La industria de los videojuegos y las comunidades de usuarios son especialmente sensibles en materia de ciberseguridad. Es un sector que, por sus características, exige el nivel más alto de profesionalización en protección de datos, incluyendo la designación del DPD. Ciertas prácticas y conciencia sobre los riesgos se consideran necesarias para un gamer o deportista electrónico que se preste de serlo. Los videojuegos son un terreno de exigencia para los expertos y especialistas en privacidad y la protección de datos.

Hay un sector de los universos digitales especialmente delicado en lo que a ciberseguridad se refiere: los videojuegos. Las redes que tienen como objetivo a las comunidades de jugadores en red tienen un nivel importante de sofisticación, aunque los delitos sean más o menos típicos: suplantación de identidad, robo de datos personales, etc.

Entre 2018 y 2019, en época justo anterior a la pandemia, hubo 12 mil millones de ataques a comunidades de jugadores y equipos de desarrolladores (Akamai). Las enormes necesidades de recursos técnicos y económicos que demanda el sector de los videojuegos pone en movimiento medidas de protección extraordinarias. En concordancia, el equipo informático de un deportista electrónico tiene defensas totalmente fuera de alcance para el típico equipo u ordenador de oficina o los destinados a utilización doméstica.

Ahora bien, hay ciertos escenarios típicos en relación a videojuegos y protección de datos. Uno de ellos es la edad. Incluso en los exclusivos círculos de los jugadores profesionales, la cantidad de menores de edad es mayúscula. Se sabe que la conducta digital de los más jóvenes es mucho más laxa en materia de seguridad, algunos expertos argumentan que los nativos digitales dan la ciberseguridad por sentada a la vez que, por su condición de menores, se convierten en personas más vulnerables como así lo recoge el propio RGPD.

Los jugadores en red más jóvenes son vulnerables a la extracción de sus datos. Sobre esto, debe tenerse presente que un gamer, a medida que avanza y sube de nivel, genera un movimiento económico importante y constante; necesita mejoras en el hardware y la conexión, luego buscará ediciones para complejizar su alter ego digital o su personaje y más tarde reunirá objetos, artefactos, bibliotecas de datos, etc. efectos todos ellos virtuales pero no ajenos de valor emocional para su legítimo titular.

Lo anterior significa que ese jugador tiene datos personales almacenados: información bancaria, localización, contactos, etc. Y esto sin nombrar el continuo flujo de datos generado, extraordinariamente valioso para tratamientos Big Data.

Así, la conocida figura del responsable del tratamiento de los datos tiene tareas delicadas si trabaja en un sector como los videojuegos. Sobre todo con los menores de edad, en donde el Reglamento General de Protección de Datos (RGPD) implica un consentimiento para el tratamiento de la información plenamente autorizado por el tutor legal.

De igual forma, este tipo de industria digital evidencia de forma clara la importancia de lo que denominamos como privacidad y protección de datos por defecto y desde el diseño. Este principio, también contenido en el Reglamento General de Protección de Datos (RGPD), establece que la compañía o la organización deberá considerar los riesgos para los derechos de sus usuarios con el fin de estructurar toda la explotación de su producto o servicio mediante técnicas enfocadas (la naturaleza, ámbito, etc.) a proteger las libertades y derechos de las personas físicas.

Algunas de las comunidades de jugadores más grandes centran su interés en Fornite, Call of Duty: Warzone, World of Warcraft, entre muchos otros juegos. Entre las prácticas fraudulentas más frecuentes, sufridas por jugadores de todo el mundo, vemos desde la “típica” sustracción de información personal y phishing hasta la misma captura el equipo para hacer residir en él software destinado a los procesos matemáticos necesarios en la minería de criptomonedas (donde se suma potencia de procesado para crear transacciones o registros en bloque que se traducen en recompensas en forma de nuevas criptomonedas).

Este tipo de ataques deben ser monitorizados y documentados por las compañías desarrolladoras con el fin de canalizar la debida notificación a la autoridad competente, la AEPD, a la vez que deben de contar con el asesoramiento del Delegado de Protección de Datos a fin de implementar las medidas que pudieran ser necesarias para la protección de las personas, en especial, cuando se trata de menores.  

DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Naturalmente, las características de la industria a la que nos referimos involucra el máximo nivel de profesionalización en materia de protección de datos, debido al volumen de información a gestionar. En concreto, será necesaria la designación de un Delegado de Protección de Datos (DPD). Es esta figura, muy encuadrada en la filosofía del RGPD, quien ofrece el conocimiento para clasificar y dar tratamiento a las incidencias; velando por la continuidad de negocio pero, principalmente, por los derechos y libertades de las personas físicas mediante el asesoramiento al responsable con relación a las medidas mitigadoras de los posibles perjuicios para los usuarios de estas plataformas.

Además, generando una actuación sobre los aspectos críticos en la seguridad de los datos. Los retos y problemas de seguridad a los que se enfrentan jugadores y empresas desarrolladoras hace del Data Protection Officer una necesidad. El DPD es la mejor garantía de que la compañía tiene un correcto cumplimiento de la norma, mediante asesoramiento, acciones de control, comunicación con la autoridad competente, etc. De la misma forma, los deportistas electrónicos deben tener pleno conocimiento sobre el contacto del Delegado de Protección de Datos, así como de los derechos que les asisten.

UN GAMER QUE PROTEGE SUS DATOS

Evidentemente, también tenemos cierta necesidad formativa o educativa en el interior de las propias comunidades de jugadores. Un gamer que se preste de serlo debe ser consciente de los riesgos para su privacidad y datos personales. Esto debería llevarle a la creación de contraseñas realmente seguras, provistas de símbolos, por ejemplo, y con una proporción grande de aleatoriedad numérica, lo que en la práctica se convierte en el establecimiento de políticas normas y procedimientos de seguridad. 

Sin olvidar que hablamos de equipos informáticos donde debe estar instalado un sistema de antivirus, antimalware y programas de limpieza que reduzca las ventanas de posibilidad de los ataques. Otra práctica interesante para un gamer es una administración de perfiles únicamente dedicados al videojuego, donde datos de contacto como el correo electrónico no sean los mismos donde se almacena información delicada o el utilizado en otras facetas de la actividad digital. A esto sumamos los parámetros de doble o triple identificación y la instalación de actualizaciones relacionadas con la seguridad.

En conclusión, para la industria de los videojuegos la profesionalización de su política de protección de datos es la vía segura para el integro cumplimiento del Reglamento General de Protección de Datos (RGPD) y una garantía de éxito para sus actividades de negocio.

MÁSTER EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) DE LA UNED Y LA AEPD – RESERVA DE PLAZA