En los pocos años que lleva en funcionamiento, Path se ha promocionado como un tipo diferente de red social. Según una descripción de sus «Valores», «La ruta debe ser privada de forma predeterminada. Para siempre. Siempre debes tener el control de tu información y experiencia». Es un sentimiento encantador. Excepto que, según una acción policial de la FTC, no era privado por defecto. No fue privado para siempre. Los usuarios no tenían el control de su información y experiencia. Y no olvidemos la supuesta violación de la Ley de Protección de la Privacidad Infantil en Línea.
Además del informe del personal recién publicado, Divulgaciones de privacidad móvil: Construyendo confianza a través de la transparencia, y un nuevo folleto, Desarrolladores de aplicaciones móviles: comience con la seguridad (más sobre esto en nuestra próxima publicación), el acuerdo de la FTC con Path ofrece mucho para la industria de las aplicaciones a considerar. Path, disponible principalmente para los usuarios a través de una aplicación móvil, se autodenomina un «diario inteligente que te ayuda a compartir la vida con tus seres queridos». A riesgo de sonar como Jack Handy de un episodio de Saturday Night Live, los usuarios podían compartir «pensamientos» y «momentos» con una red limitada a 150 personas. También podían compartir con ese pequeño círculo de amigos cosas como fotos, la música que estaban escuchando e incluso su ubicación. (Decimos “pequeña”, pero la aplicación en sí era omnipresente, con más de 2,5 millones de descargas e instalaciones).
En la versión 2.0 de la aplicación Path para iOS, la compañía incluyó una nueva función «Agregar amigos» que ofrecía a los usuarios tres opciones: «Buscar amigos entre tus contactos», «Buscar amigos de Facebook» e «Invitar amigos a unirse a Path por correo electrónico». o SMS.» Pero independientemente de la opción que eligieran los usuarios, Path recopiló automáticamente datos personales de los contactos de los dispositivos móviles de los usuarios (sus libretas de direcciones) y los almacenó en los servidores de Path. ¿Qué recopiló Path? En la medida en que la información estaba disponible, el nombre, apellido, dirección, números de teléfono, direcciones de correo electrónico, nombre de usuario de Facebook, nombre de usuario de Twitter y fecha de nacimiento de cada persona en la libreta de direcciones.
Y según la FTC, no fue algo aislado. La recopilación automática de información de la libreta de direcciones se produjo la primera vez que los usuarios iniciaron la versión 2.0 de la aplicación Path y, si cerraron sesión en el servicio, cada vez que volvieron a iniciar sesión. La práctica continuó hasta el 8 de febrero de 2012.
La denuncia de la FTC afirma que lo que Path le decía a la gente que estaba haciendo con información personal contrastaba marcadamente con lo que ocurría detrás de escena. El primer cargo desafía el funcionamiento de la función «Agregar amigos» de la empresa. Según la denuncia, Path declaró que la información personal de los contactos del dispositivo móvil del usuario se recopilaría sólo si el usuario hacía clic en «Agregar amigos» y luego elegía la opción «Buscar amigos entre tus contactos». Pero a pesar de esa promesa, Path recopiló y almacenó automáticamente datos personales la primera vez que el usuario inició la aplicación y, si cerró sesión, cada vez que volvió a iniciar sesión. Eso, dice la FTC, hizo que la declaración de Path fuera falsa.
El cargo número 2 alega que Path también hizo afirmaciones falsas en su política de privacidad. A los usuarios se les dijo que Path recopilaba automáticamente sólo datos como dirección IP, sistema operativo, tipo de navegador, dirección del sitio de referencia e información de actividad del sitio. Pero al recopilar automáticamente toda esa información adicional de las libretas de direcciones de los usuarios, Path obtuvo mucho más que eso.
¿Qué pasa con las acusaciones de COPPA? La denuncia alega que, en relación con el funcionamiento de la aplicación Path para iOS, la aplicación Path para Android y su sitio web path.com, la empresa (que recopiló fechas de nacimiento durante el proceso de registro) tenía conocimiento real de que alrededor de 3.000 usuarios tenían menos de 13 años. Eso impulsó el requisito de COPPA de que Path obtenga el consentimiento de los padres antes de recopilar, usar o revelar información sobre sus hijos, una obligación que Path no cumplió. La FTC dice que Path también violó el requisito de que los operadores cubiertos por COPPA publiquen una política de privacidad que sea clara, comprensible y completa. ¿El resultado de las supuestas violaciones de la COPPA por parte de Path? Los niños menores de 13 años podrían crear diarios, compartir fotografías y “pensamientos” y compartir su ubicación precisa. La FTC dice que el problema de la libreta de direcciones de Path versión 2.0 también afectó a las libretas de direcciones de los niños.
Para resolver el caso, Path pagará una multa civil de $800,000 por violaciones de COPPA y eliminará la información recopilada de niños menores de 13 años. Además, la compañía honrará las afirmaciones que hace sobre cómo mantiene la privacidad y confidencialidad de la información personal. Algunas buenas noticias para los usuarios: Path ya eliminó la información de la libreta de direcciones que recopiló durante el período que la FTC dice que se llevó a cabo la práctica ilegal.
Cuatro puntos clave que las empresas pueden extraer del acuerdo Path:
- El mensaje principal no sorprende: cumpla sus promesas de privacidad y tenga especial cuidado cuando se trata de información de niños. Lo que es un poco diferente es que el mensaje sale con ATENCIÓN: DESARROLLADORES DE APLICACIONES MÓVILES en la parte superior. Los principios bien establecidos de protección del consumidor se aplican en todos los ámbitos, incluidas las empresas del mercado móvil.
- La mentalidad predeterminada sobre la recopilación de datos solía ser reunir la mayor cantidad posible siempre que fuera posible. Lo hemos dicho antes, pero ese enfoque es
como muuuy siglo 20 . Como saben las empresas inteligentes, el enfoque más inteligente (y un principio central de la “Privacidad por diseño”) es pensar en sus necesidades y solicitar sólo información que tenga una razón legítima para recopilar. Recopilar datos “sólo porque” ya no es de gran ayuda para los consumidores. - El hecho de que una plataforma le brinde la capacidad tecnológica para hacer algo no significa que sea lo correcto para su negocio o sus usuarios. Es un error suponer que alguien más (por ejemplo, un proveedor de sistemas operativos móviles o un fabricante de dispositivos) ha pensado detenidamente en las implicaciones para la privacidad. Cuando se trata de su aplicación y sus usuarios, la responsabilidad es suya.
- COPPA no es sólo para sitios para niños. Sí, las reglas se aplican cuando los sitios y servicios en línea están diseñados específicamente para menores de 13 años, pero no se apresure a asumir que no está cubierto. La regla también impone responsabilidades legales a los operadores que tienen conocimiento real de que están recopilando información personal de niños.
Únase a nosotros en Twitter de 1:00 a 2:00 ET el viernes 1 de febrero de 2013, hable sobre el caso Path y el Informe. Siga a @FTC y envíe preguntas con el hashtag #FTCpriv.