Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarAcordo de US$ 20 milhões da FTC trata da coleta ilegal de dados de crianças do Microsoft Xbox: uma virada de jogo para a conformidade com a COPPA
Care About COPPA Compliance pode não ser o gamertag mais legal do Xbox, mas uma ação da FTC contra a Microsoft por supostas violações da regra da Lei de Proteção à Privacidade Online das Crianças sugere que, no entanto, pode ser uma boa escolha. Apresentado pelo Departamento de Justiça em nome da FTC, o acordo proposto de US$ 20 milhões exigirá que a Microsoft reforce as proteções de privacidade para crianças que usam seu sistema de jogos Xbox. A ordem também deixa claro que a COPPA abrange informações como avatares gerados a partir da imagem de uma criança, dados biométricos e dados de saúde recolhidos com outras informações pessoais – e lembra às empresas que a Regra impõe limitações estritas à retenção de dados de crianças.
Utilizado por milhões de jogadores – muitos dos quais têm menos de 13 anos – o Xbox Live da Microsoft é uma rede de jogos online que permite às pessoas jogar através das suas consolas Xbox. A ação da FTC concentra-se em três maneiras pelas quais a Microsoft supostamente violou a COPPA: 1) coletando informações pessoais de crianças menores de 13 anos antes de notificar seus pais e obter o consentimento deles; 2) ao não informar os pais sobre as informações que a empresa coleta das crianças, por que está coletando essas informações e o fato de divulgar alguns dos dados a terceiros; e 3) retendo as informações pessoais das crianças por mais tempo do que o razoavelmente necessário.
Onde a FTC diz que a Microsoft errou? Você vai querer ler a reclamação para obter detalhes, mas ela começou com o procedimento de inscrição inicial. Para jogar, os usuários precisavam de uma conta da Microsoft. No início, a Microsoft exigiu que eles fornecessem endereço de e-mail, nome e sobrenome e data de nascimento. Até o final de 2021, a Microsoft também pedia seu número de telefone. Além do mais, a Microsoft exigia que eles concordassem com o contrato de serviço da empresa, que até 2019 incluía uma caixa pré-marcada que permitia à Microsoft enviar-lhes mensagens promocionais e compartilhar dados de usuários com anunciantes. A sequência de eventos é importante aqui porque a Microsoft solicitou todas essas informações até mesmo de usuários que haviam acabado de informar à empresa que tinham menos de 13 anos. Somente depois de coletar toda essa quantidade de dados pessoais de crianças a Microsoft conseguiu envolver os pais no processo. E esse é o cerne da alegação da FTC de que a empresa violou a COPPA.
Para garantir que os pais – e não as empresas – controlam as informações coletadas das crianças online, a COPPA exige duas formas distintas de notificação. A reclamação alega que a Microsoft não cumpriu ambas as disposições obrigatórias. De acordo com a Seção 312.4(b) da Regra COPPA – muitas vezes chamada de requisito de notificação direta – uma empresa deve fornecer aos pais notificação direta sobre suas práticas de informação antes de coletar, usar ou divulgar informações pessoais de crianças. A FTC afirma que a Microsoft violou essa disposição ao coletar nomes, endereços de e-mail e números de telefone das crianças antecipadamente e só depois disso a empresa notificou os pais e pediu seu consentimento.
Além disso, a FTC alega que a notificação direta da Microsoft estava incompleta. Especificamente, o aviso não informava aos pais que coletaria informações pessoais além daquelas que a criança já havia fornecido – por exemplo, fotos das crianças, seu ID de usuário do Xbox e outros dados que a empresa combinou com esse ID. Outra suposta deficiência: a Microsoft simplesmente disse aos pais que coletava, compartilhava e usava informações de crianças, mas depois os enviava para a Declaração de Privacidade da Microsoft para tentarem descobrir os detalhes por si próprios. A FTC diz que o que a Microsoft deveria ter feito era descrever suas práticas naquele momento, em vez de enviar os pais para o que equivalia a uma tarefa DIY.
A Seção 312.4(d) da Regra COPPA – muitas vezes chamada de disposição de aviso on-line – exige (entre outras coisas) que as empresas publiquem um link proeminente e claramente identificado para um aviso de privacidade on-line explicando suas práticas de informação “em cada área do site ou serviço online onde informações pessoais são coletadas de crianças.” A FTC afirma que a Microsoft também não cumpriu essa disposição. Até pelo menos 2019, a Declaração de Privacidade exigida discutia as práticas da empresa em geral, mas não incluía o que a COPPA exige: os detalhes sobre quais informações pessoais ela coleta de crianças e suas práticas de divulgação dessas informações. Além do mais, não incluía uma explicação obrigatória sobre como os pais podem solicitar à Microsoft que exclua as informações pessoais de seus filhos e pare de coletá-las no futuro.