La Comisión Federal de Comercio de los Estados Unidos (Federal Trade Comission), el organismo protector de los consumidores de ese país, anunció que llegó a un acuerdo con Microsoft para resolver cargos por incumplimientos a la Ley COPPA (Children’s Online Privacy Protection Act Rule), que protege el tratamiento de los datos personales de los menores de 13 años que utilizan servicios en línea. El acuerdo incluye el pago por parte de la tecnológica de 20 millones de dólares estadounidenses en concepto de sanción civil.
Los incumplimientos de Microsoft en materia de protección de datos personales
Según la denuncia presentada por la FTC, Microsoft, a través de su plataforma online de gaming Xbox Live, violó los requisitos de recopilación, retención y eliminación de datos de la Ley de COPPA.
Recopilación de datos sin consentimiento de los padres
Los incumplimientos habrían consistido en recopilar datos personales de niños menores de 13 años sin notificar ni obtener el consentimiento de los padres, no informar a los padres sobre la información que la empresa recopila de los niños, por qué recopila esa información y el hecho de que divulga algunos de los datos a terceros, y retener la información personal de los niños por más tiempo del razonablemente necesario.
Los incumplimientos se habrían producido a través de la plataforma online de gaming Xbox Live, propiedad del gigante tecnológico.
Para usar la plataforma Xbox live, los usuarios deben crearse una cuenta y compartir datos personales: nombre y apellido, correo electrónico, fecha de nacimiento y, hasta 2019, un número telefónico. De acuerdo a la FTC, aún cuando el usuario declaraba ser menor de 13 años Microsoft recopilaba esos datos por adelantado. Sólo después solicitaba el consentimiento a los padres, cuando la legislación requiere que lo haga previamente.
Incluso, según la denuncia, Microsoft no informaba a los padres sobre el tratamiento de otro tipo de datos personales, como información biométrica de los menores. A su vez, la declaración de privacidad del servicio Xbox Live no habría cumplido con los requisitos legales, ya que, por ejemplo, no habría contenido un apartado explicativo sobre el derecho de supresión.
Retención de los datos sin motivo alguno
Supuestamente, los incumplimientos se daban inclusive aún cuando el menor finalmente no crease la cuenta por no obtener el consentimiento de sus padres, ya que desde 2015 a 2020 Microsoft habría retenido por años los datos personales facilitados durante el fallido proceso de registro.
Todos estos incumplimientos llevaron a que Microsoft aceptase pagar la millonaria suma de 20 millones de dólares para evitar una posible condena en el procedimiento judicial.
Las medidas que deberá adoptar Microsoft para cumplir con la COPPA
Además, el acuerdo con la FTC requiere que Microsoft adopte numerosas medidas para cumplir con las disposiciones de la COPPA en materia de tratamiento de datos personales de menores de 13 años. Algunas de ellas son:
- Informar a los padres no han creado una cuenta separada para sus hijos, que una cuenta separada proporcionará protecciones de privacidad adicionales para sus hijos de manera predeterminada.
- Eliminar los datos personales de los menores de 13 años luego de dos semanas de recopilados si los padres no otorgan su consentimiento dentro de ese plazo.
- Deshacerse de todos los datos personales de menores de 13 años una vez que haya desaparecido la necesidad de su tratamiento
- Notificar a los terceros a los que cede los datos, principalmente editores de videojuegos, que estos pertenecen a menores de 13 años, de modo que estos también apliquen las disposiciones de COPPA.
2023: el año de las sanciones a Microsoft
Esta es la segunda sanción que los reguladores imponen a Microsoft en lo que va del año.
En mazo pasado la Oficina de Control de Activos Extranjeros (OFAC) y la Oficina de Industria y Seguridad (BIS) de los Estados Unidos, las principales agencias encargadas de hacer cumplir las sanciones de control de exportaciones, anunciaron un acuerdo con el gigante tecnológico, por el cual Microsoft fue multada en más de 3 millones de dólares estadounidenses por violaciones a las leyes norteamericanas de control de las exportaciones.
