Los niños, una población en línea de rápido crecimiento, representan una preocupación importante en materia de privacidad de datos porque no pueden brindar su consentimiento legal para el uso de sus datos, por lo que la COPPA exige un consentimiento estricto antes de recopilar información personal.
En consecuencia, los legisladores han desarrollado o introducido regulaciones para proteger a los jóvenes de posibles abusos y violaciones de la privacidad. La Unión Europea Reglamento general de protección de datos (RGPD) También incluye disposiciones específicas para la protección de datos de los niños.
Sin embargo, el Ley de Protección de la Privacidad Infantil en Línea (COPPA) Está diseñado específicamente teniendo en mente a los usuarios menores de edad para proteger la privacidad de los niños.
¿Qué es COPPA?
COPPA Es una ley federal de privacidad de EE. UU., aplicada por la Comisión Federal de Comercio (FTC). Esta ley impone normas sobre la recopilación de información personal de menores de 13 años a través de servicios en línea y digitales, como sitios web, anuncios y aplicaciones.
En Ley de Protección de la Privacidad de 1998 La COPPA es un componente importante de la protección del consumidor. Inicialmente, la COPPA se centraba en la información básica recopilada en línea por sitios web dirigidos a menores. Sin embargo, con el avance tecnológico, la COPPA se modificó en 2013 para incluir nuevas formas de datos y tecnologías, como la geolocalización, las fotos, los vídeos, las aplicaciones móviles y las redes sociales, ampliando y fortaleciendo así la protección de la privacidad infantil en línea.
¿Quién debe cumplir con la COPPA?
Cualquier negocio, actividad o campaña de marketing en línea que recopile datos en línea y esté dirigida a menores de 13 años está sujeta a las directrices de la COPPA. Esto incluye sitios dirigidos a menores, plataformas para públicos mixtos que atraen deliberadamente a menores y servicios que utilizan herramientas de terceros, como anuncios o análisis. Si su contenido, funciones o promociones pueden ser atractivos para menores, es posible que deba cumplir con la ley.
Disposiciones clave de la COPPA
La ley impone ciertos requisitos a los operadores de sitios web y servicios en línea dirigidos a menores, así como a los operadores de otros sitios web o servicios en línea que recopilen deliberadamente información personal de menores. A continuación, se presentan sus disposiciones clave.
Los operadores deben obtener consentimiento de los padres Antes de recopilar, usar o divulgar información personal en línea de un menor, esto significa que, antes de recopilar datos, los operadores deben tomar medidas específicas para garantizar que cuentan con la autorización de sus padres o tutores.
La información que recopilan debe contar con la aprobación expresa de los padres. Esto puede implicar métodos como enviar formularios de consentimiento a los padres, solicitar una transacción con tarjeta de crédito para su verificación o usar una identificación oficial para confirmar la identidad de los padres.
Este proceso garantiza que los padres conozcan y acepten la recopilación y el uso de la información personal de sus hijos, protegiendo así la privacidad de los niños y brindando a los padres control sobre la presencia en línea de sus hijos.
política de privacidad
Los sitios web y los servicios en línea deben publicar una información clara y Política de privacidad completa de COPPA Detallando sus prácticas de información sobre los datos personales de los niños. Esta política debe ser fácilmente accesible y estar redactada en un lenguaje sencillo que tanto padres como niños puedan comprender. Debe describir qué información personal se recopila, cómo se utiliza, con quién se comparte y cómo los padres pueden controlar la recopilación y el uso de la información de sus hijos.
Al proporcionar esta transparencia, los operadores ayudan a los padres a tomar decisiones informadas sobre si permitir o no que sus hijos utilicen un servicio o sitio web en particular.
Restricciones de recopilación de datos
La recopilación de información de menores de 13 años debe limitarse a lo razonablemente necesario para la participación en el sitio web o servicio. Esto significa que los operadores solo deben recopilar la cantidad mínima de datos necesaria para proporcionar el servicio o la función que utiliza el menor.
Por ejemplo, si un juego requiere nombre de usuario y contraseña para jugar, el operador no debe solicitar detalles adicionales como la dirección particular o el número de la seguridad social. Esta limitación ayuda a proteger la privacidad de los niños al reducir la exposición de su información personal.
Derecho a revisar y eliminar
Los padres pueden acceder a la información personal recopilada de sus hijos y solicitar su eliminación. Este derecho les permite ver qué datos se recopilan sobre sus hijos y tomar medidas si no están de acuerdo con su almacenamiento o uso.
Esto garantiza que los padres tengan control sobre la huella digital de sus hijos y puedan proteger la privacidad de sus hijos administrando su información personal.
Medidas de seguridad
Los servicios en línea que recopilan datos personales de menores deben implementar procedimientos razonables para proteger la integridad, privacidad y seguridad de la información personal recopilada, especialmente cuando se trata de menores. Deben contar con medidas de seguridad técnicas, administrativas y físicas para evitar el acceso no autorizado, la divulgación o el uso indebido de los datos.
Algunos ejemplos incluyen cifrado, servidores seguros, controles de acceso y auditorías de seguridad periódicas. Con sólidas medidas de seguridad implementadas, los operadores pueden proteger la información personal de los niños contra filtraciones de datos, robo de identidad y otras ciberamenazas, además de cumplir con la COPPA.
Cómo cumplir con las normas de la COPPA: Lista de verificación de cumplimiento de la COPPA
La recopilación de datos de menores de 13 años no está prohibida, pero las organizaciones deben seguir los procedimientos específicos de la COPPA para garantizar su cumplimiento. Según la FTC, «la ley exige que los operadores de sitios o servicios en línea dirigidos a menores de 13 años obtengan el consentimiento parental verificable antes de recopilar datos, con excepciones para actividades que apoyan operaciones internas, como la limitación de frecuencia, la publicidad contextual, el análisis de sitios y las comunicaciones en red».
La ley federal establece claramente las responsabilidades de las empresas en la protección de la privacidad de los datos de los niños en línea. A continuación, se presentan algunas normas sugeridas por la FTC para facilitar el cumplimiento de la COPPA:
- La COPPA define “información personal" como cualquier información que pueda utilizarse para identificar a una persona, como un nombre, una dirección, una dirección de correo electrónico, un número de teléfono o un número de Seguro Social.
- La COPPA se aplica a la información recopilada de menores a través de sitios web, aplicaciones y otros servicios en línea. Incluye cualquier sitio web o servicio en línea que recopile deliberadamente información personal de menores, incluyendo redes sociales, sitios de juegos en línea, sitios web centrados en temas de interés infantil e incluso sitios web que contengan publicidad dirigida a menores.
- Cualquier sitio web, aplicación, micrositio, sección de un sitio web o cualquier tipo de servicio en línea que atraiga a los niños se considera dirigido a niños.
- La COPPA exige que las empresas muestren políticas de privacidad para indicar cómo se utiliza la información personal.
- Las organizaciones deben solicitar el consentimiento verificable de los padres antes de recopilar cualquier información personal. Además, los padres deben poder revisar la información personal de sus hijos. Esto significa tener acceso completo a perfiles, registros e información de inicio de sesión si lo solicitan.
- Se aconseja conservar únicamente la información personal que cumpla el propósito de su recopilación original y luego descartar los datos para proteger los derechos y la seguridad del niño.
Utilice esta lista de verificación para garantizar que su organización cumpla con los requisitos de COPPA:
1. Determinar la aplicabilidad
El primer paso es evaluar si su sitio web, aplicación o servicio en línea está dirigido a menores de 13 años o si es probable que los atraiga, incluso si no está específicamente dirigido a ellos. Esto también se aplica al contenido de terceros en su sitio, como por ejemplo, si hay anuncios, juegos o vídeos que puedan ser atractivos para menores.
2. Identificar la información personal
Según la definición de COPPA, ¿tiene "información personal" en su plataforma? Recuerde que esto no solo incluye información obvia como nombres y datos de contacto, sino también identificadores como datos de geolocalización, cookies, ID de dispositivo y cualquier foto, video o contenido de audio que incluya la imagen o la voz de un niño. Debe tener claro cuáles de estos datos recopila directamente usted y cuáles indirectamente a través de integraciones de terceros.
3. Cree y muestre una política de privacidad clara
Para ser transparente, debe tener una política de privacidad clara y de fácil acceso que especifique qué información personal recopila, cómo se utiliza y dónde se comparte con terceros. Si su servicio está dirigido a niños, considere presentarlo con un lenguaje sencillo y apropiado para su edad.
4. Obtener el consentimiento explícito de los padres
Antes de recopilar datos personales, las organizaciones deben obtener el consentimiento verificable de los padres. Los métodos aprobados incluyen:
- Formulario de consentimiento firmado
- Uso y confirmación de tarjeta de crédito/débito
- Llamada telefónica o videollamada
- Verificaciones de identidad con coincidencia de reconocimiento facial
- Preguntas de desafío basadas en el conocimiento
Una vez concedida, los padres también deben tener la posibilidad de revisar, modificar o eliminar los datos de sus hijos en cualquier momento.
5. Minimización de datos
Si bien es importante cumplir con cualquier ley de privacidad de datos, limitar la recopilación y retención de datos es particularmente imperativo para el cumplimiento de la COPPA. Debe recopilar únicamente la información necesaria para el servicio que ofrece y no más. De hecho, no deben recopilarse datos para fines no relacionados (como la publicidad comportamental), y una vez que los datos necesarios hayan cumplido su propósito, debe eliminarlos de inmediato y de forma segura para reducir el riesgo de uso indebido.
6. Proporcionar derechos y acceso a los padres
Los padres tienen derecho a saber exactamente qué información se ha recopilado de sus hijos. Esto implica proporcionar acceso a cuentas, perfiles y registros si lo solicitan. Las organizaciones también deben ofrecer a los padres la opción de retirar su consentimiento y solicitar la eliminación permanente de la información de sus hijos.
7. Supervisar a los socios externos
Como se mencionó, el cumplimiento de la COPPA va más allá de sus propias actividades. Si utiliza servicios externos (como anunciantes, proveedores de análisis o complementos), usted sigue siendo responsable de garantizar que ellos también cumplan. Investigue a fondo a sus socios, incluya obligaciones de cumplimiento en los contratos y realice auditorías periódicas para confirmar que las prácticas de datos de terceros cumplen con los estándares de la COPPA.
8. Implementar medidas de seguridad sólidas
Los datos de los niños deben protegerse con protocolos de seguridad sólidos, ya que las sólidas medidas de seguridad técnicas y organizativas reducen el riesgo de vulneraciones de datos. Por ejemplo, cifrar la información confidencial, restringir el acceso solo al personal autorizado, impartir formación al personal para reforzar las responsabilidades en materia de protección de datos, etc.
¿Cómo se aplica la COPPA? Multas y sanciones
Los operadores en línea deben cumplir con la COPPA o se enfrentarán a severas sanciones. Por ejemplo, la Comisión Federal de Comercio (FTC) puede hacer cumplir la COPPA multando a las empresas con hasta $42,530 por infracción. Las empresas también pueden enfrentarse a sanciones civiles, demandas, procedimientos penales e investigaciones del fiscal general del estado.
La multa más grande fue en 2022; Epic Games acordó pagar una multa de $275 millones Por infracciones de la COPPA. La denuncia alegaba que Epic recopilaba ilegalmente información personal de menores de 13 años y dificultaba que los padres eliminaran la información.
Más allá de las multas, el incumplimiento puede resultar en un daño significativo a la reputación y la pérdida de confianza del consumidor, lo que resalta la importancia de adherirse a las regulaciones COPPA.
¿Por qué es importante cumplir con la COPPA?
Preservando la confianza y la seguridad
Cumplir con las regulaciones de la COPPA es crucial para mantener la confianza de los padres y garantizar la seguridad de los niños en línea. Las empresas que demuestran dedicación a la protección de la privacidad infantil demuestran su profundo compromiso. responsabilidad ética para protegerlos de los peligros de la recopilación y explotación sin control de datos.
Empoderando a los padres
La COPPA ofrece a los padres las herramientas y garantías necesarias para gestionar las interacciones en línea de sus hijos. Proporciona transparencia y control sobre la información personal, lo que les permite tomar decisiones informadas sobre la presencia digital de sus hijos, fomentando la alfabetización digital y un comportamiento responsable en línea dentro de las familias.
Fomento de un entorno digital seguro
Crear un entorno digital seguro para los niños es crucial. La COPPA actúa como defensa contra diversas amenazas digitales, como filtraciones de datos, robo de identidad, depredadores en línea y contenido dañino. Cumplir con los estándares de la COPPA garantiza que las experiencias en línea de los niños sean seguras, respetuosas y respetuosas con la privacidad.
Estándares éticos pioneros
La COPPA no es solo una obligación legal, sino un marco para la innovación ética y la gestión digital responsable. Los estándares establecidos por esta ley de privacidad ayudan a las empresas a innovar responsablemente y a garantizar que los avances empresariales respeten y protejan los derechos de los niños.
Este compromiso con el comportamiento ético fomenta la confianza pública y fomenta el desarrollo de tecnologías y prácticas que priorizan el bienestar del usuario. De este modo, la COPPA sirve de modelo para integrar consideraciones éticas en las estrategias empresariales, influyendo en los estándares globales de privacidad y seguridad infantil en línea.
Partes interesadas y regulaciones
Las partes interesadas en la COPPA incluyen operadores de sitios web, desarrolladores de aplicaciones, anunciantes, padres y niños. Cada uno desempeña un papel en el cumplimiento de estos estándares y la promoción de prácticas responsables en línea, garantizando un espacio digital más seguro para los jóvenes.
Programa de puerto seguro COPPA
El programa de Puerto Seguro de la COPPA es una disposición de la normativa de protección de la privacidad infantil en línea que permite a los grupos industriales u otras entidades desarrollar sus propias directrices de autorregulación para cumplir con la Ley. Estas directrices deben ser aprobadas por la Comisión Federal de Comercio (FTC). Las organizaciones que se adhieren a un programa de Puerto Seguro aprobado por la FTC se consideran conformes con la COPPA, siempre que sigan las directrices rigurosamente.
Los aspectos clave del puerto seguro de COPPA incluyen:
- Aprobación por parte de la FTC: Las directrices de autorregulación deben presentarse a la FTC para su revisión y aprobación, quien evalúa si estas directrices abordan eficazmente los requisitos de la COPPA.
- Cumplimiento y ejecución: Las entidades que participan en un programa de Puerto Seguro deben cumplir con las directrices aprobadas. La organización que administra el programa es responsable de garantizar su cumplimiento y aplicación entre sus participantes.
- Responsabilidad reducida: Si se determina que una empresa que participa en un programa de Puerto Seguro ha infringido la COPPA, la FTC podría considerar su participación en el programa. Esto podría resultar en sanciones menores en comparación con las impuestas a las empresas que no participan en un programa de Puerto Seguro y que incumplen la COPPA.
- Confianza del consumidor: Mostrar una certificación Safe Harbor puede mejorar la confianza del consumidor, lo que indica que el operador está comprometido a proteger la privacidad de los niños en línea.
Algunos ejemplos de programas de puerto seguro aprobados por la FTC incluyen aquellos administrados por organizaciones como Junta de Clasificación de Software de Entretenimiento (ESRB), el Unidad de Revisión de Publicidad Infantil (CARU)y TrustArc.
Cumpla con los requisitos de COPPA con BigID
Las empresas deben comprender sus obligaciones y hacer cumplir los requisitos de la COPPA. Si su empresa está sujeta a la COPPA, tiene la obligación de garantizar que se cumplan los requisitos de consentimiento parental y de protección de datos. BigID, puede:
- Descubrir y clasificar todos los datos de niños menores de 13 años
- Mapear e inventariar todos los datos de los niños
- Optimice el mapeo del flujo de datos para monitorear el riesgo de privacidad
- Capturar el consentimiento y las preferencias en sistemas web, móviles y de terceros
- Automatizar el cumplimiento de los derechos de datos de extremo a extremo, desde el acceso hasta la eliminación
- Ejecutar medidas de protección para la minimización de datos alineadas con políticas de retención basado en un propósito legal
- Realizar evaluaciones de riesgos de privacidad para salvaguardar los datos de los niños
- Demostrar cumplimiento con informes perspicaces destacando la reducción de riesgos
Las organizaciones deberían reevaluar su enfoque sobre los datos de menores. Tenemos una responsabilidad con nuestro grupo más vulnerable de ciudadanos en línea. Vea cómo BigID ayuda a las organizaciones a gestionar los requisitos de cumplimiento de la COPPA. Obtenga una demostración.
Autor
