LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 12:43:17

LegalToday

Por y para profesionales del Derecho

BLOG PRODAT

Próximos desafíos de la privacidad sobre el sector de los videojuegos: protección de datos, «loot boxes» y metaverso

En los últimos meses hemos sido testigos de numerosas novedades legislativas que afectan de manera directa o indirecta a la industria de los videojuegos debido a los grandes avances tecnológicos o movimiento por parte de las grandes compañías como Epic Games, Meta o Sony.

Términos como metaverso, “streamer”, “loot boxes”, “NFT”, “play to earn”, o “pay to win” se han convertido en realidades más que habituales a la hora de hablar de las acciones llevadas a cabo por empresas especializadas en el sector gaming, las cuales, deberán garantizar la privacidad de los jugadores a todos los niveles debido a que si acudimos artículo 83 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), toda empresa, como responsable o encargado de tratamiento podría llegar a ser sancionada con multas de hasta el 4% de la facturación anual o de 20 millones de euros dependiendo de la infracción según la naturaleza, gravedad, duración de la infracción, intencionalidad y medidas adoptadas, entre otros factores.

A lo largo de este artículo vamos a resumir y comentar algunas de las principales novedades que han ido surgiendo en estos últimos años o que están por venir en los próximos meses:

1. Mecanismos de minimización, gobernanza y transparencia en el metaverso.

Podríamos destacar que una de las primeras novedades ha sido el pronunciamiento a través de una publicación por parte de la Agencia Española de Protección de Datos (en adelante, AEPD) sobre los desafíos en materia de privacidad que pueden presentar las nuevas dimensiones digitales como es el metaverso.

El metaverso persigue interacciones inmersivas en espacios virtuales, donde los usuarios puedan acceder a una experiencia social, una identidad digital y una propiedad de activos con un mercado de intercambio lo que supone una recopilación de información de los usuarios o jugadores que va más allá de los de carácter identificativo como el nombre, apellido, email y nick de usuario. La propia AEPD habla incluso de nuevas categorías de datos con mayor granularidad y precisión como puede ser la recogida de datos biométricos a través de los wearables o los interfaces neuronales. Debemos tener en cuenta que el uso de gafas de realidad virtual o VR son herramientas a través de las cuales se pueden extraer datos biométricos como el iris del ojo y a su vez, los mandos recopilar los cambios de postura del propio jugador.

En aquellas empresas que están reguladas por la normativa europea deberán cumplir con las exigencias del RGPD y por ende, al actuar como responsables o encargados del tratamiento deberán recabar la información de manera lícita, legal, transparente; siendo recogidos con fines determinados, explícitos y legítimos, así como adecuados, pertinentes y limitados acorde a la finalidades detalladas; siendo exactos, confidenciales, y definiendo los correspondientes plazos de conservación (artículo 5 del RGPD).

Por otra parte, la recogida de los datos cuyo tratamiento se base en el consentimiento debe facilitarse mediante un claro acto afirmativo que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen al jugador (artículo 7 del RGPD), demostrando facilitó de manera voluntaria, utilizando un lenguaje claro y sencillo, facilitando al usuario la posibilidad de retirarlo en cualquier momento.

Además, será esencial que la integración de la tecnología segure la privacidad de los jugadores desde el diseño y por defecto en todo momento, Lo que supone una implementación de la privacidad en la tecnología, los sistemas de TI, los servicios y los productos para garantizar la protección de datos (artículo 25 del RGPD).

Por último, destacar la importancia de definir una política de privacidad clara y revisable por parte de los usuarios o jugadores cumplimento con las exigencias del deber de informar que recoge la normativa (artículos 13 y 14 del RGPD). Cabe destacar la importancia de dicho punto y así lo recuerda la propia AEPD en la reciente resolución tras imponer 3.000 € de multa a un responsable del tratamiento por no disponer de política de privacidad a través de la cual se debe informa del contacto del Delegado de Protección de Datos (DPO/DPD), si lo hubiese, las finalidades del tratamiento, la base legitimadora para el tratamiento, los plazos de conservación, la existencia de decisiones automatizadas o elaboración de perfiles, la previsión de transferencias internacionales, así como la posibilidad de poder ejercitar sus derechos o presentar una reclamación ante la autoridad de control.

Las empresas que operen en el metaverso deberán cumplir con lo estipulado en el RGPD pero la propia AEPD concluye que no será suficiente ya que deberán acatar otras propuestas derivadas de la UE, la Digital Services Act, la Data Act, la Digital Markets Act, la Data Governance Act, la propuesta de Reglamento IA entre otras.

2. Procedimiento de verificación para el uso de “loot boxes”.

Las “loot boxes” o cajas botín son una herramienta que permite al jugador obtener objetos virtuales en el videojuego de manera aleatoria, al precio de un desembolso inicial procedente de dinero real o de dinero virtual ganado en el propio videojuego. La recompensa puede ir destinada a obtener una “skin” y así poder editar el aspecto físico de nuestro personaje, o puede ir destinada a una mejora directa del mismo, como por ejemplo, armas y armaduras, cambiando radicalmente la experiencia de juego. Esta última es lo que se llega a considerar un “pay to win”.

España se quiere convertir en el primer país de la Unión Europea en publicar una normativa específica para la regulación de las “loot boxes” y recientemente hemos podido conocer el borrador a través del cual el Ministerio de Consumo quiere regular una serie de puntos clave para su uso.

El borrador define las “loot boxes” como un Mecanismos Aleatorios de Recompensa (MAR), es decir, la activación de los mecanismos de recompensa que impliquen un dinero u otros objetos virtuales adquiridos con dinero directa o indirectamente por parte del jugador.

La principal novedad que incluye el borrador es la prohibición del uso de “loot boxes” por parte de menores de edad. El uso de esta herramienta se puede encontrar en juegos cuyo PEGI es de menor de 18 y desde el Ministerio de Consumo han trasladado la prohibición expresa por parte de los menores de edad. Ello implica la implementación y aumento de medidas para la comprobación de la edad del jugador a través de una verificación del documento de identidad o dato biométrico.

Respecto a los jugadores mayores de edad deberán tener la posibilidad de limitar el tiempo de juego o el importe máximo de pago a través de estas herramientas mediante una herramienta de autoexclusión.

Otros frentes a destacar son la solicitud del documento de identidad aunque se utilicen tarjetas regalo, prohibición de promoción o publicidad en lugares no relacionados con los videojuegos u obligación de informar sobre la veracidad de los premios a entregar.

3. Actualidad en la lucha por la toxicidad en la comunidad de jugadores.

Recientemente, se ha conocido la decisión Riot Games de comenzar a grabar las conversaciones de los chats de voz en su videojuego Valorant. Riot Games, empresa conocida también por ser la creadora del famoso free to play League of Legends dispone de una comunidad altamente competitiva, lo que en algunos casos puede derivar en toxicidad por parte de los jugadores, acoso y maltrato hacia otros usuarios en base a su raza, sexo, condición sexual o país de procedencia.

Como lucha por eliminar a los jugadores que aumentan la toxicidad del juego, han anunciado que a partir del próximo 13 de julio de 2022 procederán a la grabación de los jugadores para poder detectar a los infractores además de entregar a su inteligencia artificial para la detección de palabras clave en conversaciones, insultos raciales o amenazas.

En la última actualización de la Política de Privacidad por parte de Riot Games afirma que se recopilarán los datos de los jugadores  mínimos, manteniéndolos únicamente durante el tiempo que sea necesario y tomando las medidas de seguridad necesarias, sin monitorizar activamente las comunicaciones de los usuarios en vivo y únicamente se escuchará y se revisarán potencialmente los registros de voz cuando se informe un comportamiento de voz disruptivo u ofensivo.

Podríamos concluir que Riot Games necesitará llevar a cabo una evaluación de impacto relativa a la protección de datos respecto a dicho tratamiento (EIPD) a través del cual asimile el riesgo que conlleva la grabación de los jugadores, adoptando las medidas que resulten preceptivas para solventarlos, de forma que puedan garantizar que los datos personales de los usuarios sean debidamente protegidos (artículo 35 del RGPD).

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.