Los videojuegos dejaron de ser hace tiempo un simple pasatiempo
para convertirse en una industria cultural muy poderosa, en la que
millones de jugadores interactúan, compiten y comparten
experiencias. Pero, detrás de cada partida, cada logro
desbloqueado o cada compra dentro del juego, hay algo más:
nuestros datos personales.
Los videojuegos tratan multitud de datos personales
y no siempre somos conscientes de cuales se tratan ni para qué
(Foto: Unsplash).
Desde el
nombre de usuario hasta el
comportamiento
en el juego, pasando por la
ubicación o los
hábitos de
consumo, la industria del videojuego recoge, analiza y, en
ocasiones,
comparte con terceros información que puede ser
muy sensible.
Un ecosistema con muchos actores y responsabilidades
El
tratamiento de datos
personales en los videojuegos afecta a un ecosistema
amplio y diverso: cada actor tiene un papel distinto, desde los
proveedores de
hardware (fabricantes de consolas, de
tarjetas gráficas o de periféricos específicos para el juego) o de
tecnología para el desarrollo (
bibliotecas,
middleware
-software intermediario para la gestión de datos-,
kits de
desarrollo de software,
interfaces de programación de
aplicaciones o API, paquetes de código, motores) hasta los
editores
que financian, comercializan, distribuyen y, en ocasiones,
"producen" los juegos.
También se incluyen aquí los
storefronts,
plataformas online de distribución donde los jugadores
compran
o descargan juegos. Actúan como
intermediarias entre
editores, plataformas de hardware y consumidores finales.
Cada uno de estos actores tiene la obligación de
cumplir con
normativas de protección de datos en distintas partes del
mundo. Sin embargo, la complejidad del sector y de las relaciones
entre los diferentes actores participantes, más la globalización
de los servicios,
hacen que no siempre sea fácil garantizar
que todos los eslabones de la cadena actúen con la debida
responsabilidad.
¿Qué se hace con los datos personales?
No todos los juegos tratan los mismos datos personales con la
misma finalidad o de la misma manera. No es lo mismo un
juego
offline y de un solo jugador, como un clásico de rol para
consola, que un
Massively Multiplayer
Online (MMO) o un
juego online gratuito -free
to play-. En el primer caso,
es posible que el único dato que
se almacene sea el progreso en la partida y que, además, se
guarde
localmente en el dispositivo. Sin embargo, en los
juegos en línea, especialmente aquellos con modelos de negocio
basados en
microtransacciones o publicidad, el volumen y
la variedad de datos personales que se recogen
aumentan
exponencialmente.
Su tratamiento
abarca numerosas
actividades, pero hay tres fundamentales que se
repiten en casi todos los casos. La primera es la
creación y
mantenimiento de cuentas. Para acceder a la mayoría de los
juegos en línea, es necesario crear una cuenta, lo que implica
proporcionar datos como el
correo electrónico, el
nombre
de usuario o, en algunos casos,
información de pago.
Estos datos se utilizan para identificar al usuario, gestionar su
perfil y permitirle acceder a sus progresos desde diferentes
dispositivos.
Lo malo es que
no todos los juegos son transparentes sobre qué
datos recogen durante el registro y con qué finalidad.
Algunos solicitan
permisos excesivos, como el
acceso a
la lista de contactos del teléfono o a la
ubicación en
segundo plano.
Objetivo: monitorizar al jugador
Otra actividad común es la
telemetría, es
decir, la
recolección de datos en tiempo real sobre el uso
del juego. Esto incluye desde
monitorización técnica (como
el rendimiento del dispositivo o los errores del software) hasta
datos
de comportamiento (como las acciones del jugador, el tiempo
de juego o las interacciones sociales).
Esta monitorización puede tener diferentes finalidades:
equilibrar
la dificultad,
diseñar niveles más atractivos,
ofrecer
recompensas y misiones adaptadas a las preferencias de cada
jugador, etc.
El problema surge cuando el tratamiento de datos
va más allá
de lo necesario o proporcionado, o cuando
no se informa
claramente al usuario sobre ello. Por ejemplo, algunos
juegos recogen
datos biométricos (como el
ritmo
cardíaco o
neurodatos a través de "
wearables")
sin
que el usuario sea consciente de las implicaciones de
compartir esta información.
En la misma línea, en los modelos free-to-play, la telemetría
puede
ayudar a identificar a los jugadores con mayor probabilidad de
realizar compras dentro del juego (se les conoce como
"ballenas" o "whales"). Esto permite
dirigirles ofertas
específicas e, incluso,
explotar sus vulnerabilidades o
sesgos.
Información que se deduce mientras jugamos
Los datos de los jugadores también se registran para hacer
inferencias de
comportamiento. Mediante
técnicas de análisis
predictivo, muchas veces basadas en inteligencia artificial,
diferentes actores del ecosistema pueden extraer conclusiones
sobre los jugadores,
que van más allá de los datos explícitos
que éstos han proporcionado.
Por ejemplo, un juego puede clasificar a los usuarios
en
función de su habilidad, personalidad o su estado emocional,
y utilizar esos perfiles para personalizar la experiencia o
mejorar los emparejamientos.
Pero también para venderlos a
terceros.
Para hacernos una idea,
se puede inferir que un usuario es
menor de edad basándose en su patrón de juego o en las
compras que realiza,
incluso si este ha proporcionado una
fecha de nacimiento falsa.
O se puede detectar que alguien
tiene tendencias adictivas
y, en lugar de alertarle, utilizar esta información para
mantenerle enganchado con
recompensas variables, un
mecanismo similar al de las máquinas tragamonedas.
Las amenazas: lo que puede salir mal
Como se puede observar, el tratamiento de datos personales en este
contexto
no está exento de riesgos. Para empezar, los
juegos en línea son un
objetivo frecuente de ciberataques.
Si un adversario logra acceder a las bases de datos de una
plataforma, puede robar información sensible, como
contraseñas,
direcciones de correo electrónico, datos de pago o datos
biométricos.
Pero existen otras muchas amenazas que, probablemente, no sean tan
obvias. Una de ellas es la
vinculación.
Aunque muchos juegos evitan la utilización de identificadores
explícitos o directos, existen datos como
la dirección IP o el
comportamiento en el juego (por ejemplo, un patrón único de
juego, como un estilo de movimiento o un ritmo de disparos) que
pueden ser suficiente, por ellos mismos o mediante
combinación
de patrones, para asociar diferentes sesiones de juego,
cuentas o transacciones a una misma persona.
Ésto es especialmente preocupante porque
se puede obtener un
perfil para cada jugador, y puede usarse a modo de
huella
digital única e intransferible, para
rastrearle o
vigilarle en el juego o en otros entornos digitales.
La vinculación también puede
facilitar la identificación,
de manera que se llegue a
conocer la identidad real de un
jugador. Así, el
doxing (divulgación pública de
información privada) es un riesgo real en comunidades de
jugadores. Datos como
nombres de usuario,
direcciones
IP o
conversaciones en chats pueden filtrarse o
usarse para
acosar, extorsionar o discriminar a una persona.
Así, en juegos multijugador, donde la interacción social es clave,
la exposición de datos personales puede tener consecuencias
graves, como el
robo de identidad o el
riesgo para la
integridad física.
Datos erróneos y patrones de diseño adictivos
Por otro lado, los datos recogidos en los juegos y las inferencias
realizadas a partir de ellos
no siempre son exactos o
correctos. Por ejemplo, un juego puede
clasificar
erróneamente a un usuario como "con tendencias adictivas",
basándose en patrones de juego atípicos (como
sesiones largas
durante un fin de semana, por ejemplo). O como "tramposo",
tras la recogida de información de ciertos eventos. Estos errores
no sólo afectan a la experiencia del usuario, sino que
pueden
tener consecuencias legales si se toman decisiones
automatizadas (como la exclusión de un jugador),
basadas en
datos o inferencias incorrectos, tanto dentro como fuera del
juego.
Asimismo, hay que tener en cuenta el engaño o manipulación a
través del uso de
ciertos patrones de diseño en los interfaces
o de mecánicas de juego específicas, como los
sistemas
cosméticos -para modificar la apariencia del personaje–,
skins -aspecto visual
alternativo- o
personalización de avatares. Estas amenazas
pueden llevar a los jugadores a tomar decisiones que de otro modo
evitarían, mediante la explotación de sus
vulnerabilidades
psicológicas y sesgos cognitivos.
De igual manera, muchos juegos están diseñados para
maximizar
el tiempo de juego, la
obtención de datos personales
o el
gasto (por ejemplo, a través de las cajas de botín o
los pases de batalla). Esto puede tener un
impacto mayor en
los más jóvenes, al conducirles a realizar
compras no
autorizadas o a desarrollar
conductas adictivas.
¿Qué se puede hacer?
Aunque la obligación recae en los responsables de los diferentes
tratamientos de datos personales, las personas que juegan también
pueden tomar medidas para proteger sus derechos:
• Leer las
políticas de privacidad y la información que se
proporciona. Aunque, a veces, puedan ser largas y complejas, es
importante entender
qué datos personales se tratan y para qué.
Si algo no nos convence,
consideremos no utilizar ese servicio.
Seamos críticos: ¿de verdad tenemos que conectar el juego con
nuestras redes sociales? ¿O activar ese chat de voz?
• Ajustar la
configuración de privacidad. Muchos juegos y
plataformas
permiten limitar la recolección de datos o
desactivar ciertas funciones de telemetría e inferencia.
Revisemos estas opciones al empezar a jugar y elijamos las que
mejor se adapten a nuestras preferencias.
• Usar
contraseñas seguras y autenticación en dos pasos.
Esto reducirá el riesgo de que nuestra cuenta sea "secuestrada" y
de que suplanten nuestra identidad.
• Tener
cautela con los datos que compartimos. Es mejor no
proporcionar información sensible (como dirección física, datos de
pago, biometría),
a menos que sea absolutamente necesario.
De nuevo, cuestionemos la información que se nos ofrece y
no
aceptemos nada ciegamente.
•
Educación y concienciación. Podemos hablar con otros
jugadores, especialmente con los más jóvenes, sobre la importancia
de la privacidad y los riesgos asociados al uso de videojuegos.
También es útil
leer las recomendaciones de las autoridades de
protección de datos personales o de otras instituciones de
confianza (educativas, del sector de la salud, comunidades
profesionales de juego, etc.).
Jugadores conscientes de sus derechos
Los videojuegos son una forma de
entretenimiento, arte y
socialización que ha transformado la cultura moderna. Pero,
como en cualquier otro ámbito digital, el uso de datos personales
conlleva riesgos que no deben subestimarse. La industria
tiene la responsabilidad proactiva de garantizar que estos datos
se
traten de manera ética, transparente y, obviamente, conforme a
la ley.
Los jugadores, por su parte, deben ser
conscientes de sus
derechos y tomar medidas para proteger su privacidad. El
objetivo
no es demonizar el tratamiento de datos personales,
sino asegurar que se haga de manera que el sector pueda
desarrollar su actividad económica e innovar, mientras se
proporciona a los jugadores una excelente experiencia de juego
sin
comprometer sus derechos fundamentales. Y nosotros, ¿hemos
revisado alguna vez qué datos recoge nuestro juego favorito?
(Fuente: Xataka / The Conversation / varios /
redacción propia)