La bomba de la comprobaci贸n de edad 馃幃

La comprobaci贸n de edad puede parecer un tema menor o uno de esos males ya aceptados de internet, pero es la gran patata caliente hist贸rica que ya ha estallado en alguna cara concreta. Por empezar con buenos ejemplos ilustrativos, podemos destacar dos tipos de explosiones:

  • Volarse alg煤n dedo de la mano: las devoluciones en caliente de dinero por menores que se han gastado el sueldo de los padres o tutores para conseguir skins o la carta de Messi, v铆a tarjeta de cr茅dito/d茅bito: EPIC, EA o Microsoft v铆a XBOX. Un porcentaje importante de estas desgracias se podr铆an haber evitado si se utilizara siempre comercio electr贸nico seguro, y m谩s con un virtual que se cargue por cada operaci贸n.
  • Bomba de hidr贸geno: Instagram y su guantazo de 400 kilos, v铆a la autoridad de protecci贸n de datos irlandesa (DPC), por no tener legitimado el tratamiento de datos de menores ni controles para evitar que se compartieran p煤blicamente datos de contactos de menores.

——————————————————–

Este ser谩 un art铆culo largo a disfrutar con cafe铆na o te铆na en mano, pero con una triple opci贸n seg煤n el tipo de lector que seas:

  • Lector de hierro: los verdaderos elegidos que se han dejado los ojos leyendo todo lo que pueden, tienen a su disposici贸n todo el art铆culo para disfrutarlo;
  • Lector selectivo: los interesados solo en la parte de protecci贸n de datos, deber谩n posar sus ojos en la 1潞 mitad del art铆culo (punto 1). Mientras que los interesados solo en la parte de los sistemas de comprobaci贸n de edad probados y posibles propuestas de autoridades, deber谩n hacerlo con la 2潞 mitad (punto 2 y punto 3); y
  • Sibarita del podcast: aquellos que disfrutan de escucharlo todo en este formato cada vez m谩s popular, pueden hacerlo a trav茅s del este enlace a Ivoox, o del reproductor incrustado. Eso s铆, esta versi贸n de una hora de duraci贸n va al meollo prescindiendo del comentario de comentario de protecci贸n de datos.


——————————————————–

Volviendo a la patata-bomba, ya est谩 cada vez m谩s cerca de estallar como consecuencia directa de no tener un sistema de comprobaci贸n de edad de verdad en casi ning煤n servicio del gran y proceloso internet. La espoleta es la nueva ola de normativa de nuevo cu帽o que empiezan a mencionarlo o insinuarlo: el obligar a tener un sistema en la Directiva de servicios de comunicaci贸n audiovisual/Ley de Comunicaci贸n Audiovisual, la referencia m谩s difusa con la posibilidad de tenerlo del Reglamento de Servicios Digitales,聽 o la menci贸n indirecta del RGPD (lo m谩s concreto es la obligaci贸n de comprobar la identidad de los padres o tutores en caso de consentimiento de menores de 13), o de manera completamente desnortada en el ca铆do anteproyecto de regulaci贸n de las loot boxes de manera pasiva-agresiva y biom茅trico (comentado en el art铆culo de este blog sobre esa 鈥渕aravilla鈥: Comentarios borrador anteproyecto loot boxes).

Justo en el mundo de los videojuegos se hace todav铆a un poco m谩s complicado, porque la edad de batalla de todo esto no son los 14 a帽os que estar铆an en protecci贸n de datos cubiertos, sino los 12 a帽os a los que los grandes videojuegos de juegos como servicio apuntan para lograr la etiqueta PEGI, ESRB o Zero (o de otras regiones) como apto para esa edad. Justo esta edad dejar铆a fuera de concurso a sistemas muy cl谩sicos como, por ejemplo, el DNI electr贸nico, que, al menos en Espa帽a, no es obligatorio tenerlos hasta esos mismos 14 a帽os.

Para intentar vestir la mona, lo normal es que los grandes t铆tulos tiren de las soluciones m谩gicas estadounidenses de prueba formal que no valen, y que veremos en el apartado de explicaci贸n de los 5 sistemitas a los que les he hecho una prueba de 鈥減entesting legal鈥: Sony, Activision-Blizzard-King, Steam, Epic y Ubisoft.

1) Cosas de protecci贸n de datos que hay que tener en cuenta. Los planes generales del refugio antibombas

Empezando por la parte m谩s te贸rica, vamos con el n煤cleo de protecci贸n de datos.

1.1 驴Qu茅 base utilizamos?

Podr铆an pensarse muchas cosas sobre las posibles bases aplicables para legitimar el tratamiento:

– Que, si el art铆culo 8 del RGPD nos estar铆a obligando legalmente a tener un sistema de control de edad.

– Que, si la obligaci贸n legal viene porque el propio RGPD desliza en los considerandos, articulado y sanciones, sin contar ese art铆culo 8, que se debe tener un cuidado extremo en el tratamiento de datos personales de menores de edad;

– Que si aplicar铆a un inter茅s p煤blico porque esa comprobaci贸n de edad casi te eleva a la misi贸n de protecci贸n de los menores para permitirles acceder a contenido potencialmente perjudicial;

-O, incluso, que si se podr铆a encajar en aquella que tanto les gusta a las grandes tecnol贸gicas para legitimar lo que sea: que sea necesario para la ejecuci贸n del contrato; al entender alg煤n locuelo que si el contrato est谩 enfocado a mayores de una determinada edad, no podr铆a prestar el servicio sin esa comprobaci贸n que filtra a los que no tengan esta edad.

Pero, para sorpresa de nadie, ninguna nos encajar铆a en este caso:

– La 1潞 de obligaci贸n legal, porque el art铆culo 8 lo limita a los tratamientos que se basen en el consentimiento de los menores de 13 a 16 (la edad dentro de abanico la determina la norma nacional de P.D), es decir, los menos en este mundo de los videojuegos, por no decir, casi ninguno;

– La 2潞 obligaci贸n legal, porque el RGPD ni ninguna otra norma te exige espec铆ficamente montar un sistema de comprobaci贸n de edad,

– La del inter茅s p煤blico, porque no tienes el amparo suficiente en una norma con rango de ley ni tienes conferida esa misi贸n por el toque m谩gico de la Administraci贸n P煤blica,

– Finalmente, la del contrato, porque no es algo estrictamente necesario para que se lleve a cabo (el EDPB y alguna autoridad m谩s ya se cans贸 de repetir que el hecho de que est茅 como cl谩usula del contrato y te interese empresarialmente, no es suficiente para legitimar por aqu铆 el tratamiento)

驴Entonces, qu茅? Pues que nos queda la mejor de todas: el inter茅s leg铆timo. Esa base que a algunos les da m谩s miedo y respeto que lanzar una de las tres maldiciones imperdonables. Y a los que no son de Harry Potter, casi como conjurar a Cthulhu.

1.2. LIA o ponderaci贸n del inter茅s leg铆timo

El elemento principal, y verdadera garant铆a del inter茅s leg铆timo, es esa ponderaci贸n obligatoria que nos tocar铆a hacer antes de poner a andar el sistema.

Todo lo dicho en la hip贸tesis del inter茅s p煤blico, nos viene muy bien para hacer m谩s f谩cil esta valoraci贸n de necesidad y proporcionalidad: estar铆amos realizando un inter茅s que no solo es privado y con fin empresarial, sino que el propio menor y el resto de la sociedad se beneficiar铆a de que tengamos un sistema que evite que el menor entre a lo que no debe.

Esto justo, nos lo dice el Comit茅 Europeo de Protecci贸n de Datos (en adelante, 鈥淓DPB鈥) en sus antiguas, pero todav铆a vigentes y 煤tiles, Directrices 6/2014 sobre IL sobre el ejemplo de la lucha contra el fraude:

鈥淧uede darse tambi茅n el caso de que el inter茅s privado de una empresa coincida con un inter茅s p煤blico hasta cierto punto. Esto puede suceder, por ejemplo, respecto de la lucha contra el fraude financiero u otro uso fraudulento de servicios. Un proveedor de servicios puede tener un inter茅s empresarial leg铆timo en garantizar que sus clientes no hagan un mal uso del servicio (o no puedan obtener servicios sin el pago correspondiente), mientras que, al mismo tiempo, los clientes de la empresa, como contribuyentes, y el p煤blico en general tambi茅n tengan un inter茅s leg铆timo en garantizar que se desaliente la comisi贸n de actividades fraudulentas y que se detecten cuando estas ocurran.鈥

鈥淓n general, el hecho de que el responsable del tratamiento act煤e no solo en su inter茅s leg铆timo propio (por ejemplo, su empresa), sino tambi茅n en el inter茅s de la comunidad en general puede dar m谩s 芦peso禄 a su inter茅s. Cuanto m谩s apremiante sea el inter茅s p煤blico o el inter茅s de la comunidad en general, y cuanto m谩s claramente la comunidad y los interesados reconozcan y esperen que el responsable del tratamiento pueda actuar y tratar los datos para perseguir estos intereses, m谩s peso tendr谩 en la balanza dicho inter茅s leg铆timo.鈥

Como otros elementos a ponderar, tenemos los tres siguientes:

-Expectativa razonable del menor

Uno de los puntos clave del inter茅s leg铆timo es la leg铆tima expectativa del pobre jugador que va a sufrir el tratamiento. Si no es previsible que se haga a la idea por s铆 mismo de que esto va a pasar, pues lo m谩s probable es que el inter茅s leg铆timo se quede cojo y no pueda echar a andar.

Esta maravillosa idea de que tiene que ser algo que le venga a la cabeza sin ning煤n tipo de explicaci贸n o pista interesada desde fuera, no solo dice el EDPB, sino la misma Agencia Espa帽ola de Protecci贸n de Datos en la conocida sanci贸n de 5 millones de euros al BBVA (s铆, esa sanci贸n que la Audiencia Nacional acaba de anular enterita):

“El concepto 鈥渆xpectativa razonable鈥 debe utilizarse siempre con moderaci贸n, atendiendo a la posici贸n que ostentan responsable e interesado y a la naturaleza jur铆dica de la relaci贸n o servicio que les vincula, que podr铆an dar lugar al uso posterior de los datos personales de 茅ste. Se tiene en cuenta el contexto, al que ya se ha hecho referencia anteriormente, para poder delimitar, en base a todo ello, el tratamiento ulterior de los datos que el interesado puede esperar que se realice. Esta 鈥渆xpectativa razonable鈥 del cliente se tiene que deducir por s铆 misma, sin que sea necesario que la informaci贸n ofrecida por el responsable al interesado o cliente defina o concrete dicha expectativa, por cuanto ello supone que el Banco suplanta al cliente, intentando aclararle la expectativa que puede esperar, precisamente, porque no se desprende por s铆 sola de la informaci贸n que ofrece ni de la relaci贸n que une a responsable e interesado. Se intenta, con ello, transmitir una apariencia de expectativa razonable y desplazar al interesado en esta deducci贸n.”

Aplicado al caso, tenemos una expectativa razonable de las buenas, porque todo menor sabe perfectamente, que, en el momento de crearse una cuenta de usuario para jugar, se le va a pedir su edad. De hecho, se lo espera tanto que va a intentar eludirlo como pueda.

-Inter茅s superior del menor

Como parte de la valoraci贸n de la proporcionalidad, toca hablar del inter茅s superior del menor, es decir, del hechizo legal que protege al menor cual sacrificio protector de la madre de Harry Potter. Ese que no viene explicado en ninguna ley m谩gica, pero que de vulnerarlo har铆a que acabaras en Azkaban con los dementores d谩ndote besitos, o, al menos, d谩ndole los galeones de oro que guardas en Gringotts-Suiza a la Agencia M谩gica de Protecci贸n de Datos.

Todo esto aterrizado a la protecci贸n de datos, lo tenemos en el RGPD en forma de algunos considerandos famosos: el 71 sobre que los menores no deban ser objeto de decisiones totalmente automatizadas del 22 (no lo proh铆be de manera absoluta, pero buena suerte con el hecho de justificarlo en muchos casos), o el 73 relativo a que toca ojo cuidado ante tratamientos de perfilado o especialmente protegidos sobre personas vulnerables y鈥︹ menores.

En esta l铆nea, pero m谩s desarrollado y certero para el 谩mbito de los videojuegos, el EDPB recuerda, en sus directrices sobre decisiones autom谩ticas, que es mala idea hacer perfilado con fines de marketing en menores por esa falta de capacidad para discernir al Grinch que tienen:

鈥淟os ni帽os pueden ser especialmente susceptibles en el entorno en l铆nea y pueden verse influenciados m谩s f谩cilmente por la publicidad comportamental. Por ejemplo, en los juegos en l铆nea, la elaboraci贸n de perfiles puede utilizarse para dirigirse a jugadores que seg煤n el algoritmo sean m谩s propensos a gastar dinero en los juegos, as铆 como para ofrecer m谩s publicidad personalizada. La edad y la madurez de los ni帽os pueden afectar a su capacidad para entender la motivaci贸n que hay detr谩s de este tipo de mercadotecnia o sus consecuencias.鈥

Justo, esta publicidad comportamental o personalizada seg煤n el perfil del jugador por lo que juega, compra y dem谩s, ser谩 uno de los grandes problemas si te pillan sin un sistema de comprobaci贸n de edad. El hecho de no tenerlo es grave, pero lo m谩s peligroso ser铆an todos los tratamientos no legitimados o apropiados que se habr铆an hecho a menores sin saber que lo eran.

-L铆mites y garant铆as

Podr铆a empezar a comentar los que entender铆a bien o mal, pero creo que es mejor aprovechar lo que la autoridad brit谩nica de protecci贸n de datos (en adelante, 鈥淚CO鈥) ha tenido a bien mencionar en forma de tips concretas para desarrolladores de videojuegos. Yo dir铆a que la 1潞 autoridad de protecci贸n de datos que pone su ojo de Sauron sobre este tema. 驴Ser谩 este momento el punto de inflexi贸n para que empiecen a fijarse en los titanes del sector que realizan un tratamiento a una escala e intensidad que no desmerece a las grandes tecnol贸gicas a las que tanto se mira?:

  • Consulta a los interesados y entidades de defensa del menor aka stakeholders: es uno de los requisitos de las famosas evaluaciones de impacto, pero es interesante que se ponga sobre la mesa la necesidad de realizar un estudio previo con consultas. Justo esa medida de responsabilidad proactiva que no se hace porque har铆a m谩s complicadas algunas burradas que se hacen, a pesar de har铆a todav铆a m谩s f谩cil esa ponderaci贸n que toca sobre necesidad y proporcionalidad frente a los derechos e intereses del menor. Ejemplos de cosas implementadas en los videojuegos que ni de co帽a han pasado por esto: el 鈥渇ant谩stico鈥 chat de voz de Riot, las 鈥渕aravillosas鈥 Oculus Quest de Voldemort Zuckerberg o bastantes sistemas anti-cheats.
  • Control de edad: a implementar sistemas efectivos de comprobaci贸n que afecten a todos los jugadores, as铆 como desincentivos concretos para que los menores no intenten enga帽ar o falsear su edad. Lo de que aplique a todo el mundo parece algo muy obvio, pero cuando hablemos de los cinco sistemas de comprobaci贸n mencionadas en la introducci贸n, veremos que es uno de sus grandes agujeros que hacen que sean fachadas;
  • Desactivaci贸n por defecto: todo lo que sean tratamientos o funcionalidades con implicaci贸n en datos personales, deber铆an estar deshabilitados hasta que el usuario lo marque. Esta parte se suele cumplir m谩s, porque cosas como el acceso a la tienda o al chat van anclados a un control parental. No tanto en la parte de los datos personales que conforman el perfil y que siempre recopilan m谩s de que los se necesitar铆an en rigor; ni tampoco en la publicidad de informaci贸n personal del perfil que otros jugadores pueden ver.
  • Controles parentales: cositas como alertas en tiempo real ante cambios en la configuraci贸n de privacidad, acceso a funcionalidades no permitidas o quitar las dichosas advertencias de cualquier sistema de mensajer铆a o chat de si est谩 activo o su 煤ltimo acceso.
  • El menor tiene el poder: uno de los puntos complicados para cumplir bien, y que nos conecta con el siguiente apartado, es la dotaci贸n al menor de las herramientas e informaci贸n suficiente para disponer de un control efectivo y real de sus datos, tal y como el RGPD desea para todos los pobres interesados. Advertencia concreta que deja el ICO para los proveedores de publicidad y adtech en el sentido de que no se contrate a los chungos (est谩 dif铆cil), que se entienda bien en qu茅 va a consistir (茅sta de ni de co帽a), que se les l铆e con que esto es parte del contrato y no un consentimiento separado y opcional (lo mismo) y, como hemos visto antes sobre el considerando 71, que est茅 desactivado por defecto; y
  • Fuera nudge techniques: nada de usar botones, incentivos o cualquier sistema dise帽ado para manipular a los menores de ninguna manera, o impulsarse a abrirse cuentas en sitios para obtener determinados premios o lo que sea. Esto es un cl谩sico, maximizado porque lo normal es que no se sepa si es menor o no el jugador. Cinco ejemplos de las peores que recuerdo:

-La de la coma estrat茅gica que hace que ambas opciones signifiquen lo mismo:

-La de poner objetos in-game y se帽ales en el mapa con un icono parecido al de las misiones principales para que te canses de verlas siempre y pagues:

-La de mezclar verdades y mentiras para el acceso a nivel de administrador:

La de dar pena con el rollo de que somos un estudio indie:

La peor de todas. Por suerte, parece Nintendo ya la quit贸:

1.3. Deber de informaci贸n

Como siempre, unos de los m谩s importantes por ser la 煤nica forma de que el jugador conozca qu茅 va pasar con sus datos. El considerando 58 del RGPD y el EDPB en varias obligaciones concretas las directrices sobre transparencia nos recuerda aquello de que tiene que ser concisa y accesible:

  • La informaci贸n tiene que estar disponible desde la propia app, o lo que sea desde la que se est谩n obteniendo los datos. (Lo normal es los videojuegos ser铆a llamarlo 鈥渓auncher鈥);
  • La normal de que siga siendo despu茅s de f谩cil acceso. El EDPB dec铆a que mejor un m谩ximo de 2 clicks y con una secci贸n de privacidad espec铆fica; y
  • Que dicha informaci贸n sea espec铆fica de los tratamientos que se realizan a trav茅s de la app, y no una copia de la pol铆tica de privacidad de la web corporativa o un t贸tum revolutum.; y
  • El menor como titular del derecho a la protecci贸n de datos no pierde el derecho a ser informado en t茅rminos que entienda.

En este 煤ltimo matiz de que el menor deba entenderlo, el ICO lo desarrolla en una serie de pautas de muestra de informaci贸n, en base a varios rangos de edad de menores en el c贸digo de conducta sobre dise帽o de dise帽o apropiado de edad. Nos quedaremos con la franja 10-12 por lo comentado de la etiqueta PEGI:

  • Permitir que los menores elijan entra una opci贸n escrita o video/audio para mostrarles la informaci贸n de protecci贸n de datos. Puesto que una imagen vale m谩s que mil palabras, y, que la industria de los videojuegos est谩 habituada a hacer tutoriales din谩micos en v铆deo o interactivo, yo dir铆a que la mejor manera ser铆a un tutorial interactivo que debieran pasar como si estuviera aprendiendo los controles, y como m铆nimo, un v铆deo corto bien hecho al inicio y que est茅 disponible siempre en el perfil. Como ese juego plataformero que hizo Twitter, pero sin que d茅 c谩ncer jugarlo y tenga informaci贸n decente;
  • Aportar a los menores materiales escritos o audiovisuales en el momento en el que intenten cambiar la configuraci贸n por defecto de privacidad. Siendo sincero, lo m谩s efectivo es que no pudieran llegar a cambiarla realmente, pero un buen pop-up con iconos y muy conciso tiene sentido;
  • Explicar a los menores qu茅 son los controles parentales que sus padres o tutores podr铆an aplicar sobre ellos con un estilo de informaci贸n similar a lo dicho. Y darles a los padres o tutores informaci贸n similar. Se parte del hecho de que los padres saben que existen, pero yo no lo dar铆a por una lecci贸n muy aprendida;
  • Que los menores puedan saber mediante alg煤n tipo de indicaci贸n cu谩ndo est谩n siendo objeto de vigilancia paternal o tutoral. Volvemos a que son los titulares del derecho, aunque alg煤n padre sea de la creencia de Homer: 鈥Hasta los 18 eres de mi propiedad, chico鈥; y
  • Una especie de bot贸n del p谩nica ante problemas o episodios de los que nos podemos imaginar para asistencia online, o para tambi茅n se involucren a los padres o tutores.

En California, tierra del contraste entre las grandes tecnol贸gicas que retuercen la protecci贸n de datos y los pol铆ticos preocupados por dotar a sus ciudadanos de normativa de protecci贸n de datos decente, nos llega el proyecto de Ley de C贸digo de Dise帽o Adecuado de Edad

Esta ley presentada por los congresistas Buffy Wicks y Jordan Cunningham a d煤o Elefante (R) y Burro (D), dice cositas interesantes. Tambi茅n tenemos dos documentos explicativos que nos dejan leer ambos: un resumen y un documento explicativo m谩s gr谩fico y con ejemplos reales de lo que intenta aplicar o evitar:

  • Restricci贸n de recopilaci贸n de datos innecesarios y perfilado. Mencionan el sagrado inter茅s superior del menor :);
  • Configuraci贸n de privacidad por defecto al m谩ximo;
  • Prohibici贸n de patrones oscuros o cualquier t茅cnica de enga帽o o incitaci贸n;
  • Que el c贸digo del ICO mencionado antes mola tanto que se basa en 茅l un poco bastante. Esto no lo dice el proyecto de ley, pero si el documento de resumen;
  • Evaluaci贸n de impacto seria por delante;
  • Obligaci贸n de entregar al fiscal general las evaluaciones de impacto realizadas en un plazo m谩ximo de 3 d铆as desde la petici贸n;
  • Informaci贸n suficiente adaptada a menores;
  • Nada de geolocalizaci贸n, salvo que pueda demostrarse que es estrictamente necesaria para prestar el servicio y durante el tiempo m铆nimo. 驴Entonces, c贸mo quedar铆a Pok茅mon Go o Wizards Unite?
  • Implantar sistemas razonables para poder conocer la edad del menor si existe riesgo, o tirar por la calle del medio y aplicar el paquete completo de privacidad a todos los usuarios y ya. Aqu铆 se queda bastante descafeinado y raro, porque no entrar a matar sobre establecer una obligaci贸n concreta.

Por 煤ltimo, no lo dice ninguna autoridad, pero las etiquetas tipo COPPA y los c贸digos de conducta basados en otras normativas est谩n bien, pero en esto es como nada en la UE. El problema es que suelen asociar al idioma en el que se consulta la p谩gina, dando la maravillosa confusi贸n de que alg煤n padre o tutor crea que se cumple al ver etiquetas como estas dos:

Por Europa se nos qued贸 en la teor铆a el sello de privacidad que propone el RGPD, pero tambi茅n cuidado sio alguien hace referencia al c贸digo de conduca del sistema PEGI. Es muy bonito que diga que se deber tener una pol铆tica de privacidad bien hecha a disposici贸n, pero no entrar铆a a valorar si realmente est谩 bien o no. Adem谩s de que el hecho de limitarse a mencioanr la pol铆tica y no el resto de cosas necesarias, ya da indicio de que es un punto de cumplimiento formal y para quedar guay desde PEGI.

“9.8 聽聽 Privacy; Any Signatory engaging in the online collection of personal information from subscribers will maintain an effective and coherent Privacy Policy fully in accordance with all applicable European Union and national data protection laws. The Privacy Policy will encompass the responsible collection, distribution, correction, and security of the personal details of users who shall be given full details of the Signatory鈥檚 Privacy Policy before the finalisation of any subscription to an Online Gameplay Environment. Subscribers must be also be given the opportunity to comment on any perceived misuse of their personal details and therefore be fully advised as to ways, for example, of avoiding unsolicited or unwanted e-mail contact.”聽聽

1.4. PIA o no PIA

Es algo que nos ha recordado el proyecto de ley de California, pero lo cierto es que tocar铆a por sentido com煤n y por ser uno de los supuestos que lo ameritan.

No podr铆amos decir que nos encaja en los tres supuestos can贸nicos que el RGPD nos da en su art铆culo 35 (salvo que hablemos de un sistema de reconocimiento facial o similar por la escala que supondr铆a), pero para eso los dioses de la protecci贸n de datos crearon la habilitaci贸n para que las autoridades de protecci贸n de datos pudieran emitir listados concretos de supuestos sometidos a evaluaci贸n de impacto. En el de la AEPD, nos encajar铆a en los siguientes. Con al menos dos, toca PIA:

  • 鈥淭ratamientos que impliquen perfilado o valoraci贸n de sujetos, incluida la recogida de datos del sujeto en m煤ltiples 谩mbitos de su vida (desempe帽o en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus h谩bitos.鈥 Esta aplicar铆a si se realizara alg煤n tipo de perfilado sobre el menor para poder obtener su edad, o, mejor dicho, inferirla. Te贸ricamente, es un cl谩sico de varias autoridades mencionar la posibilidad de parametrizar el movimiento del cursor, mando o respuestas a ciertas preguntas para obtener un aproximado 鈥渇iable鈥 de la edad. Me suscita dudas en relaci贸n con los menores y la existencia de medios menos invasivos que un perfilado;
  • 鈥淭ratamientos que impliquen el uso de datos biom茅tricos con el prop贸sito de identificar de manera 煤nica a una persona f铆sica + Tratamientos que impliquen el uso de categor铆as especiales de datos a las que se refiere el art铆culo 9.1 del RGPD. Aplicar铆a en aquellos casos en los que monte un sistema de reconocimiento facial o similares. El matiz de identificaci贸n lo realizaba la AEPD sobre la tesis de que no ser铆a tratamiento biom茅trico si solo hab铆a verificaci贸n biom茅trica, pero actualmente eso el EDPB lo ha tumbado un poco al decir que siempre habr铆a tratamiento de datos de categor铆a especial. Ser铆a mejor intentar evitarlo que ninguno lo hace, pero ya veremos a EPIC con uno y los alemanes autorizando varias soluciones que van por ah铆;
  • 鈥淭ratamientos que impliquen el uso de datos a gran escala.鈥. Es una segura en cualquier caso de los que hablamos por el gran n煤mero de jugadores de los videojuegos que todos tenemos en la cabeza; y
  • 鈥淭ratamientos de datos de sujetos vulnerables o en riesgo de exclusi贸n social, incluyendo datos de menores de 14 a帽os, mayores con alg煤n grado de discapacidad, discapacitados, personas que acceden a servicios sociales y v铆ctimas de violencia de g茅nero, as铆 como sus descendientes y personas que est茅n bajo su guardia y custodia.鈥. Otra segura, porque hablar铆amos de menores de edad de 14 a帽os en todos los casos. Ya sea, porque queremos filtrar un determinado rango de menor, o por el hecho de tratar los datos de los menores que se intente colar en un maravilloso juego limitado exclusivamente a 18. Aunque esto 煤ltimo es m谩s divertido, porque la comprobaci贸n de edad se suele hacer a nivel de cuenta y no de juego.

Nuestra Ley Org谩nica hace un poco de muletilla en el art铆culo 28 record谩ndolo:

  • Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situaci贸n de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
  • Cuando se produzca un tratamiento masivo que implique a un gran n煤mero de afectados o conlleve la recogida de una gran cantidad de datos personales.

No merece la pena marear con la valoraci贸n que habr铆a que hacer, porque queda tralla y el esp铆ritu es parecido a de la evaluaci贸n de impacto. Tiene como a帽adido cosas como la valoraci贸n de c贸mo afectar铆a el tratamiento al resto de derecho fundamentales, pero comparte esa necesidad de troncal de probar la proporcionalidad y necesidad – no hab铆a medios menos invasivos.

2) Medios disponibles en la actualidad

Vamos a ver qu茅 medios implementan Sony, Steam, Epic, Blizzard y Ubisoft para que no se cuelen menores. Para este pentesting legal ha brotado del suelo un menor con 13 a帽os (nacido en 1 del 1 del 2010), y ven铆a con dos cuentas de correo del brazo para hacer el juego de cuenta de menor autorizada por el propio menor desde la cuenta de tutor.

2.1. PS Network

Pol铆tica de privacidad

En la parte de la pol铆tica de privacidad, hay sensaciones encontradas por cosas que est谩n bien, pero que podr铆an ser mejor y evitar jetadas raras:

Sony juega a doble informaci贸n:

-Un pol铆tica de privacidad 煤nica para todo (justo lo contrario a lo recomendado para no tener revolcones), aunque se establece un apartado informativo sobre menores enfocado en hacer m谩s responsable que otra cosa al padre o tutor sobre sobre el propio menor, y hasta que es responsable de cumplir con el deber de informaci贸n adaptado.

Como suela pasar en las pol铆ticas de la industria de los videojuegos, hay partes con mayor notoriedad en la sociedad que est谩n redactadas para dar la sensaci贸n de cumplimiento maravilloso y que deslizan cosas de cierta manera. Justo es lo que pasa en la relativa a menores:

  • Se hace un gran hincapi茅 en hablar de los controles parentales que el padre o tutor podr谩 tener, pero nada de informaci贸n sobre el tratamiento de comprobaci贸n de edad y c贸mo lo legitiman;
  • Se cuela de manera inteligente (y jeta) que la cuenta del menor podr谩 seguir teniendo acceso al chat o funciones de comunicaci贸n social si el adulto no lo desactiva, es decir, que la configuraci贸n de privacidad por defecto es inexistente;
  • Un juego de manos con el consentimiento para que parezca que habr谩 dos separados, limpios y el control total: el relativo al uso de los datos del menor y otro para las cesiones. 鈥Un Adulto responsable puede aceptar nuestra recopilaci贸n y uso de la Informaci贸n personal del menor a su cargo sin consentir que la revelemos a terceros, excepto cuando la revelaci贸n sea inherente a los Servicios que proporcionamos.鈥

El tema es que en la cesi贸n ya lo except煤an, y el consentimiento para el tratamiento de protecci贸n de datos tira a la confusi贸n con la autorizaci贸n del padre o tutor. El tratamiento de los datos del menor lo van a hacer por contrato o inter茅s leg铆timo, seguro, seguro.

-Una informaci贸n de privacidad para menores que, aunque mencionan en la pol铆tica de privacidad de antes, no la enlazan. Est谩 bien como idea y tiene un dibuj铆n por cada apartado, no informa de todo lo que debe:

  • Ejemplos de datos que recopilan, pero no todo. Se desliza que se va a recopilar lo que hace el personaje que controla en el juego, pero se omite la informaci贸n clave de ese perfilado y an谩lisis de lo que haga que supone: en qu茅 consiste y las consecuencias (partiendo de que no sea algo totalmente automatizado y鈥︹︹);
  • Frases que son m谩s dark pattern que otra cosa:鈥La usamos para ofrecerte servicios entretenidos y personalizar tu experiencia con PlayStation鈥, 鈥淟a informaci贸n b谩sica comprende tu ID online, tu edad y tu pa铆s. Las empresas que hacen los juegos necesitan esa informaci贸n para desarrollar los juegos que te gustan o para llevar adelante su negocio.鈥;
  • El hecho de que si el menor no entiende algo se los pregunta al adulto en tu casa, pero no a ellos;
  • No explicar bien el tema de las transferencias. El hecho de mencionar Estados Unidos no dice nada si no le metes la chicha de que es un pa铆s de 鈥渄iversi贸n con bandera鈥; y
  • Nada de conservaci贸n de la informaci贸n ni forma de contacto.

Sistema de comprobaci贸n de edad

El sistema de cuenta de PS se limita a pedirte la fecha de nacimiento como1潞 elemento para determinar si se marca una fecha menor a 13 a帽os para decirte que nada de crear cuenta, recordarte que llames a Papi/mami o tutor legal para sigan desde all铆 y te remite a configurar una cuenta especial de familia de la que colgar las de los menores y tener control sobre ellos. En todo el proceso solo se te piden los datos t铆picos que el menor tendr铆a controlados al estar jugado a la vez con dos cuentas de correo electr贸nico sin que se necesite aporta nada por el presunto padre o tutor como prueba ni ning煤n tipo de control t茅cnico por restricci贸n de IP o similares para evitar al menos que se haga desde el mismo dispositivo y navegador.

2.2 Blizzard 鈥 Battle Net

Pol铆tica de privacidad

La 煤nica que medio dice alguna finalidad coherente con el hecho de recopilar la fecha de nacimiento en la pol铆tica de privacidad: 鈥淪e recopila la edad o la fecha de nacimiento por razones de control parental y para aplicar reglamentos espec铆ficos en ciertos pa铆ses鈥.

Digo medio dice, porque no dice exactamente comprobaci贸n de edad. Tambi茅n saca la patita con 鈥渞eglamentos espec铆ficos鈥, pero no cu谩l es esa normativa que presuntamente le obligar铆a a recopilar estos datos concretos.

Sistema de comprobaci贸n de edad

Manda un correo al correo del tutor que el menor ha puesto para que lo autorice y luego tengas control para decidir su nombre de usuario o si le autorizas a comprar y dem谩s. Y la comprobaci贸n se reduce a esa medida a un check de aceptaci贸n llamado continuar en el que reconoces expresamente que es el tutor legal, es decir una prueba formal + la t铆pica t茅cnica de un captcha. O sea, algo que un menor se podr铆a saltar f谩cilmente. Eso siempre que decida no mentir de primeras y ahorrarse el 2潞 rollo de correos cruzados que tampoco limitan por IP o de otra manera que desde el mismo dispositivo/navegador lo hagas de una a otra.

2.3 Steam – Valve

Pol铆tica de privacidad

En la l铆nea de sus t茅rminos y condiciones con un p谩rrafo corto en su pol铆tica de privacidad 煤nica: si recopilo algo de menores de 13 no es mi intenci贸n, ya si eso habr谩 consentimiento si en ciertos pa铆ses aplica la edad del consentimiento, y que los padres den instrucciones a sus hijos para que se porten bien y no le den datos de m谩s a nadie.

Nada de nada, aunque lo del consentimiento es lo de siempre. Se confunde el de protecci贸n de datos con autorizaci贸n de los padres y a correr. El casi 100% de los tratamientos no van a ir por consentimiento.

Sistema de comprobaci贸n de edad

La diferencia es que la introducci贸n de la fecha de nacimiento que los otros met铆an como primer campo del registro, Valve se lo guarda para determinados trailers y v铆deos de las p谩ginas de ciertos juegos, Digo ciertos juegos, porque al ser algo que tendr谩 que marcar o configurar el editor, estudio o entidad que gestione ese p谩gina dentro de Steam, se dan maravillas como que los Call of Duty o Doom te obliguen a meter la fecha de nacimiento, pero pueda gozar de los del remake de Dead Space o Scorn a gusto.

El proceso de registro consiste en un check en el que reconoces que tienes m谩s de 13 a帽os y puertas abiertas al Valhalla y si eres un menor mentirosillo a m铆 no me lo digas. El que menos esfuerzo le pone al tema de los que hemos visto.

2.4 Epic Games

Pol铆tica de privacidad

En un apartado concreto hablar de los menores para decir varias cosas:

  • Que cumple con la famosa COPPA norteamericana, es decir la ley de protecci贸n del menor de por all铆. Esto por s铆 solo no estar铆a mal, pero al dar enlaces a informaci贸n adicional mencionado el consentimiento, podr铆a inducir al error de que esto en la UE es una garant铆a de algo y cubre;
  • Desliza que los datos de edad pueden ser para cumplir con esa ley, pero lo limita a los ni帽itos americanos que ser铆an los 煤nicos a los que les podr铆a aplicar como obligaci贸n legal;
  • Una explicaci贸n somera del sistema de cuenta tutor; y
  • Que el sistema de comprobaci贸n de edad, por fin, lo prestan dos proveedores externos: SuperAwesome y Kids Web Services

Lo m谩s interesante est谩 en una p谩gina concreta, aprovechando la man铆a de meter cosas cr铆ticas de privacidad o legal fuera de su sitio. Aqu铆 es d贸nde se mencionar los diferentes sistemas por regiones que se aplicar铆an:

  • Tarjeta de cr茅dito o d茅bito (disponible en todo el mundo);
  • N煤mero de la seguridad social (disponible solo en EE.聽UU.);
  • N煤mero CPF (disponible solo en Brasil);
  • CURP (disponible solo en M茅xico);
  • Escaneo de documento de identidad (disponible fuera de EE.聽UU. y Corea del Sur); y
  • Escaneo facial (disponible fuera de EE.聽UU. y Corea del Sur)

Como buenos cachondos norteamericanos, la burrada del reconocimiento facial se la aplicamos al resto del mundo. Parece que a nadie se le ocurri贸 que en la UE tambi茅n pod铆a haber problemitas.

Sistema de comprobaci贸n de edad

Registro habitual que, si detectar que eres menor por la fecha introducida, te pide la cuenta de correo tutora para remitir un mensaje de 鈥渢u hijo se ha hecho y cuenta y decide si le permite o no determinadas cosas鈥. Hasta aqu铆 un poco normal, pero al final del todo nos encontramos que tres de esos sistemas de comprobaci贸n mencionados para que el padre pruebe que es mayor de edad.

  • Tarjeta de cr茅dito o d茅bito. Muy habitual y te hacen un cargo simb贸lico que luego te devuelven;
  • Reconocimiento facial. Que har茅 como que no he le铆do que la ponen a disposici贸n para ahorrar el rollo de protecci贸n de datos. Si hab铆a una peor idea, era esta. Y encima no se lo presta a Epic el proveedor directamente, sino que es un subproveedor de este; o
  • Escaneo de carnet de conducir o DNI. La t铆pica tambi茅n, pero que es un co帽azo y que seg煤n el pa铆s var铆a. El DNI es Espa帽a, s铆, pero en otro nada de nada.

Aunque est谩 mejor que la competencia, el problema es el mismo. Esto empieza en el punto en el que el menor no miente. Si hubiera mentido ning煤n control de ning煤n tipo se hubiera pasado y pista.

Al menos que s铆 que te guarda la fecha que haya introducido para que no puedas hacer el truco de refrescar la web y volver a empezar como si nada. Justo es lo que la Agencia Catalana de Protecci贸n de Datos propone como medida para intentar evitar que ese menor que se ha 鈥渆quivocado鈥 o no ha mentido sobre ser menor para que no pueda f谩cilmente cambiarlo mediante actualizar la p谩gina, en su reciente gu铆a 鈥La privacidad desde el dise帽o y la privacidad por defecto para desarrolladores

“El consentimiento otorgado por menores de edad 煤nicamente es v谩lido si son mayores de 14 a帽os. En este caso, aunque tengan una eficacia limitada, podr铆a ser 煤til instaurar galletas de sesi贸n que contengan la edad inicialmente introducida por el menor de tal manera que cuando un menor de 14 a帽os haya introducido, por ejemplo, su fecha de nacimiento y constate que no puede acceder al servicio, no le resulte especialmente sencillo cambiar la edad.”

2.5 Uplay – Ubisoft

Pol铆tica de privacidad

El campe贸n franc茅s del desarrollo, edici贸n y distribuci贸n de videojuegos hace un mareo de mencionar en la pol铆tica de privacidad 煤nica que en las t茅rminos y condiciones se regulan las edad de menores por pa铆ses (en Espa帽a, aplica la extra帽a de 15 a帽os), para luego en los t茅rminos y condiciones remitir a una p谩gina chorra de impacto social enga帽a padres.

Podr铆amos comentarlo en los t茅rminos de las anteriores y que en la pol铆tica de privacidad de ni p铆o, pero Ubisoft explica mucho mejor con sus palabras su postura al respecto:

鈥淓n la medida en que la ley lo permita, denegamos toda responsabilidad derivada de actividades que pudieran realizar usuarios menores de edad sin el permiso de sus padres o tutores legales. En todos los casos, todo uso de los servicios por parte de usuarios menores ser谩 responsabilidad de sus padres o tutores legales. Si es usted padre, madre o tutor legal y da su permiso para que un menor a su cargo se registre en los servicios, estar谩 aceptando las Condiciones de uso de los servicios en nombre del menor en cuesti贸n.鈥

Sistema de comprobaci贸n de edad

El registro es lo t铆pico de todos de pedirte la fecha de nacimiento para ver si te mereces una cuenta u otra. Muy feo que la parte de newsletters y mierda al correo est茅 premarcada (pero eso es para otro episodio), pero como 1潞 sorpresa guarda la direcci贸n de correo electr贸nico, o puede que la IP o Mac de la red dom茅stica a la que est茅s conectado para evitar que cambies de dispositivo y la puedas colar f谩cil.

Esto est谩 bien, pero veremos si es infalible o no utilizando el comod铆n de la 2潞 cuenta Tambi茅n da error anquen sea datos m贸viles, por lo que vamos a dejar un d铆a para ver si era un bloqueo temporal.

Seguro que alguno ya est谩 pensando en que hemos encontrado el unicornio que todo lo cumple, pero la verdad es que no. Al d铆a siguiente se prueba con los mismos datos de la 1潞 vez y cuela sin problemas y sin que pida que se cree una cuenta tutor ni nada por estilo. Toda la seguridad se enfoca en que un menor de 15 ponga la edad real que tiene el 1潞 d铆a que lo intente

3) Propuestas de comprobaci贸n de edad que se est谩n planteado + propia

En esta patata caliente se ha realizado mil propuestas o ideas para conseguir esa cuadratura del c铆rculo de evitar que los menores accedan a servicios o productos en internet a los que no deben (sean videojuegos o no), pero sin que sea un sistema tan invasivo que a costa de que no se cuele ninguno, les vulnere sus derechos. Pero a la vez, cubriendo ese gran agujero que es que el menor mienta para que no se le aplique ning煤n control de edad.

Vamos a hablar de tres + 1, porque me parece los m谩s concretos, y creo que los relativos a parametrizar el comportamiento e un menor ante el movimiento de cursos, respuestas o similares es m谩s invasivo de lo que podr铆a justificarse en este sentido. El Parlamento Europeo lo menciona junto con otras mil formas hipot茅ticas, como la autodeclaraci贸n que no vale para nada, pero no deja de ser un informe con vocaci贸n de nota de prensa y no una norma o algo vinculante.

3.1. Propuesta de la Agencia Espa帽ola de Protecci贸n de Datos – DNIe

La propia Agencia Espa帽ola de Protecci贸n de Datos propuso all谩 por el 2013 el uso del DNI-e para cubrir esto. Lo dijo, porque el DNI-e cuando se lo dan al menor no tiene activado la funcionalidad de firma electr贸nica, pero si el certificado de autenticidad para identificarlo inequ铆vocamente

El problema de este sistema, que s铆 ser铆a infalible y no vulnerar铆a nada del menor es m煤ltiple: solo te sirve para pa铆ses con DNI (son los menos), no todos los ni帽os tienen el DNI antes de los 14 como edad obligatoria y te exige el lector de tarjetas.

Tambi茅n entra un poco en juego el tema que apunta la APDCAT, en su gu铆a de privacidad desde el dise帽o, de que puede que el certificado en algunos casos no sea la mejor opci贸n si es no proporcionada o no adecuada. Teniendo en cuenta la edad de 12 en la que se batalla por aqu铆, no ser铆a la mejor, no.

Para identificar a las personas usuarias se pueden pedir certificados electr贸nicos, que ofrecen un alto grado de robustez. No obstante, cuando la exigencia de este medio no sea proporcionada o adecuada por otros motivos, hay que aplicar otros mecanismos de identificaci贸n, como los de clave concertada.

3.2 Modelo alem谩n

El organismo regulador de protecci贸n de menores en l铆nea (KJM) ha validado varios sistemas de terceras empresas enfocadas en la comprobaci贸n de edad de los menores con reconocimiento facial o tecnolog铆a biom茅trica: tendentes a utilizar algor铆tmica y machine learning para analizar los rasgos de la cara y poder predecir una edad aproximada, parece que con el l铆mite de no hace una base de datos ni comparar con im谩genes previas de la persona ni obtenerlas de mezclar bases de datos

Ya llevamos mucho rollo encima para intentar entrar a valorar una a una con la poca informaci贸n disponible, pero espero que haya hecho los deberes de ponderaci贸n. A煤n con eso, no lo s茅.

Como ejemplo de un sistema aprobado por el KJM que se aplica efectivamente en la industria como una de los posibles v铆as de comprobaci贸n, tenemos a Yoti. As铆 dicho suena a perif茅rico raro japon茅s, pero es el subproveedor reconocido que presta reconocimiento facial en la comprobaci贸n al proveedor/filial de comprobaci贸n de edad de Epic: Superawesome.

3.3 Propuesta de la CNIL (autoridad francesa) y su 鈥渓aboratorio num茅rico鈥

Una de las m谩s nuevas, y creo que m谩s predicamento puede tener a nivel mundial, es la que plantea la autoridad francesa de protecci贸n de datos. Todav铆a est谩 a nivel de planteamiento, pero parece que la pieza que va encajar con la futura normativa francesa que proh铆be entrar a menores en webs porno/obligar a establecer sistemas de comprobaci贸n a sus proveedores.

Bajo el supuesto de cualquier persona que quiere entrar en una p谩gina porno con la problem谩tica de que quiere se sepa, pero a la vez que la web pueda probar que no se le cuela ning煤n menor, se plantea la web a la que quieres acceder con l铆mite de edad te provea de un documento ciego que no d茅 datos del acceso para que t煤 como usuario se lo pases a comprobar a una tercera entidad validada (tu banco, tu compa帽铆a de la luz, telf鈥.) que ya sepa que eres mayor de edad para que lo valide y lo pueda subir de vuelta a la web.

La idea es que la web tenga el sistema para hacer todo esto en el momento en varias pantallas sin que tengas que salirte fuera. Pero con el rizo de que ninguna de las partes sepa la identidad real u obtenga informaci贸n que no ten铆a, es decir, lo que se llama Zero Knowledge Proof.

Todo lo dicho, se explica mejor en la infograf铆a a la que conduce el hiperenlace de antes.

3.4 Propuesta propia

Finalmente, vamos con la propuesta que hice como parte del estudio del premio de protecci贸n de datos que la Agencia Espa帽ola de Protecci贸n de Datos y la Agencia Vasca de Protecci贸n de Datos me concedieron por analizar el cumplimiento en materia de protecci贸n de datos en el supuesto de los triple A. Estaba enfocada en el supuesto espa帽ol, y, por tanto, pecaba de la exigencia del DNI. Viendo que EPIC ha listado que bastantes pa铆ses con alg煤n tipo de documento, y por hacer la labor de aportar algo propio, aunque no sea perfecto:

Habilitar un sistema en base a los siguientes par谩metros, ordenados en funci贸n a las distintas fases del proceso:

  • Solicitud de introducci贸n de una fecha a trav茅s del sistema de campos a este efecto, con un aviso de que se revise que los datos introducidos son correctos;
  • Solicitud de una imagen del anverso del documento nacional de identidad, pasaporte o documento similar en el pa铆s (aqu铆 ayudar铆a que no se permitiera a los de 13, sino m谩s al l铆mite de los 15 de Ubi para garantizar que tenga ese documento p煤blico) en el que figura la fecha de nacimiento, eliminando en el proceso cualquier otro dato que no sea dicha fecha de nacimiento o el nombre y apellidos para que nunca lleguen a ser almacenados, especialmente la fotograf铆a. Podr铆a valorarse permitirle al jugador visualizar previamente c贸mo quedar铆a su imagen tras ese proceso de eliminaci贸n autom谩tica de los datos distintos de la fecha de nacimiento y el nombre y apellidos; y
  • Solicitud de la introducci贸n de la fecha de nacimiento en otro formato distinto para prevenir, dentro de lo que estamos hablando, la introducci贸n de una fecha falsa en la copia del DNI falsa que ha subido y de la que se acordaba para el 1潞 campo. En el caso de detectarlo, que se bloquee con registro de la IP para que no se puede intentar desde ah铆 otra vez por ah铆 y los datos se elimine de manera segura al no completarse el registro.

Eso es todo amigos. Hasta el siguiente post :).

Deja una respuesta