Microsoft pagará 20 millones de dólares en multas tras resolver un litigio con la Comisión Federal de Comercio (FTC) en el que se consideraba que había infringido las leyes de protección de datos al recopilar y conservar información sobre menores que utilizaban Xbox sin el debido consentimiento paterno.
Según la denuncia, Microsoft había infringido las disposiciones de la Ley de Protección de la Privacidad Infantil en Internet (COPPA). La ley estipula que los proveedores de servicios en línea deben notificar a los padres sus intenciones y solicitar su consentimiento antes de poder recopilar y utilizar los datos personales de niños menores de 13 años.
Según un comunicado de prensa de la FTC, los menores podían crear una cuenta para utilizar los servicios de Xbox introduciendo en el formulario datos como su nombre y apellidos, dirección de correo electrónico, fecha de nacimiento e incluso su número de móvil (hasta finales de 2021).
Solo una vez introducida toda la información se pedía a los menores que involucraran a sus padres, quienes pasaban a completar el formulario, y creaban la cuenta.
Sin embargo, entre 2015 y 2020 se descubrió que Microsoft había conservado información sobre menores en casos en los que los padres no habían completado el proceso de creación y, por tanto, no habían dado su consentimiento para la recopilación de datos. En algunos casos, esta información se conservó durante años, a pesar de que la COPPA mantiene una disposición según la cual dichos datos no deben conservarse durante más tiempo “del razonablemente necesario para cumplir el propósito para el que se recopilaron”.
La denuncia también afirmaba que Microsoft combinaba los Gamertags y avatares de niños menores de 13 años con el identificador único persistente creado para todas esas cuentas, y podía compartir esta información con terceros desarrolladores de aplicaciones o juegos.
En un post publicado en Xbox Wire, Microsoft atribuyó la prolongada retención de datos a un “fallo técnico”, al tiempo que señalaba que la política de la compañía era guardar dicha información durante un periodo de 14 días. El problema se ha “solucionado” y Microsoft ha asegurado a los jugadores que los datos en cuestión “nunca se utilizaron, compartieron ni monetizaron”.
Además de la multa de 20 millones de dólares, el acuerdo propuesto obligará a Microsoft a introducir numerosos cambios en su forma de gestionar la información de los usuarios y crear cuentas de jugadores.
La creación de cuentas de Microsoft exige ahora que el usuario introduzca primero su fecha de nacimiento y, si es menor de 13 años, obtenga el “consentimiento paterno verificado” antes de introducir más información. Además, todos los titulares de cuentas menores de 13 años que crearon una cuenta antes de mayo de 2021 tendrán que conseguir que uno de sus padres vuelva a verificar el consentimiento paterno.
a denuncia sobre los datos no es la única historia que involucra a Microsoft y la FTC. La empresa multimillonaria se está preparando para otro enfrentamiento legal con el regulador después de que éste revelara en diciembre de 2022 que impugnaría la fusión propuesta por Microsoft con Activision-Blizzard por valor de 69.000 millones de dólares. Las vistas preliminares de este caso comenzarán en agosto de este año.
