As crianças adoram jogar dress-up, mas os pais não iriam querer que eles vasculhassem o sótão ou subissem até a prateleira superior do guarda-roupa sem permissão e supervisão adequada. O site i-Dressup.com ofereceu aos usuários – incluindo crianças – uma forma virtual de brincar de vestir e desenhar roupas sem esses perigos potenciais. Mas de acordo com uma reclamação da FTC, a Unixiz, Inc., a empresa por trás do i-Dressup, violou a Lei de Proteção de Privacidade Online das Crianças de maneiras que criaram diferentes tipos de riscos.
COPPA coloca dois conjuntos separados de proteções para ajudar a manter os pais no controle das informações pessoais coletadas de seus filhos online. Primeiro, as empresas cobertas pela COPPA devem divulgar claramente as suas políticas de informação e obter o consentimento dos pais antes de recolher informações pessoais de crianças menores de 13 anos. Em segundo lugar, as empresas devem fornecer segurança razoável e apropriada para os dados coletados. De acordo com um acordo da FTC, o i-Dressup ficou aquém das exigências da COPPA.
A queixa alega que o i-Dressup não forneceu aviso suficiente em seu site sobre as informações coletadas online de crianças, como ele as usou, suas práticas de divulgação, e outras especificidades exigidas pela regra da COPPA. Os avisos diretos da empresa aos pais também foram deficientes. Entre outras coisas, eles não incluíram a declaração exigida pela COPPA de que se os pais não derem o consentimento dentro de um prazo razoável, o i-Dressup apagará suas informações de contato on-line de seus registros. Fique com a história porque essa falha acabou sendo particularmente preocupante.
Além de deixar os usuários jogarem jogos online, o i-Dressup apresentava uma comunidade onde eles podiam “explorar sua criatividade e senso de moda com perfis pessoais únicos” e interagir com outros. Para se registrar, o i-Dressup exigia que as pessoas enviassem um nome de usuário, senha, data de nascimento e endereço de e-mail. Se a data de nascimento indicava que a pessoa era menor de 13 anos, o campo de e-mail mudou para “E-mail dos Pais”. Quando o usuário com menos de 13 anos preencheu os campos obrigatórios e clicou em “Join Now”, o i-Dressup coletou as informações pessoais e enviou uma mensagem para o endereço digitado no campo E-mail dos Pais. A pessoa que recebia o e-mail podia consentir clicando no botão “Activate Now!”.
No entanto, se os pais não dessem o consentimento, o i-Dressup retinha as informações pessoais que tinha recolhido da criança online. A FTC diz que a falha da empresa em excluir essas informações violou a Seção 312.5(c)(1) da regra COPPA.
Além de violar as disposições de consentimento dos pais da COPPA, o i-Dressup supostamente violou os requisitos de segurança de dados da regra. De acordo com a FTC, o i-Dressup armazenou e transmitiu as informações pessoais dos usuários (incluindo senhas) em texto simples. Além disso, a empresa não realizou testes de vulnerabilidade da rede, mesmo para ameaças conhecidas como ataques SQL; não implementou um sistema de detecção e prevenção de intrusões; e não monitorou possíveis incidentes de segurança. O resultado? A empresa soube que um hacker havia entrado em sua rede e acessado informações sobre 2,1 milhões de usuários, incluindo aproximadamente 245.000 usuários que indicaram estar abaixo de 13,
Para resolver o caso, o i-Dressup e seus proprietários pagarão uma penalidade civil de $35.000. Eles também estão proibidos de violar a COPPA no futuro, e não podem vender, compartilhar ou coletar qualquer informação pessoal até que implementem um programa abrangente de segurança de dados e obtenham avaliações bienais independentes. Além disso, eles terão que fornecer à FTC uma certificação anual de conformidade.
A mensagem para sites e operadores cobertos pela COPPA é que um sistema eficaz de consentimento dos pais é apenas o primeiro passo para a conformidade. A seção 312.8 da Regra COPPA também exige que você “estabeleça e mantenha procedimentos razoáveis para proteger a confidencialidade, segurança e integridade das informações pessoais coletadas de crianças”.
Interessado em questões de segurança de dados? Leia uma declaração de acompanhamento da Comissão e saiba mais sobre outra ação da FTC anunciada hoje.