O RGPD determina que "as crianças merecem especial proteção quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais." [RGPD, considerando 38]. No entanto, o RGPD não define o conceito de criança. A referência consensual é aquela do artigo 1.º da Convenção sobre os Direitos da Criança (CDC) das Nações Unidas, que considera criança todo o ser humano menor de 18 anos, salvo se, nos termos da lei que lhe for aplicável, atingir a maioridade mais cedo.
A condição de especial vulnerabilidade das crianças deve ser considerada em todas as fases do tratamento:
• Na conceção e avaliação do impacto do tratamento, sobrevalorizando esses impactos se respeitarem a crianças.
• Na prestação de informações sobre o tratamento, adequando a linguagem, a clareza e a extensão dessas informações.
• Na obtenção de consentimento, se essa for a base legal para o tratamento. O consentimento de crianças terá de ser dado pelo seu representante legal. O artigo 8.º do RGPD prevê exceções para o consentimento no acesso a serviços da sociedade da informação (como redes sociais ou email), mas não tem aplicação em atividades de investigação.