Después de un tiempo sin publicar, vuelvo con el tema que ha ocupado los dos últimos post publicados, y que no es otro que la sagrada e ilustrísima protección de datos, aplicada a los videojuegos . En el anterior, hablaba de la idea de matar “moscas cheaters” a cañonazos de Riot con su sistema de detección de tramposos, Vanguard; y en esta ocasión nos vamos a la idea de bombero (de los que ponen bombas) que ha tenido Sony para darle lustre a la prerreserva de la futura PS5. Aviso que volverá a ser un rollo de protección de datos/RGPD.
Es un tema del que hablamos Pablo Corrales y un servidor en el último episodio del podcast Jugando a Derecho publicado hace nada, aunque sin tando detalle de psicópata datero. Enlace al tweet en el que se incluye los links de las 4 plataformsa en las que está disponible para todo aquel que quiera echarle una oreja: Episodio 4º -“Prerreservado”
Después de este autospam basado en el interés legítimo más puro de universo, vamos al lío.
¿Qué es eso que está haciendo Sony?
Sony en un alarde de jugada de marketing perfecta (no va con segundas, ni es sarcasmo) ha creado un sistema de prerreserva con la particularidad de que está limitado a aquellos verdaderos sonyers, es decir, fans acérrimos de la marca japonesa que demuestren su compromiso y enarbolen orgullosos los colores de la marca como si les pagaran.
Este sistema consiste en la comprobación de los datos de tu cuenta e información de jugador del ecosistema Playstation (PS) con el objetivo de concluir si te mereces que te inviten preferentemente a conseguir la consola, o si no eres digno de ese honor. La inscripción se hace a través de un formulario online en la página de Sony que tiene solo dos campos de texto: ID o nickname de PS y confirmación del mismo.
Una vez que le des al botoncito de inscripción, Sony hará su magia Big Datera y valorará si mandarte una invitación a preservarla para que continúes con el proceso, es decir, que pases al punto de dar la señal y formalizar que guarden una solo para ti.
Antes de entrar en el meollo jurídico de alto riesgo, el formulario ya va haciendo daño a los ojos al no incluir en ningún momento información de protección de datos (no vaya a ser que ese ID sea dato personal seudónimo), pero aprovechando ese espacio para meterte anudado a ese único botón de inscripción la aceptación del envío de newsletter y publi por doquier.
El chiste está en que, en principio, ya podrían hacer ese envío de publi a los que se inscriben por ser clientes actuales de Sony (la conocida excepción del artículo 21.2 de la LSSICE), siempre que sea la propia Sony la envíe publi similar a lo contratado por el jugador; y salvo que quieran fusilarte con el resto de productos y servicios de Sony, o que estén intentando obtener la prueba de tu consentimiento para legitimar el envío de publi que ya hacían sin poder. Esta última la planteo, no solo porque es un poco raro que se incluya por lo dicho, (en Valladolid se piensa mal siempre) sino también por el hecho de que lo único que te piden es el ID o nombre de usuario de tu cuenta y no el correo electrónico.
Como curiosidad, Sony pidió disculpas por el caos y falta de unidades al abrir este polémico sistema, provocado en parte por los maravillosos especuladores y bots que agotan las existencias para luego sablear a aquellos que no pudieron conseguirla, o alterar el precio de mercado. Y la preserva está limitada a
- 1 consola con lector o digital;
- 2 mandos (dualsense);
- 2 estaciones de carga de los mandos;
- 2 cascos inalámbricos 3D (Supongo, y espero que se referirán a sonido binaural);
- 2 cámaras HD; y
- 2 mandos a distancia.
¿Por qué esta prerreserva es una alerta roja en protección de datos?
Principalmente, porque supone varios de los tratamientos más intensos e invasivos para los derechos de los jugadores/interesados que existen. De aquellos que el interesado no es consciente de que están llevando a cabo, ni del alcance que tienen, ni del gran impacto que tendrán sobre él al discriminarle por ese hecho.
Tendríamos:
- Elaboración de perfiles o profiling por esa valoración/análisis de los datos personales de la cuenta del jugador para extraer conclusiones que lleve a Sony a determinar si debería invitarte a prerreservar la consola a ti o a tu primo, en atención a cuál de los dos tiene un perfil más beneficioso para la compañía. No conocemos los parámetros del algoritmo que rige el análisis (seguramente no tenga muchas restricciones en cuanto a datos no valorables), pero por centrar en lo podría ser lo más sensato y limitado, podríamos decir que la conclusión a extraer sería cuán rentable has sido para Sony a lo largo de tu vida como jugador de Playstation (compras in-game y la tienda oficial junto con los importes y la periodicidad, número de consolas adquiridas, ediciones coleccionistas o versiones especiales de la consola, etc…)
- Decisión automatizada porque, aunque no tenemos más información que el sistema de inscripción y que se hará esa valoración o profiling, es casi seguro que el sistema esté automatizado por ser inviable que personal de Sony pueda gestionar los millones de datos de todos los jugadores que se inscriban, sin que un algoritmo creado para ello haga esa valoración y automáticamente envíe la invitación a aquellos que han dado como “aptos”.
Por esa misma razón de ser inasequible y casi imposible hacerlo sin automatizarlo, podemos decir, que estos dos tratamientos entrelazados entre sí, se presentarían en su versión “Super Saiyan o del artículo 22 del RGPD, es decir, totalmente automatizado porque ninguna persona (empleado de Sony o tercero) participa ese proceso, y con efectos significativamente similares a los jurídicos para el jugador, porque le estarían discriminando en el acceso a la consola. Como ejemplo más reconocible de estos efectos equivalentes a los jurídicos, está una hipotética denegación de un puesto de trabajo por la valoración de tus redes sociales.
Esta versión de los tratamientos evolucionada, llevaría a Sony a cumplir con más garantías: una evaluación de impacto, cumplir con una de tres excepciones del artículo 22 para llevar a cabo el tratamiento, dar el derecho a impugnar la decisión, opinar y solicitar intervención humana, así como a ser informado de la lógica aplicada (explicación del funcionamiento de esa toma de decisión), de su importancia y las consecuencias previstas.
¿Existiría forma de hacerlo legalmente?
Es una buena pregunta, ya que son tratamientos muy invasivos en relación con la finalidad que, en teoría, los justifica. Habría que cumplir varios elementos, pero como spoiler, ya digo que a mí me escaman dos claves (uno solucionable, aunque sin gracia para Sony) que haría que se cayera el castillo de naipes:
Desde el punto de vista de las bases de legitimación, de todas las etiquetas que tenemos en el artículo 6 del RGPD, podría encajarse solamente en el consentimiento, ya que no cuelan interés vital porque nadie se muere o está en peligro, interés público porque Sony no desempeña una labor de este ámbito, obligación legal porque no lo es (solo faltaría un perfilado para reservar cualquier cosa), ejecución del contrato o medidas precontractuales a petición del interesado porque no es estrictamente necesario para hacer una prerreserva, o interés legítimo porque ni de coña pasa la ponderación o juicio de necesidad y proporcionalidad.
El consentimiento, tal cual lo tiene Sony ahora mismo (cerrando los ojos muy fuerte y considerando que ese “sign up” lo fuera), no cumpliría con ninguno de los elementos del consentimiento:
- Libre: lo supedita a la aceptación de los términos, así que la verdadera capacidad de elección no sé dónde se queda;
- Inequívoco y específico: no sabes lo que aceptas con único botón, así que nada; e
- Informado: ni una coma de información de protección de datos.
Y si estuviera bien enfocado, tendríamos ese problema de la libertad o capacidad de elección del jugador al anudarlo a la participación en la prerreserva, y que llevaría a que fuera un consentimiento separado (optativo) del principal (prerreserva) para ser legal
Suponiendo que fuera un tratamiento totalmente automatizado, además de esas garantías mencionadas de evaluación de impacto, derecho impugnar la decisión, intervención humana o conocer la lógica del sistema aplicada; tendríamos que encajarlo en una de las tres etiquetas del 22: consentimiento explícito, ejecución de contrato, o autorizado por una norma. Dos de ellas son imposibles porque no es necesario para que el precontrato de esta reserva se lleve a cabo, y ninguna ley nos autoriza está mirada con lupa intensa del jugador; así que nos queda otra vez el consentimiento en su versión reforzada, es decir, algo más solemne y concreto. Por ejemplo, el socorrido: “estoy de acuerdo con el tratamiento de mis datos para…”
Hablando de esa evaluación de impacto justificada por la versión totalmente automatizada, no veo muy posible que saliera positiva en atención a que no es un nada proporcional a la finalidad que se busca, sobre el juicio de necesidad, tres cuartos de los mismo; y que la mejor medida para equilibrar ese alto riesgo en los derechos del jugador sería no hacerlo. Recordemos que en el caso de ser negativa debería acudirse a la autoridad de protección para que decida, pero todavía lo veo menos probable.
Desde el punto de vista de información, darle caña al artículo 13, y en todo caso, al ser una elaboración de perfiles, un bonito derecho de oposición al mismo.
Conclusiones
- Una decisión desafortunada en protección de datos, que podría justificarse por un consentimiento explícito y separado del principal para participar, pero que sería muy posible que se cayera por no superar la evaluación de impacto preceptiva.
- Sony Europa tiene un delegado de protección de datos en Londres, y estaría bien que valorara estas cosas con carácter previo. Al final está ahí para supervisar lo que se hace en protección de datos y asesor al respecto. Y en caso de no ser suficiente, tocará buscar a algún loco que sepa de estas maldades 😉
- “Manolete, ¡si no sabes torear pa qué te metes!”