El Departamento de Justicia de Estados Unidos (DOJ) presentó una demanda, a solicitud de la Comisión Federal de Comercio (FTC), contra Apitor Technology, fabricante de kits robóticos para niños, por presunta recopilación de geolocalización precisa de menores sin notificación ni consentimiento parental verificable. La acusación se centra en el uso del SDK de terceros JPush, de Jiguang (Aurora Mobile, China), dentro de la app de Apitor para Android.
Marco legal: qué exige COPPA a los servicios dirigidos a menores
La Children’s Online Privacy Protection Act (COPPA) impone a los servicios en línea dirigidos a menores de 13 años la obligación de informar previamente a los padres sobre la recopilación y uso de datos personales y de obtener un consentimiento parental verificable. La geolocalización precisa —capaz de identificar calle y ciudad—, identificadores de dispositivo y perfiles de comportamiento son datos personales a efectos de COPPA y requieren controles reforzados.
El foco del caso: el SDK JPush y la cadena de suministro móvil
Según la demanda, tras conceder permisos en Android, la app de Apitor comenzó a recopilar y transmitir coordenadas de ubicación en segundo plano a los servidores de JPush. Aunque la aplicación solicitaba acceso a la ubicación para operar con Bluetooth, no habría comunicado que una tercera parte accedía a los datos ni recabado la autorización parental específica para ese tratamiento. Desde 2022, JPush habría utilizado estos datos con fines diversos, incluida publicidad dirigida.
Multa propuesta y compromisos de cumplimiento
Apitor aceptó un acuerdo que contempla una sanción de $500,000 y un plan de cumplimiento para alinear la app y los SDK con COPPA. El paquete incluye: transparencia reforzada a padres, consentimiento verificable antes de cualquier procesamiento, data minimization, límites de retención, eliminación de información recopilada previamente y auditorías sobre el uso de SDK de terceros.
Tendencia regulatoria: mayor escrutinio sobre privacidad infantil y geolocalización
El caso se suma a una línea de acciones de la FTC contra prácticas que afectan la privacidad de menores. En 2022, Epic Games acordó $275 millones por violaciones de COPPA; en 2023, Amazon aceptó $25 millones por retención de datos infantiles en Alexa; y Edmodo pagó $6 millones por recopilación indebida de datos escolares. Paralelamente, la FTC impugna el uso comercial de geolocalización precisa por intermediarios de datos, como en el caso contra Kochava iniciado en 2022.
Riesgo de SDK de terceros en apps infantiles e IoT
Los SDK integrados para notificaciones, analítica o marketing suelen operar con permisos ampliados, ejecutar procesos en segundo plano y enviar telemetría al proveedor del SDK. Este modelo expone a los editores a riesgos de cadena de suministro: el flujo de datos puede exceder la lógica prevista de la app. En el ámbito infantil, el impacto es mayor por la sensibilidad de la información y las exigencias legales de consentimiento parental verificable y minimización.
Controles recomendados para cumplimiento y seguridad
Buenas prácticas técnicas y de cumplimiento incluyen: inventariar datos y mapear flujos (quién, qué, a dónde y por qué); deshabilitar precise location si no es imprescindible y preferir recopilación bajo demanda; someter los SDK a evaluaciones de privacidad (privacy-by-design, DPIA), con listas de permitidos y prohibición contractual de usos secundarios; implementar mecanismos de consentimiento verificable (p. ej., micropago, verificación de documento o cuenta confiable); presentar avisos claros para padres y mensajes in-app al solicitar permisos; definir plazos de retención, procesos de borrado y auditorías periódicas de tráfico en segundo plano; y revaluar cada actualización de SDK por cambios de permisos o endpoints.
Más allá de este caso, la lección es inequívoca: las empresas que desarrollan juguetes conectados y aplicaciones dirigidas a menores deben gobernar sus dependencias y terceros con la misma diligencia que su propio código. Alinear los SDK con COPPA, instaurar privacy-by-design y documentar el consentimiento parental verificable reduce la exposición legal y refuerza la confianza del usuario. Es el momento de auditar tus apps, revisar integraciones y establecer controles preventivos que protejan la geolocalización y otros datos sensibles de la infancia.
