El sector de los videojuegos se encuadra dentro del sector de la información y comunicación, también conocido como sector TIC. En sentido estricto, el sector TIC se compone de cuatro sectores: edición, medios audiovisuales (cine, música, video y televisión), telecomunicaciones y procesamiento de datos (programación, consultoría informática y servicios de información).
Se puede afirmar que el sector de los videojuegos ha aumentado exponencialmente con el paso del tiempo, especialmente en los último 5 años. Dicha información se puede confirmar en el último informe presentado por la Asociación Española de Videojuegos (AEVI) donde viene definir el impacto total sobre la producción del sector del videojuego y su efecto sobre la economía española, produciendo un valor que llegó a superar los 3.000 millones de euros.
Ahora bien, debido a la inmensa cantidad de datos que se mueven dentro de la industria de los videojuegos, en especial dentro de los denominados juegos online o dentro del sector de los esports, es necesario tener en cuenta el impacto de la normativa en materia de Protección de Datos sobre dicho sector.
Para poder analizar el impacto en materia de Protección de Datos, se deberá tener en cuenta la siguiente normativa:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en adelante “RGPD”.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante “LOPDGDD”.
Una vez definida la normativa, las claves a tener en cuenta deben ser las siguientes:
1. Política de Privacidad: deber de informar y consentimiento del interesado.
Cuando la compañía de videojuegos actúe como responsable del tratamiento al recabar datos de los jugadores deberá informar de manera clara, sencilla y concisa sobre las circunstancias relativas al tratamiento de datos del interesado. La manera más habitual de informar al interesado es mediante la aceptación de la Política de Privacidad cuando se registra como usuario. Dentro de dicha Política de Privacidad, la compañía deberá informar de lo siguiente:
• Identidad y datos de contacto del responsable, y en su caso, de su representante.
• Contacto del Delegado de Protección de Datos.
• Finalidades del tratamiento.
• Bases jurídicas del tratamiento.
• Destinatarios de los datos recogidos.
• Informar sobre la transferencia de datos personales a un tercer país internacional.
• Información sobre el plazo durante el cual se conservarán los datos personales.
• Derecho al acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• Derecho a presentar una reclamación ante la autoridad de control (AEPD).
• Información sobre si la comunicación de datos es requisito legal o contractual, y si el interesado está obligado a facilitar los datos personales. Si eso fuese necesario, deberá de informar de las posibles consecuencias de no facilitar tales datos.
• Información sobre la existencia de decisiones automatizadas (incluida la elaboración de perfiles) así como las consecuencias previstas de dicho tratamiento para el interesado.
2. Menores de edad: control parental y consentimiento inequívoco.
Todo jugador mayor de 16 años podrá dar su consentimiento para el tratamiento de sus datos acorde a lo establecido en el RGPD, sin embargo, la compañía de videojuegos, al ofrecer distintos servidores a los cuales se pueden acceder desde cualquier parte del planeta, deberá tener en cuenta la normativa interna de cada país, y si nos centramos exclusivamente en la Unión Europea, la empresa que ofrezca la posibilidad de jugar online tiene la obligación de prestar especial atención a lo establecido en el RGPD, ya que permite que la legislación de cada país establezca la edad mínima para recabar el consentimiento, siempre y cuando nunca sea inferior a 13 años.
La compañía de videojuegos será la encargada de verificar que el consentimiento que se ha otorgado por parte del jugador sea válido, o en su caso del padre o tutor. Para estos casos se recomienda recabarlo por medio de un documento a través del cual se acredite la autorización del tutor o progenitor.
Es importante destacar este punto, ya que la compañía deberá implantar todas las medidas necesarias para cumplir con todos los requisitos establecidos en el RGPD, ya que en el momento que recabe dichos datos, se convierte en responsable del tratamiento.
La compañía podrá establecer su propia normativa y una edad mínima para darse de alta como jugador, siempre y cuando siga lo definido en el RGPD y en el caso de España, en la LOPDGDD.
3. Servidores dedicados: Medidas técnicas y organizativas.
Se podría definir servidor de videojuego o servidor gaming como un servidor que puede ser local o en remoto, y es usado por los jugadores de un videojuego para acceder de manera online. Existen diversos tipos de servidores como el denominado servidor dedicado, cuya función principal es recabar toda la información y redistribuirla entre los jugadores conectados, pero también existen otro tipo de servidores como el compartido, público, oficial o privado.
La mayoría de las empresas que distribuyen juegos online ofrecen sus servicios utilizando un servidor dedicado debido a que recoge todos los datos y los reparte a los otros jugadores. Es más eficiente que un sistema “peer-to-peer” a través del cual se comunican directamente. De tal modo que así se logra inmediatez y comunicación instantánea entre jugadores.
Sin embargo, la empresa o responsable del tratamiento que ofrezca dichos servicios deberá adoptar una serie de medidas técnicas y organizativas, entre las cuales podemos destacar las siguientes:
Cumplimiento de PCI: la empresa deberá cumplir con una serie de requisitos de seguridad para la realización del pago con tarjeta (PCI/DSS), de tal modo, que cumpla con las medidas necesarias para proteger la confidencialidad de los jugadores que realizan compras online.
Seguridad en remoto: dichas empresas deberán fortalecer el sistema que proporciona una protección continua de datos, como, por ejemplo, la creación de un servidor espejo en la nube, de tal modo, permita a la empresa recuperar los datos actualizados y de manera inmediata.
Firewall: deberán aumentar la protección de los servidores de manera proactiva tal y como permiten la instalaciones de firewalls protegiendo constantemente de nuevos ataques maliciosos, malware o virus.
Certificación SSL: todo juego online acepta transacciones económicas a través de página web o sus servidores, por lo que deberán contar con un sistema de encriptación avanzando. Uno de los métodos más conocido es la certificación SSL, la cual permite detectar ataques en tiempo real y asegura con una mayor protección todo los datos que puedan llegar a considerarse de carácter sensible.
Políticas de seguridad: dentro de las medidas organizativas, las empresas de videojuegos deberán crear una serie de políticas internas de seguridad para empleados y usuarios de los sistemas de información. Además, para afianzar la confianza con los usuarios y demostrar la proactividad como responsable, podrá crear un comité de seguridad, que revise la toma de decisiones, nombrar un Delegado de Protección de Datos para mitigar los riesgos a los que están sometidos los sistemas de información, analizar los procedimientos y procesos entre otros. Por último, para ayudar a mejorar la seguridad de la información y la privacidad, la compañía podrá implantar el marco de gestión de la ISO/IEC 27001 en materia de seguridad de la información, el cual viene a definir un compromiso con la dirección de la empresa y la política de seguridad o definición de competencias, concienciación y comunicación de la información.
Para terminar con un ejemplo y la importancia de implantar unas medidas de seguridad acorde al servicio ofrecido, habría que hablar sobre PlayStation Network (PSN), el servidor en la nube que ofrece Sony a todos sus jugadores para que disfruten de los juegos de manera online o compra de videojuegos. Dicho servicio recopila desde el log in de los usuarios, la información personal hasta sus datos bancarios.
Una vez definido las funciones de PlayStation Network cabe señalar que en 2011 sus servidores se vieron comprometidos por primera vez mediante un fallo de seguridad, permitiendo el acceso a toda la base de datos durante un periodo de tiempo. Supuso el robo de información personal de más de 77 millones de usuarios.