Corresponsabilidad de datos personales en los 🎮

La corresponsabilidad es esa figura, que al igual que Voldemort, nadie quiere nombrar y que al verla aparecer se cruza a la otra acera para evitar el mínimo contacto con ella. El chiste es que, al igual que casi todo lo importante, está más presente de lo que nos gustaría reconocer en este mundo de acuerdos entre empresas y cuentas de usuario para todo.

El mundo de los videojuegos no es una excepción en el tema de la corresponsabilidad, más bien al contrario. Como todo se ve mejor con un ejemplo, vamos a centrarnos en el supuesto real de la promoción temporal de Star Wars Battlefront II que hizo Epic en enero dentro de su loca carrera de regalar juegos semanales a cambio de nuevas cuentas de usuario. Explicado en estos términos, podría parecer una mera colaboración entre empresas y ya, pero el obligarte a hacerte una cuenta adicional en Origin y que inicies sesión cada vez que juegues (para acceder de 1º mano a los ricos datos que generas) nos indica la existencia de un conjuro de corresponsabilidad.

Antes de entrar harina, este post forma parte del conjunto de artículos sobre protección de datos y videojuegos publicados en el blog: Creación dinámica de música 🎮 (y de datos) y Dificultad dinámica en los 🎮 y protección de datos, Big Data Invaders: datanoid edition o Sony y su casting “personal” de prerreserva de PS5. Son dos materias condenadas a entenderse, no solo porque yo esté empeñado en ello :).

Si alguien duda de que se traten datos personales en los videojuegos, además de darse una vuelta por los posts indicados, por las ofertas de empleo de “data scientist” de estudios gordos, o que la obligación de tener una cuenta o perfil por cada usuario no es solo para que puedas poner un foto o banner bonito del que fardar; dejo por aquí un extracto de lo “principal”:

  • Datos recopilados: los obvios que el jugador entrega en el típico formulario online para gestionar el alta y que le den acceso al servicio o compras (nombre y apellidos, cuenta de correo, edad, número de tarjeta, entre infinitivos ejemplos).
  • Datos observados: los que se obtiene del jugador cotilleando lo que hace, generalmente a través de cookies y sistemas equivalentes (dispositivo, navegador, cosas instaladas que puedan afectar al juego, IP, log de inicio y fin de cada sesión, país, historial de partida y sanciones, entre otros tantos ejemplos).
  • Datos inferidos: aquellos que se obtiene de concluir cosas interesantes de los dos tipos de datos citados, mediante analítica o, directamente Big Data (estadísticas tipo K/D/A, concesión de logros o emparejar jugador en partida por habilidad, o la puñetera segmentación publicitaria por lo que juegas, gastas y tus géneros preferidos para mostrarte la oferta personalizada a la que no te puedas resistir al conocerte mejor que Hacienda, entre otros tantos ejemplos).

¿Qué es eso de la corresponsabilidad?

Como su propio nombre indica, es la compartición de la figura del responsable del tratamiento, es decir, de la persona o entidad que decide cómo y porqué se van a gestionar determinados datos personales de los usuarios/jugadores. La gracia de esta figura legal es prevenir la picaresca de que una parte se enconda en la figura del encargado del tratamiento para no tener responsabilidad directa y luego tratar los datos para otras cosas distintas, o garantizar que el propio jugador/usuario tenga claro el panorama del tratamiento de sus datos personales que se va a hacer y pueda tener control real de sus datos.

Con el triplete de Resoluciones del Tribunal de Justicia de la Unión Europea:  C-25/17 Jehovan Todistaja (Testigos de Jehová), C-210/16 Wirtschaftsakademie Schleswig-Holstein y C-40/17 Fashion ID + las directrices del EDPB (Comité Europeo de Protección de Datos) y EDPS (Supervisor Europeo de Protección de Datos) sobre las figuras del responsable, corresponsable y encargado, es una temeridad negar esta figura, decir que no aplica a casi ningún caso, o pretender sustituirla como una relación de responsable a responsable independientes. Digo que es temerario porque de este rollo de Resoluciones y documentos, sacamos los siguientes requisitos que si los cumples, pues lo eres un poco demasiado:

  • Decidas los fines o medios por los que se van a tratar los datos personales. Es cierto que yendo al detalle técnico de los medios una de las partes puede saber qué medios son mejores que otros, pero no escapas de ser corresponsable si has participado/tomado a pachas la decisión “marco” o los elementos esenciales de la misma (lo mismo que un ministro que decide algo para que luego otros curren como saben para llevarlo a efecto).
  • No es necesario que ambas partes tenga acceso a los datos personales tratados, ya que lo importante es que se haya participado en esa decisión, se haya tenido influencia clave en la misma, o se reciba estadísticas anónimas extraídas de los datos personales tratados (está última es poco obvia y el el EDPS la menciona basada en el trío de Resoluciones citadas). No hay que indagar mucho para ver que hay un acuerdo por detrás entre ambas empresas. Y que por algo ambas te exigen que tengas cuenta en sus propias plataformas.
  • No es necesario que ambas partes sean corresponsables en todo el tratamiento que se haga de los datos personales, es decir, que pueden serlo en una o varias fases. En el ejemplo de los botones sociales de RRSS, tenemos que van en comandita con la web en la fase de captación y transmisión de los datos a la red social vía cookies, pero no en lo que luego haga esta red social con los datos después (nadie está mirando muy fuerte a Zuckertron).

El ser corresponsable implica varias obligaciones concretas del artículo 26, del RGPD (Reglamento General de Protección de Datos) + Fashion ID:

  • Suscribir un contrato de corresponsabilidad en que se delimite el alcance y la responsabilidad de cada uno, especialmente en la información y ejercicio de derechos del interesado (punto de contacto único), así como el resto de obligaciones que aplicarán por el RGPD, como puede ser la gestión y colaboración en materia de brecha de seguridad, o la llevanza del registro de actividades de tratamiento, entre otras.
  • El deber de información al jugador del artículo 13 del RGPD se lo come el de la plataforma desde la que se capten los datos y tenga contacto el jugador directamente, en este caso, la propia Epic.

¿Se ha cumplido con todo este rollo en el caso de la promoción de Battlefront II?

La verdad es que no, nunca y jamás, pero que no se diga ni pío en materia de protección de datos al no incluir una 1º capa informativa de protección de datos nada buena o mencionarlo en la política de privacidad, no significa que no te dejen cristalino que vas a tener que acceder a dos cuentas por narices: la de Epic que ya tendrás, y la de Origin que te exigen. En definitiva, nos están reconociendo que es una corresponsabilidad que debería cumplir con lo dicho.

En palabras más leguleyas, lapidarias y oficiales de Epic y EA, aquí tenemos una captura de las condiciones de dicha promoción:

Se agradece este intento de 1º capa informativa, pero, por lo dicho, debería estar bien hecha en materia de protección de datos: iinformar de la corresponsabilidad de ambas empresas, de las claves de lo que han acordado con indicación especifica de ante quién debes dirigirte para ejercer tus derechos (aunque puedes legalmente ir a cualquiera de ellos y no puede suponer que te lo denieguen por no ir al que hubieran fijado en la información). Lo de “aceptar la política de privacidad” es la típica jugada de consentimiento para todo contraria a la normativa, por aquello de no ser libre al forzarte a aceptar cual mafioso, y porque lo que se consienten serían los tratamiento basados en consentimiento (valga la redundancia) y no el texto informativo completo. 

Toda esta información te la tendría que dar EPIC porque en el acuerdo de promoción se ha determinado que será su plataforma a través de la cual el jugador tiene que reclamar el juego y empezar el proceso. Todo esto no quita que luego tanto EPIC como EA deban informarte por su cuenta de todo lo que luego van a hacer con los datos personales que han obtenido fuera de esta corresponsabilidad.

Por detrás de todo esto toca tener firmado entre ambas ese acuerdo de corresponsabilidad del artículo 26 del RGPD.

Otros posibles ejemplos

Personalmente, no conozco ningún caso en el que se declaren corresponsables en triples A, dobles A, indies, advergaming, o juristas dateros con tiempo libre para hacer un juego flash, pero eso no quita que teóricamente no existan algunos:

  • Entre el publisher y la plataforma de distribución: tendríamos esta bonita relación de amor en formato de gananciales entre la empresa que ostenta los derechos del videojuego (publisher) y todas las plataformas en las que se vaya a distribuir (llámese Steam, Epic Store, Stadia, Luna o Geoff Keighley presenta), en las fases del tratamiento de la captación de los datos en la plataforma y en la transmisión de los mismos al publisher. El modus operandi es clavado al caso de EA y EPIC.
  • Entre el estudio de desarrollo y la plataforma de distribución: caso idéntico al anterior, pero cambiando el publisher por el estudio de desarrollo en aquellos supuestos en los que vaya sin este actor intermedio al mercado.
  • Relación habitual entre publisher y estudio de desarrollo: no sería corresponsabilidad, salvo casos concretos que se organice así, el supuesto del estudio que desarrolla un juego para un publisher titular de los derechos del mismo (p.ej Microsoft con Halo), o que le ha cedido los derechos de su juego para que lo edite y distribuya. Esto sería así, ya que en circunstancias normales el publisher sería el titular completo de todo (juego + datos personales y no personales + marca + todo de todo).

En este caso el estudio podría actuar como encargado del tratamiento de esos datos personales que traten a través del juego que han desarrollado, incluso si son estos los que proponen utilizar un determinado sistema por tener conocimiento técnico. (los “elementos no esenciales”, que como ya se ha comentado no desvirtuarían el hecho de que la decisión real no la esté tomando el estudio).

Conclusiones

  • Hacer caso al tío Ben: “un gran poder conlleva una gran (cor)responsabilidad”.
  • Nadie te da nada gratis, ni, aunque Epic y EA tengan tanto dinero que lo pueda quemar según entra. “Cuando algo es gratis, el producto eres tú (tus datos)”.
  • El efecto secundario de leer este post es que ahora es posible que veas corresponsabilidad en todos lados :).

Deja una respuesta