Saltar al contenido

Protección de datos y videojuegos ¿también me tengo que preocupar de la protección de datos aquí? A cargo de Darío López Rincón.

AD 92/2019

Abstract

La necesidad de control del comportamiento de los jugadores, más en todos los títulos enfocado en el juego multijugador, para garantizar que no se vulneran las normas de conducta, los términos del servicio, o se usan programas ilegales, conducen a un tratamiento de datos personales más intensivo de los que pudiera parecer en un principio. En este pequeño artículo, se va a intentar exponer brevemente los aspectos nucleares de esta problemática con varios ejemplos.

Palabras clave

Videojuegos, protección de datos, elaboración de perfiles, decisiones automatizadas, tratamientos totalmente automatizados, RGPD, grupo del artículo 29.

Introducción

Aunque pensamos que en los videojuegos no hay prácticamente un tratamiento de datos personales, más allá de la recopilación del correo electrónico para mantenerse al día de ese desarrollo del videojuego que tanto nos interesa, o para abrirnos la cuenta que la plataforma o “launcher” de turno nos exige para jugar a los títulos que tienes en la biblioteca; tenemos tres tratamientos principales que dan bastante “juego”: elaboración de perfiles, decisiones automatizadas, y decisiones totalmente automatizadas.

Este autor, junto con el compañero de la “Hermandad del Derecho”, Pablo Corrales Sánchez, ha tenido oportunidad de profundizar en estos puntos gracias al libro de Derecho y desarrollo de videojuegos que ambos han escrito y que se publicará en unos mesecillos. Mantendremos informados a la buena gente de A Definitivas cuando salga el libro 😊

Sin más auto spam “legítimo”, vamos al lío.

Como diría un hombre muy ordenado o el bueno de Jack, vamos por partes: primero contaremos brevemente el rollo teórico, para luego de manera separada, bajarlo al ámbito práctico del tema que interesa.

1) Rollo teórico

Aunque son dos conceptos íntimamente relacionados que el propio Reglamento General de Protección de Datos (RGPD) lleva de la manita casi siempre con la expresión: “la existencia de decisiones automatizas, incluida la elaboración de perfiles”, tienen diferencias claves, y sobre todo dos niveles de intensidad: automatizados, y totalmente automatizados del artículo 22 de esta norma. Ciertamente, el RGPD no deja demasiado clara esta distinción, el Comité Europeo de Protección de Datos (antiguo y venerado Grupo del artículo 29) viene al rescate con sus Directrices al respecto.

Elaboración de perfiles

El RGPD lo define como el tratamiento automatizado (no vale que se haga “a la antigua”, sino que se utilice un cierto grado de tecnología combinada con la acción  humano) de datos personales (cualquier información que permita identificar, por si misma o con ayuda de otra, a una persona física) con el objetivo de evaluar aspectos personales concretos de la persona (rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos) , y extraer conclusiones o predicciones de los mismos.

El elemento principal, además de que se traten datos personales y que sea automatizado, es que, como recuerda el actual Comité Europeo de Protección de Datos en las mencionadas directrices, para que se pueda considerar que estamos ante una verdadera elaboración de perfiles debe existir una verdadera evaluación, juicio o análisis de los datos para extraer conclusiones, y no una mera clasificación de aspectos conocidos como la edad o la altura:

Decisiones automatizadas

En línea con la elaboración de perfiles, es todo aquel tratamiento automatizado de datos personales que tenga como finalidad llegar a una decisión específica, y que puede incluir o derivar en una elaboración de perfiles. Al igual que la anterior, la clave es que no sea totalmente automatizado.

Decisiones totalmente automatizadas

En el nivel más intenso de las anteriores, y a las que ya sería de aplicación todas las garantías que marca el artículo 22, por ser una decisión (incluida la elaboración de perfiles) que se toma únicamente por medios totalmente automatizados (sin intervención humana) y que afecte a la persona en uno de las siguientes formas:

  • Produzca efectos jurídicos: afecte a su esfera jurídica, como, por ejemplo, la cancelación de un contrato, la denegación de una prestación, o la denegación de entrada en otro país.
  • O le afecte significativamente de un modo similar: que esta decisión tenga un impacto relevante en la elección, comportamientos o circunstancias de la persona, en la línea del anterior, como, por ejemplo, denegación de un crédito tras el análisis totalmente automatizado de los hábitos saludables de la persona por parte de la aseguradora, o la desestimación de una solicitud de empleo tras un análisis similar.

Al ser un tratamiento muy intenso y con riesgo para los derechos de la persona, el RGPD obliga a tener las siguientes garantías:

  • Derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista, y a impugnar la decisión – artículo 22
  • Derecho a ser informado de la lógica aplicada (explicación del funcionamiento de esa toma de decisión), así como la importancia y las consecuencias previstas- artículo 13 y 14
  • Realización de una evaluación de impacto – artículo 35

2) Divertida realidad

Siguiendo el mismo orden, tendríamos unos cuantos ejemplos que pasan desapercibos por la falta de información al respecto en la mayoría de casos, y por estar completamente centrada la industria en la legítima cruzada de acabar con el pirateo, cheating, conductas antideportivas y uso de las herramientas de comunicación para difamar y faltar al respeto a otros jugadores.

Elaboración de perfiles

Lo tendríamos en casi todos los títulos, en mayor medida en los que requieran de conexión a internet, ya sea por ser multijugador, o por exigirse que se inicien a través del launcher oficial o cuenta de usuario, con el objetivo, por ejemplo, de monitorizar nuestro juego y parametrizarlo para ofrecernos unas estadísticas de nuestro rendimiento o categorizarnos en una liga concreta, monitorizar y otorgarnos “logros” cada vez que completemos alguna de las tareas predeterminadas, o por ejemplo, ofrecernos determinadas ofertas “exclusivas” asociadas a nuestro nivel de jugador.

Decisiones automatizadas

En este apartado no tendríamos tantos ejemplos, por ser habitual que se automaticen completamente para evitar destinar personal y garantizar que el sistema funciona al ritmo necesario por la cantidad de jugador en cada momento. Dicho esto, tenemos a dos grandes exponentes del género shooter, como son el decano, Counter Strike, en el que se permite que los jugadores experimentados y que acrediten una serie de horas mínima puedan revisar y emitir su opinión sobre clips de vídeo en los que se muestran a jugadores haciendo trampas con la instalación de determinados programas ilegales-

Decisiones totalmente automatizadas

Es el tratamiento más intenso de todos, y, también es el más utilizado, como por ejemplo en los chats o herramientas de comunicación, tanto dentro como fuera de la partida, para bloquear a todo jugador que dirija cualquier tipo de insulto hacia otro, por un tiempo determinado o de manera permanente.

Es una decisión totalmente automatiza ya que es el propio sistema el que bloquea al jugador cuando detecta una determinada palabra, y eso le produce un efecto que le afecta significativamente al bloquearle, temporal o permanente, el acceso al servicio que ha contratado.

La caja de Pandora de la industria – Loot Boxes.

El gran escollo del sector en la actualidad, por el cuestionable modelo de negocio que supone y la consideración de muchas autoridades europea del juego como juego regulado, que son las cajas de botín o loot boxes, puede que tenga otro problema por la vía de la protección de datos al caer dentro de una decisión totalmente automatizada.

Desde el punto de vista teórico podría ser factible (siempre que se traten datos personales), ya que, por un lado, el sistema que determina que objetos te tocan dentro de cada “caja” está totalmente automatizado y presidido por un algoritmo programado para que los mejores premios tengan un porcentaje muy reducido, y, por el otro, te supone un efecto significativo en tu comportamiento económico al hacerte gastar más para conseguir lo que quieres.

Adicionalmente, podría combinarse con un análisis de tu perfil de jugador para predecir un gasto y si eres propenso a comprar más cajas, o para afinar el algoritmo.

Conclusión

Cabe concluir que ni los maravillosos videojuegos escapan (ni deben escapar) de la protección de datos, y que las “marcianadas” de las decisiones totalmente automatizas son más comunes de lo que parecen al leer el RGPD.

Darío López Rincón

Valladolid, 22 de octubre de 2019

Foto Darío López Rincón.jpg

Darío López Rincón: Licenciado en Derecho por la UVa, y Máster en Derecho de las telecomunicaciones, protección de datos, audiovisual y sociedad de la información por la UC3M. Consultor en protección de datos, miembro de Secuoya Group y Lista Viernes, bloguero en En Clave de Derecho, y autor de varios capítulos en libros como: Derecho de los Robots, y Legal tech: transformación digital de la abogacía.

 
 
Redes sociales – @EnClaveDerecho , www.linkedin.com/in/dariolopezrincon
 
 
 

Deja un comentario

A %d blogueros les gusta esto: