videogiochi e GDPR

Server di gioco roleplay italiani, la privacy calpestata



Indirizzo copiato

Il mercato dei roleplay online, con una community di 250 mila utenti connessi contemporaneamente, ha un punto debole nel rispetto della privacy. Ecco le criticità dei giochi di ruolo nell’ambito del trattamento dei dati

Pubblicato il 20 ott 2023

Giuseppe Lo Presti

Polimeni.Legal



Server roleplay italiani: l’adeguamento alla privacy non è un’opzione, ma oggi è tutto illecito

Il roleplay online è una modalità di gioco molto amata non solo a livello internazionale ma anche in Italia. Infatti, offre all’utente la possibilità di costruire una storia vero simile interagendo con una community, seppur immerso in un’ambientazione di gioco immaginaria.

Ma l’adeguamento alla privacy non è un’opzione, infatti oggi è tutto illecito sotto il profilo del trattamento dei dati. Ecco perché.

“I tuoi dati sono un tesoro”: il video del Garante per raccontare cos’è la privacy

Roleplay online

Solitamente questa modalità di gioco si svolge su server di proprietà di società o privati che affittano un hosting provider, vps o server dedicato, lo configurano per sfruttare i launcher multiplayer e renderlo compatibile con le esigenze degli utenti.

Tra i launcher multiplayer più conosciuti rientrano, tra FiveM e RedM, gestiti da Cfx.re, e RageMP. Proprio di recente Rockstar Games, colosso nel settore del gaming, ha
acquistato Cfx.re.
Ogni server si appoggia ad una mod/launcher che va scaricata dall’utente insieme ad una copia originale del gioco di riferimento. Il gamer, a questo punto, sarà pronto ad entrare in community e connettersi online digitando l’IP o il nome del server e, di seguito, costruendo e modificando il proprio personaggio virtuale.

Il mercato dei roleplay online è di notevole importanza per il settore. Solo la community
di FiveM ha raggiunto 250 mila utenti connessi contemporaneamente ed i profitti che i gestori dei generano grazie alle mod sono spesso rilevanti.
Il quadro finora tracciato mette in evidenza una serie di rapporti e interrelazioni tra i soggetti coinvolti nel roleplay online che sollevano criticità dal punto di vista giuridico, spesso sottovalutate, sotto il profilo di privacy e trattamento dei dati, proprietà intellettuale e fiscalità.

Trattamento dei dati personali: nel roleplay online è tutto illecito sul fronte privacy

Innanzitutto, in un’epoca in cui c’è grande attenzione alla privacy, sui server che ospitano le community c’è un importante tema relativo al trattamento dei dati personali da parte di chi gestisce le piattaforme che assume quindi il ruolo di titolare del trattamento dei dati.
Infatti, non tutti i server sono accessibili liberamente alla platea dei gamer. Seppur la maggior parte siano aperti a tutti, staff e alcuni gestori alcuni prediligono una community chiusa e selezionata. L’utente dovrà quindi studiare pagine e pagine di regolamenti per ottenere l’idoneità all’accesso. Si tratta di una vera e propria “whitelist” in cui fanno parte soltanto coloro i quali hanno superato il test di ingresso. Nei server
whitelist è spesso obbligatorio pubblicare propri dati preliminarmente al test: nome, età e account Steam o Rockstar.
Il test può svolgersi con modalità scritta oppure orale. Nel secondo caso viene spesso registrata la voce dell’utente, talvolta pubblicata su Twitch o YouTube.

Compliance al GDPR

Dal momento che i gestori dei server gestiscono una quantità importante di dati, la compliance al GDPR e alle linee guida delle Autorità è un aspetto non trascurabile. Ed in realtà, praticamente nessuno lo fa.
Abbiamo già visto che per accedere ad una community whitelist è necessario fornire alcuni dati preliminari. Il titolare del trattamento, per far sì che il server sia a norma, deve mostrare all’utente l’informativa privacy. È chiaro che l’intento del gestore non sia “rendere pubblici” tali dati, bensì di tutelare l’accesso indesiderato di cheater o account generalmente dannosi. Per quanto tale scelta sia dettata da uno scopo da
cui non si può prescindere, è necessario tuttavia elencare le finalità di detto trattamento.
Nel contesto finora descritto, sostanzialmente, tutto viene svolto con superficialità e leggerezza, senza uno straccio di compliance. Detto in alte parole: vengono spesso commessi illeciti.

Stessa sorte riguarda la registrazione del test vocale per accedere in whitelist. Basti pensare che su YouTube e Twitch sono stati pubblicati numerosi video contenenti questi provini, e non è sufficiente che l’esaminante dica “va bene se registro o mando in diretta la tua voce?”. Ogni utente deve essere informato sul perché viene registrato, a che scopo, qual è la base giuridica.

Roleplay: l’intervento del Garante Privacy

Il Garante Privacy ha messo un’ordinanza di ingiunzione contro Alpha Exploration, proprietaria di Clubhouse, social network basato sull’interazione vocale.

Lo stesso Garante Privacy, con il provvedimento n. 377 del 6 ottobre 2022, relativo ad una piattaforma online basata su registrazioni e scambi di opinione vocali, stabilisce che: “La società dovrà, in particolare, introdurre una funzionalità che consenta loro di apprendere, prima dell’ingresso nella stanza di conversazione, della possibilità che la chat venga registrata, e introdurre un meccanismo per informare coloro che non sono ancora utenti sull’uso che verrà effettuato dei loro dati personali.

La società dovrà inoltre integrare l’informativa, specificando quale base giuridica si applichi ad ogni finalità del trattamento, i tempi di conservazione dei dati personali e dei file audio, le informazioni necessarie riguardo al rappresentante designato, la figura prevista dal Gdpr nei casi in cui una società, che offra servizi e tratti i dati dei cittadini europei, non sia stabilita in alcuno degli Stati membri dell’Ue”.
Nel caso di specie, le registrazioni avvengono per mero intrattenimento o visualizzazioni per Twitch o YouTube, che spesso e volentieri si traducono in abbonamenti, donazioni o più genericamente, profitti, sollevando, tra l’altro, qui un tema di sfruttamento commerciale dei contenuti altrui.
Può accadere, d’altro canto, che l’utente stesso registri e condivida la propria esperienza di gioco ad insaputa del gestore del server e degli altri utenti. Anche in questo caso il titolare del trattamento dovrebbe predisporre che tale evenienza possa verificarsi e, prontamente, dettare tale avviso nella propria informativa.

Diritto alla cancellazione

La medesima informativa dovrà inoltre prevedere il “diritto alla cancellazione” ai sensi dell’art. 13 GDPR.
Proprio perché i server più importanti in Italia vantano in media 50 mila utenti nelle proprie community di Discord, i titolari del trattamento non posso prescindere dall’indicare tale diritto. L’utente, quindi, deve avere la possibilità di offuscare la pubblicazione dei propri dati, su richiesta specifica dei gestori dei server, spesso in pasto a chiunque, essendo Discord una piattaforma accessibile a tutti.

Ed ancora, ai sensi dell’art. 7 GDPR, l’utente dovrebbe avere l’opportunità di revocare il consenso al trattamento dei propri dati, cosa che non sempre accade.

Accedere al server di gioco è dunque semplice, ma fare un passo indietro sui propri dati risulta un’operazione complessa e priva di informativa.

Conservazione dai dati

La maggior parte dei lettori conosce la piattaforma FiveM e lo staff dei server che usufruiscono di tale mod consente la pubblicazione dei dati sulla propria community Discord.
Differentemente, esistono altre forme di roleplay e altre mod che richiedono un vero e proprio salvataggio di dati sui propri database, affinché gli sviluppatori possano permettere ai propri utenti di prendere parte all’esperienza di gioco.
Dunque è importante indicare in maniera precisa come vengono conservati i dati, chi può accederci e dopo quanto vengono cancellati, oltre ad ogni altro diritto previsto dagli artt. 12 e 13 GDPR.

Da amministratore/titolare del trattamento è necessario determinare nella propria informativa privacy tutte queste informazioni.
Ciò non esenta dall’illecito, ovviamente, chi permette la pubblicazione di dati anche sul proprio canale Discord. L’amministratore, pertanto, deve prevedere una cancellazione appena i dati non sono più utili ed un accesso assolutamente limitato al pubblico.
Alcuni server, fortunatamente pochi, addirittura obbligano l’utente ad installare sul PC in cui giocherà programmi esterni con le funzionalità di anticheat e di controllo delle cartelle. Parte di questi launcher catturano dati particolari. È bene ricordare, ai sensi dell’art. 9 GDPR che anche questo non si può fare.
Esistono anticheat riproducibili direttamente in gioco. Non si capisce dunque perché sprofondare in condotte illecite quando la soluzione sarebbe così semplice.

I minori

Un altro ambito da tenere in considerazione in fase di adeguamento dei server roleplay è la tutela dei dati dei minori, questione estremamente importante in un mondo sempre più connesso digitalmente.
Spesso e volentieri, il videogioco su cui si appoggiano i server roleplay è classificato PEGI 18 ovvero per soli adulti, ma qualora detta classificazione fosse differente e consentirebbe l’accesso a tutti, la raccolta dei dati dovrebbe essere ancor più scrupolosa per i minori di 14 anni.
Basta fare un salto su Discord per notare con estrema facilità e senza la necessità di particolari indagini, la pubblicazione di dati di minori sui canali di “richiesta whitelist” e “richiesta assistenza”.
Il D.lgs. n. 196/2003 non concede il diritto ai minori di 14 anni di esprimere un valido consenso a rendere pubblici i propri dati.
Inoltre, prendendo parte al gioco è facilmente osservabile come alcuni server roleplay sfruttino marchi e modelli famosi per aumentare la realisticità dell’esperienza di gioco, in totale spregio delle regole nazionali e internazionali relative alla proprietà industriale. Questo avviene attraverso il caricamento sul database del server del modello 3D associato ad essi. Stiamo parlando di veicoli a due ruote e a quattro ruote di brand
famosi, venduti a prezzi importanti sotto forma di “donazione”.

Stessa sorte per gli edifici

Ci si chiede come può un supermercato o un ristorante (come per esempio, McDonald’s) dal marchio internazionale essere “venduto”. È chiaro che lo scopo commerciale dell’utilizzo del marchio ponga in essere un illecito ai sensi del Codice di proprietà industriale e non solo.
La legge italiana prevede, infatti, che la riproduzione di questi sia legittima se l’attività svolta non prefiguri uno scopo commerciale e non svilisca in alcun modo la reputazione del marchio o crei confusione in merito alla provenienza del bene o del servizio tutelato.

Capitolo donazioni

Il tema più delicato per ogni server e per i suoi gestori è quello delle donazioni. Lo staff del server chiede donazioni PayPal (con modalità amici e parenti) in denaro ed in cambio da alcuni vantaggi in gioco all’utente (case, negozi, denaro, vestiti, veicoli eccetera).
Secondo Demetrio Errigo, commercialista che opera anche nel campo del digitale, in tale contesto, risulta importante comprendere che per donazione si intende il contratto col quale, per spirito di liberalità, una parte arricchisce l’altra, disponendo a favore di questa di un suo diritto o assumendo verso la stessa un’obbligazione. La donazione deve essere, quindi, facoltativa, senza un importo minimo fissato, e non deve costituire condizione necessaria per accedere ai contenuti del sito. Diversamente, non si tratterebbe di una donazione bensì di un pagamento di un’obbligazione a fronte di una controprestazione.
Le donazioni verso i server roleplay prevedono, invece, una vera e propria una vendita, con prezzi fissati che l’utente dovrà pagare per ottenere un beneficio prestabilito.

Invece, in caso di donazione, dovrebbe essere chiaro che la caratteristica della donazione è quella della gratuità, per cui non deve essere erogata come controprestazione a un bene o a un servizio. Nel caso di donazioni spontanee, ricevute da un imprenditore nell’esercizio della sua attività d’impresa, tali somme costituiscono ai fini fiscali una sopravvenienza attiva imponibile in base all’articolo 88 del Tuir (Dpr n.
917/1986). Questi proventi concorrono a formare il reddito nell’esercizio in cui sono stati incassati.

Senza Iva e senza tetto massimo

Trattandosi di liberalità per le quali non si realizza rapporto sinallagmatico tra le parti, le stesse non sono considerate soggette ad IVA, per cui non deve essere emessa fattura.
“Se dietro la donazione – specifica Errigo – si nasconde una forma di compenso per un’attività lavorativa prestata, le relative entrate si considerano ricavi derivanti dall’attività d’impresa e, realizzandosi il rapporto sinallagmatico tra le parti, troverà applicazione l’IVA, con il relativo obbligo di emettere le fatture per ogni operazione di cessione dei beni/prestazione di servizi”.
Inoltre non esiste neanche un tetto massimo per non dichiarare fiscalmente queste vendite. Riguardo all’entità e/o al numero delle donazioni ricevute non si può a priori indicare un limite quantitativo, bensì ciò che bisogna verificare è se il soggetto percettore della donazione svolge o meno attività d’impresa. Nel caso in cui svolga attività d’impresa qualsiasi donazione genera sopravvenienza attiva tassabile, mentre se le donazioni vengono percepite da un soggetto privato le stesse non hanno rilevanza fiscale. È chiaro che le donazioni indirizzate ad un soggetto privato, ma riferibili alla vendita di un bene per il server configuri comunque attività d’impresa riferibile allo stesso.

Conclusioni

Sebbene intraprendere progetti come questi denota volontà di intrattenere e fare divertire i videogiocatori, è fondamentale farlo con consapevolezza e nel pieno rispetto delle leggi. E con l’acquisto da parte di Rockstar di Cfx.re si sta forse muovendo qualcosa in tal senso.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati