La comprobación de edad puede parecer un tema menor o uno de esos males ya aceptados de internet, pero es la gran patata caliente histórica que ya ha estallado en alguna cara concreta. Por empezar con buenos ejemplos ilustrativos, podemos destacar dos tipos de explosiones:
- Volarse algún dedo de la mano: las devoluciones en caliente de dinero por menores que se han gastado el sueldo de los padres o tutores para conseguir skins o la carta de Messi, vía tarjeta de crédito/débito: EPIC, EA o Microsoft vía XBOX. Un porcentaje importante de estas desgracias se podrían haber evitado si se utilizara siempre comercio electrónico seguro, y más con un virtual que se cargue por cada operación.
- Bomba de hidrógeno: Instagram y su guantazo de 400 kilos, vía la autoridad de protección de datos irlandesa (DPC), por no tener legitimado el tratamiento de datos de menores ni controles para evitar que se compartieran públicamente datos de contactos de menores.
——————————————————–
Este será un artículo largo a disfrutar con cafeína o teína en mano, pero con una triple opción según el tipo de lector que seas:
- Lector de hierro: los verdaderos elegidos que se han dejado los ojos leyendo todo lo que pueden, tienen a su disposición todo el artículo para disfrutarlo;
- Lector selectivo: los interesados solo en la parte de protección de datos, deberán posar sus ojos en la 1º mitad del artículo (punto 1). Mientras que los interesados solo en la parte de los sistemas de comprobación de edad probados y posibles propuestas de autoridades, deberán hacerlo con la 2º mitad (punto 2 y punto 3); y
- Sibarita del podcast: aquellos que disfrutan de escucharlo todo en este formato cada vez más popular, pueden hacerlo a través del este enlace a Ivoox, o del reproductor incrustado. Eso sí, esta versión de una hora de duración va al meollo prescindiendo del comentario de comentario de protección de datos.
——————————————————–
Volviendo a la patata-bomba, ya está cada vez más cerca de estallar como consecuencia directa de no tener un sistema de comprobación de edad de verdad en casi ningún servicio del gran y proceloso internet. La espoleta es la nueva ola de normativa de nuevo cuño que empiezan a mencionarlo o insinuarlo: el obligar a tener un sistema en la Directiva de servicios de comunicación audiovisual/Ley de Comunicación Audiovisual, la referencia más difusa con la posibilidad de tenerlo del Reglamento de Servicios Digitales, o la mención indirecta del RGPD (lo más concreto es la obligación de comprobar la identidad de los padres o tutores en caso de consentimiento de menores de 13), o de manera completamente desnortada en el caído anteproyecto de regulación de las loot boxes de manera pasiva-agresiva y biométrico (comentado en el artículo de este blog sobre esa “maravilla”: Comentarios borrador anteproyecto loot boxes).
Justo en el mundo de los videojuegos se hace todavía un poco más complicado, porque la edad de batalla de todo esto no son los 14 años que estarían en protección de datos cubiertos, sino los 12 años a los que los grandes videojuegos de juegos como servicio apuntan para lograr la etiqueta PEGI, ESRB o Zero (o de otras regiones) como apto para esa edad. Justo esta edad dejaría fuera de concurso a sistemas muy clásicos como, por ejemplo, el DNI electrónico, que, al menos en España, no es obligatorio tenerlos hasta esos mismos 14 años.
Para intentar vestir la mona, lo normal es que los grandes títulos tiren de las soluciones mágicas estadounidenses de prueba formal que no valen, y que veremos en el apartado de explicación de los 5 sistemitas a los que les he hecho una prueba de “pentesting legal”: Sony, Activision-Blizzard-King, Steam, Epic y Ubisoft.
1) Cosas de protección de datos que hay que tener en cuenta. Los planes generales del refugio antibombas
Empezando por la parte más teórica, vamos con el núcleo de protección de datos.
1.1 ¿Qué base utilizamos?
Podrían pensarse muchas cosas sobre las posibles bases aplicables para legitimar el tratamiento:
– Que, si el artículo 8 del RGPD nos estaría obligando legalmente a tener un sistema de control de edad.
– Que, si la obligación legal viene porque el propio RGPD desliza en los considerandos, articulado y sanciones, sin contar ese artículo 8, que se debe tener un cuidado extremo en el tratamiento de datos personales de menores de edad;
– Que si aplicaría un interés público porque esa comprobación de edad casi te eleva a la misión de protección de los menores para permitirles acceder a contenido potencialmente perjudicial;
-O, incluso, que si se podría encajar en aquella que tanto les gusta a las grandes tecnológicas para legitimar lo que sea: que sea necesario para la ejecución del contrato; al entender algún locuelo que si el contrato está enfocado a mayores de una determinada edad, no podría prestar el servicio sin esa comprobación que filtra a los que no tengan esta edad.
Pero, para sorpresa de nadie, ninguna nos encajaría en este caso:
– La 1º de obligación legal, porque el artículo 8 lo limita a los tratamientos que se basen en el consentimiento de los menores de 13 a 16 (la edad dentro de abanico la determina la norma nacional de P.D), es decir, los menos en este mundo de los videojuegos, por no decir, casi ninguno;
– La 2º obligación legal, porque el RGPD ni ninguna otra norma te exige específicamente montar un sistema de comprobación de edad,
– La del interés público, porque no tienes el amparo suficiente en una norma con rango de ley ni tienes conferida esa misión por el toque mágico de la Administración Pública,
– Finalmente, la del contrato, porque no es algo estrictamente necesario para que se lleve a cabo (el EDPB y alguna autoridad más ya se cansó de repetir que el hecho de que esté como cláusula del contrato y te interese empresarialmente, no es suficiente para legitimar por aquí el tratamiento)
¿Entonces, qué? Pues que nos queda la mejor de todas: el interés legítimo. Esa base que a algunos les da más miedo y respeto que lanzar una de las tres maldiciones imperdonables. Y a los que no son de Harry Potter, casi como conjurar a Cthulhu.
1.2. LIA o ponderación del interés legítimo
El elemento principal, y verdadera garantía del interés legítimo, es esa ponderación obligatoria que nos tocaría hacer antes de poner a andar el sistema.
Todo lo dicho en la hipótesis del interés público, nos viene muy bien para hacer más fácil esta valoración de necesidad y proporcionalidad: estaríamos realizando un interés que no solo es privado y con fin empresarial, sino que el propio menor y el resto de la sociedad se beneficiaría de que tengamos un sistema que evite que el menor entre a lo que no debe.
Esto justo, nos lo dice el Comité Europeo de Protección de Datos (en adelante, “EDPB”) en sus antiguas, pero todavía vigentes y útiles, Directrices 6/2014 sobre IL sobre el ejemplo de la lucha contra el fraude:
“Puede darse también el caso de que el interés privado de una empresa coincida con un interés público hasta cierto punto. Esto puede suceder, por ejemplo, respecto de la lucha contra el fraude financiero u otro uso fraudulento de servicios. Un proveedor de servicios puede tener un interés empresarial legítimo en garantizar que sus clientes no hagan un mal uso del servicio (o no puedan obtener servicios sin el pago correspondiente), mientras que, al mismo tiempo, los clientes de la empresa, como contribuyentes, y el público en general también tengan un interés legítimo en garantizar que se desaliente la comisión de actividades fraudulentas y que se detecten cuando estas ocurran.”
“En general, el hecho de que el responsable del tratamiento actúe no solo en su interés legítimo propio (por ejemplo, su empresa), sino también en el interés de la comunidad en general puede dar más «peso» a su interés. Cuanto más apremiante sea el interés público o el interés de la comunidad en general, y cuanto más claramente la comunidad y los interesados reconozcan y esperen que el responsable del tratamiento pueda actuar y tratar los datos para perseguir estos intereses, más peso tendrá en la balanza dicho interés legítimo.”
Como otros elementos a ponderar, tenemos los tres siguientes:
-Expectativa razonable del menor
Uno de los puntos clave del interés legítimo es la legítima expectativa del pobre jugador que va a sufrir el tratamiento. Si no es previsible que se haga a la idea por sí mismo de que esto va a pasar, pues lo más probable es que el interés legítimo se quede cojo y no pueda echar a andar.
Esta maravillosa idea de que tiene que ser algo que le venga a la cabeza sin ningún tipo de explicación o pista interesada desde fuera, no solo dice el EDPB, sino la misma Agencia Española de Protección de Datos en la conocida sanción de 5 millones de euros al BBVA (sí, esa sanción que la Audiencia Nacional acaba de anular enterita):
“El concepto “expectativa razonable” debe utilizarse siempre con moderación, atendiendo a la posición que ostentan responsable e interesado y a la naturaleza jurídica de la relación o servicio que les vincula, que podrían dar lugar al uso posterior de los datos personales de éste. Se tiene en cuenta el contexto, al que ya se ha hecho referencia anteriormente, para poder delimitar, en base a todo ello, el tratamiento ulterior de los datos que el interesado puede esperar que se realice. Esta “expectativa razonable” del cliente se tiene que deducir por sí misma, sin que sea necesario que la información ofrecida por el responsable al interesado o cliente defina o concrete dicha expectativa, por cuanto ello supone que el Banco suplanta al cliente, intentando aclararle la expectativa que puede esperar, precisamente, porque no se desprende por sí sola de la información que ofrece ni de la relación que une a responsable e interesado. Se intenta, con ello, transmitir una apariencia de expectativa razonable y desplazar al interesado en esta deducción.”
Aplicado al caso, tenemos una expectativa razonable de las buenas, porque todo menor sabe perfectamente, que, en el momento de crearse una cuenta de usuario para jugar, se le va a pedir su edad. De hecho, se lo espera tanto que va a intentar eludirlo como pueda.
-Interés superior del menor
Como parte de la valoración de la proporcionalidad, toca hablar del interés superior del menor, es decir, del hechizo legal que protege al menor cual sacrificio protector de la madre de Harry Potter. Ese que no viene explicado en ninguna ley mágica, pero que de vulnerarlo haría que acabaras en Azkaban con los dementores dándote besitos, o, al menos, dándole los galeones de oro que guardas en Gringotts-Suiza a la Agencia Mágica de Protección de Datos.
Todo esto aterrizado a la protección de datos, lo tenemos en el RGPD en forma de algunos considerandos famosos: el 71 sobre que los menores no deban ser objeto de decisiones totalmente automatizadas del 22 (no lo prohíbe de manera absoluta, pero buena suerte con el hecho de justificarlo en muchos casos), o el 73 relativo a que toca ojo cuidado ante tratamientos de perfilado o especialmente protegidos sobre personas vulnerables y…… menores.
En esta línea, pero más desarrollado y certero para el ámbito de los videojuegos, el EDPB recuerda, en sus directrices sobre decisiones automáticas, que es mala idea hacer perfilado con fines de marketing en menores por esa falta de capacidad para discernir al Grinch que tienen:
“Los niños pueden ser especialmente susceptibles en el entorno en línea y pueden verse influenciados más fácilmente por la publicidad comportamental. Por ejemplo, en los juegos en línea, la elaboración de perfiles puede utilizarse para dirigirse a jugadores que según el algoritmo sean más propensos a gastar dinero en los juegos, así como para ofrecer más publicidad personalizada. La edad y la madurez de los niños pueden afectar a su capacidad para entender la motivación que hay detrás de este tipo de mercadotecnia o sus consecuencias.”
Justo, esta publicidad comportamental o personalizada según el perfil del jugador por lo que juega, compra y demás, será uno de los grandes problemas si te pillan sin un sistema de comprobación de edad. El hecho de no tenerlo es grave, pero lo más peligroso serían todos los tratamientos no legitimados o apropiados que se habrían hecho a menores sin saber que lo eran.
-Límites y garantías
Podría empezar a comentar los que entendería bien o mal, pero creo que es mejor aprovechar lo que la autoridad británica de protección de datos (en adelante, “ICO”) ha tenido a bien mencionar en forma de tips concretas para desarrolladores de videojuegos. Yo diría que la 1º autoridad de protección de datos que pone su ojo de Sauron sobre este tema. ¿Será este momento el punto de inflexión para que empiecen a fijarse en los titanes del sector que realizan un tratamiento a una escala e intensidad que no desmerece a las grandes tecnológicas a las que tanto se mira?:
- Consulta a los interesados y entidades de defensa del menor aka stakeholders: es uno de los requisitos de las famosas evaluaciones de impacto, pero es interesante que se ponga sobre la mesa la necesidad de realizar un estudio previo con consultas. Justo esa medida de responsabilidad proactiva que no se hace porque haría más complicadas algunas burradas que se hacen, a pesar de haría todavía más fácil esa ponderación que toca sobre necesidad y proporcionalidad frente a los derechos e intereses del menor. Ejemplos de cosas implementadas en los videojuegos que ni de coña han pasado por esto: el “fantástico” chat de voz de Riot, las “maravillosas” Oculus Quest de Voldemort Zuckerberg o bastantes sistemas anti-cheats.
- Control de edad: a implementar sistemas efectivos de comprobación que afecten a todos los jugadores, así como desincentivos concretos para que los menores no intenten engañar o falsear su edad. Lo de que aplique a todo el mundo parece algo muy obvio, pero cuando hablemos de los cinco sistemas de comprobación mencionadas en la introducción, veremos que es uno de sus grandes agujeros que hacen que sean fachadas;
- Desactivación por defecto: todo lo que sean tratamientos o funcionalidades con implicación en datos personales, deberían estar deshabilitados hasta que el usuario lo marque. Esta parte se suele cumplir más, porque cosas como el acceso a la tienda o al chat van anclados a un control parental. No tanto en la parte de los datos personales que conforman el perfil y que siempre recopilan más de que los se necesitarían en rigor; ni tampoco en la publicidad de información personal del perfil que otros jugadores pueden ver.
- Controles parentales: cositas como alertas en tiempo real ante cambios en la configuración de privacidad, acceso a funcionalidades no permitidas o quitar las dichosas advertencias de cualquier sistema de mensajería o chat de si está activo o su último acceso.
- El menor tiene el poder: uno de los puntos complicados para cumplir bien, y que nos conecta con el siguiente apartado, es la dotación al menor de las herramientas e información suficiente para disponer de un control efectivo y real de sus datos, tal y como el RGPD desea para todos los pobres interesados. Advertencia concreta que deja el ICO para los proveedores de publicidad y adtech en el sentido de que no se contrate a los chungos (está difícil), que se entienda bien en qué va a consistir (ésta de ni de coña), que se les líe con que esto es parte del contrato y no un consentimiento separado y opcional (lo mismo) y, como hemos visto antes sobre el considerando 71, que esté desactivado por defecto; y
- Fuera nudge techniques: nada de usar botones, incentivos o cualquier sistema diseñado para manipular a los menores de ninguna manera, o impulsarse a abrirse cuentas en sitios para obtener determinados premios o lo que sea. Esto es un clásico, maximizado porque lo normal es que no se sepa si es menor o no el jugador. Cinco ejemplos de las peores que recuerdo:
-La de la coma estratégica que hace que ambas opciones signifiquen lo mismo:
-La de poner objetos in-game y señales en el mapa con un icono parecido al de las misiones principales para que te canses de verlas siempre y pagues:
-La de mezclar verdades y mentiras para el acceso a nivel de administrador:
La de dar pena con el rollo de que somos un estudio indie:
La peor de todas. Por suerte, parece Nintendo ya la quitó:
1.3. Deber de información
Como siempre, unos de los más importantes por ser la única forma de que el jugador conozca qué va pasar con sus datos. El considerando 58 del RGPD y el EDPB en varias obligaciones concretas las directrices sobre transparencia nos recuerda aquello de que tiene que ser concisa y accesible:
- La información tiene que estar disponible desde la propia app, o lo que sea desde la que se están obteniendo los datos. (Lo normal es los videojuegos sería llamarlo “launcher”);
- La normal de que siga siendo después de fácil acceso. El EDPB decía que mejor un máximo de 2 clicks y con una sección de privacidad específica; y
- Que dicha información sea específica de los tratamientos que se realizan a través de la app, y no una copia de la política de privacidad de la web corporativa o un tótum revolutum.; y
- El menor como titular del derecho a la protección de datos no pierde el derecho a ser informado en términos que entienda.
En este último matiz de que el menor deba entenderlo, el ICO lo desarrolla en una serie de pautas de muestra de información, en base a varios rangos de edad de menores en el código de conducta sobre diseño de diseño apropiado de edad. Nos quedaremos con la franja 10-12 por lo comentado de la etiqueta PEGI:
- Permitir que los menores elijan entra una opción escrita o video/audio para mostrarles la información de protección de datos. Puesto que una imagen vale más que mil palabras, y, que la industria de los videojuegos está habituada a hacer tutoriales dinámicos en vídeo o interactivo, yo diría que la mejor manera sería un tutorial interactivo que debieran pasar como si estuviera aprendiendo los controles, y como mínimo, un vídeo corto bien hecho al inicio y que esté disponible siempre en el perfil. Como ese juego plataformero que hizo Twitter, pero sin que dé cáncer jugarlo y tenga información decente;
- Aportar a los menores materiales escritos o audiovisuales en el momento en el que intenten cambiar la configuración por defecto de privacidad. Siendo sincero, lo más efectivo es que no pudieran llegar a cambiarla realmente, pero un buen pop-up con iconos y muy conciso tiene sentido;
- Explicar a los menores qué son los controles parentales que sus padres o tutores podrían aplicar sobre ellos con un estilo de información similar a lo dicho. Y darles a los padres o tutores información similar. Se parte del hecho de que los padres saben que existen, pero yo no lo daría por una lección muy aprendida;
- Que los menores puedan saber mediante algún tipo de indicación cuándo están siendo objeto de vigilancia paternal o tutoral. Volvemos a que son los titulares del derecho, aunque algún padre sea de la creencia de Homer: “Hasta los 18 eres de mi propiedad, chico”; y
- Una especie de botón del pánica ante problemas o episodios de los que nos podemos imaginar para asistencia online, o para también se involucren a los padres o tutores.
En California, tierra del contraste entre las grandes tecnológicas que retuercen la protección de datos y los políticos preocupados por dotar a sus ciudadanos de normativa de protección de datos decente, nos llega el proyecto de Ley de Código de Diseño Adecuado de Edad
Esta ley presentada por los congresistas Buffy Wicks y Jordan Cunningham a dúo Elefante (R) y Burro (D), dice cositas interesantes. También tenemos dos documentos explicativos que nos dejan leer ambos: un resumen y un documento explicativo más gráfico y con ejemplos reales de lo que intenta aplicar o evitar:
- Restricción de recopilación de datos innecesarios y perfilado. Mencionan el sagrado interés superior del menor :);
- Configuración de privacidad por defecto al máximo;
- Prohibición de patrones oscuros o cualquier técnica de engaño o incitación;
- Que el código del ICO mencionado antes mola tanto que se basa en él un poco bastante. Esto no lo dice el proyecto de ley, pero si el documento de resumen;
- Evaluación de impacto seria por delante;
- Obligación de entregar al fiscal general las evaluaciones de impacto realizadas en un plazo máximo de 3 días desde la petición;
- Información suficiente adaptada a menores;
- Nada de geolocalización, salvo que pueda demostrarse que es estrictamente necesaria para prestar el servicio y durante el tiempo mínimo. ¿Entonces, cómo quedaría Pokémon Go o Wizards Unite?
- Implantar sistemas razonables para poder conocer la edad del menor si existe riesgo, o tirar por la calle del medio y aplicar el paquete completo de privacidad a todos los usuarios y ya. Aquí se queda bastante descafeinado y raro, porque no entrar a matar sobre establecer una obligación concreta.
Por último, no lo dice ninguna autoridad, pero las etiquetas tipo COPPA y los códigos de conducta basados en otras normativas están bien, pero en esto es como nada en la UE. El problema es que suelen asociar al idioma en el que se consulta la página, dando la maravillosa confusión de que algún padre o tutor crea que se cumple al ver etiquetas como estas dos:
Por Europa se nos quedó en la teoría el sello de privacidad que propone el RGPD, pero también cuidado sio alguien hace referencia al código de conduca del sistema PEGI. Es muy bonito que diga que se deber tener una política de privacidad bien hecha a disposición, pero no entraría a valorar si realmente está bien o no. Además de que el hecho de limitarse a mencioanr la política y no el resto de cosas necesarias, ya da indicio de que es un punto de cumplimiento formal y para quedar guay desde PEGI.
“9.8 Privacy; Any Signatory engaging in the online collection of personal information from subscribers will maintain an effective and coherent Privacy Policy fully in accordance with all applicable European Union and national data protection laws. The Privacy Policy will encompass the responsible collection, distribution, correction, and security of the personal details of users who shall be given full details of the Signatory’s Privacy Policy before the finalisation of any subscription to an Online Gameplay Environment. Subscribers must be also be given the opportunity to comment on any perceived misuse of their personal details and therefore be fully advised as to ways, for example, of avoiding unsolicited or unwanted e-mail contact.”
1.4. PIA o no PIA
Es algo que nos ha recordado el proyecto de ley de California, pero lo cierto es que tocaría por sentido común y por ser uno de los supuestos que lo ameritan.
No podríamos decir que nos encaja en los tres supuestos canónicos que el RGPD nos da en su artículo 35 (salvo que hablemos de un sistema de reconocimiento facial o similar por la escala que supondría), pero para eso los dioses de la protección de datos crearon la habilitación para que las autoridades de protección de datos pudieran emitir listados concretos de supuestos sometidos a evaluación de impacto. En el de la AEPD, nos encajaría en los siguientes. Con al menos dos, toca PIA:
- “Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.” Esta aplicaría si se realizara algún tipo de perfilado sobre el menor para poder obtener su edad, o, mejor dicho, inferirla. Teóricamente, es un clásico de varias autoridades mencionar la posibilidad de parametrizar el movimiento del cursor, mando o respuestas a ciertas preguntas para obtener un aproximado “fiable” de la edad. Me suscita dudas en relación con los menores y la existencia de medios menos invasivos que un perfilado;
- “Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física + Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD. Aplicaría en aquellos casos en los que monte un sistema de reconocimiento facial o similares. El matiz de identificación lo realizaba la AEPD sobre la tesis de que no sería tratamiento biométrico si solo había verificación biométrica, pero actualmente eso el EDPB lo ha tumbado un poco al decir que siempre habría tratamiento de datos de categoría especial. Sería mejor intentar evitarlo que ninguno lo hace, pero ya veremos a EPIC con uno y los alemanes autorizando varias soluciones que van por ahí;
- “Tratamientos que impliquen el uso de datos a gran escala.”. Es una segura en cualquier caso de los que hablamos por el gran número de jugadores de los videojuegos que todos tenemos en la cabeza; y
- “Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.”. Otra segura, porque hablaríamos de menores de edad de 14 años en todos los casos. Ya sea, porque queremos filtrar un determinado rango de menor, o por el hecho de tratar los datos de los menores que se intente colar en un maravilloso juego limitado exclusivamente a 18. Aunque esto último es más divertido, porque la comprobación de edad se suele hacer a nivel de cuenta y no de juego.
Nuestra Ley Orgánica hace un poco de muletilla en el artículo 28 recordándolo:
- Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
- Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
No merece la pena marear con la valoración que habría que hacer, porque queda tralla y el espíritu es parecido a de la evaluación de impacto. Tiene como añadido cosas como la valoración de cómo afectaría el tratamiento al resto de derecho fundamentales, pero comparte esa necesidad de troncal de probar la proporcionalidad y necesidad – no había medios menos invasivos.
2) Medios disponibles en la actualidad
Vamos a ver qué medios implementan Sony, Steam, Epic, Blizzard y Ubisoft para que no se cuelen menores. Para este pentesting legal ha brotado del suelo un menor con 13 años (nacido en 1 del 1 del 2010), y venía con dos cuentas de correo del brazo para hacer el juego de cuenta de menor autorizada por el propio menor desde la cuenta de tutor.
2.1. PS Network
Política de privacidad
En la parte de la política de privacidad, hay sensaciones encontradas por cosas que están bien, pero que podrían ser mejor y evitar jetadas raras:
Sony juega a doble información:
-Un política de privacidad única para todo (justo lo contrario a lo recomendado para no tener revolcones), aunque se establece un apartado informativo sobre menores enfocado en hacer más responsable que otra cosa al padre o tutor sobre sobre el propio menor, y hasta que es responsable de cumplir con el deber de información adaptado.
Como suela pasar en las políticas de la industria de los videojuegos, hay partes con mayor notoriedad en la sociedad que están redactadas para dar la sensación de cumplimiento maravilloso y que deslizan cosas de cierta manera. Justo es lo que pasa en la relativa a menores:
- Se hace un gran hincapié en hablar de los controles parentales que el padre o tutor podrá tener, pero nada de información sobre el tratamiento de comprobación de edad y cómo lo legitiman;
- Se cuela de manera inteligente (y jeta) que la cuenta del menor podrá seguir teniendo acceso al chat o funciones de comunicación social si el adulto no lo desactiva, es decir, que la configuración de privacidad por defecto es inexistente;
- Un juego de manos con el consentimiento para que parezca que habrá dos separados, limpios y el control total: el relativo al uso de los datos del menor y otro para las cesiones. “Un Adulto responsable puede aceptar nuestra recopilación y uso de la Información personal del menor a su cargo sin consentir que la revelemos a terceros, excepto cuando la revelación sea inherente a los Servicios que proporcionamos.”
El tema es que en la cesión ya lo exceptúan, y el consentimiento para el tratamiento de protección de datos tira a la confusión con la autorización del padre o tutor. El tratamiento de los datos del menor lo van a hacer por contrato o interés legítimo, seguro, seguro.
-Una información de privacidad para menores que, aunque mencionan en la política de privacidad de antes, no la enlazan. Está bien como idea y tiene un dibujín por cada apartado, no informa de todo lo que debe:
- Ejemplos de datos que recopilan, pero no todo. Se desliza que se va a recopilar lo que hace el personaje que controla en el juego, pero se omite la información clave de ese perfilado y análisis de lo que haga que supone: en qué consiste y las consecuencias (partiendo de que no sea algo totalmente automatizado y………);
- Frases que son más dark pattern que otra cosa:“La usamos para ofrecerte servicios entretenidos y personalizar tu experiencia con PlayStation”, “La información básica comprende tu ID online, tu edad y tu país. Las empresas que hacen los juegos necesitan esa información para desarrollar los juegos que te gustan o para llevar adelante su negocio.”;
- El hecho de que si el menor no entiende algo se los pregunta al adulto en tu casa, pero no a ellos;
- No explicar bien el tema de las transferencias. El hecho de mencionar Estados Unidos no dice nada si no le metes la chicha de que es un país de “diversión con bandera”; y
- Nada de conservación de la información ni forma de contacto.
Sistema de comprobación de edad
El sistema de cuenta de PS se limita a pedirte la fecha de nacimiento como1º elemento para determinar si se marca una fecha menor a 13 años para decirte que nada de crear cuenta, recordarte que llames a Papi/mami o tutor legal para sigan desde allí y te remite a configurar una cuenta especial de familia de la que colgar las de los menores y tener control sobre ellos. En todo el proceso solo se te piden los datos típicos que el menor tendría controlados al estar jugado a la vez con dos cuentas de correo electrónico sin que se necesite aporta nada por el presunto padre o tutor como prueba ni ningún tipo de control técnico por restricción de IP o similares para evitar al menos que se haga desde el mismo dispositivo y navegador.
2.2 Blizzard – Battle Net
Política de privacidad
La única que medio dice alguna finalidad coherente con el hecho de recopilar la fecha de nacimiento en la política de privacidad: “Se recopila la edad o la fecha de nacimiento por razones de control parental y para aplicar reglamentos específicos en ciertos países”.
Digo medio dice, porque no dice exactamente comprobación de edad. También saca la patita con “reglamentos específicos”, pero no cuál es esa normativa que presuntamente le obligaría a recopilar estos datos concretos.
Sistema de comprobación de edad
Manda un correo al correo del tutor que el menor ha puesto para que lo autorice y luego tengas control para decidir su nombre de usuario o si le autorizas a comprar y demás. Y la comprobación se reduce a esa medida a un check de aceptación llamado continuar en el que reconoces expresamente que es el tutor legal, es decir una prueba formal + la típica técnica de un captcha. O sea, algo que un menor se podría saltar fácilmente. Eso siempre que decida no mentir de primeras y ahorrarse el 2º rollo de correos cruzados que tampoco limitan por IP o de otra manera que desde el mismo dispositivo/navegador lo hagas de una a otra.
2.3 Steam – Valve
Política de privacidad
En la línea de sus términos y condiciones con un párrafo corto en su política de privacidad única: si recopilo algo de menores de 13 no es mi intención, ya si eso habrá consentimiento si en ciertos países aplica la edad del consentimiento, y que los padres den instrucciones a sus hijos para que se porten bien y no le den datos de más a nadie.
Nada de nada, aunque lo del consentimiento es lo de siempre. Se confunde el de protección de datos con autorización de los padres y a correr. El casi 100% de los tratamientos no van a ir por consentimiento.
Sistema de comprobación de edad
La diferencia es que la introducción de la fecha de nacimiento que los otros metían como primer campo del registro, Valve se lo guarda para determinados trailers y vídeos de las páginas de ciertos juegos, Digo ciertos juegos, porque al ser algo que tendrá que marcar o configurar el editor, estudio o entidad que gestione ese página dentro de Steam, se dan maravillas como que los Call of Duty o Doom te obliguen a meter la fecha de nacimiento, pero pueda gozar de los del remake de Dead Space o Scorn a gusto.
El proceso de registro consiste en un check en el que reconoces que tienes más de 13 años y puertas abiertas al Valhalla y si eres un menor mentirosillo a mí no me lo digas. El que menos esfuerzo le pone al tema de los que hemos visto.
2.4 Epic Games
En un apartado concreto hablar de los menores para decir varias cosas:
- Que cumple con la famosa COPPA norteamericana, es decir la ley de protección del menor de por allí. Esto por sí solo no estaría mal, pero al dar enlaces a información adicional mencionado el consentimiento, podría inducir al error de que esto en la UE es una garantía de algo y cubre;
- Desliza que los datos de edad pueden ser para cumplir con esa ley, pero lo limita a los niñitos americanos que serían los únicos a los que les podría aplicar como obligación legal;
- Una explicación somera del sistema de cuenta tutor; y
- Que el sistema de comprobación de edad, por fin, lo prestan dos proveedores externos: SuperAwesome y Kids Web Services
Lo más interesante está en una página concreta, aprovechando la manía de meter cosas críticas de privacidad o legal fuera de su sitio. Aquí es dónde se mencionar los diferentes sistemas por regiones que se aplicarían:
- Tarjeta de crédito o débito (disponible en todo el mundo);
- Número de la seguridad social (disponible solo en EE. UU.);
- Número CPF (disponible solo en Brasil);
- CURP (disponible solo en México);
- Escaneo de documento de identidad (disponible fuera de EE. UU. y Corea del Sur); y
- Escaneo facial (disponible fuera de EE. UU. y Corea del Sur)
Como buenos cachondos norteamericanos, la burrada del reconocimiento facial se la aplicamos al resto del mundo. Parece que a nadie se le ocurrió que en la UE también podía haber problemitas.
Sistema de comprobación de edad
Registro habitual que, si detectar que eres menor por la fecha introducida, te pide la cuenta de correo tutora para remitir un mensaje de “tu hijo se ha hecho y cuenta y decide si le permite o no determinadas cosas”. Hasta aquí un poco normal, pero al final del todo nos encontramos que tres de esos sistemas de comprobación mencionados para que el padre pruebe que es mayor de edad.
- Tarjeta de crédito o débito. Muy habitual y te hacen un cargo simbólico que luego te devuelven;
- Reconocimiento facial. Que haré como que no he leído que la ponen a disposición para ahorrar el rollo de protección de datos. Si había una peor idea, era esta. Y encima no se lo presta a Epic el proveedor directamente, sino que es un subproveedor de este; o
- Escaneo de carnet de conducir o DNI. La típica también, pero que es un coñazo y que según el país varía. El DNI es España, sí, pero en otro nada de nada.
Aunque está mejor que la competencia, el problema es el mismo. Esto empieza en el punto en el que el menor no miente. Si hubiera mentido ningún control de ningún tipo se hubiera pasado y pista.
Al menos que sí que te guarda la fecha que haya introducido para que no puedas hacer el truco de refrescar la web y volver a empezar como si nada. Justo es lo que la Agencia Catalana de Protección de Datos propone como medida para intentar evitar que ese menor que se ha “equivocado” o no ha mentido sobre ser menor para que no pueda fácilmente cambiarlo mediante actualizar la página, en su reciente guía “La privacidad desde el diseño y la privacidad por defecto para desarrolladores”
“El consentimiento otorgado por menores de edad únicamente es válido si son mayores de 14 años. En este caso, aunque tengan una eficacia limitada, podría ser útil instaurar galletas de sesión que contengan la edad inicialmente introducida por el menor de tal manera que cuando un menor de 14 años haya introducido, por ejemplo, su fecha de nacimiento y constate que no puede acceder al servicio, no le resulte especialmente sencillo cambiar la edad.”
2.5 Uplay – Ubisoft
Política de privacidad
El campeón francés del desarrollo, edición y distribución de videojuegos hace un mareo de mencionar en la política de privacidad única que en las términos y condiciones se regulan las edad de menores por países (en España, aplica la extraña de 15 años), para luego en los términos y condiciones remitir a una página chorra de impacto social engaña padres.
Podríamos comentarlo en los términos de las anteriores y que en la política de privacidad de ni pío, pero Ubisoft explica mucho mejor con sus palabras su postura al respecto:
“En la medida en que la ley lo permita, denegamos toda responsabilidad derivada de actividades que pudieran realizar usuarios menores de edad sin el permiso de sus padres o tutores legales. En todos los casos, todo uso de los servicios por parte de usuarios menores será responsabilidad de sus padres o tutores legales. Si es usted padre, madre o tutor legal y da su permiso para que un menor a su cargo se registre en los servicios, estará aceptando las Condiciones de uso de los servicios en nombre del menor en cuestión.”
Sistema de comprobación de edad
El registro es lo típico de todos de pedirte la fecha de nacimiento para ver si te mereces una cuenta u otra. Muy feo que la parte de newsletters y mierda al correo esté premarcada (pero eso es para otro episodio), pero como 1º sorpresa guarda la dirección de correo electrónico, o puede que la IP o Mac de la red doméstica a la que estés conectado para evitar que cambies de dispositivo y la puedas colar fácil.
Esto está bien, pero veremos si es infalible o no utilizando el comodín de la 2º cuenta También da error anquen sea datos móviles, por lo que vamos a dejar un día para ver si era un bloqueo temporal.
Seguro que alguno ya está pensando en que hemos encontrado el unicornio que todo lo cumple, pero la verdad es que no. Al día siguiente se prueba con los mismos datos de la 1º vez y cuela sin problemas y sin que pida que se cree una cuenta tutor ni nada por estilo. Toda la seguridad se enfoca en que un menor de 15 ponga la edad real que tiene el 1º día que lo intente
3) Propuestas de comprobación de edad que se están planteado + propia
En esta patata caliente se ha realizado mil propuestas o ideas para conseguir esa cuadratura del círculo de evitar que los menores accedan a servicios o productos en internet a los que no deben (sean videojuegos o no), pero sin que sea un sistema tan invasivo que a costa de que no se cuele ninguno, les vulnere sus derechos. Pero a la vez, cubriendo ese gran agujero que es que el menor mienta para que no se le aplique ningún control de edad.
Vamos a hablar de tres + 1, porque me parece los más concretos, y creo que los relativos a parametrizar el comportamiento e un menor ante el movimiento de cursos, respuestas o similares es más invasivo de lo que podría justificarse en este sentido. El Parlamento Europeo lo menciona junto con otras mil formas hipotéticas, como la autodeclaración que no vale para nada, pero no deja de ser un informe con vocación de nota de prensa y no una norma o algo vinculante.
3.1. Propuesta de la Agencia Española de Protección de Datos – DNIe
La propia Agencia Española de Protección de Datos propuso allá por el 2013 el uso del DNI-e para cubrir esto. Lo dijo, porque el DNI-e cuando se lo dan al menor no tiene activado la funcionalidad de firma electrónica, pero si el certificado de autenticidad para identificarlo inequívocamente
El problema de este sistema, que sí sería infalible y no vulneraría nada del menor es múltiple: solo te sirve para países con DNI (son los menos), no todos los niños tienen el DNI antes de los 14 como edad obligatoria y te exige el lector de tarjetas.
También entra un poco en juego el tema que apunta la APDCAT, en su guía de privacidad desde el diseño, de que puede que el certificado en algunos casos no sea la mejor opción si es no proporcionada o no adecuada. Teniendo en cuenta la edad de 12 en la que se batalla por aquí, no sería la mejor, no.
Para identificar a las personas usuarias se pueden pedir certificados electrónicos, que ofrecen un alto grado de robustez. No obstante, cuando la exigencia de este medio no sea proporcionada o adecuada por otros motivos, hay que aplicar otros mecanismos de identificación, como los de clave concertada.
3.2 Modelo alemán
El organismo regulador de protección de menores en línea (KJM) ha validado varios sistemas de terceras empresas enfocadas en la comprobación de edad de los menores con reconocimiento facial o tecnología biométrica: tendentes a utilizar algorítmica y machine learning para analizar los rasgos de la cara y poder predecir una edad aproximada, parece que con el límite de no hace una base de datos ni comparar con imágenes previas de la persona ni obtenerlas de mezclar bases de datos
Ya llevamos mucho rollo encima para intentar entrar a valorar una a una con la poca información disponible, pero espero que haya hecho los deberes de ponderación. Aún con eso, no lo sé.
Como ejemplo de un sistema aprobado por el KJM que se aplica efectivamente en la industria como una de los posibles vías de comprobación, tenemos a Yoti. Así dicho suena a periférico raro japonés, pero es el subproveedor reconocido que presta reconocimiento facial en la comprobación al proveedor/filial de comprobación de edad de Epic: Superawesome.
3.3 Propuesta de la CNIL (autoridad francesa) y su “laboratorio numérico”
Una de las más nuevas, y creo que más predicamento puede tener a nivel mundial, es la que plantea la autoridad francesa de protección de datos. Todavía está a nivel de planteamiento, pero parece que la pieza que va encajar con la futura normativa francesa que prohíbe entrar a menores en webs porno/obligar a establecer sistemas de comprobación a sus proveedores.
Bajo el supuesto de cualquier persona que quiere entrar en una página porno con la problemática de que quiere se sepa, pero a la vez que la web pueda probar que no se le cuela ningún menor, se plantea la web a la que quieres acceder con límite de edad te provea de un documento ciego que no dé datos del acceso para que tú como usuario se lo pases a comprobar a una tercera entidad validada (tu banco, tu compañía de la luz, telf….) que ya sepa que eres mayor de edad para que lo valide y lo pueda subir de vuelta a la web.
La idea es que la web tenga el sistema para hacer todo esto en el momento en varias pantallas sin que tengas que salirte fuera. Pero con el rizo de que ninguna de las partes sepa la identidad real u obtenga información que no tenía, es decir, lo que se llama Zero Knowledge Proof.
Todo lo dicho, se explica mejor en la infografía a la que conduce el hiperenlace de antes.
3.4 Propuesta propia
Finalmente, vamos con la propuesta que hice como parte del estudio del premio de protección de datos que la Agencia Española de Protección de Datos y la Agencia Vasca de Protección de Datos me concedieron por analizar el cumplimiento en materia de protección de datos en el supuesto de los triple A. Estaba enfocada en el supuesto español, y, por tanto, pecaba de la exigencia del DNI. Viendo que EPIC ha listado que bastantes países con algún tipo de documento, y por hacer la labor de aportar algo propio, aunque no sea perfecto:
Habilitar un sistema en base a los siguientes parámetros, ordenados en función a las distintas fases del proceso:
- Solicitud de introducción de una fecha a través del sistema de campos a este efecto, con un aviso de que se revise que los datos introducidos son correctos;
- Solicitud de una imagen del anverso del documento nacional de identidad, pasaporte o documento similar en el país (aquí ayudaría que no se permitiera a los de 13, sino más al límite de los 15 de Ubi para garantizar que tenga ese documento público) en el que figura la fecha de nacimiento, eliminando en el proceso cualquier otro dato que no sea dicha fecha de nacimiento o el nombre y apellidos para que nunca lleguen a ser almacenados, especialmente la fotografía. Podría valorarse permitirle al jugador visualizar previamente cómo quedaría su imagen tras ese proceso de eliminación automática de los datos distintos de la fecha de nacimiento y el nombre y apellidos; y
- Solicitud de la introducción de la fecha de nacimiento en otro formato distinto para prevenir, dentro de lo que estamos hablando, la introducción de una fecha falsa en la copia del DNI falsa que ha subido y de la que se acordaba para el 1º campo. En el caso de detectarlo, que se bloquee con registro de la IP para que no se puede intentar desde ahí otra vez por ahí y los datos se elimine de manera segura al no completarse el registro.
Eso es todo amigos. Hasta el siguiente post :).