitas. Las empresas de IA ahora son legalmente responsables si sus modelos eluden estas restricciones y causan daño a un menor.

El fin de la notificación invasiva y la “economía del insomnio”

Uno de los aspectos más pragmáticos y celebrados de la legislación es el control sobre las notificaciones push. La ley establece “toques de queda digitales” técnicos que las plataformas deben implementar obligatoriamente. A menos que un padre configure lo contrario, las aplicaciones no podrán enviar notificaciones a cuentas de menores en los siguientes horarios:

1. Horario nocturno: De 10:00 PM a 6:00 AM, con el objetivo de proteger el ciclo de sueño y reducir la ansiedad nocturna.
2. Horario escolar: De 8:00 AM a 4:00 PM durante los días lectivos, minimizando las distracciones en el entorno educativo.

Esta medida no es solo estética; requiere que las plataformas implementen lógica de servidor capaz de identificar la zona horaria del usuario y el calendario escolar local, integrando estas variables en sus sistemas de entrega de notificaciones (push notification services). Es un golpe directo a la privacidad de menores entendida como el derecho a no ser perturbado en momentos críticos de su desarrollo.

Desafíos técnicos: Verificación de edad y el dilema de los metadatos

La implementación de estas leyes plantea un desafío técnico monumental: ¿Cómo verificar la edad sin comprometer aún más la privacidad? La industria tecnológica ha argumentado frecuentemente que para cumplir con estas leyes, necesitan recolectar más datos (como identificaciones gubernamentales o escaneos biométricos), lo cual parece contradictorio con el espíritu de la privacidad de menores.

Sin embargo, la legislación de Michigan apunta hacia soluciones de vanguardia como:

• Zero-Knowledge Proofs (ZKP): Tecnologías que permiten verificar que un usuario es mayor de cierta edad sin revelar su fecha de nacimiento exacta ni su identidad real a la plataforma.
• Double-Blind Verification: El uso de terceros independientes que validan la edad y envían una señal binaria (Sí/No) a la red social, asegurando que la plataforma nunca posea los documentos de identidad del menor.
• Estimación de edad por IA: El uso de análisis de patrones de comportamiento y procesamiento de lenguaje natural local (on-device) para estimar la madurez del usuario sin que los datos salgan del dispositivo.

El paquete “Kids Over Clicks” es enfático en que el incumplimiento de la minimización de datos durante este proceso de verificación será castigado con la misma severidad que las violaciones directas de privacidad.

Régimen de sanciones: Un costo real para el incumplimiento

A diferencia de regulaciones anteriores que resultaban en multas insignificantes para gigantes con ingresos de miles de millones, Michigan ha establecido un esquema de penalizaciones escalonado y acumulativo. A partir del 1 de enero de 2027, las multas máximas ascenderán hasta los $50,000 por violación.

Es importante notar que el concepto de “violación” puede interpretarse de manera granular. Si una plataforma envía una notificación prohibida a un millón de usuarios menores en Michigan, las multas podrían alcanzar cifras astronómicas, forzando a los departamentos legales y técnicos a priorizar la seguridad del producto sobre su crecimiento agresivo. Además, la ley otorga a la Fiscalía General de Michigan facultades de auditoría sobre los algoritmos, permitiendo inspecciones técnicas para verificar que los feeds “adictivos” hayan sido efectivamente desactivados para los menores.

Comparativa estratégica: Michigan frente al resto del mundo

La privacidad de menores en Michigan ahora se alinea con los estándares más estrictos del mundo, superando en algunos aspectos a la ley federal COPPA de 1998, que muchos consideran obsoleta en la era de la IA generativa. Mientras que COPPA se centra principalmente en niños menores de 13 años, “Kids Over Clicks” extiende protecciones robustas hasta los 18 años, reconociendo que los adolescentes son igualmente vulnerables a la manipulación algorítmica.

En comparación con la Age-Appropriate Design Code de California, Michigan introduce sanciones financieras más directas y un enfoque más agresivo contra los chatbots de IA. Este movimiento legislativo crea una presión adicional sobre el Congreso de los Estados Unidos para establecer un estándar federal, evitando que las empresas tengan que lidiar con un mosaico de leyes estatales divergentes, aunque Michigan ha dejado claro que no esperará a Washington para proteger a sus ciudadanos.

Hacia una soberanía digital para los padres

El núcleo de esta legislación es devolver la autonomía a las familias. Las nuevas herramientas de auditoría parental exigidas por las leyes SB 758 y 759 permiten que los padres no solo vean la configuración de privacidad, sino que reciban informes detallados sobre el tiempo de uso, el tipo de contenido interactuado y, lo más importante, la capacidad de bloquear funciones específicas sin tener que cerrar la cuenta por completo.

Este enfoque de “granularidad de control” permite una transición gradual hacia la vida digital, permitiendo que los jóvenes ganen libertades a medida que demuestran madurez, siempre bajo un paraguas de seguridad técnica garantizado por la ley. La privacidad de menores deja de ser una responsabilidad exclusiva del individuo para convertirse en una obligación de diseño del proveedor de servicios.

En conclusión, el paquete “Kids Over Clicks” representa un cambio de paradigma. Ya no se trata de pedir permiso a las Big Tech para proteger a nuestros hijos; se trata de dictar las reglas de ingeniería bajo las cuales se les permite operar en el estado de Michigan. Para los desarrolladores, arquitectos de datos y especialistas en marketing, el mensaje es unívoco: la era del rastro de metadatos indiscriminado de los menores ha terminado. La innovación ahora debe centrarse en la seguridad, la transparencia y el respeto absoluto por la integridad mental de la próxima generación.