Corresponsabilidad de datos personales en los 馃幃

La corresponsabilidad es esa figura, que al igual que Voldemort, nadie quiere nombrar y que al verla aparecer se cruza a la otra acera para evitar el m铆nimo contacto con ella. El chiste es que, al igual que casi todo lo importante, est谩 m谩s presente de lo que nos gustar铆a reconocer en este mundo de acuerdos entre empresas y cuentas de usuario para todo.

El mundo de los videojuegos no es una excepci贸n en el tema de la corresponsabilidad, m谩s bien al contrario. Como todo se ve mejor con un ejemplo, vamos a centrarnos en el supuesto real de la promoci贸n temporal de Star Wars Battlefront II que hizo Epic en enero dentro de su loca carrera de regalar juegos semanales a cambio de nuevas cuentas de usuario. Explicado en estos t茅rminos, podr铆a parecer una mera colaboraci贸n entre empresas y ya, pero el obligarte a hacerte una cuenta adicional en Origin y que inicies sesi贸n cada vez que juegues (para acceder de 1潞 mano a los ricos datos que generas) nos indica la existencia de un conjuro de corresponsabilidad.

Antes de entrar harina, este post forma parte del conjunto de art铆culos sobre protecci贸n de datos y videojuegos publicados en el blog: Creaci贸n din谩mica de m煤sica 馃幃 (y de datos) y Dificultad din谩mica en los 馃幃 y protecci贸n de datos, Big Data Invaders: datanoid edition o Sony y su casting 鈥減ersonal鈥 de prerreserva de PS5. Son dos materias condenadas a entenderse, no solo porque yo est茅 empe帽ado en ello :).

Si alguien duda de que se traten datos personales en los videojuegos, adem谩s de darse una vuelta por los posts indicados, por las ofertas de empleo de “data scientist” de estudios gordos, o que la obligaci贸n de tener una cuenta o perfil por cada usuario no es solo para que puedas poner un foto o banner bonito del que fardar; dejo por aqu铆 un extracto de lo “principal”:

  • Datos recopilados: los obvios que el jugador entrega en el t铆pico formulario online para gestionar el alta y que le den acceso al servicio o compras (nombre y apellidos, cuenta de correo, edad, n煤mero de tarjeta, entre infinitivos ejemplos).
  • Datos observados: los que se obtiene del jugador cotilleando lo que hace, generalmente a trav茅s de cookies y sistemas equivalentes (dispositivo, navegador, cosas instaladas que puedan afectar al juego, IP, log de inicio y fin de cada sesi贸n, pa铆s, historial de partida y sanciones, entre otros tantos ejemplos).
  • Datos inferidos: aquellos que se obtiene de concluir cosas interesantes de los dos tipos de datos citados, mediante anal铆tica o, directamente Big Data (estad铆sticas tipo K/D/A, concesi贸n de logros o emparejar jugador en partida por habilidad, o la pu帽etera segmentaci贸n publicitaria por lo que juegas, gastas y tus g茅neros preferidos para mostrarte la oferta personalizada a la que no te puedas resistir al conocerte mejor que Hacienda, entre otros tantos ejemplos).

驴Qu茅 es eso de la corresponsabilidad?

Como su propio nombre indica, es la compartici贸n de la figura del responsable del tratamiento, es decir, de la persona o entidad que decide c贸mo y porqu茅 se van a gestionar determinados datos personales de los usuarios/jugadores. La gracia de esta figura legal es prevenir la picaresca de que una parte se enconda en la figura del encargado del tratamiento para no tener responsabilidad directa y luego tratar los datos para otras cosas distintas, o garantizar que el propio jugador/usuario tenga claro el panorama del tratamiento de sus datos personales que se va a hacer y pueda tener control real de sus datos.

Con el triplete de Resoluciones del Tribunal de Justicia de la Uni贸n Europea:聽 C-25/17 Jehovan Todistaja (Testigos de Jehov谩), C-210/16 Wirtschaftsakademie Schleswig-Holstein y C-40/17 Fashion ID + las directrices del EDPB (Comit茅 Europeo de Protecci贸n de Datos) y EDPS (Supervisor Europeo de Protecci贸n de Datos) sobre las figuras del responsable, corresponsable y encargado, es una temeridad negar esta figura, decir que no aplica a casi ning煤n caso, o pretender sustituirla como una relaci贸n de responsable a responsable independientes. Digo que es temerario porque de este rollo de Resoluciones y documentos, sacamos los siguientes requisitos que si los cumples, pues lo eres un poco demasiado:

  • Decidas los fines o medios por los que se van a tratar los datos personales. Es cierto que yendo al detalle t茅cnico de los medios una de las partes puede saber qu茅 medios son mejores que otros, pero no escapas de ser corresponsable si has participado/tomado a pachas la decisi贸n “marco” o los elementos esenciales de la misma (lo mismo que un ministro que decide algo para que luego otros curren como saben para llevarlo a efecto).
  • No es necesario que ambas partes tenga acceso a los datos personales tratados, ya que lo importante es que se haya participado en esa decisi贸n, se haya tenido influencia clave en la misma, o se reciba estad铆sticas an贸nimas extra铆das de los datos personales tratados (est谩 煤ltima es poco obvia y el el EDPS la menciona basada en el tr铆o de Resoluciones citadas). No hay que indagar mucho para ver que hay un acuerdo por detr谩s entre ambas empresas. Y que por algo ambas te exigen que tengas cuenta en sus propias plataformas.
  • No es necesario que ambas partes sean corresponsables en todo el tratamiento que se haga de los datos personales, es decir, que pueden serlo en una o varias fases. En el ejemplo de los botones sociales de RRSS, tenemos que van en comandita con la web en la fase de captaci贸n y transmisi贸n de los datos a la red social v铆a cookies, pero no en lo que luego haga esta red social con los datos despu茅s (nadie est谩 mirando muy fuerte a Zuckertron).

El ser corresponsable implica varias obligaciones concretas del art铆culo 26, del RGPD (Reglamento General de Protecci贸n de Datos) + Fashion ID:

  • Suscribir un contrato de corresponsabilidad en que se delimite el alcance y la responsabilidad de cada uno, especialmente en la informaci贸n y ejercicio de derechos del interesado (punto de contacto 煤nico), as铆 como el resto de obligaciones que aplicar谩n por el RGPD, como puede ser la gesti贸n y colaboraci贸n en materia de brecha de seguridad, o la llevanza del registro de actividades de tratamiento, entre otras.
  • El deber de informaci贸n al jugador del art铆culo 13 del RGPD se lo come el de la plataforma desde la que se capten los datos y tenga contacto el jugador directamente, en este caso, la propia Epic.

驴Se ha cumplido con todo este rollo en el caso de la promoci贸n de Battlefront II?

La verdad es que no, nunca y jam谩s, pero que no se diga ni p铆o en materia de protecci贸n de datos al no incluir una 1潞 capa informativa de protecci贸n de datos nada buena o mencionarlo en la pol铆tica de privacidad, no significa que no te dejen cristalino que vas a tener que acceder a dos cuentas por narices: la de Epic que ya tendr谩s, y la de Origin que te exigen. En definitiva, nos est谩n reconociendo que es una corresponsabilidad que deber铆a cumplir con lo dicho.

En palabras m谩s leguleyas, lapidarias y oficiales de Epic y EA, aqu铆 tenemos una captura de las condiciones de dicha promoci贸n:

Se agradece este intento de 1潞 capa informativa, pero, por lo dicho, deber铆a estar bien hecha en materia de protecci贸n de datos: iinformar de la corresponsabilidad de ambas empresas, de las claves de lo que han acordado con indicaci贸n especifica de ante qui茅n debes dirigirte para ejercer tus derechos (aunque puedes legalmente ir a cualquiera de ellos y no puede suponer que te lo denieguen por no ir al que hubieran fijado en la informaci贸n). Lo de “aceptar la pol铆tica de privacidad” es la t铆pica jugada de consentimiento para todo contraria a la normativa, por aquello de no ser libre al forzarte a aceptar cual mafioso, y porque lo que se consienten ser铆an los tratamiento basados en consentimiento (valga la redundancia)聽y no el texto informativo completo.聽

Toda esta informaci贸n te la tendr铆a que dar EPIC porque en el acuerdo de promoci贸n se ha determinado que ser谩 su plataforma a trav茅s de la cual el jugador tiene que reclamar el juego y empezar el proceso. Todo esto no quita que luego tanto EPIC como EA deban informarte por su cuenta de todo lo que luego van a hacer con los datos personales que han obtenido fuera de esta corresponsabilidad.

Por detr谩s de todo esto toca tener firmado entre ambas ese acuerdo de corresponsabilidad del art铆culo 26 del RGPD.

Otros posibles ejemplos

Personalmente, no conozco ning煤n caso en el que se declaren corresponsables en triples A, dobles A, indies, advergaming, o juristas dateros con tiempo libre para hacer un juego flash, pero eso no quita que te贸ricamente no existan algunos:

  • Entre el publisher y la plataforma de distribuci贸n: tendr铆amos esta bonita relaci贸n de amor en formato de gananciales entre la empresa que ostenta los derechos del videojuego (publisher) y todas las plataformas en las que se vaya a distribuir (ll谩mese Steam, Epic Store, Stadia, Luna o Geoff Keighley presenta), en las fases del tratamiento de la captaci贸n de los datos en la plataforma y en la transmisi贸n de los mismos al publisher. El modus operandi es clavado al caso de EA y EPIC.
  • Entre el estudio de desarrollo y la plataforma de distribuci贸n: caso id茅ntico al anterior, pero cambiando el publisher por el estudio de desarrollo en aquellos supuestos en los que vaya sin este actor intermedio al mercado.
  • Relaci贸n habitual entre publisher y estudio de desarrollo: no ser铆a corresponsabilidad, salvo casos concretos que se organice as铆, el supuesto del estudio que desarrolla un juego para un publisher titular de los derechos del mismo (p.ej Microsoft con Halo), o que le ha cedido los derechos de su juego para que lo edite y distribuya. Esto ser铆a as铆, ya que en circunstancias normales el publisher ser铆a el titular completo de todo (juego + datos personales y no personales + marca + todo de todo).

En este caso el estudio podr铆a actuar como encargado del tratamiento de esos datos personales que traten a trav茅s del juego que han desarrollado, incluso si son estos los que proponen utilizar un determinado sistema por tener conocimiento t茅cnico. (los “elementos no esenciales”, que como ya se ha comentado no desvirtuar铆an el hecho de que la decisi贸n real no la est茅 tomando el estudio).

Conclusiones

  • Hacer caso al t铆o Ben: “un gran poder conlleva una gran (cor)responsabilidad”.
  • Nadie te da nada gratis, ni, aunque Epic y EA tengan tanto dinero que lo pueda quemar seg煤n entra. “Cuando algo es gratis, el producto eres t煤 (tus datos)”.
  • El efecto secundario de leer este post es que ahora es posible que veas corresponsabilidad en todos lados :).

Deja una respuesta