Copiilor le place să se joace de-a îmbrăcatul, dar părinții nu ar vrea ca ei să scotocească prin pod sau să se urce pe raftul de sus al dulapului fără permisiunea și supravegherea corespunzătoare. Site-ul i-Dressup.com a oferit utilizatorilor – inclusiv copiilor – o modalitate virtuală de a se juca de-a îmbrăcatul și de a crea haine fără aceste pericole potențiale. Dar, potrivit unei plângeri FTC, Unixiz, Inc., compania din spatele i-Dressup, a încălcat Legea privind protecția online a vieții private a copiilor în moduri care au creat diferite tipuri de riscuri.
COPPA pune în aplicare două seturi separate de protecții pentru a ajuta părinții să păstreze controlul asupra informațiilor personale colectate online de la copiii lor. În primul rând, companiile acoperite de COPPA trebuie să își dezvăluie în mod clar politicile de informare și să obțină consimțământul părinților înainte de a colecta informații personale de la copii sub 13 ani. În al doilea rând, companiile trebuie să asigure o securitate rezonabilă și adecvată pentru datele pe care le colectează. Conform unei înțelegeri a FTC, i-Dressup nu a respectat ambele cerințe COPPA.
Denunțul susține că i-Dressup nu a reușit să furnizeze o notificare suficientă pe site-ul său cu privire la informațiile pe care le colecta online de la copii, la modul în care le folosea, la practicile sale de dezvăluire și la alte aspecte specifice cerute de regula COPPA. Notificările directe ale companiei către părinți au fost, de asemenea, deficitare. Printre altele, acestea nu includeau declarația cerută de COPPA conform căreia, dacă părinții nu își dau consimțământul într-un interval de timp rezonabil, i-Dressup va șterge informațiile de contact online ale acestora din evidențele sale. Rămâneți cu povestea pentru că acest eșec s-a dovedit a fi deosebit de îngrijorător.
Pe lângă faptul că le permite utilizatorilor să joace jocuri online, i-Dressup a prezentat o comunitate în care aceștia puteau „să-și exploreze creativitatea și simțul modei cu profiluri personale unice” și să interacționeze cu alții. Pentru a se înregistra, i-Dressup le cerea oamenilor să trimită un nume de utilizator, o parolă, data nașterii și o adresă de e-mail. În cazul în care data de naștere indica faptul că persoana avea sub 13 ani, câmpul de e-mail se schimba în „E-mailul părinților”. Odată ce utilizatorul sub 13 ani a completat câmpurile necesare și a făcut clic pe „Join Now”, i-Dressup a colectat informațiile personale și a trimis un mesaj la adresa introdusă în câmpul „Parent’s Email”. Persoana care primea e-mailul putea să își dea consimțământul făcând clic pe butonul „Activează acum!”.
Dar dacă părintele nu își dădea consimțământul, i-Dressup reținea informațiile personale pe care le colectase online de la copil. FTC spune că eșecul companiei de a șterge acele informații a încălcat secțiunea 312.5(c)(1) din Regula COPPA.
În plus față de încălcarea prevederilor COPPA privind consimțământul părinților, i-Dressup ar fi încălcat cerințele de securitate a datelor din Regula COPPA. Potrivit FTC, i-Dressup a stocat și transmis informațiile personale ale utilizatorilor (inclusiv parolele) în text simplu. În plus, compania nu a efectuat teste de vulnerabilitate a rețelei sale, nici măcar pentru amenințări bine cunoscute, cum ar fi atacurile SQL; nu a implementat un sistem de detectare și prevenire a intruziunilor și nu a monitorizat eventualele incidente de securitate. Care a fost rezultatul? Compania a aflat că un hacker a intrat în rețeaua sa și a accesat informații despre 2,1 milioane de utilizatori, inclusiv aproximativ 245.000 de utilizatori care au indicat că au sub 13 ani.
Pentru a soluționa cazul, i-Dressup și proprietarii săi vor plăti o amendă civilă de 35.000 de dolari. De asemenea, li se interzice să încalce COPPA în viitor și nu pot vinde, partaja sau colecta informații personale până când nu vor implementa un program cuprinzător de securitate a datelor și nu vor obține evaluări bienale independente. În plus, ei vor trebui să furnizeze FTC o certificare anuală de conformitate.
Mesajul pentru site-urile și operatorii care intră sub incidența COPPA este că un sistem eficient de consimțământ parental este doar primul pas spre conformitate. Secțiunea 312.8 din Regula COPPA vă cere, de asemenea, să „stabiliți și să mențineți proceduri rezonabile pentru a proteja confidențialitatea, securitatea și integritatea informațiilor personale colectate de la copii.”
Esteți interesat de problemele de securitate a datelor? Citiți o declarație însoțitoare a Comisiei și aflați mai multe despre o altă acțiune FTC anunțată astăzi.