PRIVACY

E-sport fuori gioco senza GDPR: tutte le regole in campo

In forte affermazione l’industria del gaming online che nel 2021 varrà 1.6 miliardi di dollari. Ma l’introduzione del regolamento Ue sta imprimendo una svolta al settore, eliminando i competitor meno attrezzati a far fronte alla protezione dati. Soprattutto degli under16. Vediamo passo passo gli obblighi previsti

22 Lug 2020
Luca Giacobbe

Avvocato

Livio Sannino

Associate Giacobbe Tariciotti & Associati


Il tema “privacy” è centrale anche per il mondo del gaming online (eSport) competitivo. Un settore che con l’arrivo del GDPR si è trovato improvvisamente a fare i conti con tutte le disposizioni sul trattamento dati personali, in particolare per quanto attiene alla platea dei minori under16.

Ripercorriamo la storia di questa oggi fiorente industria e quali sono le criticità legate al Regolamento europeo sul trattamento dei dati personali.

Gaming competitivo: nascita di un’industria

Era il 19 ottobre del 1972 quando il Laboratory for Artificial Intelligence dell’Università di Stanford ospitò quella che viene riconosciuta come la prima competizione videoludica della storia. L’evento vide la partecipazione di ventiquattro sfidanti che si diedero battaglia nei campi virtuali di Spacewar!, uno sparatutto all’interno del quale due giocatori, al comando di una navicella spaziale, avevano l’obiettivo di distruggere l’avversario. All’epoca, i videogiochi erano quasi esclusivamente fruibili da istituzioni dotate dell’hardware necessario e dunque non ancora diffusi su larga scala.

L’evento non generò profitti, non esistendo in quegli anni un’industria competitiva legata ai videogames. I giocatori iscritti, ovviamente, non erano professionisti e quello che ora viene comunemente chiamato prize pool consisteva unicamente in un abbonamento annuale alla rivista Rolling Stone per il vincitore. L’epoca non era ancora matura per pensare alle implicazioni del trattamento dei dati personali dei soggetti coinvolti, e pertanto non si rinvengono ulteriori informazioni sul tema.

A partire da quel primo torneo, il fenomeno degli sport elettronici (oggi noti come eSport) è cresciuto in maniera esponenziale, fino ad arrivare al “boom” iniziato degli anni Duemila. Le competizioni di eSport sono diventate una vera e propria industria, che nel 2018 ha generato profitti per 906 milioni di dollari. Le proiezioni mostrano chiaramente che il trend di crescita non è destinato a fermarsi, e che per l’anno 2021 gli esport saranno in grado di generare più di 1.6 miliardi di profitti, secondo Esportsearning. Nell’ultimo anno sono stati distribuiti 227.956.267,46 di dollari in premi.

Tutti i player dell’e-sport

La crescita illustrata ha generato una vera e propria nuova offerta di lavoro nell’ambito legale, in virtù del necessario adattamento dell’industria alle normative vigenti. Tra gli altri, preminente importanza ha rivestito e riveste la materia della tutela del trattamento dei dati personali.

Come noto, l’industria degli eSport coinvolge non solo i videogiocatori, ma anche gli sviluppatori, le piattaforme di streaming ed i relativi spettatori, gli sponsor ed i siti aggregatori di statistiche.

Se prima dell’avvento del GDPR il problema era poco avvertito tanto dalle industrie europee quanto da quelle extraeuropee, a partire dal 2018 gli operatori del settore si sono ritrovati davanti ad un’alternativa: uscire dal mercato, oppure adattarsi al nuovo regolamento europeo con i relativi (elevati) costi.

Il GDPR seleziona i player medio-piccoli

Le risposte, ovviamente, sono state diverse: in via generale, si può affermare che gli operatori con maggior forza economica hanno deciso di investire per rimanere sul mercato e, conseguentemente, hanno rafforzato la propria posizione. Differentemente, gli operatori medio-piccoli non sono stati in grado di sostenere i costi di adattamento e dunque sono usciti dal mercato.

Il problema principale ovviamente risiede nel fatto che i dati personali degli interessati (siano essi professionisti, casual gamer o altri soggetti coinvolti) sono processati dagli sviluppatori, dalle piattaforme di streaming, dai siti che raccolgono statistiche ed anche dai siti di scommesse che inseriscono nel proprio palinsesto eventi di sport elettronici.

Tali criticità sono peraltro acuite dal fatto che i titoli videoludici sono accessibili e fruiti in modo consistente da soggetti minori d’età sono per i quali il Regolamento Europeo prescrive maggiori tutele.

Posto quanto sopra, appare utile fornire un quadro di sintesi di cosa, in concreto, dovrebbe fare un operatore del settore che si trovi ad essere titolare del trattamento di dati personali dei fruitori del proprio servizio.

In primo luogo, è necessario che l’operatore garantisca l’implementazione dei principi di protezione del dato a partire dalla fase di progettazione (cd. privacy by design) e come impostazione predefinita (cd. privacy by default), così come previsto dall’art. 25 del GDPR. Al pari, dovranno essere garantiti tutti i principi di cui all’art. 5 del Regolamento Europeo.

GDPR e e-sport, i passaggi da effettuare

In particolare, l’operatore dovrebbe informare in maniera precisa e puntuale il soggetto interessato in relazione al trattamento che intende effettuare, chiarendone le finalità e le basi giuridiche e permettendo così una scelta libera, consapevole ed informata del soggetto in questione. Al pari, l’eventuale ritiro del consenso dovrebbe essere sempre semplice e non comportare alcun onere per il soggetto i cui dati vengono trattati.

L’operatore inoltre dovrebbe seguire il principio di minimizzazione del dato, raccogliendo i dati personali con esclusivo riferimento alle attività strettamente necessarie per la fruizione dei servizi che offre.

Le informative dovrebbero essere rese con un linguaggio semplice, preciso e conciso, di talché i contenuti possano essere compresi in pieno anche dai non addetti ai lavori; le policy dovrebbero essere aggiornate con cadenza regolare, di pari passo con il mutare dei servizi offerti o con le ultime interpretazioni o novità normative.

Da ultimo, si ritiene che le eventuali attività di profilazione dovrebbero sempre avere come base adeguate analisi preventive, così da poter valutare nel dettaglio i rischi connessi al trattamento.

Trattamento dati personali degli under16

Per quanto attiene ai trattamenti di dati personali, deve essere ricordato che (salvo disposizioni particolari) per i minori di anni 16 occorre il consenso da parte del soggetto avente la potestà del minore stesso.

Facciamo l’esempio di un torneo competitivo live cui ha accesso un pubblico anche di minori o di eventi esportivi visibili in streaming sulle piattaforme degli Ott come Twitch o Facebook. Nei casi di eventi live il trattamento dei dati di un minore può rendersi necessario per la partecipazione al torneo o per le riprese del pubblico.

Il che, in molti casi, potrebbe risultare di non facile ottenimento. Pur non potendo prescindere da tale necessario consenso, non può non essere rilevato che molti operatori, per evitare problematiche di ogni sorta, hanno deciso in toto di non rendere fruibili i servizi ai minori di anni 16. Si segnala, ad ogni modo, che alcune delle realtà più strutturate hanno invece creato un sistema di consenso espresso sulla base di scambio di email con i genitori dei soggetti interessati.

Nel complesso le esigenze dell’industria dell’eSport non possono di certo ignorare le disposizioni positive in materia di trattamento dei dati, rendendo sterile un approccio del tipo one size fits all. Al contrario, oggi più che mai appaiono necessarie figure in grado di “guidare” la nuova industria degli eSport alla totale compliance normativa in materia privacy.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4