Microsoft ha acordado pagar una multa de 20 millones de dólares para resolver las acusaciones de la Comisión Federal de Comercio (FTC) de EE.UU. de que la empresa recopiló y retuvo ilegalmente los datos de los niños que se inscribieron para utilizar su consola de videojuegos Xbox sin el conocimiento ni el consentimiento de sus padres.
«Nuestra propuesta de orden facilita a los padres la protección de la intimidad de sus hijos en Xbox y limita la información que Microsoft puede recopilar y retener sobre ellos», declaró Samuel Levine, de la FTC. «Esta acción también debe dejar muy claro que los avatares de los niños, los datos biométricos y la información de salud no están exentos de la COPPA».
Como parte del acuerdo propuesto, que está pendiente de aprobación judicial, se ha ordenado a Redmond que actualice su proceso de creación de cuentas para niños para evitar la recogida y almacenamiento de datos, incluyendo la obtención del consentimiento paterno y la eliminación de dicha información en un plazo de dos semanas si no se obtiene la aprobación.
Las protecciones de privacidad también se extienden a terceros editores de juegos con los que Microsoft comparte los datos de los niños, además de someter la información biométrica y los avatares creados a partir de las caras de los niños a las leyes de privacidad.
Según la FTC, Microsoft infringió los requisitos de consentimiento y conservación de datos de la COPPA al exigir a los menores de 13 años que facilitaran su nombre y apellidos, dirección de correo electrónico, fecha de nacimiento y número de teléfono hasta finales de 2021.
Además, el fabricante de Windows habría compartido los datos de los usuarios con los anunciantes por defecto hasta 2019 al consentir el acuerdo de servicio y la política publicitaria de Microsoft.
«No fue hasta después de que los usuarios proporcionaran esta información personal que Microsoft requirió que cualquiera que indicara que era menor de 13 años involucrara a sus padres», dijo la FTC. «El progenitor del niño tenía entonces que completar el proceso de creación de la cuenta antes de que el niño pudiera obtener su propia cuenta».
Microsoft, sin embargo, optó por conservar durante años los datos recogidos de los niños durante el paso de creación de la cuenta, incluso en escenarios en los que un padre no completaba el proceso de registro, contraviniendo así las leyes de privacidad infantil en EE.UU.
Además, se ha acusado a la compañía de crear un identificador único persistente para las cuentas de menores y compartir esa información con desarrolladores de juegos y aplicaciones de terceros, y de exigir explícitamente a los padres que opten por no participar para evitar que sus hijos accedan a juegos y aplicaciones de terceros en Xbox Live.
Xbox, en respuesta, dijo que está tomando medidas adicionales para mejorar sus sistemas de verificación de edad y para garantizar que los padres participen en la creación de cuentas de menores para el servicio. No reveló los detalles exactos de dicho sistema.
