Dificultad dinámica en los 🎮 y protección de datos

Después del artículo desgranando el follón del tratamiento de datos personales que supondría el sistema de creación dinámica de música en los videojuegos, toca hablar de la fiesta del dato que implicarían los sistemas de dificultad dinámica que cada vez se intentan implantar más.

En este caso, a pesar de que casi cada publisher enorme que existe tiene su propia patente, nos vamos a centrar en dos:

Ambas fresquitas de este 2021, y, cómo no, basadas en la molona inteligencia artificial por aquello de que se puede pagar, porque al delegado de protección de datos nadie le pregunta nada, y, sobretodo, porque a los jugadores les chiflan más los palabros modernos.

Vamos al turrón.

¿Qué eso de la dificultad dinámica y cómo la lograrían estos sistemas?

En este planteamiento similar al de la generación dinámica de música (y de cualquier otro sistema de machine learning o aprendizaje automático) tenemos dos fases en lo que nos interesa:

  • Data set: La recopilación de datos e información de distinto pelaje para crear una base de datos que dote al sistema de una base de elementos considerados válidos con los que cotejar, correlacionar, y “aprender” a configurar un modelo adecuado a ese juego concreto. Por ejemplo, conocer las armas, tácticas, o combinaciones de botones más efectivas de los jugadores para acabar con distintos jefes o enemigos, para subir o bajar la dificultad cambiando dichos parámetros identificados.

Desde la perspectiva de protección de datos este “cotillear” a muchos jugadores, especialmente los buenos y los que profesionalizan el investigar y mostrar las mejores tácticas o enfoques para determinados juegos a través de streaming. Esto implica una potente data scraping de datos personales, o, hablando en plata, el trincar datos de varias fuentes + un muy recomendada anonimización.

  • Aplicación al jugador concreto: para aplicar todo este know-how al jugador al que se le vaya a subir o bajar la dificultad en cada momento específico, toca monitorizarle para ver cómo encajar el modelo en su forma de jugar. La monitorización del jugador para extraer conclusiones personales (lo que es un perfilado o elaboración de perfiles) no es nada nuevo, básicamente porque ya se hace para poder conocer qué funciona y qué no de un videojuego, para segmentación publicitaria con la que mostrarle lo que su oscuro corazón de jugador desea, o concederle (a su perfil, más bien) los ansiados logros por ser un pro.
  • La última frontera: no es una fase, per se, pero se menciona la posibilidad de meter la patita en el mundo de los datos de categoría especial por ser compatible con futuros sistemas biométricos. Lo mismito de la patente comentada en el artículo de generación dinámica de música y que se queda en lo mismo: ojo cuidao en la excepción del artículo 9 del RGPD que se necesita, y si se podría escapar por la excepción del artículo 2.1 de cumplir el RGPD si no se almacenan ni se contenga en ningún fichero (tal como funciona todo, no apostaría por ello ni un pixel).

Como una imagen vale más que mil palabr.as aquí tenemos los flujogramas de ambos sistemas:

El rollo de protección de datos

Esa 1ª fase de creación del modelo con la recopilación de datos e información válida que puede servir de base para el sistema sepa cuál es lo correcto, supone extraer de mil fuentes datos personales (redes sociales, YouTube, Twitch, blogs, podcasts, torneos y eventos, de otros jugadores de la misma plataforma/consola…….), básicamente porque, al igual que pasaba en la generación dinámica de música, se busca específicamente aquel contenido generado por personas que realmente conocen el juego al nivel de saber las mejores tácticas, patrones de jefes y similares. Esto supone varias cosas:

  • Interés legítimo: de todas las bases del artículo 6 del RGPD, la única que sería viable en esta fase sería el interés legítimo del publisher para obtener dichos. El consentimiento, aunque pudiera ser practicable, tiene los “inconvenientes” de que te lo tienen que dar activamente en cada uno de los casos, y que debe permitirse que se revoque en cualquier momento por una vía tan fácil como fue darlo.
  • Oposición y evaluación de interés legítimo: el ir por el interés de la empresa no es un todo vale, sino que toca permitir la oposición de cada una de las personas de las que se obtienen los datos para ello, y antes de todo eso, realizar una ponderación bien hecha de la necesidad y proporcionalidad de lo que se pretende hacer. En esta ponderación habría que valorar por qué se opta por salir fuera a obtener esos datos, cuando se tiene al alcance al conjunto de personas que han creado ese videojuego y todos sus parámetros (estudio), y, en un espectro un poco mayor, a todo el conjunto de testers que han participado en el desarrollo del juego.
  • Información: al obtenerse no directamente de la persona, toca informar con los elementos del artículo 14 del RGPD: responsable, finalidad, base de legitimación, destinarios de esa info (como poco centralizado en la matriz que será que haga todo esto, y como mucha cesión con otros publishers, cuando no sea un proyecto en comandita o corresponsabilidad), derechos y cómo ejercerlos, plazos de conservación, origen de los datos, tipos de datos y posibilidad de reclamar a la AEPD.
  • Anonimización: nada se dice en las patentes, pero en atención a que lo interesante es crear un modelo de parámetros no personales, sería lo suyo disociar la información interesante de la identidad de las personas fiables de las que se ha extraídos los datos. Esa anonimización es un tratamiento de datos personales que no eximiría de nada de lo anterior (como si lo tratas un solo nanosegundo), básicamente, porque hasta el momento en que lo disocias has estado tratando datos personales. Huelga decir que la anonimización tiene que estar bien hecha, y que no cuela pasarse por el arco la normativa de protección de datos si según recibes los datos los anonimizas. Lo dice la autoridad británica, el garante italiano y el resto de autoridades si les preguntas.

En la 2ª fase de aplicación del modelo al perfil de jugador para encajarlo de la mejor manera posible, tenemos el ya mencionado perfilado del mismo que se obtiene de la monitorización del jugador mientras juega propiamente dicho, o también en lo que hace en su perfil. Se han mencionado en el punto anterior los ejemplos más usuales que existen, (explicados mucho más en profundidad en este otro artículo (Big Data Invaders: datanoid edition) pero en este caso implicaría lo siguiente:

  • Interés legítimo: una vez más la base más interesante para lo que se pretende hacer sería este interés tan bonito. El que ya se haga un perfilado del jugador para esos ejemplos mencionados, no permitiría que, aprovechando que el Pisuerga pasa por Valladolid, se use eso para este fin completamente distinto. Hay que recordar lo de “cada oveja con su pareja”.
  • Oposición e interés legítimo: También una vez más tocaría una oposición previa a que el jugador se oponga a esto, tanto porque el basarse en interés legítimo lo exige, como por el que sea una elaboración de perfiles también lo exige. Al menos en la patente de Sony parece que el sistema solo se activaría con el opt-in del jugador, lo que está bien siempre que no se intente hacer una confusión con los términos y condiciones de la licencia/consola/lo que sea, o que aparezca de manera poco visible y con colores apagados o menos llamativo (nudge technique) Conocemos el amor de esta industria por soltar 20 enlaces a 20 docs de 20 páginas cada uno con un único botón para todo.
  • Información: lo mismito, pero en este caso sin tener que mencionar el origen y tipo de los datos por obtenerse del propio jugador directamente, salvo maldades de combinarlos por detrás con las de otras plataformas distintas o cosas peores. Como tenemos un perfilado del jugador toca mencionar que se va a llevar a cabo y las consecuencias que tendrá sobre el jugador.
  • ¿Movidote del artículo 22 del RGPD o no?: es indudable que todo esto se hará de manera totalmente automatizada sin intervención humana, salvo que explote este intento de Skynet, pero no están tan claro que aplicará el otro elemento que exige el RGPD para entrar en las garantías reforzadas obligatorias ante uno de los tratamientos más invasivos que se pueden llevar a cabo, es decir, que produzca efectos jurídicos o significativamente similares.

Por un lado, no veo la posibilidad de justificar un efecto jurídico sobre el jugador al no suponer una alteración, limitación, o imposibilidad de acceder a ese servicio/ producto contratado por licencia (EULA); pero por el otro, sería discutible que se pudiera argumentar de manera general que esa modificación dinámica de la dificultad te ha afectado negativamente (y significativamente a la patata) por no ofrecerte esa experiencia complicada prometida. Salvo, por ejemplo, casos en los que realmente se esté discriminando a los jugadores que eligen bajar la dificultad de una manera que rompa el equilibrio entre jugadores. La atribución de menores recompensas o dejar logros para dificultades más altas, en sí misma no sería suficiente para llegar a ese “efecto significativamente similar a un jurídico”.

Si no encajan todas las piezas necesarias, este tratamiento no pasaría a exigirse cumplir con el derecho del jugador a no ser objeto de decisiones de este automatizadas sin intervención humana, impugnarla y necesitar una de estas tres para llevarlo a cabo: sea necesario para ejecutar el contrato, que esté permitido por normativa nacional, o consentimiento explícito (la única posible con todos sus problemillas).

En todo el sistema, sea la fase que sea, tocaría contar con DPO y evaluación de impacto, por razones idénticas a las ya explicadas en el artículo de la generación dinámica de música.

  • DPO: apartado b del artículo 37.1 del RGPD, porque al igual que un hospital, el tratamiento de datos personales es consustancial a lo que hace el responsable, y se hace a gran escala por los millones de jugadores entre los que nos movemos. El famoso:” las actividades principales del responsable requieran la observación habitual y sistemática de interesados a gran escala”.
  • Evaluación de impacto: por cumplir hasta 5 de los supuestos del listado de la AEPD (el mínimo para que toque hacerla son dos):
    • Tratamientos que impliquen perfilado o valoración que cubran varios aspectos de la personalidad o sobre los hábitos de la persona.
    • Tratamientos que impliquen el uso de datos a gran escala (lo ya dicho de millones de jugadores).
    • Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos (lo que se extrae de las plataformas que se puedan para hacer el modelo, y luego, el coger el perfil del jugador para ver cómo le “ayudas” a no ser tan manco).
    • Tratamientos de datos de menores de 14 años (no nos engañemos, esto está invadido por ellos).
    • Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.

En esta evaluación uno de los puntos críticos es probar que realmente es necesario montar este tinglado para hacer lo que quiere, y que no hay otra manera menos invasiva de hacerlo.

Esto tiene el precedente puñetero de en la época de las recreativa se lograba un sistema de dificultad dinámica funcional que no requería dato personal alguna, sino tan solo dinero metido en la maquinita y el tiempo de cada sesión de juego. Es cierto, que tal y como está montado el universo tecnológico es casi una quimera este argumento, pero ahí está para tenerlo en cuenta en la evaluación :).

En palabras de las propias patentes, aunque la de Sony es la única que da una enumeración aproximada de los datos que trataría:

Conclusiones

Sin más que decir, toca dejar como cierre varias ideas:

  • Al igual que en el caso de la generación dinámica de música del anterior artículo, siempre hay que tener un ojo puesto en los datos personales porque se acaban tratando más de lo que se piensan.
  • Lo biométrico va a llegar con sensores de ritmo cardiaco, pulso y otras similares para lograr la inmersión total, pero esperemos que se haga bien y que no sea Facebook en ningún caso. Para ello, toca no meterse en su boca del lobo comprando sus Oculus Quest ni nada que comercialicen.
  • Lo triste es que todo esto se conseguía hace 40 años solo con ingenio humano y peripecias mecánicas.