As crianças, uma população on-line em rápido crescimento, representam uma preocupação significativa com a privacidade de dados porque não podem fornecer consentimento legal para o uso de seus dados, e é por isso que a COPPA impõe um consentimento rigoroso antes de coletar informações pessoais.
Consequentemente, os legisladores desenvolveram ou introduziram regulamentações para proteger os jovens de potenciais abusos e violações de privacidade. A União Europeia Regulamento Geral sobre a Proteção de Dados (GDPR) inclui também disposições específicas para a proteção de dados de crianças.
No entanto, o Lei de Proteção à Privacidade Online de Crianças (COPPA) foi projetado especificamente para usuários menores de idade, a fim de proteger a privacidade das crianças.
O que é a COPPA?
COPPA é uma lei federal de privacidade dos EUA, aplicada pela Comissão Federal de Comércio (FTC). Ela impõe regras sobre a coleta de informações pessoais de crianças menores de 13 anos por meio de serviços online e digitais, como sites, anúncios e aplicativos.
O Lei de Proteção à Privacidade de 1998 inclui a COPPA como um componente significativo da proteção ao consumidor. Inicialmente, a COPPA se concentrava em informações básicas coletadas online por sites direcionados a crianças. No entanto, com o avanço da tecnologia, a COPPA foi alterada em 2013 para incluir novas formas de dados e tecnologias, como geolocalização, fotos, vídeos, aplicativos móveis e redes sociais, ampliando e fortalecendo a proteção da privacidade online de crianças.
Quem precisa cumprir a COPPA?
Quaisquer negócios online, atividades online ou campanhas de marketing com coleta de dados online e direcionadas a crianças menores de 13 anos estão sujeitos às diretrizes da COPPA. Isso inclui sites direcionados a crianças, plataformas com público misto que intencionalmente atraem crianças e serviços que utilizam ferramentas de terceiros, como anúncios ou análises. Se o seu conteúdo, recursos ou promoções forem suscetíveis de atrair crianças, você poderá ser obrigado a cumprir a lei.
Principais disposições da COPPA
A lei impõe certos requisitos aos operadores de sites e serviços online direcionados a crianças, bem como aos operadores de outros sites ou serviços online que coletam intencionalmente informações pessoais de crianças. Aqui estão suas principais disposições.
Os operadores devem obter consentimento dos pais antes de coletar, usar ou divulgar informações pessoais online de uma criança. Isso significa que, antes que qualquer coleta de dados possa ocorrer, os operadores precisam tomar medidas específicas para garantir que receberam a permissão dos pais ou responsáveis pela criança.
O conhecimento que eles estão coletando deve comprovadamente ter a aprovação expressa dos pais. Isso pode envolver métodos como o envio de formulários de consentimento aos pais, a exigência de uma transação com cartão de crédito para verificação ou o uso de identificação emitida pelo governo para confirmar a identidade do pai/mãe.
Esse processo garante que os pais estejam cientes e concordem com a coleta e o uso das informações pessoais de seus filhos, protegendo assim a privacidade das crianças e dando aos pais controle sobre a presença online de seus filhos.
Política de privacidade
Os sites e serviços online devem publicar uma informação clara e política de privacidade abrangente da COPPA detalhando suas práticas de informação para dados pessoais de crianças. Esta política deve ser facilmente acessível e redigida em linguagem simples, que pais e crianças possam entender. Deve descrever quais informações pessoais são coletadas, como são usadas, com quem são compartilhadas e como os pais podem controlar a coleta e o uso das informações de seus filhos.
Ao fornecer essa transparência, os operadores ajudam os pais a tomar decisões informadas sobre permitir ou não que seus filhos usem um determinado serviço ou site.
Restrições de coleta de dados
A coleta de informações de crianças menores de 13 anos deve ser limitada ao que for razoavelmente necessário para a participação no site ou serviço. Isso significa que os operadores devem coletar apenas a quantidade mínima de dados necessária para fornecer o serviço ou recurso que a criança está usando.
Por exemplo, se um jogo exigir nome de usuário e senha para jogar, o operador não deve solicitar detalhes adicionais, como endereço residencial ou número do Seguro Social. Essa limitação ajuda a proteger a privacidade das crianças, reduzindo a quantidade de informações pessoais expostas.
Direito de revisão e exclusão
Os pais podem acessar as informações pessoais coletadas sobre seus filhos e solicitar sua remoção. Esse direito permite que os pais vejam quais dados são coletados sobre seus filhos e tomem medidas caso não se sintam confortáveis com o armazenamento ou uso desses dados.
Isso garante que os pais tenham controle sobre a pegada digital de seus filhos e possam proteger a privacidade deles gerenciando suas informações pessoais.
Medidas de segurança
Os serviços online que coletam dados pessoais de crianças devem implementar procedimentos razoáveis para proteger a integridade, a privacidade e a segurança das informações pessoais coletadas, especialmente quando coletadas online de uma criança. Devem possuir salvaguardas técnicas, administrativas e físicas para impedir o acesso não autorizado, a divulgação ou o uso indevido dos dados.
Exemplos incluem criptografia, servidores seguros, controles de acesso e auditorias de segurança regulares. Com medidas de segurança robustas implementadas, as operadoras podem proteger as informações pessoais de crianças contra violações de dados, roubo de identidade e outras ameaças cibernéticas, além de cumprir a COPPA.

Como cumprir as regras da COPPA: Lista de verificação de conformidade com a COPPA
A coleta de dados de crianças menores de 13 anos não é proibida, mas as organizações devem seguir os procedimentos específicos da COPPA para garantir a conformidade. Conforme declarado pela FTC, "a lei exige que os operadores de sites ou serviços online direcionados a crianças menores de 13 anos obtenham "consentimento parental verificável" antes da coleta de dados, com exceções para atividades que apoiem "operações internas", como limitação de frequência, publicidade contextual, análise de sites e comunicações de rede".
A lei federal estabelece claramente as responsabilidades das empresas na proteção da privacidade dos dados online de crianças. Aqui estão algumas sugestões de padrões da FTC para auxiliar na conformidade com a COPPA:
- A COPPA define “informações pessoais"como qualquer informação que pode ser usada para identificar uma pessoa, como nome, endereço, endereço de e-mail, número de telefone ou número do Seguro Social.
- A COPPA se aplica a informações coletadas de crianças por meio de sites, aplicativos e outros serviços online. Inclui qualquer site ou serviço online que colete intencionalmente informações pessoais de crianças, incluindo redes sociais, sites de jogos online, sites que abordam tópicos de interesse infantil e até mesmo sites que contêm publicidade direcionada a crianças.
- Qualquer site, aplicativo, microsite, seção de um site ou qualquer tipo de serviço on-line que atraia crianças é considerado direcionado a crianças.
- A COPPA exige que as empresas exibam políticas de privacidade para declarar como as informações pessoais são usadas.
- As organizações devem obter o consentimento verificável dos pais antes de coletar quaisquer informações pessoais. Além disso, os pais devem poder revisar as informações pessoais de seus filhos. Isso significa acesso total a perfis, registros e informações de login mediante solicitação.
- É aconselhável reter apenas informações pessoais que atendam ao propósito de sua coleta original e depois descartar os dados para proteger os direitos e a segurança da criança.
Use esta lista de verificação para garantir que sua organização atenda aos requisitos da COPPA:
1. Determinar a aplicabilidade
O primeiro passo é avaliar se o seu site, aplicativo ou serviço online é direcionado a crianças menores de 13 anos ou se é provável que atraia crianças, mesmo que não seja direcionado especificamente a elas. Isso também se aplica ao conteúdo de terceiros no seu site, como, por exemplo, se há anúncios, jogos ou vídeos que possam atrair menores.
2. Identifique as informações pessoais
Seguindo a definição do termo pela COPPA, você possui alguma "informação pessoal" na sua plataforma? Lembre-se de que isso não inclui apenas informações óbvias, como nomes e informações de contato, mas também identificadores como dados de geolocalização, cookies, IDs de dispositivos e quaisquer fotos, vídeos ou conteúdo de áudio que contenham a imagem ou a voz de uma criança. Você precisa ter uma ideia completa de quais desses dados estão sendo coletados diretamente por você e também indiretamente por meio de integrações de terceiros.
3. Crie e exiba uma política de privacidade clara
Para ser transparente, você precisa ter uma política de privacidade clara e de fácil acesso, que defina quais informações pessoais você coleta, como elas são usadas e onde são compartilhadas com terceiros. Se o seu serviço for voltado para crianças, considere apresentá-lo também em uma linguagem simples e adequada à idade delas.
4. Obtenha o consentimento explícito dos pais
Antes de coletar dados pessoais, as organizações devem obter o consentimento verificável dos pais. Os métodos aprovados incluem:
- Formulário de consentimento assinado
- Uso e confirmação de cartão de crédito/débito
- Chamada telefônica ou de vídeo
- Verificações de identidade com correspondência de reconhecimento facial
- Perguntas de desafio baseadas em conhecimento
Uma vez concedida, os pais também devem ter a capacidade de revisar, modificar ou excluir os dados de seus filhos a qualquer momento.
5. Minimização de dados
Embora seja importante cumprir qualquer lei de privacidade de dados, limitar a coleta e a retenção de dados é particularmente fundamental para a conformidade com a COPPA. Você deve coletar apenas as informações necessárias para o serviço oferecido e nada mais. Na verdade, os dados não devem ser coletados para fins não relacionados (como publicidade comportamental) e, uma vez que os dados necessários tenham cumprido sua finalidade, você deve descartá-los imediatamente e com segurança para reduzir o risco de uso indevido.
6. Fornecer direitos e acesso aos pais
Os pais têm o direito de saber exatamente quais informações foram coletadas de seus filhos. Isso significa fornecer acesso a contas, perfis e registros mediante solicitação. As organizações também devem dar aos pais a opção de revogar o consentimento e solicitar a exclusão permanente das informações de seus filhos.
7. Monitore parceiros terceirizados
Como mencionado, a conformidade com a COPPA vai além das suas próprias atividades. Se você utiliza serviços externos (como anunciantes, provedores de análise ou plugins), você continua responsável por garantir que eles também estejam em conformidade. Verifique seus parceiros cuidadosamente, inclua obrigações de conformidade nos contratos e realize auditorias regulares para confirmar se as práticas de dados de terceiros atendem aos padrões da COPPA.
8. Implementar medidas de segurança robustas
Os dados de crianças devem ser protegidos com protocolos de segurança robustos, pois salvaguardas técnicas e organizacionais robustas reduzem o risco de violações de dados. Por exemplo, criptografar informações confidenciais, restringir o acesso apenas a pessoal autorizado, estabelecer treinamento para a equipe para reforçar as responsabilidades de proteção de dados, etc.
Como a COPPA é aplicada? Multas e penalidades
Operadores online devem cumprir a COPPA ou enfrentar penalidades severas. Por exemplo, a Comissão Federal de Comércio (FTC) pode aplicar a COPPA multando empresas em até $42.530 por violação. As empresas também podem enfrentar penalidades civis, processos judiciais, processos criminais e investigações do Ministério Público Estadual.
A maior multa foi em 2022; A Epic Games concordou em pagar uma multa de $275 milhões por violações da COPPA. A denúncia afirmava que a Epic coletava ilegalmente informações pessoais de crianças menores de 13 anos e dificultava a exclusão de informações pelos pais.
Além das multas, a não conformidade pode resultar em danos significativos à reputação e perda de confiança do consumidor, destacando a importância de aderir às regulamentações da COPPA.
Por que a conformidade com a COPPA é importante?
Preservando a confiança e a segurança
Seguir as normas da COPPA é crucial para manter a confiança dos pais e garantir a segurança das crianças online. Empresas que demonstram dedicação à proteção da privacidade das crianças demonstram seu profundo compromisso com a privacidade. responsabilidade ética para protegê-los dos perigos da coleta e exploração descontroladas de dados.
Empoderando os pais
A COPPA oferece aos pais as ferramentas e garantias necessárias para gerenciar as interações online de seus filhos. Ela proporciona transparência e controle sobre as informações pessoais, permitindo que os pais tomem decisões informadas sobre a presença digital de seus filhos, promovendo a alfabetização digital e o comportamento online responsável dentro das famílias.
Promovendo um ambiente digital seguro
Criar um ambiente digital seguro para crianças é crucial. A COPPA atua como uma defesa contra diversas ameaças digitais, como violações de dados, roubo de identidade, predadores online e conteúdo prejudicial. Seguir os padrões da COPPA garante que as experiências online das crianças sejam seguras, respeitosas e com foco na privacidade.
Padrões Éticos Pioneiros
A COPPA não é apenas uma obrigação legal, mas uma estrutura para inovação ética e administração digital responsável. Os padrões estabelecidos por esta lei de privacidade ajudam as empresas a inovar de forma responsável e a garantir que os avanços empresariais respeitem e protejam os direitos das crianças.
Esse compromisso com o comportamento ético fomenta a confiança pública e incentiva o desenvolvimento de tecnologias e práticas que priorizem o bem-estar do usuário. Ao fazê-lo, a COPPA serve como modelo para a integração de considerações éticas em estratégias de negócios, influenciando os padrões globais de privacidade e segurança online de crianças.
Partes interessadas e regulamentos
As partes interessadas na COPPA incluem operadores de sites, desenvolvedores de aplicativos, anunciantes, pais e crianças. Cada um desempenha um papel na manutenção desses padrões e na promoção de práticas online responsáveis, garantindo um espaço digital mais seguro para os jovens usuários.
Programa COPPA Safe Harbor
O COPPA Safe Harbor é uma disposição da lei de proteção da privacidade online de crianças que permite que grupos industriais ou outras entidades desenvolvam suas próprias diretrizes de autorregulamentação para cumprir a Lei. Essas diretrizes devem ser aprovadas pela Comissão Federal de Comércio (FTC). Organizações que aderem a um programa Safe Harbor aprovado pela FTC são consideradas em conformidade com a COPPA, desde que sigam as diretrizes à risca.
Os principais aspectos do COPPA Safe Harbor incluem:
- Aprovação pela FTC: As diretrizes de autorregulamentação devem ser enviadas à FTC para revisão e aprovação, que avalia se essas diretrizes atendem efetivamente aos requisitos da COPPA.
- Conformidade e execução: As entidades participantes do programa Safe Harbor devem cumprir as diretrizes aprovadas. A organização que administra o programa Safe Harbor é responsável por garantir a adesão e a aplicação das diretrizes entre seus participantes.
- Responsabilidade reduzida: Caso seja constatado que uma empresa participante de um programa Safe Harbor violou a COPPA, a FTC poderá considerar a participação da empresa no programa. Isso pode resultar em penalidades reduzidas em comparação às impostas a empresas que não participam do programa Safe Harbor e que violam a COPPA.
- Confiança do Consumidor: Exibir uma certificação Safe Harbor pode aumentar a confiança do consumidor, sinalizando que a operadora está comprometida em proteger a privacidade das crianças online.
Alguns exemplos de programas Safe Harbor aprovados pela FTC incluem aqueles administrados por organizações como a Conselho de Classificação de Software de Entretenimento (ESRB), o Unidade de Revisão de Publicidade Infantil (CARU)e TrustArc.
Cumpra os requisitos de conformidade da COPPA com o BigID
As empresas devem compreender suas obrigações e fazer cumprir os requisitos de conformidade da COPPA. Se sua empresa estiver protegida pela COPPA, você tem o dever de garantir o consentimento dos pais e o cumprimento dos requisitos de proteção de dados. BigID, você pode:
- Descobrir e classificar todos os dados de crianças menores de 13 anos
- Mapear e inventariar todos os dados das crianças
- Simplifique o mapeamento do fluxo de dados para monitorar o risco de privacidade
- Capturar consentimento e preferências em sistemas web, móveis e de terceiros
- Automatize o cumprimento de direitos de dados de ponta a ponta, do acesso à eliminação
- Executar salvaguardas de minimização de dados alinhadas com políticas de retenção com base em uma finalidade legal
- Realizar avaliações de risco de privacidade para proteger os dados de crianças
- Demonstrar conformidade com relatórios perspicazes destacando a redução de riscos
As organizações devem reavaliar sua abordagem aos dados de crianças. Temos uma responsabilidade com o nosso grupo mais vulnerável de cidadãos online. Veja como o BigID ajuda as organizações a gerenciar os requisitos de conformidade da COPPA – Obter uma demonstração.