A los niños les encanta jugar a disfrazarse, pero a los padres no les gustaría que rebuscaran en el desván o se subieran al estante superior del armario sin permiso y sin la debida supervisión. El sitio web i-Dressup.com ofrecía a los usuarios -incluidos los niños- una forma virtual de jugar a disfrazarse y diseñar ropa sin esos peligros potenciales. Pero, según una denuncia de la FTC, Unixiz, Inc. la empresa que está detrás de i-Dressup, infringió la Ley de Protección de la Privacidad de los Niños en Internet de forma que creó distintos tipos de riesgos.
La COPPA establece dos conjuntos distintos de protecciones para ayudar a mantener a los padres en el control de la información personal recogida de sus hijos en Internet. En primer lugar, las empresas cubiertas por la COPPA deben revelar claramente sus políticas de información y obtener el consentimiento de los padres antes de recopilar información personal de niños menores de 13 años. En segundo lugar, las empresas deben proporcionar una seguridad razonable y adecuada para los datos que recogen. Según un acuerdo de la FTC, i-Dressup no cumplió con ambos requisitos de la COPPA.
La denuncia alega que i-Dressup no proporcionó suficiente información en su sitio web sobre la información que recopilaba en línea de los niños, cómo la utilizaba, sus prácticas de divulgación y otros detalles requeridos por la norma COPPA. Las notificaciones directas de la empresa a los padres también eran deficientes. Entre otras cosas, no incluían la declaración requerida por la COPPA de que si los padres no dan su consentimiento en un plazo razonable, i-Dressup eliminará su información de contacto en línea de sus registros. Siga con la historia porque ese fallo resultó ser especialmente preocupante.
Además de permitir a los usuarios jugar en línea, i-Dressup ofrecía una comunidad en la que podían «explorar su creatividad y sentido de la moda con perfiles personales únicos» e interactuar con otros. Para registrarse, i-Dressup requería un nombre de usuario, una contraseña, una fecha de nacimiento y una dirección de correo electrónico. Si la fecha de nacimiento indicaba que la persona era menor de 13 años, el campo de correo electrónico cambiaba a «Correo electrónico de los padres». Una vez que el usuario menor de 13 años rellenaba los campos requeridos y hacía clic en «Únete ahora», i-Dressup recogía la información personal y enviaba un mensaje a la dirección introducida en el campo de correo electrónico de los padres. La persona que recibía el correo electrónico podía dar su consentimiento haciendo clic en el botón «Activar ahora».
Sin embargo, si los padres no daban su consentimiento, i-Dressup conservaba la información personal que había recopilado del niño en línea. La FTC afirma que el hecho de que la empresa no eliminara esa información infringía la sección 312.5(c)(1) de la norma COPPA.
Además de infringir las disposiciones de la COPPA relativas al consentimiento de los padres, i-Dressup habría infringido los requisitos de seguridad de los datos de la norma. Según la FTC, i-Dressup almacenaba y transmitía la información personal de los usuarios (incluidas las contraseñas) en texto plano. Además, la empresa no llevó a cabo pruebas de vulnerabilidad de su red, ni siquiera para amenazas bien conocidas como los ataques SQL; no implantó un sistema de detección y prevención de intrusiones; y no vigiló posibles incidentes de seguridad. ¿El resultado? La empresa se enteró de que un pirata informático había entrado en su red y había accedido a la información de 2,1 millones de usuarios, entre ellos unos 245.000 que indicaron que eran menores de 13 años.
Para resolver el caso, i-Dressup y sus propietarios pagarán una multa civil de 35.000 dólares. También se les prohíbe violar la COPPA en el futuro, y no pueden vender, compartir o recopilar información personal hasta que implementen un programa integral de seguridad de datos y obtengan evaluaciones bienales independientes. Además, tendrán que proporcionar a la FTC una certificación anual de cumplimiento.
El mensaje para los sitios y operadores cubiertos por la COPPA es que un sistema eficaz de consentimiento paterno es sólo el primer paso hacia el cumplimiento. La sección 312.8 de la norma COPPA también exige que se «establezcan y mantengan procedimientos razonables para proteger la confidencialidad, la seguridad y la integridad de la información personal recopilada de los niños».
¿Interesado en cuestiones de seguridad de datos? Lea una declaración adjunta de la Comisión y obtenga más información sobre otra acción de la FTC anunciada hoy.