O assentamento de US $ 20 milhões da FTC aborda o Microsoft Xbox Illegal Collection of Kids ‘Data: um divisor de águas para a conformidade da COPPA

Se preocupa com a conformidade da COPPA Pode não ser o Xbox Gamertag mais legal, mas uma ação da FTC contra a Microsoft por supostas violações da regra da Lei de Proteção à Privacidade Online das Crianças sugere que pode ser uma boa escolha. Arquivado pelo Departamento de Justiça em nome da FTC, o acordo proposto de US $ 20 milhões exigirá que a Microsoft reforçasse proteções de privacidade para crianças que usam seu sistema de jogos Xbox. O ordem Também deixa claro que a COPPA cobre informações como avatares gerado a partir da imagem de uma criança, dados biométricose dados de saúde coletados com outras informações pessoais – e lembra as empresas que a regra impõe limitações estritas à retenção de dados de crianças.

Usado por milhões de jogadores – muitos dos quais têm menos de 13 anos – o Xbox Live da Microsoft é uma rede de jogos online que permite que as pessoas joguem através de seus consoles Xbox. A ação da FTC foco em três maneiras pelas quais a Microsoft supostamente violou Coppa: 1) coletando informações pessoais de crianças menores de 13 anos antes de notificar seus pais e obter consentimento dos pais; 2) ao não contar aos pais sobre as informações que a empresa coleta das crianças, por que está coletando essas informações e o fato de divulgar alguns dos dados a terceiros; e 3) mantendo as informações pessoais das crianças por mais tempo do que é razoavelmente necessário.

Onde a FTC diz que a Microsoft deu errado? Você deseja ler a reclamação para obter detalhes, mas começou com o procedimento de inscrição inicial. Para jogar, os usuários precisavam de uma conta da Microsoft. No início, a Microsoft exigia que eles fornecessem seu endereço de e -mail, seu primeiro e sobrenome e sua data de nascimento. Até o final de 2021, a Microsoft também pediu seu número de telefone. Além disso, a Microsoft exigia que eles consentissem no contrato de serviço da empresa, que até 2019 incluía uma caixa pré-verificada, permitindo que a Microsoft enviasse mensagens promocionais e compartilhasse dados do usuário com anunciantes. A sequência de eventos é importante aqui porque a Microsoft pediu todas essas informações, mesmo de usuários que acabaram de dizer à empresa, eles tinham menos de 13 anos. Somente depois de reunir que a série de dados pessoais de crianças fazia com que a Microsoft envolvesse os pais no processo. E isso está no ponto crucial da alegação da FTC de que a empresa violou a Coppa.

Para garantir que os pais – não as empresas – estejam no controle das informações coletadas em crianças on -line, a COPPA exige duas formas distintas de aviso. A denúncia alega que a Microsoft não cumpriu as duas disposições obrigatórias. Sob Seção 312.4 (b) da regra de Coppa – frequentemente chamada de aviso direto Requisito – uma empresa deve fornecer aos pais avisos diretos de suas práticas de informação antes Ele coleta, usa ou divulga informações pessoais de crianças. A FTC diz que a Microsoft violou essa provisão ao coletar nomes de crianças, endereços de e -mail, e números de telefone Na frente e somente depois disso, a empresa notificou os pais e pediu seu consentimento.

Além disso, a FTC alega que o aviso direto da Microsoft estava incompleto. Especificamente, o aviso não disse aos pais que coletariam informações pessoais além do que a criança já havia fornecido – por exemplo, as fotos das crianças, o ID do usuário do Xbox e outros dados que a empresa combinou com esse ID. Outra alegada deficiência: a Microsoft simplesmente disse aos pais que coletou, compartilhou e usou informações de crianças, mas depois as enviou para a declaração de privacidade da Microsoft para tentar descobrir os detalhes para si mesmos. A FTC diz que o que a Microsoft deveria ter feito foi descrever suas práticas naquele momento, em vez de enviar os pais sobre o que equivalia a uma tarefa de bricolage.

Seção 312.4 (d) da regra de Coppa – frequentemente chamada de Aviso online Provisão – exige (entre outras coisas) de que as empresas publiquem um link proeminente e claramente rotulado para um aviso de privacidade on -line explicando suas práticas de informação ““em cada área do site ou serviço on -line, onde as informações pessoais são coletadas de crianças. ” A FTC diz que a Microsoft também ficou aquém do cumprimento dessa provisão. Até pelo menos 2019, a declaração de privacidade necessária discutia as práticas da Companhia em geral, mas não incluía o que a COPPA exige: as especificidades sobre quais informações pessoais coletam das crianças e suas práticas de divulgação para essas informações. Além disso, não incluiu uma explicação obrigatória de como os pais podem pedir à Microsoft para excluir as informações pessoais de seus filhos e parar de colecioná -las no futuro.

A FTC alega que, ao coletar informações pessoais de crianças menores de 13 anos antes de envolver seus pais, a Microsoft violou Seção 312.5 de Coppa. Como afirma a provisão de consentimento dos pais, “um operador é obrigado a obter consentimento verificável dos pais antes de qualquer coleção, uso ou divulgação de informações pessoais de crianças”. Além disso, as deficiências nos avisos da Microsoft agravam essa violação. Em outras palavras, como o consentimento dos pais poderia ser eficaz se a Microsoft não lhe der as informações que a Coppa diz ser necessária para que eles tenham antes de decidir se deve consentir?

De acordo com a denúncia, A Microsoft também violou os requisitos de retenção e exclusão de dados da COPPA. De acordo com Seção 312.10As empresas “manterão informações pessoais coletadas on -line de uma criança apenas pelo tempo que for razoavelmente necessário para cumprir o objetivo para o qual as informações foram coletadas”. Depois disso, a empresa deve excluir com segurança os dados. Aqui, porém, a Microsoft coletou certas informações pessoais de crianças durante o processo de registro de conta, mas mesmo que o Empresa finalmente não pegar parental consentimentoA FTC diz que FROM 2015 Até 2020, a Microsoft manteve esses dados – geralmente por anos após a conclusão do processo de criação de contas.

Além da penalidade civil de US $ 20 milhões e disposições cautelares que se tornaram padrão nos casos da FTC COPPA, a ordem proposta exigirá que a Microsoft implemente as novas práticas de negócios para aumentar as proteções de privacidade para usuários do Xbox com menos de 13 anos. o filho deles por padrão. A empresa também deve manter um sistema para excluir, dentro de duas semanas a partir da data da coleta, todas as informações pessoais coletadas das crianças com o objetivo de obter o consentimento dos pais a menos que o pai conceda consentimento nesse tempo. Além disso, a Microsoft deve homenagear os requisitos de exclusão de data da Coppa, livrando -se de todos os outros dados pessoais coletados de crianças depois de não forem mais necessários. E se a Microsoft revelar informações pessoais sobre crianças para editores de videogames, a Microsoft deve dizer a eles que o usuário é uma criança – uma provisão de chave que informará esses editores que eles também devem aplicar proteções da Coppa a essa criança.

Aqui estão alguns pontos adicionais que as empresas podem retirar do acordo proposto.

A cobertura da COPPA é expansiva. A COPPA não cobre apenas sites e aplicativos. Também applies para serviços on -line como o Xbox. Se você faz parte do ecossistema de jogos, você está atualizado sobre o que a COPPA exige da sua empresa? A FTC tem recursos Para ajudar sua estadia dentro da lei.

A definição de “informação pessoal” da Coppa é ampla. O acordo proposto com a Microsoft envia um forte lembrete para as empresas de que a frase “informações pessoais” sob a COPPA cobre muito mais do que apenas um nome ou endereço. Também inclui Outras informações sobre a criança ou os pais da criança coletados on -line da criança – por exemplo, Coisas como avatares, biometria, sinais vitais e dados de saúdeQuando coletado e combinado com outras categorias de informações pessoais estabelecidas na regra. Com esse ponteiro de conformidade em mente, dê uma olhada nas informações que você coletar. (Considere também que mais uma razão pela qual você precisa saber sobre o recente da FTC Declaração de política sobre informações biométricas.)

Preste atenção ao que os outros estão dizendo sobre as fontes de informação. É Coppa 101 que a lei abrange sites e serviços on -line que são “direcionados para crianças” e Aqueles com “conhecimento real” estão lidando com dados coletados de crianças menores de 13 anos. Portanto, se sua empresa coletou as informações ou você recebeu os dados sabendo que alguém os coletou de uma criança com menos de 13 anos, o Coppa Buck para com você. Sob a ordem proposta, isso inclui os editores de videogame que agora devem ser informados pela Microsoft quando um usuário tem menos de 13 anos.

“Padrão”, querido Brutus, não está em nossas estrelas, mas em nós mesmos. Um dos principais argumentos é a importância de projetar configurações padrão com a conformidade da COPPA em mente. Ande pelos seus processos da perspectiva de pais e filhos.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

O HMRC pode ver o quanto eu vendo no vinte e no eBay? Aviso de questões de especialistas fiscais

20 Agosto 2025

Os lucros da Honda de três meses são meio decretos porque o fabricante de carros Trump sentiu os efeitos das tarifas | Honda

6 Agosto 2025

As ações da Palantir aumentam após o relatório de 48 % de aumento da receita

6 Agosto 2025

A Índia bate a ameaça de Trump de tarifas sobre as compras de petróleo russo

6 Agosto 2025
Botão Voltar ao Topo