Big Data, protección de datos y videojuegos: el triple jefe final. A cargo de Darío López Rincón

AD 75/2020

Big Data, protección de datos y videojuegos: el triple jefe final

Abstract

Como ya vimos en el otro artículo, hay más datos personales de lo que parece en un primer momento. Además de eso, o más bien sobre eso, se encaja la pieza de Big Data para conformar una máquina perfecta que nos diga cómo llegar al corazoncito gamer de cada jugador (y a su cartera, claro).

Palabras clave

Big Data, videojuegos, protección de datos, datos personales, datos mixtos, cookies, profiling, engagement, decisiones automatizadas, tratamientos totalmente automatizados, RGPD.

Introducción

La buena de Elisabeth Comstock/Dewitt, (no cuenta como spoiler porque ha pasado 7 años ya) nos diría que entre lo que vemos y lo que realmente es, hay un mundo de diferencia. Eso es precisamente de lo que intenta ir este artículo: hace un breve análisis del uso de Big Data y el perfilado de los jugadores que se realiza como clave del negocio y del que no somos conscientes, así como una breve explicación teórica de si podría llevarse a cabo con la normativa de protección de datos en la mano.

El artículo, que en este caso es larguillo, se divide en tres partes:

• Definición de los conceptos básicos
• Tipos principales de tratamiento big datero que tenemos en los videojuegos
• Comentario jurídico de esos tipos de tratamiento.

Ya va quedando menos para que se publique ese libro sobre derecho y desarrollo de videojuegos, escrito junto con Pablo Corrales Sánchez, y que ya fui anunciando en el artículo previo sobre videojugicos publicado en A Definitivas.

Tutorial: definiciones y conceptos

a) Big Data

Es la clave de bóveda de la economía digital (no iba a ser menos en el sector de los videojuegos), y puede definirse como: el análisis automatizado a través de algoritmos específicos de grandes cantidades de información para extraer patrones y conclusiones.

Generalmente, se suelen dividir en función de los tipos de información que será analizada. En este caso, en tres grandes categorías:

• Datos estructurados: información que posee campos fijos como un formato o esquema. Como ejemplos prácticos se pueden destacar: fecha de nacimiento para juegos con restricción de edad, id o tag de jugador, o los propios datos de pago.
• Datos semiestructurados: información sin formato fijo, pero que contiene etiquetas y otros marcadores que permiten separar los elementos relevantes. Como ejemplos prácticos se pueden destacar los formatos de html o json (javascript)
• Datos no estructurados: información sin tipos predefinido que se almacena como objetos o documentos sin una estructura uniforme. Como ejemplos prácticos se pueden destacar: clips de vídeo, fotografías, correos electrónicos, o SMS.

b) Profiling y tracking

Es el principal objetivo de este análisis de grandes cantidades de información. Es lo que realmente convierte a los datos personales en el verdadero petróleo de nuestros días, al permitirles a los estudios o Publishers “pulsarnos el hype” a cada uno con aquello a lo que no podemos resistirnos. Es prácticamente imposible conocer el nivel de perfilado que se hace de nosotros, debido en gran parte al hecho de cada vez jugamos a través de más plataformas propias que requieren de conexión continua a internet, y que sincronizamos todas nuestras cuentas de otros servicios para jugar en modo coop o unificar nuestra biblioteca en un único lugar (p.ej GoG Galaxy o el streaming del título adquiridos que propone NVIDIA GeForce Now).

Podemos definirlo, aprovechando el sagrado Reglamento General de Protección de Datos (en adelante, RGPD) por el componente de información personal que implica, como: el análisis por medios automatizados (utilice un cierto grado de tecnología y que no se haga a cascoporro en una hoja de papel o una tabla de Excel) de información con el objeto de extraer conclusiones, evaluación o análisis (no una mera clasificación de cosas conocidos como género, edad, o dirección de correo electrónico) como el rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.

En el caso que nos ocupa, nos referimos a la monitorización y posterior análisis de elementos como el tiempo de juego, la franja horaria en la que se juega, el género de los títulos que tengamos en la biblioteca, el mayor uso de un personaje, equipo o mecánicas, preferencia del modo 1º jugador o multijugador, o el historial de compras; con el objeto de generar un perfil de jugador que determine el género y modo de juego al que no nos podemos resistir, la capacidad económica o predisposición a comprar juego, o para afinar, cancelar o sustituir contenido postlanzamiento del juego y evitar posibles fracasos económicos.

Esto no se podría realizar sin monitorizar (tracking) lo que hacemos, tanto en el juego como en otras áreas (perfil, tienda, etc), a través del tag o un identificador que se nos asigna a cada jugador en el momento de crearnos la cuenta obligatoria.

Por otro lado, tenemos las decisiones automatizadas y totalmente automatizadas, es decir, tratamientos cuya finalidad sería llegar a tomar una decisión por estos medios automatizados mencionados, pudiendo suponer, o no, un profiling a la vez. Por ejemplo, la revisión de clips de vídeo capturadas por un jugador para determinar si otro jugador ha realizado trampas en el transcurso de la partida.

Finalmente, todo lo anterior puede darse de manera totalmente automatizada, es decir, sin intervención humana directa, lo que, como veremos, supone que el tratamiento suba un grado en el riesgo para el jugador y en las garantías legales a aplicar. En el sector de los videojuegos, casi la totalidad del profiling y las decisiones automatizadas que se realizan se hacen de esta manera. Por ejemplo, el banning automático por incumplimiento de las normas en el chat o detección del uso de trampas, así como el análisis mediante Big Data.

c) Engagement

Uno de los grandes conceptos y medidores de la rentabilidad en el mundo del marketing digital y de los influencers en general. Puede definirse de manera libre como: la “fidelidad” o “interés” del usuario, es decir, la capacidad de “seducirle” para que adquiera determinados productos o servicios durante el mayor tiempo posible. En definitiva, el resultado principal de todo lo comentado hasta ahora, y que servirá para determinar si todo el esfuerzo invertido en materia de Big Data realmente se está traduciendo en un beneficio económico real.

Aplicado al sector de los videojuegos, cada vez es más importante debido al cambio de un modelo de negocio del videojuego como producto a otro como servicio, en el que se plantea contenido continuo para mantener “vivo” el título e ir rentabilizando periódicamente ese “engagement” obtenido con los jugadores. En este punto, el gran rey de reyes en la actualidad es Fornite Batle Royale, pero sin olvidar a la realeza del mobile gaming: Candy Crush Saga, Brawl Stars o Clash Royale (o más bien, al gran emperador Tencent por controlar a sus estudios responsables: el 40% de Epic Games y el 84% de Supercell :O)

Al igual que pasa con la teoría del juego, aplicada al juego regulado para poder predecir el momento en el que se debe dar un pequeño incentivo para que el jugador siga apostando (y gastando) dinero e una máquina o una mesa, el engagement aplicado a los videojuegos se basa en tres grandes principios de la “teoría de la autodeterminación” y que se alinean con necesidades psicológicas básicas (la psicología al poder para “hackearnos” la cabeza y el bolsillo):

• Autonomía: la necesidad de ser tú el que decide y tiene el control de todo. Tus acciones son las crean la historia, o en juegos más lineales, las que lo hacen avanzar, siendo reforzadas y reafirmadas en todo momento por recompensas y tareas que el propio juego va poniendo delante de ti. Este punto se ve potenciado en aquellos juegos de corte single player.
• Socialización: la necesidad social de relacionarse, que en muchos casos se refuerza con recompensas o fases que requiere de una cooperación real entre jugadores para obtener recompensas exclusivas. ¿Quién no se acuerda de quedarse a las puertas de una recompensa exclusiva en una de las raids a 6 jugadores de Destiny, por no coordinarse bien con amigos o desconocidos?
• Dominio: la necesidad de sentir que realmente se está mejorando en el desempeño de algo. Es el típico árbol de progresión por niveles o mejoras de casi todos los títulos actualmente, y que se ve más acusado en aquellos del corte metroidvania por la obtención de habilidades u objetos necesarios para acceder a zonas previas vedadas.

Como todo se entiende mejor con ejemplos, podemos ir a Candy Crush. También conocido como: ese videojuego al que juegan todos aquellos que dicen no perder tiempo con estas “tonterías”, pero al que luego dedican cualquier tiempo muerto que tengan, desde el metro hasta la sala de espera del dentista.

Aparte de ser una de las sagas más lucrativas de los videojuegos, aúna como ninguno estas tres facetas:

• Autonomía: convierte tus acciones en algo mágico que provoca una explosión de colores, gominolas y frases positivas, que en muchos casos van más allá de tu propia capacidad o la comprensión de sus mecánicas en los primeros niveles. ¿Quién no se ha sentido orgulloso de sí mismo por haber limpiado la mitad de la pantalla con un único movimiento rematado por un seductor “sweet”, “delicious”, o “tasty”?
• Relacionarse: conforme vas avanzando, entran en juego las herramientas sociales del título para ofrecerte cooperar con otros jugadores a cambio de algún potenciador o recompensas exclusivas o especiales; máxime si consigues que algún de tus amigos se una a la fiebre por los dulces digitales.
• Dominio: el juego refuerza tu sensación de progresión subiendo la dificultad poco a poco, incluyendo una puntación de tres estrellas en cada nivel en función de tu desempeño, y llenándolo todo de niveles numerados casi infinitos.

Asimismo, en atención a su modelo principal de negocio esa dificultad tiende a que el jugador recurra a potenciadores y vidas que puede conseguir de una manera muy limitada jugando o usando las herramientas sociales del título, o en mayor cantidad a través de la compra con dinero real.

A pesar de que el foco está puesto en ese engagement totalmente centrado en obtener la mayor rentabilidad de cada jugador, cualquier videojuego que se precie tiene que prestar atención a estos factores para conseguir atraer al jugador.

d) Dato personal

Toda aquella información, ya sea por sí sola o conjuntamente con otra, que permita identificar a una persona sin requerir un esfuerzo desproporcionado o imposible para ello. El Reglamento General de Protección de Datos (RGPD) da una definición igual de fácil, y que además deja claro los principales ejemplos de información que son datos personales. Incluyendo la antiguamente controvertida dirección IP:

Artículo 4.14: “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Es importante aclarar dos matices:

• Seudónimos: hay datos personales que, aunque no lo parecen, como por ejemplo el típico nickname o tag de jugador, o un identificador único que se asigne al acceder por 1º vez a una plataforma, sí que pueden permitir todavía trazar la identidad de la persona a la que se refieren, y por tanto, caen dentro de la normativa de protección de datos.
• Esfuerzos desproporcionados: la clave para ver si son datos personales, y por tanto se debe cumplir con la normativa específica, es ver si permiten identificar a la persona sin realizar acciones extraordinarias para ello. Este concepto debe valorarse caso por caso, ya que un estudio pequeño puede que no tenga la capacidad económica o técnica para identificarlo, pero sí empresas del tamaño de Ubisoft, EA o Activision-Blizzard.

Podemos establecer dos tipos de datos personales en función de lo crítica que sea la información para la persona:

• Dato personal usual: la gran mayoría de los datos personales que existen y que no estén marcados como de categoría especial por la norma. Por ejemplo, nombres y apellidos, número de la seguridad social, correo electrónico, datos bancarios o laborales.
• Dato de categoría especial: la parte de los datos personales referenciada en el artículo 9 del RGPD, y que exigen el cumplimiento de garantías especiales por referirse a elementos más reservados o críticos de la persona: “revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona ”. Dentro de estas categorías, cabe explicar tres de estos tipos de datos:
  • Datos genéticos: relativos a las características genéticas heredadas o adquiridas de una persona que proporcionen una información única sobre su fisiología o salud. Por ejemplo, una muestra de tejido o de sangre.
  • Datos biométricos: obtenidos a partir de un tratamiento técnico específico, y relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen su identidad inequívoca. Por ejemplo, la huella dactilar o el reconocimiento facial.
  • Datos relativos a la salud: relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud. Por ejemplo, los ataques epilécticos que llevan a poner una advertencia en todos los videojuegos para advertir a aquellas personas que puede tenerlos.

Se debe tener en cuenta que también son datos de esta categoría especial aquellos que se deduzcan del tratamiento, aunque no se traten en origen o se busque conseguirlo. Por ejemplo, que, a través del análisis de las horas de juego para poder ponerle publicidad personalizada en las horas activas a un determinado jugador, de rebote, se extraiga un perfil de sueño.

• Especialidad de los datos de menores de 14 años: aunque no se incluyan en esta categoría los datos personales de los menores de 14 años (a partir de esa edad se les considera autónomos en materia de protección de datos), se les da una protección reforzada, estableciendo, por ejemplo, que se deberá verificar en la medida de lo posible si el consentimiento lo ha prestado realmente sus padres o tutores, y que la información de lo que se haga con sus datos se redacte de manera que sea comprensible para ellos.

Asimismo, por la fuente, se pueden dividir en tres categorías:

• Datos recabados de la persona: solicitados a la persona a través de cualquier vía que se establezca para ello, por ejemplo, el típico formulario web de solicitud del correo electrónico para el envío de newsletters.
• Datos observados: no se le piden a la persona, pero se obtienen de lo que esté realizando, por ejemplo, la información que se recopila a través de las famosas cookies sobre la navegación del usuario en una web, app, plataforma o lo que se nos ocurra. Más adelante se tratará con un poco más de detalle este asunto de las “galletas”.
• Datos inferidos: información que se extrae del análisis de los datos personales recopilados de la persona por cualquiera de las otras dos fuentes, es decir, esas deseadas conclusiones y predicciones sobre la persona que permite extraer el Big Data. Estos son los más invisibles para el usuario, a pesar de que la norma le otorga la posibilidad de exigir al responsable que los trate, que le diga y facilite una copia de todos los datos personales tratados (derecho de acceso). Se debe tener muy en cuenta por el gran número de menores que juegan y la posibilidad de que falseen el consentimiento en caso de ser menores de 14 años.

Por último, cabe concretar qué se entiende por “tratamiento” de datos personales, y por tanto, que las siguientes actividades con datos personales caen dentro del cumplimiento del RGPD, se hagan por medios automatizados o no: recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, cesión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción”;

 e) Información anónima

Como ya hemos mencionado, la información que no puede identificar a una persona, o que sea “prácticamente imposible” hacerlo, es información anónima a efectos legales.

Existen dos tipos de datos anónimos:

• Datos anónimos: información que originalmente no se relacionaban con una persona, como, por ejemplo, los datos de funcionamiento del hardware y software de una consola o PC.
• Datos anonimizados: información que inicialmente eran datos personales, pero a los que se les ha aplicado técnicas de anonimización para eliminar esa referencia o nexo con una persona. Por ejemplo, todos esos datos estadísticos del funcionamiento de un título o lo que se suele mostrar en formato de infografía sobre el número de horas de juegos que han consumido todos los jugadores, logros totales conseguidos, porcentaje de jugadores que han escogido una u otra opción, o personaje jugable más utilizado.

Por contra, tenemos las estadísticas como datos personales. Por ejemplo, recientemente PlayStation te permitía consultar a través de una página web específica, que te generaba una pequeña infografía que compartir en redes sociales, información sobre el rango que te asigna en función al tipo de títulos que has jugado durante el año, información sobre las horas totales de juego, los títulos a los que has jugado, los trofeos obtenidos, el top 3 de tus juegos, o la franja de tiempo de juego preferida. Son datos personales porque se extraen directamente de tu perfil de jugador de la plataforma.

La anonimización supone que no se aplica la normativa específica sobre protección de datos, pero a nivel europeo existe un Reglamento Europeo 2018/1807 (Reglamento Europeo de Datos no personales) que regula este tipo de información en atención a que también posee un gran valor económico, así como para garantizar una libre circulación de dicha información en el territorio de la Unión Europea.

Como reconoce la Agencia Federal Alemana de Protección de Datos, la anonimización que no permita de modo alguno reidentificar a la persona es prácticamente imposible, por lo que lo importante es tener como pauta la idea que hemos mencionado en el apartado previo de datos personales: se elimine la referencia personal de tal manera que la reidentificación sea prácticamente imposible o que solo se puede restaurarse con un gasto desproporcionado de tiempo, costes y trabajo.

f) Datos mixtos

Es la combinación de datos personales e información anónima en un único conjunto de datos, y que recibe por este hecho el nombre de datos mixtos.

Al respecto, la Comisión Europa ha redactado unas orientaciones específicas que arrojan tres ideas principales:

• El Reglamento de datos no personales se aplica a la parte de información anónima del conjunto de datos mixtos.
• El RGPD se aplica a la parte de datos personales del conjunto de datos mixtos.
• En el caso de que no se puedan desligarse ambos tipos de datos, y aunque los datos personales sean una pequeña parte del total, se aplicará el RGPD a todo el conjunto.

g) Cookies y tecnologías equivalentes

Además de la idea que todos tenemos de que las cookies son pequeños archivos de seguimiento que se instalan en nuestro navegador cuando entramos en una web, también se refieren a cualquier tipo de dispositivo de almacenamiento y recuperación de datos con la finalidad de almacenar información y recuperar la información ya almacenada del dispositivo del usuario (como se ha comentado, web, app, plataforma o cualquier otro sistema que la magia de la tecnología cree).

En lo que nos ocupa, la mayor parte de datos que se van a obtener, será a través de cookies, tanto propias como de terceras entidades. Por ejemplo, las conocidas Google analytics, que se incluyan en la plataforma correspondiente. Los sistemas de tracking para detectar copias falsas, mapas de calor para ver qué opciones son más usadas, o una monitorización mucho más profunda; también caerían dentro de este saco.

Como principales ejemplos de estas “cookies 2.0” cada vez más sofisticadas, invisibles y persistentes, tenemos:

• Fingerprinting o huella digital: técnica que es capaz de identificar al usuario gracias a herramientas como javascript o flash al darle un identificador único y considerar que cada dispositivo pertenece a una persona distinta, aun cuando comparte el mismo núcleo familiar. En definitiva, al igual que una cookie analítica, realiza una monitorización en la navegación del usuario (la huella digital de cada usuario) llegando incluso captar el desplazamiento del ratón, las teclas pulsadas, o el sistema de bloqueo de anuncios utilizado.
• Tracking pixel o web beacon: técnica que inserta en una imagen del tamaño de un pixel en formato html para poder detectar las interacciones del usuario sin que este dé cuenta. El más conocido es Facebook pixel, y se utiliza también en los sistemas de mailing para poder emitirle un informe al cliente sobre cuántos usuarios han abierto su newsletter.
• Evercookies o cookies persistentes: cookie que se aloja en sitios anómalos o escondidos del navegador o dispositivo para evitar que el sistema de borrado las pueda eliminar fácilmente.
• Cookie syncing: tecnología que permite reconstruir y volver a identificar al usuario que haya borrado la determinada cookie, a través del identificador que se asignó en un principio, y que se envió fuera del dispositivo a un tercero.

2) Presentación de los bosses: distintos casos de estudio

En este punto, vamos a mencionar los principales tipos de profiling que se llevan a cabo en los videojuegos, en atención a la finalidad que se persigue con el mismo. Antes de entrar en harina, hay que introducir al sospechoso habitual en todo lo tocante al negocio digital, y que no iba a ser una excepción en el mundo de los videojuegos: Amazon a través de su servicio Amazon Kinesis, prestado por su conocida filial de almacenamiento web: Amazon Web Services (AWS).

La elección del gigante de la sonrisa para el análisis en tiempo real no es casual, ya que para poder mantener el gran número de servidores y capacidad de almacenamiento necesaria para que un videojuego multijugador masivo funcione sin que le suponga al Publisher un coste propio millonario a largo plazo, se recurre a los propios servidores y almacenamiento de AWS (solamente Fornite ocuparía más de 12 datacenters de AWS y generaría un flujo de 90 millones de eventos por minuto). Y ya que le tienen aquí, ¡quién mejor para encargarle este otro servicio!

A grandes rasgos, el flujo de todos los datos del título, tanto personales y no personales (datos mixtos) que se obtienen a través de cualquier punto de entrada (cliente de juego, launcher o servidores) se pasan al sistema de Amazon Kinesis Data Streams,  y a su vez, a distintos sistemas de Amazon (Kinesis Data Analytics (especie de Google analytics), Apache Spark, Amazon EC2 (Computing Cloud) y AWS Lambda) para conseguir extraer los datos estructurados finales, en función a lo que se quiera obtener del análisis.

a) Información para mantener la seguridad, prevención de trampas y gestión adecuada del título

Este tipo de profiling no está enfocado en la captación de datos personales con el objetivo de generar un perfil como tal que utilizar posteriormente, pero supone una monitorización continua del título y del propio jugador debido a que la automatización es la única forma posible de poder mantener correctamente un servicio al que accede un número masivo de jugadores. Con el objetivo de simplificarlo, podemos diferenciar dos tratamientos distintos en función de lo que se busca conseguir:

• Funcionamiento adecuado del título: con el propio fin de que el servicio no presente ningún problema que pueda afectar al videojuego, se realiza una monitorización continúa del mismo para poder detectar problemas técnicos, exploits (fallos aprovechables por los jugadores). Este sería el típico tratamiento que realiza cualquier otro servicio con base online y en el que el objetivo no es tanto la captación de datos personales como el análisis de la información técnica, pero indirectamente supone un tratamiento de datos personales.

Como ejemplos, tenemos el caso de la expansión Warlords of New York del título The Division 2 que ha supuesto una serie de problemas técnicos, exploits, fallos en las estadísticas de armas que ha llevado a cerrar durante unas horas los servidores totalmente; o la fatídica salida al mercado de Anthem como 1º shotter looter de Bioware, y que actualmente se encuentra en una fase de reestructuración (rework) por el fracaso comercial que supuso.

• Mantenimiento de la seguridad y prevención de trampas: este profiling si va más enfocado a individualizar al usuario para prevenir trampas, alteraciones del código, problemas en los servidores o vulneración de las normas de conducta de los típicos canales de chat. La monitorización no solo se centra en el comportamiento del jugador en el momento del juego, sino también en elementos más técnicos, como instalación de bots, hacks, variaciones anómalas de su conexión a internet para provocar lag artificial, uso de mandos o sistemas de juego no autorizados en la plataforma por razones de equilibrio, y otras tantas.

Como ejemplos más cercanos, tenemos al español Temtem (una de las grandes promesas y éxitos a nivel mundial) y su baneo permanente de 900 jugadores que realizaban trampas, el uso de los conocidos sistemas de DRM o easy anticheat cuando se inicia sesión en el juego a través del launcher, o los conocidos sistemas automatizados que en el momento que detectan que un jugador dice una palabra inadecuada en el chat lo expulsan durante un tiempo, o le avisan de la infracción.

b) Información con el objetivo de generar un perfil

Este tipo de profiling sí que está enfocado en una monitorización más personal para poder modificar ciertos aspectos del juego, reorientar expansiones y contenido postlanzamiento para maximizar el beneficio, y en definitiva, generar métricas, estadísticas y perfiles de jugadores para poder impactarles de manera personalizada. En pocas palabras, captar el mayor número de datos posibles para poder conocer al consumidor más allá de lo que se conoce a sí mismo, gracias a la magia técnica del Big Data.

Este es el verdadero objetivo de todo el aparataje del Big Data y la verdadera gallina de los huevos de oro en la economía del dato actual para cualquier empresa que se precie, como demuestran casos tan conocidos como el de la propia Starbucks que se suele mencionar el bibliografía especializada.

Los ejemplos en los videojuegos pueden ser infinitivos, pero por destacar varios:

• El estudio Bioware, creador de la Saga Mass Effect, Dragon Age, y de los infaustos Mass Effect Andromeda y Anthem, monitorizaba si lo jugadores saltaban las conversaciones y en qué personajes lo hacían para enfocar DLCs y centrarse en los personajes más rentables, con el subsiguiente ahorro de líneas de dialogo de los dobladores de los personajes menos populares.
• Las recomendaciones de compra de cualquier plataforma como Steam, GOG u Origin, basadas en el análisis de los géneros de juegos que tienes en tu biblioteca, o en base a los que hayan adquirido tus amigos dentro de la misma plataforma.
• Pokemon Go: aquel gran fenómeno que superó las expectativas de sus propios desarrolladores, de Nintendo y de The Pokemon Company, y que por su estructura es uno de las más peligrosos al ser un mera app, que aplicando realidad aumentada y geolocalización, monitoriza y analiza la situación del jugador en el propio mundo real para crear perfiles de rutas y preferencias que puede ser utilizadas en un futuro para incluir anuncios o elementos personalizados de tiendas o establecimientos de los que te encuentres cerca, entre otras muchas ideas marketeras. Para todos aquellos aficionados a Harry Pottter, el mismo estudio creó Wizards Unite. ¡ Avada Kedavra Datum¡😐
• Fuera de concurso, está Fornite al ser el ejemplo inicial para mostrar el flujo de datos que se canalizan a través de Amazon Kinesis, pero destaca por su gran mercado de skins personalizadas en función de las modas imperantes y del estudio de los propios jugadores (por no hablar del resto de merchandising relacionado).

Más allá de los ejemplos que este autor un poco loco pueda destacar, y dejando otros muchos fuera que para alguno pueden ser más ilustrativos, la mejor prueba de que esto se lleva a cabo son las propias ofertas de empleo de los mencionados en sus propias webs😉, por ejemplo, Data Scientist en Supercell (uno de los reyes del mobile gaming con una facturación anual de más de 1.600 millones de dolarines, y el estudio desarrollador de los conocidos Clash of Clans, Clash Royale o Brawl Stars).

c) Información para mejorar la experiencia jugable o ampliarla.

Además de los anteriores, se puede hablar de un tercer tipo que trataría datos personales, pudiendo suponer un profiling o no dependiendo del caso, pero cuya principal finalidad es dar una mayor inmersión al juego y no recopilar ningún tipo de información. Como ejemplos curiosos:

• The Black Watchmen (conocido gracias al gran Jose Massa @JsphMassa. Uno de los responsables del futuro y prometedor: TAPE: Unveil the Memories) : videojuego del particular género ARG (Alternative Reality Game) que utiliza una interfaz mínima plantea la narrativa sobre el mundo real con información en páginas web creadas para el juego, lugares, correo electrónico, móvil del jugador, materiales audiovisuales, entre otras formas. En lo que nos ocupa, realiza un tratamiento de datos con un fin meramente inmersivo y que da la posibilidad a cada jugador de modularlo a la hora de crear su cuenta de usuario (buen ejemplo de privacy by design) en base a varios colores:
  • Rojo: nivel menos inmersivo que solo requiere el dato de correo electrónico del jugador para remitirle información de los distintos eventos en los que se organiza el juego.
  • Naranja: nivel superior que exige dar un número de teléfono móvil válido para recibir llamadas de los distintos personajes del juego y otros eventos en vivo.
  • Amarillo: mayor interacción al facilitar tu dirección real.
  • Verde: eventos reales en los que participar con un examen médico previo para garantizar que el jugador está en condiciones para ello.
• Psycho Mantis (Metal Gear Solid 1): la lectura de los datos de la memory card de Playstation 1 (juegos jugados o la frecuencia con la que se haya guardado la partida) que hacía el personaje Psycho Mantis para generar el efecto de que sus poderes telepáticos eran reales.
• Demo PT (el Silent Hill que nunca llegó): se planteaba la posibilidad de recopilar el correo electrónico real del jugador para enviarle mensajes en determinados momentos para aumentar la sensación de inmersión y terror psicológico.
• Lo que se avecina: todos los dispositivos de realidad virtual que poco a poco se están abriendo camino, espoleados por la salida al mercado exclusivo de Valve: Half Life: Alyx, o la posible nueva generación de mandos de consola (PS5, por ejemplo) con sus sensores de captación de ritmo cardiaco, movimientos oculares, posición de las menos y cualquier otro parámetro que permita al desarrollar utilizar uno u otro recurso. Por ejemplo, si el jugador no está asustado porque el sensor de ritmo cardiaco así lo detecta, se selecciona un script más intenso para conseguir ponerle en tensión.

3) Walkthrough legal: la hora de la protección de datos

Después de todo este rollo sobre conceptos y ejemplos, llega la fatídica (pero más breve) parte de la protección de datos y el breve análisis sobre la posibilidad de justificar que se puedan realizar. Para que se entienda mejor el comentario, se va a estructurar sobre cada uno de los tipos de profiling que hemos comentado en el apartado anterior.

Antes de entrar en materia, toca mencionar que el algoritmo que “decida” en el profiling no puede estar configurado de manera discriminatoria o injusta porque, aunque no existe una referencia exacta en el RGPD a este punto, iría en contra de los principios de privacidad por diseño y por defecto (privacy by design y privacy by default), así como de los propios derechos de las personas cuyos datos se están tratando. A modo de información adicional que sea más digestible que el RGPD o una guía jurídica, existe la contestación que el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) emitió ante la petición de unas directrices sobre este punto por la eurodiputada holandesa Sophie in ‘t Veld.

a) Información para mantener la seguridad, prevención de trampas y gestión adecuada del título.

Al igual que cualquier otro tratamiento que implique datos personales, solo se podrá llevar a cabo si cumple con una de las bases que marca el artículo 6 del RGPD (consentimiento, necesario para llevar a cabo un contrato con la persona, interés legítimo, interés público, interés vital y obligación legal).

En atención a que el consentimiento no es adecuado porque de no darlo el jugador no podría llevarse a cabo, no es necesario para prestarle el servicio del juego, no está en juego la vida del jugador ni de nadie más, no existe una obligación legal para realizarlo, ni se está haciendo uso de una potestad pública; quedan descartadas todas menos el interés legítimo de la empresa para llevarlo a cabo. Este interés legítimo debe ir acompañado de un informe (LIA por sus siglas en inglés) en el que se evalúe detalladamente que este interés de mantener la seguridad y cazar “pajaritos” es adecuado y no vulnera los derechos de los jugadores.

Teniendo seleccionado el interés legítimo como base, y viendo que estamos ante un profiling totalmente automatizado que produce efectos jurídicos o significativamente similares del artículo 22 del RGPD, principalmente porque está limitando el acceso del jugador al servicio contratado o expulsándole por incumplir el EULA, debemos ver si cumple con uno de los siguiente parámetros: consentimiento explícito (reforzado) del jugador, necesario para la ejecución del contrato, o autorizado por el derecho nacional con medidas adecuada. Además, al ser de este tipo de profiling debe realizar una bonita evaluación de impacto (PIA en sus siglas inglés) por el gran riesgo que supone para el jugador, e informarle lógica aplicada, las consecuencias previstas de dicho tratamiento para él, el derecho a la intervención humana a opinar sobre el tratamiento, y a impugnar esta decisión automatizada.

Finalmente, de esos parámetros mencionados, debemos descartar el consentimiento y la ejecución de contrato por la ya comentado, quédanoos con la opción de que esté autorizado por el derecho nacional y se den medidas de garantías adecuadas. En el caso español, podrían ser la Ley de consumidores y usuarios y la Ley de Servicios de la Sociedad de la Información.

Conclusión: Interés legítimo como base adecuada + evaluación de interés legítimo + excepción de autorización norma nacional (consumidores y usuario y sociedad de la información) + evaluación de impacto + info de la lógica del algoritmo y sus consecuencias + derecho a intervención humana y a opinar e impugnar de la decisión.

b) Información con el objetivo de generar un perfil

El análisis sería muy similar al anterior, pero debido a que no podría acudirse a la autorización por norma nacional, ni tampoco a la necesidad del contrato (no lo necesitas realmente para prestar el servicio), la única manera de poder obtener estos ricos datos para elaborar perfiles de jugadores, sería el consentimiento explícito o reforzado del jugador.

Es decir, que solo si este lo permite, se podría realizar toda esa monitorización, debiendo además darle un derecho concreto a revocar dicho consentimiento de una forma tan sencilla como fue darlo, en cualquier momento que estime oportuno.

Este consentimiento debe ser reforzado, es decir, que no vale con un mero check del usuario o pulsación del botón de acepto, sino que debe hacerse de manera más “solemne”: marcación de un check y escritura en cuadro de texto “Yo, doy mi consentimiento al tratamiento de mis datos”

Conclusión: consentimiento explícito del jugador + evaluación de impacto + info de la lógica del algoritmo, consecuencias + derecho a intervención humana, opinar e impugnar de la decisión.

c) Información para mejorar la experiencia jugable o ampliarla.

A diferencia de las anteriores no tiene por qué estar totalmente automatizado, o ser un profiling como tal.

En el caso de que sea profiling automatizado, pero no totalmente, se podría hacer por interés legítimo en los términos similares a lo dicho anteriormente, junto con su evaluación de interés legítimo. Si le sumamos, datos de categoría especial (sensores varios de ritmo cardiaco, sudor, facial o cualquier otro sistema), se tiene que cumplir con una de la excepción del artículo 9 del RGPD, siendo la única posible el consentimiento explícito, junto con una evaluación de impacto por el tratamiento a gran escala de este tipo de datos (al menos en los casos de estudio propuestos de entidades grandes)

Conclusión:  interés legítimo + evaluación de interés legítimo. Si implica datos de categoría especial: consentimiento explícito + evaluación de impacto

En el caso de que sea un profiling totalmente automatizado, como ya se ha dicho antes, quedaría reducido al consentimiento explícito, y si se le suman datos de categoría especial, lo mismo: consentimiento explícito como única vía posible para este caso.

Conclusión: consentimiento explícito + evaluación de impacto

Fin. Espero que el viaje por Anor Londo haya sido entretenido y nadie haya muerto demasiadas veces en el intento.

4) Bonus clip: apartado sobre privacy by design

Como habitación secreta después del final del artículo, tenemos una breve mención a la privacidad por diseño (principio que exige que la protección de datos se tenga en cuenta desde el momento en el que se diseña el proyecto), a fin de evitar problemas posteriores y garantizar un adecuado (y ético) cumplimiento en materia de privacidad. Es más importante de lo que parece a simple vista, aunque sea solo por evitar el guantazo de la Agencia Española de Protección de Datos, catalogado como muy grave, de pasarse por el forro los principios básicos del RGPD.

Para facilitar este punto tan complicado y que los propios juristas dedicados a la protección de datos tampoco saben en algunos casos traducir a lo que necesitan los programadores, existen “privacy patterns” en los que se plantea un problema de privacidad concreto y una solución técnica concreta. Por ejemplo, se pueden encontrar múltples ejemplo en las siguientes webs: privacypatterns.eu o privacypatterns.org.

Ya puestos, y aprovechando que las plataformas y launchers son obligatorias y tiene un motón de espacio en esos perfiles tan complejos, podría aprovecharse para cumplir de manera fácil con este principio, haciendo un dashboard o panel de privacidad con cosas tan útiles para el jugador como: derecho de acceso a datos, posibilidad de actualizar información (rectificación), descarga, cancelación de cuenta (los datos deberán quedar bloqueados), cambio de contraseña, consentimiento u oposición al envío de comunicaciones comerciales, y la posibilidad de gestionar las cookies.

Fin real: “Nadie puede esconderse de la vista de la protección de datos”: Amélie Lacroix, en su faceta de delegada de protección de datos externa de Overwatch.

Darío López Rincón

29 de mayo de 2020

---

Darío López Rincón: Licenciado en Derecho por la UVa, y Máster en Derecho de las telecomunicaciones, protección de datos, audiovisual y sociedad de la información por la UC3M. Consultor en protección de datos, miembro de Secuoya Group y Lista Viernes, bloguero en En Clave de Derecho, y autor de varios capítulos en libros como: Derecho de los Robots, y Legal tech: transformación digital de la abogacía. 

Sitio web – https://enclavedederecho.com 

Redes sociales – @EnClaveDerecho , www.linkedin.com/in/dariolopezrincon

---

Bibliografía

Estudios y artículos (accesibles a través de internet).

ALEX BOUTILIER. “Video game companies are collecting massive amounts of data about you” – diciembre de 2015.

ALEX WOODIE. “What Pokémon GO Means for Big Data” – agosto de 2016.

ALEX WOODIE. “Inside Fortnite’s Massive Data Analytics Pipeline” – julio de 2018.

KENNETH HULLETT, NACHIAPPAN NAGAPPAN, ERIC SCHUH y JOHN HOPSON. “Empirical Analysis of User Data in Game Software Development: The Story of Project Gotham Racing 4” – septiembre de 2012.

K R PARKINSON. “The Black Watchmen” – noviembre de 2015.

LOGAN ERICKSON. “Big Data Gaming: The Practice and Use of Big Data at Electronic Arts” – noviembre de 2016.

OFFICE OF THE PRIVACY COMMISSIONER OF CANADA. “Gaming and personal information: playing with privacy” – mayo de 2019.

PATRICK STAFFORD. “The dangers of in-game data collection: Can your choices come back to haunt you?” – mayo de 2019.

STEVEN BLICKENSDERFER y NICHOLAS A. BROWN. “Even the Games Have Eyes: Data Privacy and Gaming” – marzo de 2019.

Conocimientos propios de todos estos años dándole al tema 😊. La imagen de cabecera es una creación propia realizada con el editor Piktochart

Documentos oficiales (accesibles a través de internet).

COMISIÓN EUROPEA. “Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea” – mayo de 2019

EDPB. “Respuesta a la eurodiputada Sophie in ‘t Veld” – enero de 2020,

GRUPO DEL ARTÍCULO 29. “Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679” – abril de 2018.

GRUPO DEL ARTÍCULO 29 “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679” – febrero de 2018.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos.