La Comisión Federal de Comercio acaba de anunciar que Microsoft ha sido multada con 20 millones de dólares “por cargos de recopilación ilegal de información personal de niños que se registraron en su sistema de juegos Xbox sin el consentimiento de sus padres”.
La decisión sigue a una multa más grande impuesta en diciembre de 2022 a Epic Games, los desarrolladores de Fortnite, quienes recibieron una multa de 550 millones de dólares por utilizar “ajustes predeterminados invasivos de privacidad e interfaces engañosas que engañaron a los usuarios de Fortnite, incluidos adolescentes y niños”.
En este caso, la FTC dice que el problema se centró en la creación de cuentas infantiles en una consola Xbox, un proceso que hasta finales de 2021 permitía a un niño ingresar cierta cantidad de información personal antes de requerir la asistencia y el permiso de un padre. Microsoft había estado conservando esos datos (a veces durante “años”), incluso si la cuenta no se creaba, lo cual viola la Regla de Protección de la Privacidad en Línea para Niños (COPPA, por sus siglas en inglés).
Microsoft ya ha respondido a la decisión con una publicación en el blog oficial de Xbox, donde Dave McCarthy, Vicepresidente Corporativo de Servicios para Jugadores de Xbox, dice que la violación fue resultado de un “error” y que Microsoft seguirá “mejorando” en el futuro:
“Recientemente llegamos a un acuerdo con la Comisión Federal de Comercio de EE. UU. (FTC) para actualizar nuestro proceso de creación de cuentas y resolver un problema de retención de datos encontrado en nuestro sistema. Lamentablemente, no cumplimos con las expectativas de los clientes y nos comprometemos a cumplir con la orden para seguir mejorando nuestras medidas de seguridad. Creemos que podemos y debemos hacer más, y seguiremos firmes en nuestro compromiso con la seguridad, privacidad y protección de nuestra comunidad”.
McCarthy continúa explicando los detalles de este “error” y cómo condujo a la retención de los datos de los niños, a pesar de que esto era “incoherente con nuestra política de guardar esa información solo durante 14 días”:
Durante la investigación, identificamos un error técnico en el que nuestros sistemas no eliminaban los datos de creación de cuentas de las cuentas infantiles donde se iniciaba pero no se completaba el proceso de creación de la cuenta. Esto era incoherente con nuestra política de guardar esa información solo durante 14 días para facilitar que los jugadores retomen donde lo dejaron para completar el proceso. Nuestro equipo de ingeniería tomó medidas inmediatas: solucionamos el error, eliminamos los datos e implementamos prácticas para prevenir que el error se repitiera. Los datos nunca fueron utilizados, compartidos ni monetizados.
Por su parte, el comunicado de la FTC dice lo siguiente:
Microsoft pagará 20 millones de dólares para resolver los cargos presentados por la Comisión Federal de Comercio de EE. UU. (FTC) de que violó la Ley de Protección de la Privacidad en Línea para Niños (COPPA) al recopilar información personal de niños que se registraron en su sistema de juegos Xbox sin notificar a sus padres ni obtener el consentimiento de los padres, y al retener ilegalmente la información personal de los niños.
“Nuestra orden propuesta facilita a los padres proteger la privacidad de sus hijos en Xbox y limita la información que Microsoft puede recopilar y retener sobre los niños”, dijo Samuel Levine, Director de la Oficina de Protección al Consumidor de la FTC. “Esta acción también deja en claro que los avatares de los niños, los datos biométricos y la información de salud no están exentos de COPPA”.
Como parte de una orden propuesta presentada por el Departamento de Justicia en nombre de la FTC, se requerirá que Microsoft tome varias medidas para fortalecer las protecciones de privacidad para los usuarios infantiles de su sistema Xbox. Por ejemplo, la orden extenderá las protecciones de COPPA a los editores de juegos de terceros con quienes Microsoft comparte los datos de los niños. Además, la orden deja en claro que los avatares generados a partir de la imagen de un niño, y la información biométrica y de salud, están cubiertos por la Regla de COPPA cuando se recopilan junto con otros datos personales. La orden debe ser aprobada por un tribunal federal antes de que pueda entrar en vigencia.
Vía: Kotaku
Nota del editor: Es complicado regular esto, creo que también es falta de comunicación y de que se estén revisando estos procesos. Entiendo que retener información ayuda a completar la creación de una cuenta, pero no tiene sentido que estos datos estén almacenados por años.
