La Comisión Federal de Comercio acaba de anunciar Microsoft ha sido multado con 20 millones de dólares “por cargos de que recopiló ilegalmente información personal de niños que se registraron en su sistema de juegos Xbox sin el consentimiento de sus padres”.
El fallo sigue a uno más grande de diciembre de 2022, cuando Epic Games, desarrolladores de Fortnite, recibieron una multa de 550 millones de dólares por usar “configuraciones predeterminadas que invaden la privacidad e interfaces engañosas que engañaron Fortnite usuarios, incluidos adolescentes y niños”.
En este caso, la FTC dice que el problema se centró en la creación de cuentas para niños en una consola Xbox, un proceso que hasta fines de 2021 permitiría que un niño ingrese cierta cantidad de información personal antes de requerir la asistencia y el permiso de los padres. Microsoft ha estado guardando esos datos (a veces durante “años”), incluso si la cuenta no se creó, lo cual es una violación de la Regla de protección de la privacidad en línea de los niños (COPPA).
Microsoft ya ha respondido al fallo con una correo en el blog oficial de Xbox, con Dave McCarthy, CVP Xbox Player Services, diciendo que la violación fue el resultado de un “fallo” y que Microsoft “continuará mejorando” en el futuro:
Recientemente llegamos a un acuerdo con la Comisión Federal de Comercio (FTC) de EE. UU. para actualizar nuestro proceso de creación de cuentas y resolver un error de retención de datos que se encontró en nuestro sistema. Lamentablemente no cumplimos con las expectativas de los clientes y estamos comprometidos a cumplir con la orden de seguir mejorando nuestras medidas de seguridad. Creemos que podemos y debemos hacer más, y nos mantendremos firmes en nuestro compromiso con la seguridad, la privacidad y la protección de nuestra comunidad.
McCarthy continúa explicando los detalles de este “fallo” y cómo condujo a la retención de datos de niños a pesar de que esto es “inconsistente con nuestra política de guardar esa información solo por 14 días”:
Durante la investigación, identificamos una falla técnica en la que nuestros sistemas no eliminaban los datos de creación de cuentas para cuentas infantiles donde el proceso de creación de cuentas se inició pero no se completó. Esto no concordaba con nuestra política de guardar esa información solo durante 14 días para que a los jugadores les resultara más fácil retomar el proceso donde lo dejaron. Nuestro equipo de ingeniería tomó medidas inmediatas: solucionamos el problema técnico, eliminamos los datos e implementamos prácticas para evitar que el error se repitiera. Los datos nunca se usaron, compartieron ni monetizaron.
La declaración de la FTCmientras tanto, dice:
Microsoft pagará $20 millones para resolver los cargos de la Comisión Federal de Comercio de que violó la Ley de protección de la privacidad en línea de los niños (COPPA) al recopilar información personal de niños que se registraron en su sistema de juegos Xbox sin notificar a sus padres u obtener el consentimiento de sus padres, y por retener ilegalmente la información personal de los niños.
“Nuestra orden propuesta hace que sea más fácil para los padres proteger la privacidad de sus hijos en Xbox y limita la información que Microsoft puede recopilar y retener sobre los niños”, dijo Samuel Levine, Director de la Oficina de Protección al Consumidor de la FTC. “Esta acción también debería dejar muy claro que los avatares, los datos biométricos y la información de salud de los niños no están exentos de la COPPA”.
Como parte de una orden propuesta presentada por el Departamento de Justicia en nombre de la FTC, Microsoft deberá tomar varias medidas para reforzar las protecciones de privacidad para los niños usuarios de su sistema Xbox. Por ejemplo, la orden extenderá las protecciones de COPPA a los editores de juegos de terceros con quienes Microsoft comparte datos de niños. Además, la orden deja en claro que los avatares generados a partir de la imagen de un niño y la información biométrica y de salud están cubiertos por la Regla COPPA cuando se recopilan con otros datos personales. La orden debe ser aprobada por un tribunal federal antes de que pueda entrar en vigor.