Microsoft acordó pagar una multa de $ 20 millones para resolver los cargos de la Comisión Federal de Comercio (FTC) de EE. UU. de que la compañía recopiló y retuvo ilegalmente los datos de niños que se registraron para usar su consola de videojuegos Xbox sin el conocimiento o consentimiento de sus padres.
«Nuestra orden propuesta hace que sea más fácil para los padres proteger la privacidad de sus hijos en Xbox y limita la información que Microsoft puede recopilar y retener sobre los niños», Samuel Levine de la FTC. dicho. «Esta acción también debería dejar muy claro que los avatares, los datos biométricos y la información de salud de los niños no están exentos de COPPA.»
Como parte del acuerdo propuesto, que está pendiente de aprobación judicial, se ordenó a Redmond que actualice su proceso de creación de cuentas para niños para evitar la recopilación y el almacenamiento de datos, incluida la obtención del consentimiento de los padres y la eliminación de dicha información dentro de dos semanas si no se obtiene la aprobación. .
Las protecciones de privacidad también se extienden a los editores de juegos de terceros con los que Microsoft comparte los datos de los niños, además de someter la información biométrica y los avatares creados a partir de las caras de los niños a las leyes de privacidad.
Microsoft, según la FTC, violó los requisitos de consentimiento y retención de datos de COPPA al exigir que los menores de 13 años proporcionen su nombre y apellido, direcciones de correo electrónico, fechas de nacimiento y números de teléfono hasta finales de 2021.
Además, se dice que el fabricante de Windows compartió los datos del usuario con los anunciantes de forma predeterminada hasta 2019 cuando dio su consentimiento al acuerdo de servicio y la política de publicidad de Microsoft.
“No fue hasta después de que los usuarios proporcionaron esta información personal que Microsoft requirió que cualquier persona que indicara que era menor de 13 años involucrara a sus padres”, dijo la FTC. «El padre del niño tuvo que completar el proceso de creación de la cuenta antes de que el niño pudiera obtener su propia cuenta».
Sin embargo, Microsoft optó por retener los datos recopilados de los niños durante el paso de creación de la cuenta durante años, incluso en escenarios en los que un padre no completó el proceso de registro, lo que contraviene las leyes de privacidad infantil en los EE. UU.
La compañía también ha sido acusada de crear un identificador persistente único para cuentas de menores de edad y compartir esa información con desarrolladores de juegos y aplicaciones de terceros y de exigir explícitamente a los padres que opten por no participar para evitar que sus hijos accedan a juegos y aplicaciones de terceros en Xbox. Vivir.
xbox, en respuesta, dijo que está tomando medidas adicionales para mejorar sus sistemas de verificación de edad y garantizar que los padres participen en la creación de cuentas infantiles para el servicio. No reveló los detalles exactos de lo que podría ser dicho sistema.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
También atribuyó algunos de los problemas a una falla técnica que no logró «eliminar los datos de creación de cuentas para cuentas infantiles donde el proceso de creación de cuentas se inició pero no se completó», y enfatizó que los datos se eliminaron rápidamente y nunca «se usaron, compartieron o monetizaron». .»
Esta no es la primera vez que la FTC multa a un fabricante de videojuegos por violaciones de la COPPA. En diciembre de 2022, el desarrollador de Fortnite, Epic Games, llegó a un acuerdo de 520 millones de dólares con la agencia en parte por violar las leyes de privacidad en línea para niños.
Las multas vienen como Microsoft revelado anticipa multas por una suma de «aproximadamente $ 425 millones» de la Comisión de Protección de Datos de Irlanda (DPC) en el cuarto trimestre de 2023 por violar potencialmente el Reglamento General de Protección de Datos (GDPR) de la Unión Europea para publicar anuncios dirigidos a los usuarios de LinkedIn.
El desarrollo también se acerca a los talones de la FTC que impone a Amazon una multa acumulada de $ 30.8 millones por una serie de fallas en la privacidad con respecto a su asistente Alexa y las cámaras de seguridad Ring.