En el blog ya hemos hablado de la otra gran idea que tuvo Riot (desarrolladora y editora de Valorant, League of Legends o Legends of Runeterra) para establecer un sistema anti trampas que daba miedito en materia de protección de datos: Anti-cheats vs ley: Riot y su “valentía de vanguardia”.
En esta ocasión, nos deslumbra con la noticia de que grabarán los chats de voz de Valorant para garantizar el cumplimiento de las normas de conducta que todo jugador acepta como para del contrato (el famoso EULA). En muchos medios se ha comentado a nivel de todo Riot y no del propio Valorant, pero la opinión actual de la compañía es que solo en este juego se procederá a grabar el chat de voz. Nos lo explica mejor Riot con sus propias palabras, pero nadie se haga ilusiones en el sentido de que si funciona y lo levanta problemas legales acabará en todos sus juegos. Y tampoco olvidemos que Tencent es la propietaria de Riot y eso podría hacer que se ampliara a muchos más juegos.
1) ¿Cómo plantean que funcione este tema?
Lo primero, es que será una prueba real limitada a Estados Unidos a partir del 13 de julio. Esto no casualidad, sino que a los ciudadanos norteamericanos se les puede utilizar todavía como conejillos de indias para hacer pruebas o sandbox con cosicas que puede suponer un guantazo al derecho fundamental (de los que están en la Constitución como intocables para los que no lo ubiquen) a la protección de datos. Esto nos lo cuenta Riot en la noticia de este tema de la que hay enlace al principio del post.
Todavía se les puede hacer, porque a diferencia de otros países relevantes en estos de los videojuegos, como los países de la Unión Europa (+ Islandia, Liechtenstein y Noruega que les cubre el RGPD), su modosito hermano Canadá, Corea del Sur, Japón, y hasta China, tienen normativa de protección de datos seria. Bueno, el caso de China tiene un poco de truco (protección de datos made in china), pero tienen.
Rompiendo un poco una lanza en favor de Estados Unidos, ahora mismo se está intentando aprobar una ley federal de protección de datos, aunque parece que no hay demasiados buenos augurios de que prospere. Los grandes de sector tecnológico harán buen lobby (no olvidemos que en parte son los mismos de sector videojueguil). También hay estados más serios al respecto, como la casi siempre confiable California.
Yendo al funcionamiento del sistema, será parecido a los relativos a las denuncias internas o whistleblowing: empezará a grabar al presunto infractor en el momento en el que otro jugador lo denuncie en el sistema, hasta un momento indeterminado que Riot no tiene a bien decir. Simple, pero puñetero en protección de datos y proclive a denuncias falsas por rencillas o por “trolleo”.
Si alguien tiene un déjà vu con lo que hizo La Liga al activar el micrófono del móvil en el que estuviera instalada su app para pillar a los bares sin licencia, pues puede ir legítimamente llevándose las manos a la cabeza.
2) ¿Qué pasa en materia de protección de datos?
Pueden pasar muchas cosas. Como dijo otro Jack distinto a la de las judías mágicas: “vamos por partes”. Lo que se comentará en el post son las dos únicas fuentes de información sobre este tema que tenemos: nota informativa de protección de datos sobre este tema., y la propia referencia detallada incluida en la política de privacidad (Apartado III, letra D).
a) Deber de información
Una de las obligaciones de protección de datos que mejor hay que hacer porque es la única vía por la persona sepa qué es lo que pasa con sus datos personales, qué derechos tiene y cómo ejercerlos, o a cuántos amiguitos se les van a ceder los datos. También es la parte que permite a los locos de protección de datos hacernos una idea de si lo hay detrás está bien hecho, según se redacte, omita o se culebree de manera varias. Si alguien se encuentra con una política de privacidad que contenga alguna de las expresiones míticas y místicas tipo “podrá” o “para mejor su experiencia”, ya puede ir frunciendo el ceño: la antipolítica de privacidad de Umbrella Corporation.
Aunque está a punto de empezar el piloto estadounidense, tenemos incorporada la información concreta en la política de privacidad, pero esperemos que esto no sea la única información de protección de datos que reciban los jugadores en su momento. Básicamente, porque no sería suficiente hacerlo de una manera no personal en casos normales, y máxime aquí que cada jugador tiene una cuenta de usuario por cada plataforma o launcher (salvo que se pudiera probar que no es posible o implicara un esfuerzo desproporcionado)
Empezamos con las chapuzas típicas de las políticas de privacidad de los grandes publishers del mundo de los videojuegos. No falla:
- Todos para una y una para todos: como es un coñazo hacer una política de privacidad por cada juego, mejor se mezclan todas en una y se meten los tratamientos de la web para que no se sepa qué se hace desde el propio juego/launcher o desde la monda y lironda web. No vaya a ser que el Comité Europeo de Protección de Datos (en aquel momento, Grupo del Artículo 29) te fastidie la fiesta con esta referencia del punto 11 de sus directrices sobre transparencia:
“En el caso de las aplicaciones, la información necesaria también debe estar disponible en la tienda en línea antes de la descarga. Una vez instalada la aplicación, es preciso que la información siga siendo de fácil acceso desde dentro de la aplicación. Una manera de cumplir este requisito es garantizar que, para llegar a la información, no hagan falta más de dos toques (p. ej., incluyendo una opción de «Privacidad» / «Protección de datos» en la función de menú de la aplicación). Asimismo, la información sobre privacidad en cuestión debe ser específica de la aplicación de que se trate y no simplemente la política de privacidad genérica de la empresa propietaria de la aplicación o responsable de su puesta a disposición del público”.
- Consentimiento por delante para que no se espante: haciendo uso de la extendida manía de que la información de protección de datos se tiene que aceptar como si fuera el propio EULA o términos y condiciones, nos avisan de este punto. Lo que se consiente son los tratamientos que se basen en consentimiento y las dichosas cookies, pero no la información que se debe dar al jugador. Solo necesita poder probar que has informado de ella, pero no es lo mismo para nada. Además, con este enfoque totum revolutum no es descartable que el jugador se coma con patatas una desviación de uso o “function creep”, es decir, que los datos se usen para más cosas de las que crees porque no llegas a enterar de nada; y
- Enlaces rotos: te dan un enlace a la política de privacidad y los términos y condiciones que no funcionan, no vaya a ser que tenga más fácil ir a por la información detallada. Aunque siendo honestos, casi nadie irá a mirar. Y siendo más honestos, no tendrían la obligación de hacerlo si les das el mínimo de información del artículo 13 del RGPD en una tabla facilita para cumplir como se debe. Es mucho menos rollo que el que han metido en la “nota explicativa” y la política/biblia de privacidad.
b) Minimización
Vamos con otro de los sagrados principios que determina que solo podrás tratar lo mínimo y necesario para cumplir con la finalidad que pretendes, so pena de fuerte sanción. Aquí la buena de Riot culebrea en el sentido de prometer que tratará lo absolutamente mínimo (la negrita y el subrayado es de Riot), se portarán muy bien, serán transparentes y se hacen cargo de que es algo que puede ser molesto y un poco invasivo.
El problema principal viene porque la transparencia se queda en el concepto y no en dar información clara de verdad, y la minimización es un oxímoron por aquello de que el sistema lo que va a hacer es grabarte hablando en un momento dado e impreciso en extensión (puedes estar insultado al jugador que te ha denunciado, o hablando de la almorrana que tienes por estar sentado todo el día, es decir, dando a Riot datos de categoría especial que nada tienen que ver y que no pueden tratar legítimamente).
La guinda del pastel es la referencia a que, si prefieres que no te graben, no uses el chat de voz. A la altura de la mítica referencia en las políticas de Sony de que los padres o tutores legales son los responsables de que el niño no se haga una cuenta sin tener la edad. Vuelvo a recordar que son los mismos del sistema antitrampas que te analiza los archivos del ordenador, o sea, que conocen bien el tema de la privacidad.
Amerita para que el lector que quiera deleitarse incluir la captura con las mágicas palabras de Riot sobre este tema:
c) Base de legitimación
Al igual que cualquier videojuego que se comercializa debe contar con una etiqueta de edad recomendada, cualquier tratamiento de datos personales deber contar con una base de legitimación de entre las 6 que existen. La que todo el mundo conoce es el consentimiento, pero no siempre es la más adecuada para la empresa (por aquello de te pueden retirar el consentimiento de una manera igual de fácil que al dártelo y que tenga que ser libre), ni para la personita (no te da un mayor garantía ni mejor control que el resto de bases).
Yendo a comentar las que ha utilizado Riot para intentar justificar este tratamiento, tenemos varias movidas:
- El juego de la pelota y los vasos del trilero: lejos de hacerlo bien e informarte de la base que van a autorizar, te marean con una triple referencia: necesarias para ejecutar el contrato con el jugador, interés legítimo y obligación legal. Ya decides tú cual toca y cual no;
- Ejecución de un contrato: Riot parece que ignora el pequeño matiz de que esta base de legitimación se ha de interpretar de una manera restrictiva, es decir, que verdaderamente sea necesario (necesidad en el sentido de ser inevitable como Thanos) este tratamiento para poder llevar a cabo ese contrato suscrito con el jugador. ¿Es necesario tratar ciertos datos personales de la dirección IP y otros del ramo para permitir jugar online con otros jugadores? Sí, pero ¿es necesario grabarte el chat de voz para darte ese servicio o llevar a buen puerto el contrato? No parece tanto, porque, aunque, en el propio contrato se te incluya la obligación de no ser un capullo en el chat eso no sería suficiente. Una vez más nos vuelve a salvar el EDPD en sus directrices sobre esta base de legitimación en su punto 28:
“… debe interpretarse de forma estricta y no abarca las situaciones en las que el tratamiento no es realmente necesario para la ejecución de un contrato, sino que se impone unilateralmente al por el responsable del tratamiento. Asimismo, el hecho de que un tratamiento esté cubierto por un contrato no significa automáticamente que el tratamiento sea necesario. no significa automáticamente que el tratamiento sea necesario para su ejecución. […] Incluso si estas actividades de tratamiento se mencionen específicamente en la letra pequeña del contrato, este hecho por sí solo no las convierte en “necesarias” para la ejecución del contrato.”
- Obligación legal: podría ser, pero solo necesitas el pequeño matiz de que una ley te diga exactamente que estás obligado a eso. Obviamente, en la política de privacidad como información detallada que es, debes decirnos a todos cuál es la ley mágica que te obliga. Ley significa norma como rango de ley, o sea, que no re vale un mero real decreto o un reglamento; y
- Interés legítimo: una de las más interesante por ser muy flexible, pero que te lleva a la obligación de hacer una evaluación de la necesidad y la proporcionalidad del tratamiento. Como la evaluación de impacto de la que luego hablaremos comparte el núcleo de valoración legal, luego lo comentamos, pero no pinta que saliera favorable. El interés legítimo conlleva la máxima del F.D. Roosevelt: “un gran poder conlleva una gran responsabilidad”.
Amerita otra vez poner el fragmento correspondiente de la política de privacidad para alabar la grandeza de la triple base comentada o el “me quedaré los datos lo que necesite porque molamos”, o “me reservo el derecho de monitorizar la voz, el chat de texto, mejorar mis servicios”.
d) Evaluación de impacto
La parte que tiene Riot más complicada de salvar. El tratamiento requiere de este tipo de evaluación pensada para aquellos con un alto riesgo para los derechos de la personita, al encajar por cumplir con varios de los requisitos del RGPD, como en este caso, de varios de los supuestos del listado adicional de la Agencia Española de Protección de Datos al respecto. A vuelapluma: la gran escala que implica el tratamiento (no afecta a todos los jugadores, pero los denunciados harían un buen número a nivel mundial), el uso de tecnología novedosa (al menos eso dice Riot, y aunque fuera alguna de mercado, estaría haciendo un uso “novedoso” de la misma), que se va a perfilar al denunciado, y vamos añadiendo que se verán inmersos menores porque no se dice lo contrario y son de “trollear” por chat, también.
Yendo al núcleo de lo que hay que tener en cuenta:
- Necesidad: ¿realmente es necesario grabar a la gente de manera tan invasiva para lograr luchar contra la tontería y maldad que llevamos dentro? No parece, porque tenemos los medios menos invasivos de toda la vida de denunciar al jugador, aportar pruebas y que se investigue caso por caso. Sí lo combinamos con la prohibición automática de poner ciertas palabras en el chat, límites de caracteres, que el sistema en cuanto detecte una palabra te lo cierre por x tiempo, no poner un chat general, o sustituir el de la partida por un sistema gestual de comunicación, ya estaríamos en el camino hacia el lado luminoso. De estos último tenemos ejemplos reales: el denominado «sistema ping» de Heroes of the Storm, o las herramientas simples de dibujo sobre el mapa de juego de la Saga Total War;
- Proporcionalidad: buena suerte con probar que esos medios tan invasivos no vulneran y están ponderados con el derecho a la protección de datos ni el resto de derechos de la personita. El fin no justifica los medios, y menos en protección de datos. Y mejor no hablamos de los falsos positivos del sistema o de las denuncias falsas por variopintas razones, como haber hecho una partida, un reto absurdo, odio puro o “trolleo”; y
- Limitaciones: de todo lo que hemos visto en los literales de las capturas, no parece que Riot se ha autolimitado en la posibilidad del sistema, con la buena salvedad de que se informa de que el sistema no va a estar totalmente automatizado, es decir, que al final habrá revisión humana.
3) ¿y si aplicamos la responsabilidad proactiva?
Nos iría bastante mejor si se fuera siempre por esta vía. A este respecto, se podría aprovechar para autoimponerse las obligaciones típicas de los sistemas de denuncias internas para llevarlo lo mejor posible a cabo. Por ejemplo, con las siguientes pautas que propuse para los sistemas de prevención de trampas en el estudio de investigación de estos temas que la Agencia Española de Protección de Datos me premió con el Accésit de investigación (menciono esto último sobre todo porque es un poco triste hacerse autoplagio sin citar). Además, sería el momento perfecto porque en nada tendremos la ley que traspone la Directiva de whistleblowing:
- Obligación del denunciante de utilizar un seudónimo distinto al que tiene como nombre de jugador (el responsable conocerá el ID real al ser el asociado a la cuenta de usuario desde la que se tramita la denuncia), con el objetivo de que no pueda ser identificado por el denunciado a través de la comprobación de mensaje internos de chat en el momento en el que ocurría la conducta denunciada, o por cualquier otra vía distinta;
- Generación de acuse de recibo para el denunciante en el momento de presentación de la denuncia;
- Garantizar que el denunciante lo haga de manera voluntaria, sin que en ningún momento se le obligue contractualmente o de cualquier otro modo. Por un lado, estaría esta voluntariedad que no debería entenderse como consentimiento en materia de protección, y por otro, la base de legitimación que justificaría el tratamiento de datos por parte del responsable;
- Minimizar los datos a lo estrictamente necesario: ID del denunciante, ID del denunciado, y prueba de la posible infracción o conducta prohibida;
- Comunicación al denunciado para que pueda comunicar lo que se considere oportuno, así como cualquier elemento de prueba a su favor;
- Establecimiento de plazos máximos de tramitación y resolución de las denuncias; o
- Mantenimiento de un registro de todas las denuncias tramitadas, tanto de las desestimadas, como de las estimadas.
4) Conclusiones
- Riot sigue haciendo quiebros en privacidad cuando se poner nerviosa por no controlar el fraude, trampas o gente haciendo uso indebido de todo lo que se pone a su alcance. Lo más irónico es que este enfoque de restringir la privacidad de los jugadores lo que la normativa no te lo permite no se traduce en que tengas éxito. En el caso del sistema anti-cheat de Valorant se tardó días en vulnerar por los malos;
- Ya podemos ir concienciándonos y exigiendo cumplimiento real a los grandes del sector para que empiecen a hacerlo bien, o esto será igual de chungo que todo lo hace Zuckerberg no tardando; y
- Rito, please (los jugadores entenderán la referencia).