Un acuerdo de la FTC por 20 millones de dólares aborda la recopilación ilegal de datos de niños por parte de Microsoft Xbox: un punto de inflexión para el cumplimiento de COPPA

Puede que Care About COPPA Compliance no sea el mejor gamertag de Xbox, pero una acción de la FTC contra Microsoft por supuestas violaciones de la regla de la Ley de Protección de la Privacidad Infantil en Línea sugiere que, no obstante, podría ser una buena opción. Presentado por el Departamento de Justicia en nombre de la FTC, el acuerdo propuesto por 20 millones de dólares requerirá que Microsoft refuerce las protecciones de privacidad para los niños que usan su sistema de juegos Xbox. La orden también deja claro que COPPA cubre información como avatares generados a partir de la imagen de un niño, datos biométricos y datos de salud recopilados con otra información personal, y recuerda a las empresas que la regla impone limitaciones estrictas a la retención de datos de niños.

Utilizada por millones de jugadores, muchos de los cuales tienen menos de 13 años, Xbox Live de Microsoft es una red de juegos en línea que permite a las personas jugar a través de sus consolas Xbox. La acción de la FTC se centra en tres formas en las que Microsoft supuestamente violó COPPA: 1) al recopilar información personal de niños menores de 13 años antes de notificar a sus padres y obtener el consentimiento de los padres; 2) al no informar a los padres sobre la información que la empresa recopila de los niños, por qué recopila esa información y el hecho de que divulga algunos de los datos a terceros; y 3) conservando la información personal de los niños durante más tiempo del razonablemente necesario.

¿Dónde dice la FTC que Microsoft salió mal? Querrá leer la queja para obtener más detalles, pero comenzó con el procedimiento de registro inicial. Para jugar, los usuarios necesitaban una cuenta de Microsoft. Al principio, Microsoft les exigió que proporcionaran su dirección de correo electrónico, su nombre y apellido, y su fecha de nacimiento. Hasta finales de 2021, Microsoft también pidió su número de teléfono. Es más, Microsoft les exigió que dieran su consentimiento al acuerdo de servicio de la empresa, que hasta 2019 incluía una casilla previamente marcada que permitía a Microsoft enviarles mensajes promocionales y compartir datos de los usuarios con los anunciantes. La secuencia de eventos es importante aquí porque Microsoft solicitó toda esa información incluso a los usuarios que acababan de decirle a la compañía que tenían menos de 13 años. Sólo después de recopilar esa gran cantidad de datos personales de los niños, Microsoft involucró a los padres en el proceso. Y ese es el meollo de la acusación de la FTC de que la empresa violó la COPPA.

Para garantizar que los padres, no las empresas, tengan el control de la información recopilada de los niños en línea, COPPA exige dos formas distintas de notificación. La denuncia alega que Microsoft no cumplió con ambas disposiciones obligatorias. Según la Sección 312.4(b) de la Regla COPPA, a menudo denominada requisito de notificación directa, una empresa debe proporcionar a los padres una notificación directa sobre sus prácticas de información antes de recopilar, utilizar o divulgar información personal de los niños. La FTC dice que Microsoft violó esa disposición al recopilar los nombres, direcciones de correo electrónico y números de teléfono de los niños por adelantado y solo después de eso la compañía notificó a los padres y pidió su consentimiento.

Además, la FTC alega que el aviso directo de Microsoft estaba incompleto. Específicamente, el aviso no les decía a los padres que recopilaría información personal más allá de la que el niño ya había proporcionado, por ejemplo, fotografías de los niños, su identificación de usuario de Xbox y otros datos que la compañía combinó con esa identificación. Otra supuesta deficiencia: Microsoft simplemente les dijo a los padres que recopilaba, compartía y usaba información de los niños, pero luego los enviaba a la Declaración de Privacidad de Microsoft para tratar de descubrir los detalles por sí mismos. La FTC dice que lo que Microsoft debería haber hecho fue describir sus prácticas en ese mismo momento, en lugar de enviar a los padres a hacer lo que equivalía a un recado de bricolaje.

La Sección 312.4(d) de la Regla COPPA – a menudo llamada disposición de aviso en línea – requiere (entre otras cosas) que las empresas publiquen un enlace destacado y claramente etiquetado a un aviso de privacidad en línea que explique sus prácticas de información “en cada área del sitio web o Servicio en línea donde se recopila información personal de niños”. La FTC dice que Microsoft tampoco cumplió con esa disposición. Hasta al menos 2019, la Declaración de Privacidad requerida analizaba las prácticas de la empresa en general, pero no incluía lo que exige la COPPA: los detalles sobre qué información personal recopila de los niños y sus prácticas de divulgación de esa información. Es más, no incluía una explicación obligatoria sobre cómo los padres pueden pedirle a Microsoft que elimine la información personal de sus hijos y que deje de recopilarla en el futuro.

La FTC alega que al recopilar información personal de niños menores de 13 años antes de involucrar a sus padres, Microsoft violó la Sección 312.5 de COPPA. Como establece esa disposición de consentimiento de los padres, "un operador debe obtener el consentimiento de los padres verificable antes de cualquier recopilación, uso o divulgación de información personal de niños". Además, las deficiencias en los avisos de Microsoft agravaron esa violación. Dicho de otra manera, ¿cómo podría ser efectivo el consentimiento de los padres si Microsoft no les dio la información que la COPPA dice que es necesaria antes de decidir si dan su consentimiento?

Según la denuncia, Microsoft también violó los requisitos de retención y eliminación de datos de COPPA. Según la Sección 312.10, las empresas “conservarán la información personal recopilada en línea de un niño sólo durante el tiempo que sea razonablemente necesario para cumplir el propósito para el cual se recopiló la información”. Después de eso, la empresa debe eliminar los datos de forma segura. En este caso, sin embargo, Microsoft recopiló cierta información personal de los niños durante el proceso de registro de la cuenta, pero incluso si la compañía finalmente no obtuvo el consentimiento de los padres, la FTC dice que desde 2015 hasta 2020, Microsoft conservó esos datos, a menudo durante años. El proceso de creación de cuenta no se completó.

Además de la multa civil de $20 millones y las disposiciones cautelares que se han convertido en estándar en los casos COPPA de la FTC, la orden propuesta requerirá que Microsoft implemente nuevas prácticas comerciales para aumentar las protecciones de privacidad para los usuarios de Xbox menores de 13 años. Entre otras cosas, si los padres no han creado una cuenta separada para sus hijos, Microsoft debe informarles que una cuenta separada proporcionará protecciones de privacidad adicionales para sus hijos de forma predeterminada. La empresa también debe mantener un sistema para eliminar, dentro de las dos semanas siguientes a la fecha de recopilación, toda la información personal recopilada de los niños con el fin de obtener el consentimiento de los padres, a menos que los padres otorguen el consentimiento dentro de ese tiempo. Además, Microsoft debe cumplir con los requisitos de eliminación de fechas de COPPA al deshacerse de todos los demás datos personales recopilados de niños cuando ya no sean necesarios. Y si Microsoft revela información personal sobre niños a editores de videojuegos, Microsoft debe decirles que el usuario es un niño, una disposición clave que avisará a esos editores de que ellos también deben aplicar las protecciones COPPA a ese niño.

A continuación se presentan algunos puntos adicionales que las empresas pueden extraer del acuerdo propuesto.

La cobertura de COPPA es amplia. COPPA no solo cubre sitios web y aplicaciones. También se aplica a servicios en línea como Xbox. Si eres parte del ecosistema del juego, ¿estás al día con lo que COPPA requiere de tu empresa? La FTC tiene recursos para ayudarle a mantenerse dentro de la ley.

La definición de COPPA de “información personal” es amplia. El acuerdo propuesto con Microsoft envía un fuerte recordatorio a las empresas de que la frase "información personal" bajo COPPA cubre mucho más que sólo un nombre o dirección. También incluye otra información sobre el niño o los padres del niño recopilada en línea del niño, por ejemplo, cosas como avatares, datos biométricos, signos vitales y datos de salud, cuando se recopilan y combinan con otras categorías de información personal establecidas en el Regla. Con ese indicador de cumplimiento en mente, observe más de cerca la información que recopila. (Considere también esto como una razón más por la que necesita conocer la reciente Declaración de política sobre información biométrica de la FTC).

Preste atención a lo que otros le dicen sobre las fuentes de información. Es COPPA 101 que la ley cubre tanto los sitios web como los servicios en línea que están "dirigidos a niños" y aquellos con "conocimiento real" de que están tratando con datos recopilados de niños menores de 13 años. Entonces, si su empresa recopiló la información o usted recibió los datos sabiendo que otra persona se lo recogió a un niño menor de 13 años, la responsabilidad de la COPPA recae en usted. Según la orden propuesta, eso incluye a los editores de videojuegos a quienes ahora Microsoft debe informar cuando un usuario es menor de 13 años.

El “predeterminado”, querido Bruto, no está en nuestras estrellas, sino en nosotros mismos. Una conclusión clave es la importancia de diseñar configuraciones predeterminadas teniendo en cuenta el cumplimiento de COPPA. Analice sus procesos desde la perspectiva de padres e hijos.

Etiquetas: