Actualización de liquidación de $ 20 millones FTC Microsoft Xbox Recopilación ilegal de datos de los niños: un cambio de juego para el cumplimiento de COPPA

Se preocupa por el cumplimiento de COPPA Puede que no sea el mejor Gamertag de Xbox, pero una acción de la FTC contra Microsoft por presuntas violaciones de la regla de la Ley de Protección de Privacidad en línea de los niños sugiere que podría ser una buena opción. Archivado por el Departamento de Justicia en nombre de la FTC, el acuerdo propuesto de $ 20 millones requerirá que Microsoft impulse las protecciones de privacidad para los niños que usan su sistema de juegos Xbox. El orden También deja en claro que COPPA cubre información como avatares generado a partir de la imagen de un niño, datos biométricosy datos de salud recopilados con otra información personal – y recuerda a las empresas que la regla impone limitaciones estrictas a la retención de datos de los niños.

Utilizado por millones de jugadores, muchos de los cuales son menores de 13 años, Microsoft’s Xbox Live es una red de juegos en línea que permite a las personas jugar a través de sus consolas Xbox. La acción de la FTC enfoque sobre tres formas en que Microsoft supuestamente violó COPPA: 1) recopilando información personal de niños menores de 13 años antes de notificar a sus padres y obtener el consentimiento de los padres; 2) Al no contarles a los padres sobre la información que la compañía recopila de los niños, por qué está recopilando esa información y el hecho de que revela algunos de los datos a terceros; y 3) conservando la información personal de los niños por más tiempo de lo razonablemente necesario.

¿Dónde dice que la FTC Microsoft salió mal? Querrá leer la queja para obtener más detalles, pero comenzó con el procedimiento de registro inicial. Para jugar, los usuarios necesitaban una cuenta de Microsoft. Al principio, Microsoft les exigió que proporcionaran su dirección de correo electrónico, su primer y apellido, y su fecha de nacimiento. Hasta finales de 2021, Microsoft también solicitó su número de teléfono. Además, Microsoft les exigió que consientan en el acuerdo de servicio de la compañía, que hasta 2019 incluía un cuadro previo a la verificación que permitía a Microsoft enviarles mensajes promocionales y compartir datos de usuarios con los anunciantes. La secuencia de eventos es importante aquí porque Microsoft solicitó toda esa información incluso a los usuarios que acababan de decirle a la compañía que eran menores de 13 años. Solo después de reunir esa serie de datos personales de niños, Microsoft involucraron a los padres en el proceso. Y eso es en el quid de la acusación de la FTC de que la compañía violó COPPA.

Para garantizar que los padres, no las empresas, tengan el control de la información recopilada de los niños en línea, COPPA requiere dos formas distintas de notificación. La queja alega que Microsoft no cumplió con ambas disposiciones obligatorias. Bajo Sección 312.4 (b) de la regla de Coppa, a menudo llamada la aviso directo Requisito: una empresa debe proporcionar a los padres un aviso directo de sus prácticas de información antes Recopila, usa o revela información personal de los niños. La FTC dice que Microsoft violó esa provisión mediante la recopilación de nombres de los niños, direcciones de correo electrónico, y números de teléfono Al frente y solo después de eso, la compañía notificó a los padres y solicitó su consentimiento.

Además, la FTC alega que el aviso directo de Microsoft estaba incompleto. Específicamente, el aviso no les dijo a los padres que recopilaría información personal más allá de lo que el niño ya había proporcionado, por ejemplo, fotos de niños, su ID de usuario de Xbox y otros datos que la compañía combinó con esa identificación. Otra supuesta deficiencia: Microsoft simplemente les dijo a los padres que recopiló, compartió y usó información de los niños, pero luego los envió a la declaración de privacidad de Microsoft para tratar de descubrir los detalles por sí mismos. La FTC dice que lo que Microsoft debería haber hecho fue describir sus prácticas en ese mismo momento, en lugar de enviar a los padres a lo que equivalía a un recado de bricolaje.

Sección 312.4 (d) de la regla de Coppa, a menudo llamada la aviso en línea provisión: requiere (entre otras cosas) que las empresas publican un enlace prominente y claramente etiquetado a un aviso de privacidad en línea que explica sus prácticas de información "en cada área del sitio web o servicio en línea donde se recopila información personal de los niños ". La FTC dice que Microsoft se quedó corto en cumplir con esa disposición también. Hasta al menos en 2019, la declaración de privacidad requerida discutió las prácticas de la compañía en general, pero no incluyó lo que requiere COPPA: los detalles sobre la información personal que recopila de los niños y sus prácticas de divulgación para esa información. Además, no incluyó una explicación obligatoria de cómo los padres pueden pedirle a Microsoft que elimine la información personal de sus hijos y que deje de recopilarla en el futuro.

La FTC alega que al recopilar información personal de niños menores de 13 años antes de involucrar a sus padres, Microsoft violó Sección 312.5 de Coppa. Como establece esa provisión de consentimiento de los padres, "se requiere un operador para obtener el consentimiento de los padres verificable antes de cualquier recopilación, uso o divulgación de información personal de los niños". Además, las deficiencias en los avisos de Microsoft agravaron esa violación. Dicho de otra manera, ¿cómo podría ser efectivo el consentimiento de los padres si Microsoft no les dio la información que Coppa dice que es necesario que tengan antes de decidir si consienten?

Según la denuncia, Microsoft también violó los requisitos de retención y eliminación de datos de COPPA. De acuerdo a Sección 312.10las empresas "retendrán la información personal recopilada en línea de un niño solo siempre que sea razonablemente necesario para cumplir con el propósito para el cual se recopiló la información". Después de eso, la Compañía debe eliminar de forma segura los datos. Aquí, sin embargo, Microsoft recolectó cierta información personal de niños durante el proceso de registro de la cuenta, pero incluso si el Compañía en última instancia no conseguir de los padres consentirla FTC dice que FROM 2015 hasta 2020, Microsoft se aferró a esos datos, a menudo durante años después del proceso de creación de cuentas.

Además de la multa civil de $ 20 millones y las medidas cautelares que se han convertido en estándar en los casos de COPPA de la FTC, la orden propuesta Requerirá que Microsoft implemente nuevas prácticas comerciales para aumentar las protecciones de privacidad para los usuarios de Xbox menores de 13 años. Entre otras cosas, si los padres no han creado una cuenta separada para sus hijos, Microsoft debe informarles que una cuenta separada proporcionará protecciones de privacidad adicionales para su hijo por defecto. La compañía también debe mantener un sistema para eliminar, dentro de las dos semanas a partir de la fecha de recolección, toda la información personal recopilada de los niños con el fin de obtener el consentimiento de los padres. a menos que el padre otorgue consentimiento dentro de ese tiempo. Además, Microsoft debe honrar los requisitos de eliminación de la fecha de COPPA al deshacerse de todos los demás datos personales recopilados de los niños después de que ya no sea necesario. Y si Microsoft divulga información personal sobre los niños a los editores de videojuegos, Microsoft debe decirles que el usuario es un niño, una disposición clave que pondrá a esos editores en aviso de que también deben aplicar las protecciones de COPPA a ese niño.

Aquí hay algunos puntos adicionales que las empresas pueden tomar del acuerdo propuesto.

La cobertura de COPPA es expansiva. COPPA no solo cubre sitios web y aplicaciones. También aplicafondos a servicios en línea como Xbox. Si eres parte del ecosistema de juegos, ¿estás actualizado en lo que COPPA requiere de tu empresa? La FTC tiene recursos para ayudar a su estadía dentro de la ley.

La definición de COPPA de "información personal" es amplia. El acuerdo propuesto con Microsoft envía un fuerte recordatorio a las empresas de que la frase "información personal" bajo COPPA cubre mucho más que un solo nombre o dirección. También incluye Otra información sobre el niño o los padres del niño recopilado en línea del niño, por ejemplo, Cosas como avatares, biometría, signos vitales y datos de saludcuando se recopilan y se combina con otras categorías de información personal establecida en la regla. Con ese puntero de cumplimiento en mente, eche un vistazo más de cerca a la información que recopila. (También considere que como una razón más por la que necesita saber sobre el reciente de la FTC Declaración de política sobre información biométrica.)

Preste atención a lo que otros le están diciendo sobre las fuentes de información. Es COPPA 101 que la ley cubre tanto los sitios web como los servicios en línea que están "dirigidos a los niños" y Aquellos con "conocimiento real" están tratando con datos recopilados de niños menores de 13 años. Entonces, si su empresa recopiló la información o si recibió los datos sabiendo que alguien más lo recopiló de un niño menor de 13 años, el Coppa Buck se detiene con usted. Según el orden propuesto, eso incluye a los editores de videojuegos que ahora deben ser contados por Microsoft cuando un usuario tiene menos de 13 años.

"Predeterminado", querido Brutus, no está en nuestras estrellas, sino en nosotros mismos. Una conclusión clave es la importancia de diseñar la configuración predeterminada con el cumplimiento de COPPA en mente. Camine a través de sus procesos desde la perspectiva de los padres y los hijos.