Language
Una transazione da 20 milioni di dollari da parte della FTC affronta la raccolta illegale di dati dei bambini da parte di Microsoft Xbox: un punto di svolta per la conformità al COPPA
CasaCasa > Blog > Una transazione da 20 milioni di dollari da parte della FTC affronta la raccolta illegale di dati dei bambini da parte di Microsoft Xbox: un punto di svolta per la conformità al COPPA
ULTIME NOTIZIE

Una transazione da 20 milioni di dollari da parte della FTC affronta la raccolta illegale di dati dei bambini da parte di Microsoft Xbox: un punto di svolta per la conformità al COPPA

Nov 24, 2023

L'attenzione alla conformità COPPA potrebbe non essere il gamertag Xbox più interessante, ma un'azione della FTC contro Microsoft per presunte violazioni del Children's Online Privacy Protection Act Rule suggerisce che potrebbe comunque essere una buona scelta. Presentata dal Dipartimento di Giustizia per conto della FTC, la proposta di accordo da 20 milioni di dollari richiederà a Microsoft di rafforzare la protezione della privacy per i bambini che utilizzano il suo sistema di gioco Xbox. L’ordinanza chiarisce inoltre che la COPPA copre informazioni come avatar generati dall’immagine di un bambino, dati biometrici e dati sanitari raccolti insieme ad altre informazioni personali – e ricorda alle aziende che la norma impone rigide limitazioni alla conservazione dei dati dei bambini.

Utilizzato da milioni di giocatori, molti dei quali hanno meno di 13 anni, Xbox Live di Microsoft è una rete di giochi online che consente alle persone di giocare tramite la propria console Xbox. L'azione della FTC si concentra su tre modi in cui Microsoft avrebbe violato il COPPA: 1) raccogliendo informazioni personali da bambini sotto i 13 anni prima di avvisare i genitori e ottenere il consenso dei genitori; 2) omettendo di comunicare ai genitori le informazioni che l'azienda raccoglie dai bambini, il motivo per cui raccoglie tali informazioni e il fatto che divulga alcuni dati a terzi; e 3) conservando le informazioni personali dei bambini più a lungo di quanto ragionevolmente necessario.

Dove dice la FTC che Microsoft ha sbagliato? Ti consigliamo di leggere il reclamo per i dettagli, ma è iniziato con la procedura di registrazione iniziale. Per giocare, gli utenti avevano bisogno di un account Microsoft. Inizialmente Microsoft ha chiesto loro di fornire il proprio indirizzo e-mail, nome, cognome e data di nascita. Fino alla fine del 2021, Microsoft ha chiesto anche il loro numero di telefono. Inoltre, Microsoft ha richiesto loro di accettare il contratto di servizio dell'azienda, che fino al 2019 includeva una casella preselezionata che consentiva a Microsoft di inviare messaggi promozionali e di condividere i dati degli utenti con gli inserzionisti. La sequenza degli eventi è importante in questo caso perché Microsoft ha chiesto tutte queste informazioni anche agli utenti che avevano appena dichiarato all'azienda di avere meno di 13 anni. Solo dopo aver raccolto tutta quella serie di dati personali dei bambini, Microsoft ha coinvolto i genitori nel processo. E questo è il nocciolo dell'accusa della FTC secondo cui la società ha violato il COPPA.

Per garantire che i genitori – e non le aziende – abbiano il controllo delle informazioni raccolte online dai bambini, la COPPA richiede due distinte forme di notifica. La denuncia sostiene che Microsoft non ha rispettato entrambe le disposizioni imperative. Ai sensi della sezione 312.4(b) della norma COPPA – spesso chiamata obbligo di notifica diretta – un’azienda deve fornire ai genitori un avviso diretto delle sue pratiche informative prima di raccogliere, utilizzare o divulgare informazioni personali dei bambini. La FTC afferma che Microsoft ha violato tale disposizione raccogliendo in anticipo nomi, indirizzi e-mail e numeri di telefono dei bambini e solo dopo aver informato i genitori e chiesto il loro consenso.

Inoltre, la FTC sostiene che la notifica diretta di Microsoft era incompleta. Nello specifico, l'avviso non informava i genitori che avrebbe raccolto informazioni personali oltre a quelle che il bambino aveva già fornito, ad esempio foto dei bambini, ID utente Xbox e altri dati che la società aveva combinato con quell'ID. Un'altra presunta carenza: Microsoft ha semplicemente detto ai genitori di aver raccolto, condiviso e utilizzato le informazioni dei bambini, ma poi li ha inviati all'Informativa sulla privacy di Microsoft per cercare di capire da soli i dettagli. La FTC afferma che ciò che Microsoft avrebbe dovuto fare era descrivere le sue pratiche in quel momento, piuttosto che mandare i genitori a fare quella che equivaleva a una commissione fai-da-te.

La sezione 312.4(d) della norma COPPA – spesso chiamata disposizione relativa all'informativa online – richiede (tra le altre cose) che le aziende pubblichino un collegamento ben visibile e chiaramente etichettato a un'informativa sulla privacy online che spieghi le loro pratiche informative “in ciascuna area del sito Web o servizio online in cui vengono raccolte informazioni personali di bambini. La FTC afferma che anche Microsoft non è riuscita a rispettare tale disposizione. Almeno fino al 2019, l'Informativa sulla privacy richiesta discuteva le pratiche dell'azienda in generale, ma non includeva ciò che il COPPA richiede: i dettagli su quali informazioni personali raccoglie dai bambini e le sue pratiche di divulgazione di tali informazioni. Inoltre, non includeva una spiegazione obbligatoria su come i genitori possono chiedere a Microsoft di eliminare le informazioni personali dei propri figli e di interromperne la raccolta in futuro.