anonym.legal
Tornar al BlogTecnologia Legal

COPPA abril del 2026: el que han de fer les plataformes EdTech abans del termini

La norma actualitzada de la COPPA entra en vigor el 22 d'abril del 2026. Reddit va ser sancionada amb 14,47 milions de lliures per fallades en les dades de menors. Les plataformes EdTech afronten el mateix risc.

March 16, 20266 min llegit
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

El termini del 22 d'abril

Actualitzat per al 2026

La FTC ha actualitzat la COPPA. La nova norma entra en vigor el 22 d'abril del 2026. Es el primer canvi important des del 2013. Les plataformes EdTech que serveixen menors de 13 anys han d'actuar ara. Queden setmanes, no mesos.

Els canvis son profunds. Les plataformes construides sobre les normes del 2013 han d'auditar i actualitzar els sistemes principals. Les correccions petites no seran suficients.

La sancio a Reddit: un avís clar

El marc del 2026, l'ICO del Regne Unit va sancionar Reddit amb 14,47 milions de lliures. Per que? Reddit no va protegir adequadament els menors del contingut perjudicial. Les verificacions d'edat eren febles. Els menors van poder accedir.

Aquesta sancio va ser sota el RGPD del Regne Unit, no la COPPA. Pero el fracas es del mateix tipus. La COPPA del 2026 s'adresa a les plataformes que saben que hi ha menors presents pero no els protegeixen.

L'EdTech esta en una situacio mes dificil. Aquestes plataformes saben qui son els seus usuaris. Venen a escoles. Comercialitzen per als pares. Veuen les adreces de correu electronic dels estudiants. La defensa de "no ho sabiemm" no esta disponible.

Que ha canviat la COPPA del 2026

L'actualitzacio de la FTC ha afegit cinc regles clau per a les plataformes EdTech.

1. La minimitzacio ara es obligatoria

Recolliu nomes el que el servei realment necessita. La norma del 2013 permetia a les plataformes recollir molt amb el consentiment parental. La norma del 2026 prohibeix la recopilacio addicional fins i tot amb consentiment. Els ID de dispositiu, els senyals de seguiment i la informacio de ubicacio que no son necessaries per al servei han de cessar ara.

2. Cap publicitat dirigida als menors

Les plataformes EdTech no poden fer servir les dades dels menors per a publicitat de comportament. El consentiment no canvia aixo. Algunes plataformes van fer servir el consentiment general per justificar un us ampli de les dades. Aquell buit legal ara esta tancat.

3. Consentiment separat per a les funcions d'IA

Qualsevol funcio d'IA que utilitza l'entrada dels menors necessita el seu propi formulari de consentiment. Els tutors d'IA, les eines d'escriptura i els motors adaptatius tots compten. El consentiment per al servei principal no cobreix els complements d'IA.

4. Normes d'eliminacio amb veritables conseqüencies

Eliminar els registres dels menors quan ja no siguin necessaris. Les plataformes que executen l'eliminacio automatitzada en un calendari definit s'enfronten a menys responsabilitat en les accions de la FTC. Aixo es un veritable port segur, aprofiteu-lo.

5. Barra mes alta de des-identificacio

Eliminar un nom no es suficient. Les plataformes han de demostrar que la re-identificacio no es raonablement possible. Per a les analitiques agregades, aixo significa k-anonimitat o privacitat diferencial.

FERPA i COPPA: totes dues s'apliquen

Per a les plataformes K-12 que treballen amb escoles, la FERPA funciona conjuntament amb la COPPA. Aço es el que importa:

  • La FERPA permet a les escoles compartir els registres dels estudiants amb els venedors, pero nomes per als serveis contractats
  • La COPPA segueix aplicant-se als menors de 13 anys, fins i tot quan la FERPA permet la comparticio
  • El consentiment escolar sota la FERPA no substitueix el consentiment parental de la COPPA

El compliment de la FERPA no es el compliment de la COPPA. Totes dues s'han de complir per separat.

Que fer abans del 22 d'abril

Revisa aquesta llista de verificacio abans del termini.

Inventari

  • Llistar tots els registres recollits d'usuaris menors de 13 anys
  • Trobar totes les eines de tercers que reben registres de menors: analitiques, CRM, monitoratge
  • Verificar el consentiment per a cada tipus de recopilacio

Anonimitzacio

  • Afegir deteccio de dades personals al contingut dels estudiants abans que es registri
  • Eliminar noms, adreces de correu electronic i ID d'estudiant dels esdeveniments d'analitiques
  • Des-identificar els informes agregats utilitzats per al treball de producte
  • Netejar els conjunts d'entrenament d'IA que inclouen l'entrada dels estudiants

Consentiment

  • Construir fluxos de consentiment separats per a cada funcio d'IA
  • Registrar el consentiment amb marques de temps
  • Afegir un flux de retirada que activi l'eliminacio immediatament

Retencio

  • Establir un periode de retencio per a cada tipus de registre
  • Automatitzar l'eliminacio quan els periodes acabin
  • Comprovar els sistemes de copia de seguretat per detectar buits

Venedors

  • Revisar els acords amb tots els sub-processadors
  • Confirmar que els venedors d'analitiques no fan servir els registres dels menors per a publicitat
  • Actualitzar els acords per adaptar-se a l'estandard de des-identificacio del 2026

Com ajuda l'anonimitzacio

La nova norma de des-identificacio es la part mes tecnica de la COPPA del 2026. Eliminar noms sols no compleix l'estandard. Necessiteu un sistema que trobi i elimini totes les dades personals en tots els fluxos de dades.

anonym.legal detecta mes de 285 tipus d'entitat en 48 idiomes. Moltes plataformes EdTech serveixen estudiants que parlen molts idiomes. Les dades personals dels estudiants apareixen en espanyol, mandari, arab i dotzenes d'altres, no nomes en angles. La cobertura amplia d'idiomes no es un avantatge addicional. Es una necessitat de compliment.

La plataforma tambe capta casos extrems que la revisio manual omet. Els numeros de telefon, els patrons d'ID d'estudiant i els identificadors indirectes son habituals en el contingut dels estudiants. La deteccio automatitzada els troba a escala. La revisio manual no.

La funcio de processament per lots permet als equips executar bases de dades existents a traves de l'eina. Aixo cobreix el contingut antic dels estudiants que ara ha de complir l'estandard mes alt. La des-identificacio retroactiva forma part del panorama de compliment sota la norma del 2026.

Vegeu la nostra visio general de seguretat i compliment sobre com gestionem els registres sensibles. La pagina de compliment legal cobreix tant la FERPA com la COPPA en detall.

El cost de la inaccio

Les sancions de la COPPA arriben fins a 51.744 dolars per infraccio per dia. Per a una plataforma amb 100.000 comptes d'estudiants, un buit sistemic en la des-identificacio podria significar desenes de milions en sancions.

La sancio a Reddit va ser de 14,47 milions de lliures. Reddit te milers de milions d'ingressos. Per a una plataforma EdTech de mida mitjana, una sancio d'aquella escala seria la fi de l'empresa.

El 22 d'abril s'acosta. La feina es factible si comenca ara. Els reguladors han deixat clar que aplicaran la nova norma. Esperar no es una estrategia.

Comenca a anonimitzar els registres dels estudiants avui

Fonts

  • Actualitzacio de la norma COPPA de la FTC, Registre Federal, 2025 (vigent el 22 d'abril del 2026)
  • Avís d'execucio de l'ICO contra Reddit, marc del 2026 - Sancio de 14,47 milions de lliures
  • FERPA, 20 U.S.C. SS 1232g, i reglaments d'implementacio 34 CFR Part 99
  • FAQ de la FTC sobre la COPPA: funcions basades en IA i consentiment parental, 2026

Articles Relacionats

Tecnologia Legal

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Tecnologia Legal

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Tecnologia Legal

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.