La “quest” de la privacidad en las Oculus

Dentro de la campaña de infoxicación de Zuckerberg con el puñetero Metaverso, nos presenta el “revolucionario” Facebook Horizon. Además del cachondeo de que se llame Facebook

cuando en la careta corporativa ahora pone “Meta”, nos intenta vender varias cosas, que en el ámbito videojueguil, ya se han logrado hace tiempo:

  • Un Second Life con gráficos del Wii Sports, o sea, un documental de historia de los dinosaurios del mundo de los videojuegos.
  • La promesa de crear un mundo digital vivo y lleno de experiencias únicas conectado por el real, o sea, lo que han logrado otras como lo longevos Eve Online, Second Life, World of Warcraft o el mercado de Steam. En este enlace se puede ver un popurrí de los más conocidos: nada nuevo.

El único elemento novedoso de su fórmula viene en forma de uso de los dispositivos de realidad virtual (VR) + cosas como la incipiente tecnología de “eye tracking”. Esto es lo que puede suponer un peligro en materia de protección de datos personales, y, a su vez, el que justifica que estemos aquí escritor y lector. No olvidemos que Mark posee el dispositivo de VR más vendido en la actualidad, o sea, está en la posición cuadrar el círculo en otro sector repleto de datos personales.

Como toda buena historia, este post tendrá tres partes + una de bonus:

  • ¿Qué es eso del eye tracking?;
  • ¿Las Oculus de Mark están preparadas para hacer maldades?;
  • El rollo datero; y
  • Bonus clip sobre otras tecnologías y cosas patentadas por Mark que pueden dar “juego”.

Antes de entrar en harina, hay que definir qué es un sistema de realidad virtual o VR, más que nada, porque es la base sobre la que se implementa todo esto de lo que estamos hablando. Nos lo define muy bien Facebook/Meta por las patentes que se comentarán (y enlazarán):

“El sistema de RV 100 es un sistema controlado por ordenador que sumerge al usuario del sistema 100 en un entorno virtual mediante la simulación de los sentidos, como la visión, el oído, el tacto o el olfato, del usuario en el entorno virtual. El usuario del sistema de RV 100 puede explorar o interactuar con el entorno virtual a través de herramientas de hardware y software integradas en el sistema de RV 100. Por ejemplo, el sistema de RV 100 puede simular un entorno 3D imaginario para un juego, y el usuario del sistema de RV 100 puede jugar el juego explorando e interactuando con objetos en el entorno imaginario.

El sistema de RV 100 presenta varias formas de medios, tales como imágenes, vídeos, audio, o alguna combinación de los mismos para simular el entorno virtual al usuario. Para generar una experiencia de inmersión tanto visual como auditiva, el sistema de RV 100 simula sonidos percibidos por el usuario del sistema de RV 100 como originados por fuentes en ubicaciones virtuales deseadas del entorno virtual. La ubicación virtual de una fuente de sonido representa la ubicación de la fuente en relación con el usuario si éste estuviera realmente dentro del entorno virtual presentado por el sistema de RV 100. Por ejemplo, dada la ubicación virtual de un personaje del usuario, el sistema de RV 100 puede simular sonidos de otros personajes situados a la izquierda y a la espalda del personaje del usuario. Como otro ejemplo, el sistema de RV 100 puede simular sonidos de ubicaciones virtuales por encima y por debajo del personaje del usuario

Nótese que la simulación del olfato que se menciona está todavía fuera de juego, que la táctil está empezando a ser viable (los trajes hápticos, o el más accesible mando DualSense a.k.a mando de PS5), y que se flipan un poco con lo del audio 3D, posicional o binaural que ya tenemos en el mundo de los videojuegos de hace tiempo (y en YouTube campando libre en forma de canales de ASMR).Todo esto se puede combar con las plataformas y arneses que permitan simular el movimiento (andar en vacío, más bien) y 1º intentos de trajes hápticos que simulan sensaciones en todo el cuerpo, o incluso dolor.

Por si algún lector se aburre mucho, en el blog hay más artículos publicados sobre protección de datos y videojuegos: Creación dinámica de música 🎮 (y de datos), Dificultad dinámica en los 🎮 y protección de datos, Big Data Invaders: datanoid edition, Sony y su casting “personal” de prerreserva de PS5 y Corresponsabilidad de datos personales en los videojuegos.

1) ¿Qué es eso del eye tracking?

Como su propio nombre en inglés indica, no es otra cosa que la tecnología que permite registrar la posición del ojo en cada momento. Aunque puede sonar a algo meganovedoso, en el mundo de los videojuegos tiene una trayectoria que algunos conocerán en forma de funcionalidad que la empresa TobII Gaming ha desarrollado para multitud de juegos triple A (gran presupuesto): Shadow of The Tom Raider, Rise of The Tom Raider, Star Citizen, The División 2 o Assassin’s Creed Rogue.

Esto traducido a los videojuegos se puede utilizar en dos direcciones:

  • Para permitir una mayor inmersión y accesibilidad para personas con algún tipo de deficiencia, o sea, para el bien
  • Para conseguir un nivel de recopilación de datos personales mayor y con una certeza casi absoluta, o sea, para el mal, o a un gris tirando al negro.

Ahondando en esta 2º del mal o gris tirando al negro, tendríamos posibilidades “maravillosas” al ser nuestros ojos ese órgano que muchas veces dice la verdad sin que seamos capaces de controlarlo. La consabida máxima de que “los ojos son el espejo del alma”:

  • Conseguir saber a ciencia cierta qué anuncios son los que realmente te interesan, o la zona de tu campo de visión en la que se deben posicionar. Una especie de forma final de los actuales algoritmos que analizan tus compras o juegos en la biblioteca para personalizar la publicidad que te aparecen en mil sitios (Quién no se ha fijado en que las recomendaciones de Steam son demasiado precisas, o incluso que hacen referencia a juegos que ya tienes en otras plataformas sin relación con Steam).
  • Posibilidad de saber si estás diciendo la verdad o no a cualquier cosa que te pregunten, por el análisis del movimiento involuntario de tus ojos;
  • Tu estado de ánimo;
  • Posibilidad de inferir un patrón del sueño, cualquier trastorno ocular o peor;
  • Reconocimiento de iris u otros elementos únicos del globo ocular; o
  • La especie de técnica unificada de todo lo anterior que Mark y el resto de GAFAM pudieran desarrollar con sus infinitos recursos, algoritmos y tentáculos de recopilación y enriquecimiento de datos.

Sobre ese punto de la publicidad personalizada o “segmentación publicitaria” en argot más pijo, tenemos patentes que preparan el terreno, como paso más inmediato que eso del polígrafo sobre qué anuncios te ponen on fire, para incluir espacios publicitarios dentro del juego (fuera del mobile gaming dónde hemos aceptado ya a Cthulhu como animal de compañía). Por ejemplo,  una de Sony – US20210004863 – ADVERTISING IMPRESSION DETERMINATION, También tenemos a Facebook/Meta haciendo “pruebas” en estas lides, con arreglo a sus “(no) principios publicitarios“.

2) ¿Las Oculus de Mark están preparadas para hacer maldades?

La clave para hacerse una idea está en las patentes. Aunque Mark no nos diría nunca si esto sirve para hacer maldades, su problema es que para poder proteger la posibilidad de hacerlas te toca pasar el trago de que tus maravillosas patentes se publiquen en registro público con todo detalle y dibujos. :).

Y en esto del eye tracking, tenemos dos:

De esa 1º que nos interesa por las “posibilidades”, la propia Facebook/Meta nos indica cosillas interesantes:

  • Que los sensores faciales del visor van a captar puntos de referencia de tu cara para poder generar un modelo digitalizado para tu dichoso avatar. En un principio, pone como ejemplo la posición de la nariz, pero más adelante ya incluye la posición de las cejas, y mucho más adelante, nos lo eleva a párpado, pupila, frente, cuello y “similares”. El cielo es el límite para Zuckerberg;

  • Que se va a captar el movimiento de tu globo ocular;

  • Que se va a almacenar esa información. Aunque no lo diga, siendo Facebook es muy probable que se sincronice y esté en sus servidores, o sea, que no en tu consola o dispositivo. Y aunque estuviera en tu consola, lo más normal es que eso acabara sincronizado en los servidores del fabricante/proveedor del sistema cerrado es que es una consola (Sony, Microsoft, Nintendo o Valve si le das a la Steam Deck);

  • Esto viene muy bien para entrenar al algoritmo que luego detecte si algo te gusta o no; y

  • La colocación de los distintos sensores faciales del cacharro.

3) El rollo datero

La base que se intentará usar para legitimar este tratamiento de los datos personales que se pescan de la persona, es el interés legítimo de Facebook/Meta para hacerlo. Como es bien sabido, no es una patente de corso, sino que exige varias cosas:

  • Sea un interés verdaderamente legítimo y no solo una conveniencia o beneficio corporativo;
  • Que las expectativas razonables del jugador no se van sobrepasadas, teniendo presente que se han de interpretar en el sentido de que al jugador le venga a la mente sin indicación externa de ningún tipo. O sea, lo contrario al clásico de Facebook de ir mucho más allá de tu imaginación que vemos en maravillas como: el anuncio de Zuckerberg de que iban a borrar los datos de reconocimiento facial de las personas que salían en las fotos subidas a Facebook, cuando nunca se te ha dicho, ni se te ha pasado por la cabeza, que se eso se hacía;
  • Qu se dé un maravillo derecho de oposición; o
  • Todo esto se plasme en una bonita evaluación de interés legítimo bien hecha, sin trucos y concretando las garantías y medidas de equilibro para no arrollar tus derechos y libertades.

Si alguien se pregunta si hay más posibilidades para poder hacerlo, pues la verdad es que podrían ser dos más, teóricamente:

-La favorita histórica del público: el consentimiento. Habemus dos problemas en esto:

  • No es tan factible para la empresa: un consentimiento requiere que sea libre completamente (no te ponga entre la espada y la pared), o que sea revocable cuando tú quieras y de una manera tan fácil como fue darlo; y
  • En el otro lado está Facebook: se pasa por el forro los requisitos del RGPD para un consentimiento valido de protección de datos desde la pre-alpha de esa norma. Como ejemplo conocido y crítico en relación con las Oculus, tenemos el consentimiento forzado de abrirte una cuenta en Facebook para poder usar las Oculus Quest que te has comprado + que si cierras dicha cuenta te quedas sin los juegos para las Oculus.

-Que sea necesario para ejecutar (llevar a cabo) el contrato suscrito con el jugador, pero con una serie de limites bastante inflexibles:

  • Solo podría justificar por esa vía el tratamiento estrictamente necesario para cumplir con el contrato y nada más, es decir, que podría amparar la necesidad de realizar el eye tracking para dotar de la inmersión prometida, pero no para otros usos distintos más jugosos empresarialmente; y
  • Esa necesidad tiene que ser verdaderamente necesaria por necesidad, es decir, que no se pudiera cumplir con lo prometido en el contrato sin tratar dichos datos personales.

El resto posibles bases no colarían por lo siguiente:

  • Interés vital: aunque Zuckerberg diría que es un interés vital claro porque Facebook vive literalmente de hacer la Yakuza con tus datos personales, pues el RGPD lo reserva para casos extremos en los que alguien esté en peligro de verdad.
  • Interés público y obligación legal: solo colarán en el futuro distópico tipo Blade Runner o The Outer Worlds (al que vamos corriendo) en el que los estados serán las propias megacorporaciones.

Datos de categoría especial

Como se ha mencionada en la introducción, todas esas posibilidades de este tipo de dispositivos con sus sensores pueden suponer el tratamiento de los llamados datos de categoría especial del RGPD (más protegidos y con restricciones especiales), es decir en lo que podría afectar, entrar en el ámbito de salud y biométricos (huella, iris, venas y cualquier locura que te identifique unívocamente).

Es cierto que el mero tratamiento del movimiento del globo ocular no lo haría digievolucionar en dato de categoría especial, pero sí si lo captas por sensores o tecnologías que parametrizan o extraen elementos concretos y únicos de cada persona o de salud: iris, patrón único del movimiento del ojo, reconocimiento facial, poder inferir un patrón del sueño o el estado de ánimo, poder inferir enfermedades oculares por determinadas manchas o elementos presente en el globo ocular, graduación ocular y dioptrías. Ojo cuidao, que también contaría si se infieren este tipo de datos, aun cuando no hubiera estado previsto un tratamiento de esta categoría.

De la patente principal que se ha comentado con capturas, no se puede llegarse a afirmar el tratamiento de categoría especial, per se, pero en otras patentes relacionadas del propio Oculus (cosas que se tiene o tendrá ese mismo visor) si se juega más cerca de este sol:

1) Sensores que captan bioseñales – US10564717 – APPARATUS, SYSTEMS, AND METHODS FOR SENSING BIOPOTENTIAL SIGNALS

2) Escaneo de las medidas de la “carcasa” de cada uno – US10038966 – HEAD-RELATED TRANSFER FUNCTION (HRTF) PERSONALIZATION BASED ON CAPTURED IMAGES OF USER

3) Estiramiento de la piel de las manos para reproducir con exactitud esos movimientos, pero que podría llegar a  captar temblores con los que inferir ciertas patologías (datos de salud) o elementos únicos de tus manos que te identifiquen (dato biométrico) – US20180108226 – SKIN STRETCH INSTRUMENT

Poniéndonos en el supuesto de que haya tratamiento de este tipo, además de esa base del apartado anterior, toca cumplir con alguna de las excepciones que el artículo 9 del RGPD da. En este caso, no tenemos demasiado margen para ir por alguna vía que no sea el consentimiento explicitico del jugador, o sea, pedirle autorización en esos términos comentados de libertad y revocabilidad + el plus de que lo reconfirme con otro check, lo firme, lo acepte de manera manuscrita o cualquier otra cosa que le dé esa “reforzamiento”

El resto no cuadraría. Si alguien está pensado en aquella de los “datos manifiestamente públicos”, no cuela porque no es algo que el jugador haya puesto en abierto o compartido sin restricciones por el mero hecho de “portarlo”, sino que se han obtenido haciendo magia técnica. Sobre esta excepción, el Comité Europeo de Protección de Datos (EDPB) da unas pautas de valoración en sus Directrices 8/2020 sobre la focalización de los usuarios de medios sociales.

Tratamiento totalmente automatizado y con repercusiones “simpáticas”

Avanzando un poco más en esto, llegamos al reino abisal de los algoritmos totalmente automatizados que gobiernan casi cualquier servicio o tecnología existente. En la protección de datos, lo importante es ver si que todo esto que utilicen las Oculus es totalmente automatizado o sin intervención humana (se presume que sí por necesidad de funcionamiento), y si provoca efectos jurídicos o significativamente similares sobre el jugador, para ver si debe cumplir otro requisito adicional que se regula en el artículo 22 del RGPD.

Tienen que darse ambos. Este 2º es muy fácil de valorar en casos típicos como la denegación de un seguro, puesto de trabajo o visado, pero más difícil en el caso que nos ocupa por no tener suficientes elementos para valorar si entra o no entra en esa categoría. En el futuro en que esto se implemente, o al menos se menciona en la patente, podremos volver a hablar del tema.

En caso de entrar, tendríamos una situación similar a la del principio de este apartado de rollo datero: consentimiento del tipo reforzado o explícito, o por contrato solo en lo estrictamente necesario y nada más. La tercera vía de que una ley te lo habilite, exige que hubiera una ley que lo hiciera. Por ejemplo, en relación con un tratamiento puro de seguridad técnica (evitar el uso de cheats o implantar sistemas que los detecten) podría justificarse por el artículo 16 de la Ley de seguridad de las redes y sistemas de información, al determinar que los prestadores de servicios digitales deberán aplicar y adoptar las medidas para gestionar los riesgos.

Todo lo anterior, sin perjuicio de que, aunque no entre en este 22, sería un perfilado del jugador por cuanto que extrae conclusiones del mismo y las parametriza. Es decir, que tocaría informar del mismo y advertir de las consecuencias que provocaría

Evaluación de impacto

Solo por la escala del tratamiento de Facebook/Meta con estas dichosas gafas de VR ya ameritaría a hacer este análisis y aportación de garantías concreta que toca para tratamientos de alto riesgo. Aunque se escapara del tenor literal artículo 35 del RGPD, cumpliría con más de los dos supuestos que la Agencia Española exige para en su listado de esta materia. No amerita meterse más en este rollo.

Que no sea un tratamiento de datos personales

Como punto final del rollo datero, toca hablar de un matiz que, en el caso de ser así, haría que todo lo anterior no aplicara por haber tratamiento de datos personales.

El artículo 2 del RGPD establece la escapatoria de que no haya tratamiento si no se almacena de ningún modo la información (o al menos, que no lo hubiera de datos de esa categoría especial), es decir que la finalidad fuera totalmente inmersiva y el sistema solo tuviera en cuenta en tiempo real el dato sin almacenarlo. Esto es muy improbable porque el modus operandi habitual es el servidor y la nube, y se menciona algunas veces en las patentes comentadas. Ahí está la posibilidad.

4) Bonus clip sobre otras tecnologías y cosas patentadas por Mark que pueden dar “juego”

Además de que esas esas tres patentes comentadas en el apartado de dato de salud o de categoría especial porque casaban como Mario y Luigi, podemos destacar un par de ellas que podrían llegar a dar juego en lo datero. Como ya llevamos una buena racha de imágenes de patentes rarunas y mareantes, solo dejaré la referencia y enlaces de consultas para que el que quiera se martirice a mayores cuando guste:

Conclusiones

  • La tecnología puede ser algo maravilloso y muy beneficioso, pero solo si en su desarrollo e implantación se aplican criterios de ética y derecho que previenen las malas ideas. Si no se hace, corremos el riesgo de ir directos a la distopía de las megacorporaciones que actúan como estados y nos controlan más que la Stasi. El mantra de que “la información es poder” sigue vigente.
  • Mejor evitar los productos y servicios de Facebook/Meta.
  • Si el lector es jugador, se recomienda andar con cuidado datero en las aguas de la industria del videojuego, porque las autoridades de protección de datos todavía no tienen ubicado que existe y que alberga horrores equivalentes a los que sí divisan.