LA ERA DIGITAL Y LA PROTECCIÓN DE DATOS PERSONALES: ¿UN ESCENARIO MÁS RIESGOSO PARA LOS MENORES DE EDAD?

Por: María José Franco Arango*

La inteligencia artificial (IA) se ha consolidado como una herramienta de uso cotidiano, presente en diferentes contextos, desde la educación y el entretenimiento hasta la gestión empresarial. Pese a su utilización, persisten importantes vacíos en el entendimiento social y jurídico de los riesgos asociados a su implementación. 

Los sistemas chatbot de IA se basan en grandes modelos lingüísticos. Un modelo lingüístico es una técnica de aprendizaje automático que utiliza una gran cantidad de textos disponibles, como artículos de Wikipedia y PubMed, para aprender patrones y generar nuevos textos a partir de ellos^[1].  Estos sistemas de inteligencia artificial recopilan información a partir de diversas fuentes, entre ellas los datos disponibles en internet y aquellos que son suministrados directamente por los propios usuarios en el marco de la interacción.

Uno de los principales conflictos radica en el manejo de la información que estos sistemas recopilan, donde los usuarios introducen datos voluntariamente y, en la mayoría de casos, sin conciencia de las consecuencias que esto conlleva.  No obstante, surge la necesidad de cuestionar qué sucede con los datos que entregamos a estas plataformas, particularmente cuando se trata de información relativa a menores de edad.

El presente texto tiene como objetivo analizar el destino de dicha información una vez es ingresada en los chats de IA, examinar las políticas de tratamiento de datos personales que aplican estas herramientas y explorar los posibles usos que terceros pueden llegar a dar a esa información.

¿Qué ocurre con la información que proporcionamos a los chats de IA?

ChatGPT se ha consolidado como uno de los chats de inteligencia artificial más utilizados en la actualidad, lo que hace indispensable comprender cómo se gestionan los datos personales de los usuarios. 

Dentro de los distintos usos que la plataforma da a esta información, uno de los más relevantes es su empleo para mejorar y desarrollar los servicios, así como para realizar actividades de investigación orientadas a crear nuevas funciones o perfeccionar las existentes^[2]. Esto significa que, aunque el acceso a ChatGPT en su versión gratuita no tenga un costo económico directo, sí existe un intercambio en el que los datos proporcionados por los usuarios se convierten en un recurso valioso para la compañía, teniendo en cuenta su uso.

En relación con los menores de edad, ChatGPT establece en su política de privacidad que sus servicios no están dirigidos a menores de 13 años y que no recopila de manera intencional datos personales de esta población^[3]. La empresa declara que no recolecta información de menores de manera intencional; sin embargo, en la práctica, aunque no exista la intención de recibir estos datos, terminan siendo recolectados. Esto ocurre porque resulta difícil, por no decir imposible, controlar de forma efectiva el acceso de niños y adolescentes a los chats de inteligencia artificial.

Por otro lado, dentro de los servicios de inteligencia artificial generativa más usados se encuentra Gemini, desarrollado por Google. En sus políticas de privacidad se establece que los datos personales de los usuarios también son empleados para optimizar la experiencia, de manera similar a lo que ocurre con ChatGPT. Asimismo, se precisa que revisores humanos, incluidos proveedores de servicios capacitados por Google, analizan un subconjunto de conversaciones con el fin de contribuir al perfeccionamiento de los servicios. Estos abarcan tanto los modelos de Gemini como otros sistemas de IA generativa que respaldan las aplicaciones vinculadas a esta tecnología, así como herramientas diseñadas para reducir activaciones accidentales^[4].

En consecuencia, se reconoce expresamente que terceros pueden acceder a la información suministrada en las interacciones. De igual modo, se advierte que, si el usuario no desea que sus conversaciones sean revisadas por personas externas, debe desactivar dicha función a través de la configuración de la aplicación.

En múltiples ocasiones, los chats de inteligencia artificial no se utilizan únicamente con fines laborales o académicos, sino también en contextos de carácter personal. Por ejemplo  alguien que usa un chatbot terapéutico para hablar de sus problemas personales o un asistente virtual para registrar un diario emocional. El contenido de esas conversaciones — temores, secretos, ideas íntimas— queda registrado en servidores en la nube^[5].  El uso de estos sistemas en ámbitos íntimos plantea riesgos significativos en materia de privacidad y protección de datos, lo que exige una mayor conciencia como usuarios respecto al manejo de la información sensible que compartimos con estas plataformas.

Vulnerabilidades a tener en cuenta al usar modelos de lenguaje de gran escala (Chats de IA)

Según  La Fundación Open Web Application Security Project, los principales riesgos en materia de protección de datos personales en los modelos de lenguaje son: (i) Inyecciones de prompt, donde un atacante manipula el modelo para ejecutar instrucciones que pueden conducir a la filtración de información sensible o al uso indebido de complementos; (ii) Vulnerabilidades en la cadena de suministro, que afectan la integridad de los datos y de los modelos entrenados por terceros, lo que puede derivar en sesgos, fallas o ataques de envenenamiento de datos; (iii) Divulgación de información sensible, ya que las respuestas del modelo pueden revelar datos confidenciales o propiedad intelectual si no se aplican mecanismos adecuados de anonimización y políticas de uso claras; y (iv) Sobredependencia, pues confiar excesivamente en los LLM sin supervisión crítica puede generar desinformación, errores jurídicos y problemas de seguridad^[6]. 

Resulta evidente que incluso las compañías mas grandes en el mercado de los chats de inteligencia artificial no están exentas de riesgos asociados a la ciberseguridad y a eventuales ataques. Ello pone de relieve la imposibilidad material de garantizar un control absoluto sobre los datos personales de los usuarios, lo que plantea retos significativos en materia de responsabilidad y cumplimiento de los estándares de protección de datos.

¿Puede empeorar el panorama con el uso de los menores de edad?

Impact Research realizó una encuesta en los Estados Unidos e indicó que solo el 30 por ciento de los padres dicen que han usado ChatGPT en comparación con el 58 por ciento de los niños de 12 a 18 años. Muchos niños informaron ocultar su uso a los padres o maestros^[7]. Gracias a la marcada diferencia entre los porcentajes de quienes utilizan estos chats, podría pensarse que la mayoría de los padres no ha tenido contacto con estas herramientas y, en consecuencia, desconocen sus políticas. Esto hace aún más complejo instruir a los menores sobre los efectos que podría implicar su uso.

Ahora bien, un problema especialmente complejo radica en la percepción que los menores de edad tienen sobre la inteligencia artificial. Estas herramientas facilitan la realización de tareas difíciles, ofrecen respuestas ajustadas a lo que desean escuchar, interactúan de manera conversacional y responden de forma inmediata, lo que las convierte, para muchos niños y adolescentes, en una especie de “gran amigo”.

Del mismo modo, a diferencia de los adultos, los menores no logran distinguir con claridad que se trata de inteligencia artificial, lo que dificulta aún más el control sobre la forma en que perciben a estos chats. Un ejemplo ilustrativo es el caso de Adam Raine, tras quitarse la vida, sus padres manifestaron que ChatGPT se convirtió en el confidente más cercano del adolescente y demandan a sus creadores por fomentar la dependencia psicológica en los usuarios^[8].

Por lo tanto, si los menores depositan tanta confianza en la inteligencia artificial, no reflexionarán antes de ingresar sus datos personales, fotografías o documentos privados. Con tal de obtener una respuesta rápida, proporcionan toda la información solicitada, sin ser plenamente conscientes del alcance de lo que están compartiendo ni del uso que puede darse a esos datos.

Del mismo modo, es importante tener presente que, los futuros chatbots de IA generativa podrían estar programados para hacerse pasar por humanos y adaptarse en conversaciones en tiempo real para intentar persuadir a personas reales sobre problemas o instarlas a actuar^[9].

Regulación de los datos personales en menores de edad

Unión Europea

La normativa europea sobre el tratamiento de datos de menores se encuentra consagrada en el artículo 38 del Reglamento General de Protección de Datos (RGPD), “merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño”. 

Si descendemos al articulado del RGPD, observamos que el art. 8 se refiere de forma específica al consentimiento para el tratamiento de los datos pertenecientes a menores de edad, tratando de garantizar una tutela adecuada de sus derechos. 

A tal efecto, dispone en su párrafo primero que “cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años”^[10].

Colombia 

El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7º de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

2. Que se asegure el respeto de sus derechos fundamentales.

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015^[11].

No obstante, el Proyecto de Ley 274 de 2025, en su artículo 6, busca modificar el artículo 7 de la Ley 1581 de 2012, de la siguiente manera:

“Artículo 7. Tratamiento de datos personales de niños, niñas y adolescentes

El Tratamiento de datos personales de niños, niñas y adolescentes debe orientarse a la garantía de sus derechos fundamentales y deberá responder siempre al principio del interés superior del niño.

El Tratamiento de los datos personales de los niños y las niñas menores de catorce años, a falta de otra base que legitime su Tratamiento, sólo será lícito si consta la autorización del representante legal, con el alcance que determine el mismo.

El Tratamiento de los datos personales de los niños y niñas mayores de catorce años, a falta de otra base que legitime su Tratamiento, deberá fundarse en su autorización previa, libre, informada, específica para uno o varios fines, e inequívoca. Salvo que para el caso exista norma legal que exija la declaración de voluntad del representante legal para la celebración del acto o negocio jurídico, en cuyo contexto se solicita la autorización.

Cuando se realice Tratamiento de datos personales de menores de dieciocho años en entornos digitales a través de aplicaciones o plataformas vía Internet, el Responsable del Tratamiento tomará las medidas razonables para verificar que la autorización sea otorgada en los términos aquí previstos.

Es tarea del Estado y de las entidades educativas de todo tipo proveer información y capacitar a docentes, representantes legales y tutores sobre las ventajas del Tratamiento de información personal y también sobre los riesgos a los que se enfrentan niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales. Asimismo, el Estado y las entidades educativas deben divulgar información acerca del uso responsable y seguro de los datos personales, el derecho a la intimidad y la protección de la información personal. El Gobierno Nacional reglamentará la materia.

Parágrafo 1. Las disposiciones contenidas en el presente artículo no afectarán las disposiciones especiales referentes al establecimiento de edades mínimas para efectos civiles, penales, laborales u otros regímenes jurídicos, respecto de la validez y consecuencias de ciertos actos jurídicos.

Parágrafo 2. Está prohibida la elaboración de perfiles de menores de dieciocho años que facilite conductas que puedan perjudicar su desarrollo físico o mental, o que se realice con fines comerciales, como marketing directo o publicidad orientada al comportamiento.”^[12]

Asimismo, debe tenerse en cuenta el Proyecto de Ley 043 de 2025, “Por medio de la cual se regula la Inteligencia Artificial en Colombia para garantizar su desarrollo ético, responsable, competitivo e innovador, y se dictan otras disposiciones”.

En el artículo 21 de dicho proyecto, relativo a la educación, se establece lo siguiente:

“Artículo 21. Educación

El Ministerio de Educación Nacional, el Ministerio de Ciencia, Tecnología e Innovación y el Ministerio de Tecnologías de la Información y las Comunicaciones diseñarán e implementarán programas integrales de educación, formación y capacitación en inteligencia artificial (IA), orientados a fortalecer las habilidades y competencias del siglo XXI en todos los niveles y modalidades educativas, incluyendo la educación inicial, básica, media, técnica, tecnológica, superior y de adultos.

Estos programas promoverán el pensamiento crítico, la creatividad, la innovación tecnológica y el análisis ético, así como la apropiación social del conocimiento, fomentando la investigación y el desarrollo responsable de tecnologías basadas en IA desde una perspectiva intercultural, ambiental y territorial.

Se garantizará la formación permanente de directivos docentes y maestros, asegurando la actualización continua de contenidos, metodologías y recursos pedagógicos pertinentes, abiertos y contextualizados.

Las acciones educativas estarán orientadas al cierre de brechas en el acceso al conocimiento, la ciencia y la tecnología, y se desarrollarán en articulación con instituciones educativas, universidades, centros de investigación, comunidades, empresas y actores del ecosistema productivo. Se incentivarán espacios de aprendizaje activo, proyectos colaborativos y experiencias prácticas que preparen a los estudiantes para participar, con idoneidad y responsabilidad, en entornos sociales y laborales mediados por la IA.”^[13]

El panorama normativo colombiano evidencia una preocupación relevante por fortalecer la regulación en materia de protección de datos personales de niños, niñas y adolescentes, así como por establecer un marco jurídico frente al avance acelerado de la inteligencia artificial. Ambas materias se encuentran estrechamente relacionadas, pues la expansión de los entornos digitales y el uso masivo de tecnologías basadas en IA incrementan los riesgos asociados al tratamiento, circulación y explotación de información personal de menores de edad.

Conclusión 

En conclusión, el uso de datos personales en los chats de inteligencia artificial plantea un riesgo grave, pues no solo son aprovechados por las compañías desarrolladoras, sino también por terceros, tanto de buena como de mala fe. Como se puedo evidenciar la situación se agrava aún más tratándose de menores de edad, quienes, por su confianza y falta de conciencia frente al manejo de la información, quedan expuestos a vulneraciones que el marco regulatorio actual no logra prevenir ni sancionar de manera adecuada.

De igual forma, los Estados han intentado proteger a los menores mediante normativas especializadas que restringen el uso de sus datos personales y buscan establecer mecanismos de regulación. Sin embargo, como se expuso a lo largo de este texto, en la era digital resulta prácticamente imposible ejercer un control absoluto, lo que inevitablemente traerá nuevas adversidades con el tiempo. Frente a este panorama, los Estados deberán diseñar y adoptar estrategias más eficaces que garanticen una verdadera protección a los menores de edad en el entorno digital.

---

*Estudiante de Quinto año de Derecho de la Universidad Externado de Colombia y Monitora del Departamento de Derecho Comercial.

^[1] Arévalo, J. A., & Cordero, M. Q. (2023). ChatGPT: la creación automática de contenidos con Inteligencia Artificial y su impacto en la comunicación académica y educativa. Dialnet. https://dialnet.unirioja.es/servlet/articulo?codigo=8965142

^[2] Política de privacidad. (2025, 27 junio). openai.com. https://openai.com/es-419/policies/row-privacy-policy/

^[3] Ídem.

^[4] Centro de privacidad de las Apps con Gemini – Ayuda de Aplicaciones con Gemini. (s. f.). https://support.google.com/gemini/answer/13594961?hl=es-419#pn_info_you_provide&zippy=%2Ccu%C3%A1les-son-las-bases-legales-que-utiliza-google-para-el-procesamiento-de-los-datos-de-las-apps-con-gemini-seg%C3%BAn-la-ley-de-protecci%C3%B3n-de-datos-de-la-uni%C3%B3n-europea-ue-o-el-reino-unido-uk%2Cqui%C3%A9n-tiene-acceso-a-mis-chats-y-c%C3%B3mo-la-revisi%C3%B3n-humana-mejora-gemini-para-todos

^[5] Vender nuestra alma: seguridad y privacidad en la era de la IA empática. (2025). Revista Digital de ACTA. https://www.acta.es/medios/articulos/ciencias_y_tecnologia/240001.pdf

^[6] OWASP. (2025). OWASP Top 10 para aplicaciones de LLM. Top 10 LLM Applications & Generative IA. https://genai.owasp.org/resource/top-10-2025-de-riesgos-y-mitigaciones-para-llms-y-aplicaciones-de-ia-generativa/

^[7] Impact Research, on behalf of Common Sense Media. (2023). Parents and students are optimistic about AI, But parents have a lot to learn to catch up to their kids – and want rules and ratings to help them. En Commonsensemedia. https://www.commonsensemedia.org/sites/default/files/featured-content/files/common-sense-ai-polling-memo-may-10-2023-final.pdf

^[8] Yousif, N. (2025, 27 agosto). Los padres de un adolescente que se quitó la vida demandan a OpenAI, creadora de ChatGPT. BBC News Mundo. https://www.bbc.com/mundo/articles/c30z5lyjzygo

^[9] UNICEF. (s. f.). Generative AI: Risks and opportunities for children. UNICEF.ORG. https://www.unicef.org/innocenti/generative-ai-risks-and-opportunities-children

^[10] EL TRATAMIENTO AUTOMATIZADO DE DATOS PERSONALES PERTENECIENTES A MENORES DE EDAD: UNA VISIÓN DESDE EL DERECHO EUROPEO Y DESDE LOS ORDENAMIENTOS JURÍDICOS ESPAÑOL E ITALIANO. (2022). Actualidad Jurídica Iberoamericana N^o 17 Bis,. https://revista-aji.com/wp-content/uploads/2023/01/48.-Javier-Martinez-pp.-1318-1341.pdf

^[11] Instituto Colombiano de Bienes Familiar. (s. f.). POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES. https://www.icbf.gov.co/sites/default/files/politica_tratamiento_de_datos_personales-_06122017.pdf

^[12] Congreso de la República de Colombia. Proyecto de Ley 274 de 2025 Cámara, por medio del cual se reforma la Ley 1581 de 2012 y se dictan otras disposiciones. Bogotá D.C.: Congreso de la República de Colombia.

^[13] Congreso de la República de Colombia. Proyecto de Ley 043 de 2025, por medio de la cual se regula la Inteligencia Artificial en Colombia para garantizar su desarrollo ético, responsable, competitivo e innovador, y se dictan otras disposiciones. Bogotá D.C.: Congreso de la República de Colombia.