28 junio 2023
De manera similar a lo sucedido con Epic Games a finales del año pasado —y que también analizamos en este mismo espacio— aunque con una multa sustancialmente inferior a aquella, Microsoft pagará 20 millones de dólares para zanjar las acusaciones de la Comisión Federal de Comercio (FTC) de haber infringido la Ley de Protección de la Privacidad Infantil en Internet (COPPA) al recopilar información personal de los niños que se registraban en su sistema de juegos Xbox sin notificárselo a sus padres ni obtener su consentimiento, y al conservar ilegalmente información personal de los menores.
De acuerdo con el director de la Oficina de Protección del Consumidor de la FTC, la propuesta busca facilitar a los padres la protección de la intimidad de sus hijos en Xbox y limitar la información que Microsoft puede recopilar y conservar sobre ellos.
A su vez, la orden establece que los avatares generados a partir de la imagen de un niño y la información biométrica y sanitaria están cubiertos por la norma COPPA cuando se recopilan junto con otros datos personales. La orden debe ser aprobada por un tribunal federal antes de que pueda entrar en vigor.
La COPPA exige que los servicios en línea y los sitios web dirigidos a niños menores de 13 años notifiquen a los padres la información personal que recopilan y obtengan el consentimiento paterno verificable antes de recopilar y utilizar cualquier información personal recogida de los niños. Según una denuncia presentada también por el Departamento de Justicia, Microsoft infringió los requisitos de notificación, consentimiento y conservación de datos de la norma COPPA.
Xbox y los datos personales
Los productos de juego Xbox de Microsoft permiten a los usuarios jugar y chatear con otros jugadores a través de su servicio Xbox Live. Para acceder y jugar en una consola Xbox o utilizar cualquiera de las otras funciones de Xbox Live, los usuarios deben crear una cuenta, lo que requiere que los usuarios proporcionen información personal, incluyendo su nombre y apellidos, dirección de correo electrónico y su fecha de nacimiento. Incluso cuando un usuario indicaba que era menor de 13 años, también se le pedía, hasta finales de 2021, que proporcionara información personal adicional, incluido un número de teléfono, y que aceptara el acuerdo de servicio y la política publicitaria de Microsoft, que hasta 2019 incluía una casilla previamente marcada que permitía a Microsoft enviar mensajes promocionales y compartir datos de usuarios con anunciantes, según la denuncia.
No fue hasta después de que los usuarios proporcionaran esta información personal que Microsoft requirió que cualquiera que indicara que era menor de 13 años involucrara a sus padres. A continuación, el tutor legal del menor tenía que completar el proceso de creación de la cuenta antes de que el niño pudiera obtener su propia cuenta. Según la denuncia, entre 2015 y 2020 Microsoft conservó los datos —a veces durante años— que recopiló de los niños durante el proceso de creación de la cuenta, incluso cuando uno de los padres no completó el proceso. La COPPA prohíbe conservar información personal sobre niños durante más tiempo del razonablemente necesario para cumplir el propósito para el que se recopiló.
Una vez abierta una cuenta, el usuario puede crear un perfil que incluirá su “gamertag”, que es el identificador principal visible para él y otros usuarios de Xbox Live, y también puede subir una foto o incluir un avatar, que es una figura o imagen que representa al usuario. Según la denuncia, Microsoft combinaba esta información con un identificador único persistente que creaba para cada titular de cuenta, incluso menores, y podía compartir esta información con terceros desarrolladores de juegos y aplicaciones. Microsoft permitía por defecto que todos los usuarios, incluidos los niños, jugaran a juegos y aplicaciones de terceros mientras utilizaban Xbox Live, exigiendo a los padres que tomaran medidas adicionales para excluirse si no querían que sus hijos accedieran a ellos.
Según la denuncia, Microsoft no cumplió plenamente las disposiciones de notificación de la COPPA. Por ejemplo, Microsoft no comunicó a los padres toda la información que recopilaba, como la foto del perfil del niño.
Las consecuencias de la sanción a Microsoft
En concreto, la orden propuesta exigirá a Microsoft:
- Informar a los padres que no hayan creado una cuenta separada para sus hijos de que al hacerlo se les proporcionarán por defecto protecciones de privacidad adicionales para sus hijos;
- Obtener el consentimiento de los padres para las cuentas creadas antes de mayo de 2021, si el titular de la cuenta sigue siendo menor de edad;
- Establecer y mantener sistemas para eliminar, en un plazo de dos semanas a partir de la fecha de recopilación, toda la información personal que recopile de niños con el fin de obtener el consentimiento paterno si no lo ha obtenido, y para eliminar todos los demás datos personales recopilados de niños una vez que ya no sean necesarios para cumplir el propósito para el que se recopilaron; y
- Al revelar información personal de menores a los editores externos de videojuegos, advertirles de esta circunstancia, lo que obligará a los editores a aplicar las protecciones de la COPPA a ese usuario.
Comentarios
No hay comentarios