Quando se trata de dados de saúde, cumpra a COPPA – sem brincadeira

A informação sobre a saúde do consumidor é inerentemente uma categoria particularmente sensível. Mas as informações de saúde e outros dados pessoais de crianças a partir dos 8 anos de idade? Isso poderia aumentar as preocupações com a privacidade na estratosfera. Acordo de US$ 1,5 milhão da FTC com a WW International, Inc. – você os conhece pelo antigo nome de Vigilantes do Peso – e sua subsidiária Kurbo, Inc., enfatizam o princípio de que coletar e manter esse tipo de informação aumenta as responsabilidades de conformidade de uma empresa. Onde a FTC errou neste caso e que orientação sua empresa pode obter da regra da Lei de Proteção à Privacidade Online das Crianças? Continue lendo.

o Regra da copa exige que sites, aplicativos e serviços on-line notifiquem os pais e obtenham seu consentimento explícito antes de coletar, usar ou divulgar informações pessoais de crianças menores de 13 anos de idade. A regra vale em dois casos distintos: 1) se o site, aplicativo ou serviço for direcionado a menores de 13 anos; ou 2) se o site, aplicativo ou serviço tiver “conhecimento real de que está coletando informações pessoais” de crianças dessa faixa etária. (Seção 312.2 das Regras incluindo padrões a serem aplicados na tomada dessas decisões.) A FTC alega que a WW International e a Kurbo violaram as regras da COPPA ao operar seu aplicativo de perda de peso Kurbo.

Além de adolescentes e outros familiares, crianças a partir dos 8 anos podem usar o aplicativo Kurbo para monitorar peso, ingestão alimentar e atividade física. Este aplicativo também coleta outras informações pessoais – por exemplo, nome, endereço de e-mail e data de nascimento. Até o final de 2019, os usuários podiam se cadastrar no serviço no aplicativo, indicando que eram pais registrando seu filho ou eram crianças com 13 anos ou mais que se cadastravam.

Mas de acordo com a queixa apresentada pelo Departamento de Justiça em nome da FTC, o processo de registo dos réus resultou, na verdade, no registo de muitos utilizadores com menos de 13 anos sem a autorização dos pais. Sim, existe um documento informando que menores de 13 anos precisam se registrar através dos pais. Mas entre 2014 e 2019, centenas de usuários que se inscreveram no aplicativo alegando ter mais de 13 anos mudaram posteriormente seus perfis pessoais para incluir datas de nascimento que mostrassem que eles eram realmente mais jovens do que isso. Apesar disso, a FTC disse que WW e Kurbo continuaram a dar acesso ao aplicativo a essas crianças. Essa atividade não parou até que o pessoal da FTC contactou as empresas.

Além disso, em 2020, os réus atualizaram a opção de registro para maiores de 13 anos, mas a FTC disse que os problemas com o processo continuaram. De acordo com a denúncia, os réus não forneceram um mecanismo para garantir que os usuários que selecionam a opção de registro parental sejam realmente pais – e não apenas crianças que tentam contornar os limites de idade.

Além do mais, Seção 312.4 das Regras da COPPA exige que uma empresa abrangida pela COPPA “faça esforços razoáveis, tendo em conta a tecnologia disponível, para garantir que os pais da criança recebam notificação direta” das suas atividades de informação. Mas de acordo com a FTC, até novembro de 2019, WW e Kurbo não fizeram nenhuma tentativa de notificar os pais por meio do aplicativo, e os pais cadastraram seus filhos no site do réu ou em um afiliado só recebem a notificação de coleta de informações se tiverem clicado. um hiperlink que faz parte de uma cadeia de outros links. A denúncia alega ainda que, apesar das alterações feitas em 2019, os réus ainda não cumpriram os requisitos da COPPA sobre o que as notificações diretas devem informar aos pais. A FTC também disse que WW e Kurbo violaram as regras da COPPA regulamentos de exclusão de dados retendo as informações pessoais das crianças indefinidamente e excluí-las somente mediante solicitação dos pais.

Além de impor uma pena civil de 1,5 milhões de dólares, o acordo exige que os réus revejam as suas práticas de informação relativamente às crianças e os seus esforços de conformidade com a COPPA. WW e Kurbo também devem excluir todos os dados coletados ilegalmente no prazo de 30 dias após o pedido, a menos que forneçam notificação direta e recebam consentimento dos pais para usar os dados coletados de maneira compatível com a COPPA. Eles também devem destruir quaisquer algoritmos derivados de dados obtidos ilegalmente. No futuro, eles terão que destruir todos os dados coletados de crianças menores de 13 anos caso elas usem o aplicativo por mais de um ano.

Este caso sugere três implicações de conformidade para outras empresas.

Verifique as fechaduras do seu portão de idade. Não é nenhuma surpresa que uma criança menor de 13 anos tente acessar serviços em seu site ou aplicativo, especialmente se – como neste caso – você oferece serviços para crianças menores de 13 anos. As empresas inteligentes pensam cuidadosamente sobre as implicações práticas dos seus processos de triagem e sabem que não podem evitar as suas obrigações COPPA estabelecendo limites de idade não neutros que excluem os próprios utilizadores que o seu website ou aplicação pretende atrair. (Pense desta forma: quão eficaz seria pendurar uma placa na frente do playground que diz “Aberto apenas para pais e crianças de 13 anos ou mais” e esperar que os mais jovens não o façam? acessível?) Além disso, se você pretende Ao oferecer serviços em um site ou aplicativo especificamente para usuários mais velhos, preste atenção a outras evidências de uso não autorizado – por exemplo, datas de outro aniversário na página de perfil.

Respeite os requisitos de notificação da COPPA. Quando se trata de coletar informações on-line sobre crianças, a COPPA coloca os pais no comando. A regra tem requisitos de notificação específicos e as empresas devem facilitar aos pais a obtenção de informações detalhadas sobre as suas práticas de informação.

Exclua os dados diligentemente. A retenção de dados sob a COPPA não é uma proposta para sempre. Abaixo Seção 312.10você pode reter informações pessoais de crianças “apenas pelo tempo razoavelmente necessário para cumprir a finalidade para a qual as informações foram coletadas”. Você é então legalmente obrigado a excluí-lo de uma forma que garanta que ele seja destruído com segurança. Leia De acordo com a COPPA, a exclusão de dados é mais do que apenas uma boa ideia. Essa é a regra para a compreensão prática.

Encontre mais recursos de conformidade na página Privacidade Infantil da FTC.

Quando se trata de dados de saúde, cumpra a COPPA – sem brincadeira

Benedito Santos

O Spyre Accelerator da IBM traz IA generativa para o z17 para melhorar a eficiência dos negócios

Hegseth ‘acha que a OTAN liderada pela Europa irá deter a Rússia e a ajuda à Ucrânia’

Johnson alerta que correção salarial militar de Trump é temporária em meio à paralisação

Os democratas dizem que não se deixarão intimidar pelas ameaças de Trump de paralisação.

“Yaya Ai”: a atriz Lily ‘Idia’ tok Tendências infantis de Manginwa