I bambini amano giocare a vestirsi, ma i genitori non vorrebbero che rovistassero nella soffitta o si arrampicassero sullo scaffale più alto del guardaroba senza permesso e supervisione adeguata. Il sito i-Dressup.com offriva agli utenti – compresi i bambini – un modo virtuale per giocare a vestirsi e disegnare vestiti senza quei potenziali pericoli. Ma secondo una denuncia della FTC, Unixiz, Inc, la società dietro i-Dressup, ha violato il Children’s Online Privacy Protection Act in modi che hanno creato diversi tipi di rischi.
COPPA mette due serie separate di protezioni in atto per aiutare i genitori a mantenere il controllo delle informazioni personali raccolte dai loro bambini online. In primo luogo, le aziende coperte da COPPA devono rivelare chiaramente le loro politiche di informazione e ottenere il consenso dei genitori prima di raccogliere informazioni personali da bambini sotto i 13 anni. In secondo luogo, le aziende devono fornire una sicurezza ragionevole e appropriata per i dati che raccolgono. Secondo un accordo della FTC, i-Dressup non ha rispettato entrambi i requisiti COPPA.
Il reclamo sostiene che i-Dressup non è riuscito a fornire un avviso sufficiente sul suo sito delle informazioni che ha raccolto online dai bambini, come le ha usate, le sue pratiche di divulgazione, e altre specifiche richieste dalla regola COPPA. Anche gli avvisi diretti dell’azienda ai genitori erano carenti. Tra le altre cose, non includevano la dichiarazione richiesta dal COPPA che se i genitori non forniscono il consenso entro un tempo ragionevole, i-Dressup cancellerà le loro informazioni di contatto online dai suoi archivi. Rimanete con la storia perché questo fallimento si è rivelato particolarmente preoccupante.
Oltre a permettere agli utenti di giocare online, i-Dressup disponeva di una comunità dove potevano “esplorare la loro creatività e senso della moda con profili personali unici” e interagire con gli altri. Per registrarsi, i-Dressup richiedeva alle persone di presentare un nome utente, una password, una data di nascita e un indirizzo e-mail. Se la data di nascita indicava che la persona aveva meno di 13 anni, il campo email cambiava in “Email dei genitori”. Una volta che l’utente sotto i 13 anni riempiva i campi richiesti e cliccava su “Iscriviti ora”, i-Dressup raccoglieva le informazioni personali e inviava un messaggio all’indirizzo inserito nel campo e-mail dei genitori. La persona che riceveva l’e-mail poteva acconsentire cliccando il pulsante “Attiva ora!”.
Tuttavia, se il genitore non dava il consenso, i-Dressup conservava le informazioni personali che aveva raccolto dal bambino online. La FTC dice che l’incapacità della società di cancellare queste informazioni ha violato la sezione 312.5(c)(1) del regolamento COPPA.
Oltre a violare le disposizioni del consenso dei genitori di COPPA, i-Dressup ha presumibilmente violato i requisiti di sicurezza dei dati del regolamento. Secondo la FTC, i-Dressup ha memorizzato e trasmesso le informazioni personali degli utenti (comprese le password) in chiaro. Inoltre, l’azienda non è riuscita a eseguire test di vulnerabilità della sua rete, anche per minacce ben note come gli attacchi SQL; non ha implementato un sistema di rilevamento e prevenzione delle intrusioni; e non ha monitorato i potenziali incidenti di sicurezza. Il risultato? L’azienda ha appreso che un hacker era entrato nella sua rete e ha avuto accesso alle informazioni su 2,1 milioni di utenti, tra cui circa 245.000 utenti che hanno indicato di avere meno di 13 anni.
Per risolvere il caso, i-Dressup e i suoi proprietari pagheranno una sanzione civile di 35.000 dollari. Hanno anche il divieto di violare COPPA in futuro, e non possono vendere, condividere o raccogliere qualsiasi informazione personale fino a quando non implementano un programma completo di sicurezza dei dati e ottengono valutazioni biennali indipendenti. Inoltre, dovranno fornire alla FTC una certificazione annuale di conformità.
Il messaggio per i siti e gli operatori coperti dal COPPA è che un sistema efficace di consenso dei genitori è solo il primo passo verso la conformità. La sezione 312.8 del regolamento COPPA richiede anche di “stabilire e mantenere procedure ragionevoli per proteggere la riservatezza, la sicurezza e l’integrità delle informazioni personali raccolte dai bambini.”
Interessato ai problemi di sicurezza dei dati? Leggete una dichiarazione di accompagnamento della Commissione e imparate di più su un’altra azione della FTC annunciata oggi.
.