LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

22/05/2024. 14:19:49

LegalToday

Por y para profesionales del Derecho

Protección de datos y su aplicación sobre el sector gaming

En la industria de los videojuegos o gaming, tanto desarrolladores como editores no son los únicos que son víctimas de ciberataques. Con el auge del sector, la comunidad de jugadores se ha convertido en el objetivo principal para los ciberdelincuentes, haciéndose pasar por los propios jugadores, accediendo a sus dispositivos y datos personales.

Según el informe elaborado por Akamai, tan solo en los años 2018 y 2019 se llevaron a cabo más de doce mil millones de ataques contra los jugadores y compañías desarrolladoras en los últimos años, sin mostrar señas de una desaceleración.

Por ello, es importante que las empresas de videojuegos, como responsables o encargados del tratamiento, adopten las medidas técnicas y organizativas necesarias, al igual que los jugadores deberán disponer de unas medidas de seguridad a la hora de jugar.

Los frentes más habituales con los que se encuentra tanto una empresa de la industria, así como los jugadores podríamos decir que son los siguientes:

1. La edad y una falsa sensación de seguridad:

Por una parte, dentro del sector gaming o videojuegos, es inevitable que aumenten los jugadores menores de edad, los cuales, suelen dar por sentado las medidas de seguridad y privacidad, de tal modo que quedan expuestos a posibles ciberataques. Por otra parte, los jugadores mayores de edad, aunque tengan un mayor nivel de conciencia sobre la privacidad, conllevan un mayor gasto en juegos online, ya sea para la edición de un personaje o para aumentar la biblioteca, facilitando más datos de los que daría un menor de edad, ya sea una dirección de correo electrónico o cuenta bancaria.

Por tanto, cuando hablemos de menores de edad el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible, tal y como establece el artículo 8 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD).

Tampoco debemos olvidar la importancia de la protección de datos desde el diseño y por defecto (artículo 25 del RGPD), donde la empresa deberá adoptar las medidas técnicas y organizativas teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.

Un ejemplo reciente de ello es el anuncio por parte de Instagram, el cual establece que todas las cuentas nuevas que se creen y la edad esté por debajo de los 16 años de edad, vendrán configuradas como cuentas privadas por defecto.

2. Brechas de seguridad y medidas implantadas:

En dicho apartado, debemos destacar el aumento de jugadores que destinan su tiempo a juegos online, tales como al conocido Fornite de Epic Games, o Call of Duty Warzone de Infinity Ward y Activision. Jugadores que pueden llegar a ser víctima de sustracción de sus datos personales mediante un ataque de phishing u objeto de ciberataque para convertir su dispositivo en una herramienta de minería de criptomonedas.

Por ello, es importante que exista un procedimiento de actuación en las empresas, para saber cómo actuar, de tal modo, que la puedan documentar, analizar las consecuencias, adoptar las medidas necesarias, y en caso de ser necesario, notificarlo ante la autoridad de control en un plazo no superior a las 72 horas (artículo 33 del RGPD).

3. Nombramiento del Delegado de Protección de Datos (DPO):

La empresa, como responsable o encargado del tratamiento, tiene que ser capaz de clasificar la brecha o incidencia, valorar la peligrosidad, analizar los puntos críticos además de la naturaleza, volumen y categoría de los datos afectados sobre los jugadores o usuarios. Para aquellos casos donde al empresa de videojuegos gestione un gran volumen de datos de jugadores y usuarios, deberá nombrar un Delegado de Protección de Datos (DPD) también conocido como Data Protection Officer (DPO), el cual le ayudará de forma adecuada y en tiempo oportuno para todas aquellas cuestiones relativas a la protección de datos de carácter personal de los jugadores o usuarios (artículo 37 del RGPD).

El Delegado de Protección de Datos, entre sus funciones, podrá asesorar a la empresa para que cumpla con la normativa vigente en materia de protección de datos, atenderá los ejercicios de derechos que provengan tanto de los jugadores como de cualquier interesado, así como actuar como punto de contacto con la autoridad de control y ofrecer asesoramiento cuando se solicite acerca de la evaluación de impacto (artículo 39 del RGPD).

4. Política de Privacidad y el deber de informar:

Dentro de los errores más frecuentes por parte de los jugadores, es aceptar una política de privacidad sin haberla leído y simplemente aceptado. Por ello, la empresa como responsable del tratamiento, deberá esforzarse para poder informar sobre el tratamiento de los datos de los jugadores y usuarios de una manera clara y concisa a través de su política de privacidad (artículos 13 y 14 del RGPD).

El responsable deberá informar a los jugadores o usuarios sobre los datos de contacto del Delegado de Protección de Datos, si lo hubiese, las finalidades del tratamiento, la base legitimadora, los plazos de conservación, la existencia de decisiones automatizadas o elaboración de perfiles, la previsión de transferencias internacionales, así como la posibilidad de poder ejercitar sus derechos o presentar una reclamación ante la autoridad de control.

5. Construcción de la seguridad sobre los jugadores:

Por último, se podría mejorar la actitud por parte de los jugadores para que sus equipos sean menos vulnerables. Para ello, es necesario que exista una mayor concienciación por parte de la industria y que el propio jugador sea consciente en todo momento de cuáles son los datos que facilita.

Entre las medidas que se recomiendan directamente sobre los jugadores como usuarios habituales, podríamos destacar las siguientes:

  • Contraseña real y robusta, con caracteres, números y símbolos, asegurándose de que no está escrita en ningún archivo.
  • Convertir los programas de antivirus y antimalware como parte integral del conjunto de herramientas de seguridad.
  • Creación de un perfil exclusivo para videojuegos, con su propio email sin estar vinculado a las cuentas reales del jugador.

Si el jugador quisiese ir un paso más allá para protegerse de posibles ataques de phishing o malware, podríamos señalar las siguientes medidas:

  • Establecimiento de controles de cuentas de usuario que no le permitan jugar o instalar videojuegos como administrador o Root.
  • Administración sobre el firewall para así mantener los puerto, protocolos y redes abiertas que sean necesarios para los juegos en línea.
  • Habilitar la descarga automática de nuevos parches y actualizaciones de seguridad del sistema operativo.
  • Implantación de doble verificación antes de descargar o instalar un videojuego.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.