La ICO del Reino Unido multa a Reddit con £14,5M por recolección ilegal de datos de menores

La Oficina del Comisionado de Información del Reino Unido (ICO) ha impuesto una multa de £14,47 millones (aproximadamente $19,5 millones) a Reddit por recolectar y procesar de manera ilegal los datos personales de menores de 13 años. Esta medida de cumplimiento destaca la falta de salvaguardas adecuadas por parte de la plataforma para proteger los datos de los menores, en violación del Reglamento General de Protección de Datos del Reino Unido (UK GDPR) y del Código de Diseño Apropiado para la Edad (Children’s Code o Age Appropriate Design Code).

Hallazgos clave y violaciones

La investigación de la ICO reveló que las prácticas de Reddit entre 2016 y 2021 no cumplieron con las leyes de protección de datos, especialmente en lo que respecta a la privacidad de los menores. Según el UK GDPR, las organizaciones deben garantizar que el procesamiento de datos personales sea lícito, justo y transparente, especialmente al manejar datos de menores. El Children’s Code, introducido en 2020, exige además que los servicios digitales con probabilidad de ser accedidos por menores prioricen sus mejores intereses, incluyendo configuraciones de privacidad por defecto y minimización de datos.

Las violaciones de Reddit incluyeron:

• Falta de verificación de edad: La plataforma no implementó mecanismos robustos para evitar que menores de 13 años crearan cuentas o accedieran a sus servicios.
• Salvaguardas de privacidad insuficientes: Las configuraciones predeterminadas y las prácticas de recolección de datos no se alinearon con los altos estándares de privacidad requeridos para los datos de menores.
• Falta de obtención de consentimiento válido: Para usuarios menores de 13 años, se requiere legalmente el consentimiento parental, el cual Reddit no aseguró de manera consistente.

Impacto y respuesta regulatoria

La multa impuesta por la ICO refleja la gravedad de las violaciones y sirve como advertencia a otras plataformas sobre las consecuencias del incumplimiento de las leyes de protección de datos de menores. John Edwards, Comisionado de Información del Reino Unido, enfatizó que la privacidad de los menores no es negociable, declarando:

"Proteger los datos de los menores no es opcional: es un requisito legal. Las organizaciones deben tomar sus responsabilidades en serio o enfrentar penalizaciones significativas."

Reddit no ha disputado públicamente la multa, pero se ha reportado que ha tomado medidas para mejorar sus sistemas de verificación de edad y protección de datos desde la investigación.

Recomendaciones de cumplimiento para organizaciones

Los profesionales de seguridad y privacidad deben considerar los siguientes puntos clave:

• Implementar verificación de edad robusta: Utilizar medidas técnicas (por ejemplo, barreras de edad, verificación de terceros) para evitar el acceso de menores en casos prohibidos.
• Aplicar configuraciones de alta privacidad por defecto: Asegurar que las configuraciones para cuentas de menores prioricen la minimización de datos y el consentimiento explícito.
• Revisar el cumplimiento del Children’s Code: Alinear las prácticas con los 15 estándares delineados en el Código de Diseño Apropiado para la Edad del Reino Unido, incluyendo transparencia y controles parentales.
• Realizar auditorías regulares: Evaluar de manera proactiva las actividades de procesamiento de datos para identificar y mitigar riesgos a la privacidad de los menores.

La acción de la ICO subraya el creciente enfoque global en los derechos digitales de los menores y la necesidad de que las organizaciones prioricen el cumplimiento con las regulaciones de privacidad en evolución.