A informação sobre saúde dos consumidores já é uma categoria particularmente sensível. Mas informações de saúde e outros dados pessoais de crianças a partir dos oito anos? Isso pode levantar preocupações de privacidade na estratosfera. Um acordo de US$ 1,5 milhão da FTC com a WW International, Inc. – você os conhece pelo nome anterior de Vigilantes do Peso – e sua subsidiária Kurbo, Inc., ressalta o princípio de que coletar e manter esse tipo de informação aumenta as responsabilidades de conformidade de uma empresa. Onde a FTC diz que os réus erraram neste caso e que orientação sua empresa pode obter sobre a regra da Lei de Proteção à Privacidade Online das Crianças? Continue lendo.
O Regra COP exige que sites, aplicativos e serviços online notifiquem os pais e obtenham seu consentimento expresso antes de coletar, usar ou divulgar informações pessoais de crianças menores de 13 anos. A regra se aplica em duas circunstâncias distintas: 1) se o site, aplicativo ou serviço for direcionado para crianças menores de 13 anos; ou 2) se o site, aplicativo ou serviço tiver “conhecimento real de que está coletando informações pessoais” de crianças dessa faixa etária. (Seção 312.2 da Regra inclui padrões a serem aplicados na tomada dessas determinações.) A FTC alega que a WW International e a Kurbo violaram a regra COPPA na operação de seu aplicativo de perda de peso Kurbo.
Além de adolescentes e outros membros da família, crianças a partir dos oito anos podem usar o aplicativo Kurbo para monitorar peso, ingestão alimentar e atividade física. O aplicativo também coleta outras informações pessoais – por exemplo, nomes, endereços de e-mail e datas de nascimento. Até o final de 2019, os usuários podiam se inscrever no serviço no aplicativo, indicando que eram os pais que se inscreveram para o filho ou que eram crianças de 13 anos ou mais que se inscreveram.
Mas de acordo com a denúncia, apresentada pelo Departamento de Justiça em nome da FTC, o processo de inscrição dos réus resultou, na verdade, na inscrição de muitos usuários com menos de 13 anos sem a permissão dos pais. Sim, havia um texto dizendo que crianças menores de 13 anos precisavam se inscrever por meio dos pais. Mas de 2014 a 2019, centenas de usuários que se inscreveram no aplicativo alegando ter mais de 13 anos mudaram posteriormente seus perfis pessoais para incluir datas de nascimento que revelassem que eles eram realmente mais jovens do que isso. Apesar disso, a FTC afirma que WW e Kurbo continuaram a dar acesso ao aplicativo a essas crianças. Essa prática não parou até que o pessoal da FTC contactou as empresas.
Além do mais, em 2020, os réus atualizaram a opção de inscrição para maiores de 13 anos, mas a FTC afirma que os problemas com o processo continuaram. De acordo com a denúncia, os réus não forneceram um mecanismo para garantir que os usuários que selecionaram a opção de inscrição parental fossem realmente pais – e não apenas crianças que tentavam contornar a restrição de idade.
Além disso, Seção 312.4 da Regra COPPA exige que uma empresa coberta pela COPPA “faça esforços razoáveis, tendo em conta a tecnologia disponível, para garantir que os pais de uma criança recebam notificação direta” das suas práticas de informação. Mas de acordo com a FTC, até novembro de 2019, WW e Kurbo não fizeram nenhuma tentativa de avisar os pais por meio do aplicativo, e os pais que inscreveram seus filhos no site dos réus ou de um afiliado receberam um aviso sobre a coleta de informações apenas se eles clicou em um hiperlink enterrado em uma série de outros links. A denúncia alega ainda que, apesar das alterações feitas em 2019, os réus ainda não cumpriram os requisitos da COPPA sobre o que a notificação direta deve informar aos pais. A FTC também afirma que WW e Kurbo violaram as regras da COPPA disposições para exclusão de dados retendo as informações pessoais das crianças indefinidamente e excluindo-as somente quando solicitado pelos pais.
Além de impor uma multa civil de US$ 1,5 milhão, o acordo exige que os réus reformulem suas práticas de informação relacionadas a crianças e seus esforços de conformidade com a COPPA. WW e Kurbo também devem excluir todos os dados coletados ilegalmente no prazo de 30 dias após o pedido, a menos que forneçam notificação direta e obtenham consentimento dos pais para usar esses dados coletados anteriormente de maneira compatível com a COPPA. Eles também devem destruir quaisquer algoritmos derivados dos dados coletados ilegalmente.. No futuro, eles terão que destruir todos os dados coletados de crianças menores de 13 anos se já tiver passado mais de um ano desde que a criança usou o aplicativo.
O caso sugere três indicadores de conformidade para outras empresas.
Verifique a fechadura do seu portão de idade. Não está fora de questão que uma criança com menos de 13 anos possa tentar aceder aos serviços do seu site ou aplicação, especialmente se – como neste caso – você fornece serviços para crianças com menos de 13 anos. sabem que não podem evitar as suas obrigações COPPA estabelecendo um limite de idade não neutro para excluir os próprios utilizadores que o seu site ou aplicação pretende atrair. (Pense desta forma: quão eficaz seria colocar uma placa na frente de um playground que diz “Aberto apenas para pais e crianças com 13 anos ou mais” e esperar impedir a entrada de todos os mais jovens?) Além disso, se você pretende oferecer serviços em um site ou aplicativo reservados para usuários mais velhos, fique atento a outras evidências que sugiram uso não autorizado – por exemplo, um aniversário diferente em uma página de perfil.
Cumpra os requisitos de notificação da COPPA. Quando se trata de coletar informações on-line sobre crianças, a COPPA coloca os pais no comando. A Regra é específica em seus requisitos de notificação e as empresas devem facilitar aos pais e às mães a obtenção de detalhes sobre suas práticas de informação.
Exclua os dados diligentemente. A retenção de dados sob a COPPA não é uma proposta para sempre. Sob Seção 312.10você pode reter as informações pessoais das crianças “apenas pelo tempo razoavelmente necessário para cumprir a finalidade para a qual as informações foram coletadas”. Depois disso, você tem a obrigação legal de excluí-lo de uma forma que garanta que ele foi destruído com segurança. Leia na COPPA, a exclusão de dados não é apenas uma boa ideia. É a lei para insights práticos.
Encontre mais recursos de conformidade na página Privacidade Infantil da FTC.
