As crianças adoram brincar de se fantasiar, mas os pais não gostariam que elas vasculhassem o sótão ou subissem até a prateleira de cima do guarda-roupa sem permissão e supervisão adequada. O site i-Dressup.com ofereceu aos usuários – incluindo crianças – uma maneira virtual de brincar de vestir e desenhar roupas sem esses perigos potenciais. Mas de acordo com uma reclamação da FTC, Unixiz, Inc.a empresa por trás do i-Dressup, violou a Lei de Proteção à Privacidade Online das Crianças de maneiras que criaram diferentes tipos de riscos.
A COPPA implementa dois conjuntos separados de proteções para ajudar a manter os pais no controle das informações pessoais coletadas de seus filhos online. Em primeiro lugar, as empresas abrangidas pela COPPA devem divulgar claramente as suas políticas de informação e obter o consentimento dos pais antes de recolherem informações pessoais de crianças menores de 13 anos. Em segundo lugar, as empresas devem fornecer segurança razoável e adequada aos dados que recolhem. De acordo com um acordo da FTC, o i-Dressup ficou aquém de ambos os requisitos da COPPA.
O reclamação alega que a i-Dressup não forneceu aviso suficiente em seu site sobre as informações que coletou on-line de crianças, como as utilizou, suas práticas de divulgação e outros detalhes exigidos pela Regra COPPA. Os avisos diretos da empresa aos pais também eram deficientes. Entre outras coisas, eles não incluíram a declaração exigida pela COPPA de que se os pais não derem consentimento dentro de um prazo razoável, o i-Dressup excluirá suas informações de contato on-line de seus registros. Continue com a história porque esse fracasso acabou sendo particularmente preocupante.
Além de permitir que os usuários jogassem jogos online, o i-Dressup apresentava uma comunidade onde eles podiam “explorar sua criatividade e senso de moda com perfis pessoais únicos” e interagir com outras pessoas. Para se registrar, o i-Dressup exigia que as pessoas enviassem um nome de usuário, senha, data de nascimento e endereço de e-mail. Se a data de nascimento indicasse que a pessoa tinha menos de 13 anos, o campo do e-mail mudou para “E-mail dos pais”. Depois que o usuário menor de 13 anos preencheu os campos obrigatórios e clicou em “Inscreva-se agora”, o i-Dressup coletou as informações pessoais e enviou uma mensagem para o endereço inserido no campo E-mail dos pais. A pessoa que recebe o e-mail pode consentir clicando no botão “Ativar agora!” botão.
No entanto, se os pais não dessem consentimento, o i-Dressup retinha as informações pessoais coletadas da criança online. A FTC afirma que a falha da empresa em excluir essas informações foi violada Seção 312.5(c)(1) da Regra COPPA.
Além de violar as disposições de consentimento dos pais da COPPA, o i-Dressup supostamente violou a regra requisitos de segurança de dados. De acordo com a FTC, o i-Dressup armazenou e transmitiu informações pessoais dos usuários (incluindo senhas) em texto simples. Além disso, a empresa não conseguiu realizar testes de vulnerabilidade de rede, mesmo para ameaças bem conhecidas, como ataques SQL; não implementou um sistema de detecção e prevenção de intrusões; e não monitorou possíveis incidentes de segurança. O resultado? A empresa soube que um hacker conseguiu entrar na sua rede e acessou informações sobre 2,1 milhões de usuários, incluindo aproximadamente 245 mil usuários que indicaram ter menos de 13 anos.
Para resolver o casoA i-Dressup e seus proprietários pagarão uma multa civil de US$ 35 mil. Eles também estão proibidos de violar a COPPA no futuro e não podem vender, compartilhar ou coletar qualquer informação pessoal até que implementem um programa abrangente de segurança de dados e obtenham avaliações bienais independentes. Além disso, terão de fornecer à FTC uma certificação anual de conformidade.
A mensagem para os sites e operadores abrangidos pela COPPA é que um sistema eficaz de consentimento dos pais é apenas o primeiro passo para a conformidade. Seção 312.8 da Regra COPPA também exige que você “estabeleça e mantenha procedimentos razoáveis para proteger a confidencialidade, segurança e integridade das informações pessoais coletadas de crianças”.
Interessado em questões de segurança de dados? Leia um acompanhamento Declaração da Comissão e saiba mais sobre outra ação da FTC anunciada hoje.
