Contexto importante
El 11 de enero de 2024, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) publicó un Aviso de Propuesta de Reglamentación que fortalecería la Ley de Protección de la Privacidad de los Niños en Internet (COPPA, por sus siglas en inglés). Esta medida subraya un cambio significativo en el panorama regulatorio, con el objetivo de abordar el uso de datos de niños por parte de las empresas y mejorar la protección de la privacidad de los niños. Las modificaciones propuestas a las reglas fortalecerían las regulaciones relacionadas con la forma en que las empresas interactúan con los datos de los niños en línea. La ley se aplica a los sitios web y las aplicaciones en línea dirigidos a niños menores de 13 años, pero también puede aplicarse a los sitios y aplicaciones para el público en general si el operador del sitio web sabe que se está recopilando información personal de niños menores de 13 años. Las acciones de cumplimiento anteriores se han dirigido a proveedores de tecnología educativa, videojuegos y productos de entretenimiento, comercio electrónico, recompensas en línea, sitios de búsqueda de talentos, plataformas de publicidad móvil, aplicaciones para perder peso, sitios de revisión en línea y aplicaciones de redes sociales.
Disposiciones clave de las actualizaciones propuestas
- Ampliación del alcance de COPPA: La propuesta tiene como objetivo ampliar las protecciones para cubrir los datos biométricos. Sin embargo, la FTC se negó a ampliar el alcance para incluir datos "inferidos" sobre niños.
- Mecanismos de consentimiento mejorados: Crea mecanismos de consentimiento parental separados antes de la divulgación de la información personal de un niño (con algunas excepciones).
- Requisitos de seguridad: La normativa actual de la COPPA ya exige que los operadores adopten medidas razonables para salvaguardar los datos personales de los niños. Sin embargo, los cambios propuestos por la FTC tienen como objetivo mejorar estos requisitos con mayor especificidad y estructura. Los operadores tendrían la tarea de crear y hacer cumplir un Programa Integral de Seguridad de la Información Personal de los Niños (CPISP, por sus siglas en inglés). Este programa debe adaptarse a la sensibilidad de los datos recopilados, así como al tamaño del operador y a la complejidad de sus operaciones. Los elementos clave de un CPISP incluyen el nombramiento de un coordinador, la realización de evaluaciones anuales de riesgos, el desarrollo y mantenimiento de medidas de protección para mitigar los riesgos identificados, la evaluación rutinaria de la eficacia de estas medidas y la realización de los ajustes necesarios al CPISP anualmente.
- Retención de datos: Las actualizaciones propuestas por la FTC buscan refinar las reglas en torno a la retención de datos, enfatizando que la información personal debe conservarse solo mientras sirva para el propósito para el que se recopiló inicialmente, sin ser reutilizada. Además, la FTC tiene la intención de obligar a los operadores a formular y divulgar una política clara de retención de datos. Esta política debe describir las razones por las que se recopila información personal de los niños, justificar la necesidad de conservar estos datos y establecer un cronograma específico para su eliminación para evitar el almacenamiento indefinido.
Preparación para el aumento de las obligaciones de la COPPA
Las empresas potencialmente afectadas por estas actualizaciones deben comenzar los preparativos para garantizar el cumplimiento. Esto implica:
- Identificar continuamente qué datos de los niños se recopilan, especialmente los datos biométricos, cómo se utilizan, cuánto tiempo se conservan y si se comparten con terceros puede ayudar a las empresas a comprender sus prácticas de datos y las áreas que necesitan ajustes.
- Garantizar que los mecanismos de consentimiento cumplan con los requisitos mejorados de la norma propuesta. Esto puede implicar el desarrollo de formularios de consentimiento más sencillos y transparentes.
- Fortalecer las prácticas de seguridad de datos para proteger la información de los niños del acceso no autorizado o las violaciones es más importante que nunca. Un programa bien documentado basado en el riesgo debe ser implementado por profesionales calificados.
- Educar a los empleados sobre los requisitos de la COPPA y la importancia de proteger la privacidad de los niños puede fomentar una cultura de cumplimiento.
Conclusiones clave
La FTC ha estado cada vez más atenta a la hora de hacer cumplir la COPPA, con varios casos de alto perfil que ponen de relieve los riesgos potenciales a los que se enfrentan las empresas. Los consultores externos especializados en el cumplimiento de COPPA aportan una profunda experiencia y conocimientos para navegar por las complejidades de estos cambios normativos, las tendencias de aplicación y las mejores prácticas, lo que garantiza que las empresas reciban una orientación precisa y actualizada. Pueden identificar riesgos potenciales, recomendar soluciones prácticas y ayudar a implementar las salvaguardas más adecuadas para garantizar el cumplimiento de los requisitos de COPPA. Esto es especialmente importante cuando los riesgos o las salvaguardias tienen una faceta técnica y reglamentaria.
Las sanciones han ido desde fuertes multas hasta mandatos por cambios en las prácticas comerciales. Por ejemplo, Epic Games fue multada recientemente con 275 millones de dólares por violaciones de la COPPA. Estas acciones de cumplimiento señalan el compromiso de la FTC con la privacidad de los niños y sirven como una advertencia para que las empresas tomen en serio sus obligaciones con la COPPA.
Las actualizaciones propuestas por la FTC a la COPPA representan un momento crucial en la protección de la privacidad de los niños en línea. A medida que el panorama digital evoluciona, también deben hacerlo los marcos que protegen a los usuarios más jóvenes. Las empresas que operan en este espacio deben mantenerse informadas de estos cambios y ajustar de manera proactiva sus prácticas para garantizar que no solo cumplan con la ley, sino que también contribuyan a un entorno en línea más seguro para los niños. Una vez más, los consultores pueden proporcionar un valor excelente, tanto en la evaluación de los tipos de información personal recopilada de los niños, como nombres, direcciones o datos de geolocalización, como en la evaluación de la alineación de las implementaciones técnicas y las operaciones comerciales con los requisitos de COPPA. También pueden recomendar ajustes a los mecanismos de recopilación de datos para minimizar la recopilación de información confidencial sin el consentimiento de los padres o, alternativamente, pueden recomendar mejoras para garantizar que los procesos de consentimiento sean sólidos, verificables y obtengan de manera efectiva el consentimiento afirmativo de los padres antes de que se recopile la información personal de los niños.
El énfasis de la FTC en protecciones más sólidas contra la monetización de los datos de los niños es un mensaje claro para las empresas: la privacidad y la seguridad de los usuarios jóvenes de Internet son primordiales. Las empresas que hacen caso omiso de este mensaje lo hacen bajo su propio riesgo.