Privacidad y derecho

RGPD y control parental de menores: lo que importa

El RGPD no prohíbe el control parental, pero levanta tres preguntas duras a cualquier app que procese datos del menor. Quiles las contesta evitando procesar datos.

Publicado: 16 de mayo de 2026 · Nota: Este artículo no es asesoramiento legal.

Base legal

Art. 6 RGPD: ¿con qué legitimidad procesas los datos del niño?

Una app típica de control parental recoge listas de apps abiertas, capturas, registros de mensajes, ubicación o tiempo de uso. Esos son datos personales del menor. El artículo 6 del Reglamento General de Protección de Datos (RGPD) exige que cualquier tratamiento tenga una base legal: consentimiento, contrato, obligación legal, interés vital, misión pública o interés legítimo. En el contexto de una familia, el proveedor de la app intenta apoyarse en dos: el consentimiento del padre o madre como ejercicio de la patria potestad, o un interés legítimo de protección del menor.

El problema es que ninguna de esas bases es automática. Si el proveedor procesa datos en sus propios servidores, está actuando como responsable o corresponsable del tratamiento, no como simple herramienta. Eso desencadena obligaciones: aviso de tratamiento, designación de DPO si toca, registro de actividades, evaluación de impacto si el riesgo es alto, contratos con encargados de tratamiento.

Consentimiento del menor

El artículo 8 del RGPD fija en 16 años la edad a partir de la cual un menor puede consentir por sí mismo el tratamiento de sus datos en servicios de la sociedad de la información. Los Estados miembros pueden bajar ese umbral hasta 13 años. España lo fija en 14. Por debajo de esa edad hace falta consentimiento del titular de la patria potestad.

Pero patria potestad no es un cheque en blanco. La Agencia Española de Protección de Datos ha recordado en varias resoluciones que el menor sigue siendo titular de derechos, y que el padre o la madre no puede consentir cualquier tratamiento simplemente porque le sea cómodo. El tratamiento debe ser proporcional, finalista y respetar la dignidad del menor. Una app que retransmite cada captura de pantalla a un servidor en otro país difícilmente pasa ese filtro.

Transparencia

El niño tiene que saber que la app está mirando.

Arts. 12-14 RGPD obligan a informar al interesado del tratamiento, en un lenguaje claro y adecuado a su comprensión. En el caso de menores eso significa que el niño debe saber, en términos que entienda, qué se está registrando y para qué.

Quiles cumple esta obligación por construcción. Cuando el lanzador entra en modo enforcement, el sistema Android muestra una notificación persistente del servicio en primer plano. El onboarding inicial explica al niño qué se está aplicando: qué apps están permitidas, qué horarios rigen, dónde puede pedir más tiempo. No hay icono escondido. No hay modo invisible. Si el niño abre la lista de notificaciones, ve que Quiles está activo.

Arquitectura

Por qué la arquitectura sin nube cambia el planteamiento.

01

Sin tratamiento centralizado

Si los datos del menor no salen del dispositivo familiar, no hay base que legitimar. Quiles no procesa, así que no hay responsabilidad de responsable o encargado.

02

El padre como responsable doméstico

El tratamiento queda dentro del ámbito personal y familiar (Art. 2.2.c RGPD). Quiles es la herramienta; el responsable del tratamiento doméstico es la persona que decide qué reglas aplica.

03

Sin transferencia internacional

No hay servidor que recibir los datos. No hay cláusulas tipo, ni Schrems II, ni adecuaciones que negociar. El plano de control es la red local.

Importante

Lo anterior no es asesoramiento legal.

Esta página describe cómo entendemos el encaje del RGPD con la arquitectura de Quiles. No sustituye al criterio de un abogado especializado en protección de datos en tu jurisdicción. Si tu hogar tiene una situación particular (custodia compartida con desacuerdo entre progenitores, menores tutelados, situaciones de violencia), consulta a un profesional antes de instalar cualquier herramienta de monitorización, incluida la nuestra.

El RGPD se interpreta a través de autoridades nacionales (AEPD en España, CNIL en Francia, Garante en Italia, etc.) y de la jurisprudencia del TJUE. La aplicación práctica evoluciona. Lo que hoy es buena práctica puede ser distinto en doce meses; nuestra arquitectura se mantiene local precisamente para minimizar dependencia de ese movimiento regulatorio.

Quiles

Datos del niño, en su móvil. Punto.