Le piattaforme di gaming online rappresentano un settore di attività dall’indubbia capacità di generare elevati introiti, ma ciò comporta sia l’esposizione a rischi di sicurezza cyber che a dover elevare le tutele per tutti gli interessati coinvolti stante l’elevato volume di dati personali trattati. Da qui, il ruolo di presidio del DPO che deve però incontrare alcune garanzie di efficacia.
La tutela della privacy nel settore del gaming online
Quello del gaming online è un settore articolato e complesso per contesto, larga scala degli interessati coinvolti e moltitudine di operatori che intervengono ad esempio nell’organizzazione di eventi, arene e tournament. Così, la crescente diffusione di interesse nel settore degli eSport ha portato non solo a grandi convergenze economiche, ma anche a porre una sempre maggiore attenzione agli aspetti strettamente correlati di sicurezza e privacy.
Di certo, il primo ad essere stato attenzionato è stato proprio l’ambito della sicurezza ai fini della protezione del core business. Dalle garanzie di continuità di servizio e la prevenzione di attacchi di DoS, alla protezione degli account da data leak e attacchi mirati per la sottrazione di credenziali o metodi di pagamento, ai controlli antifrode per evitare abusi dei sistemi impiegati dalle piattaforme e cheating, gli esempi non mancano. Non sorprende inoltre che per la natura dei servizi la priorità della sicurezza informatica sia sempre stata evidente, con una continua ricerca delle migliori soluzioni offerte dallo stato dell’arte e ingenti investimenti a riguardo.
Per quanto concerne invece la gestione dei dati personali, a parte la stretta correlazione con la sicurezza[1], di certo è stato l’intervento del GDPR e la sempre più incisiva produzione normativa dell’Unione Europea in tema di servizi digitali ha accelerato l’interesse a ricercare non solo una conformità alle regole per continuare ad operare ed evitare sanzioni, ma ha saputo fornire anche degli spunti ulteriori. La capacità attrattiva di un servizio online che viene presentato ad un vasto pubblico di riferimento, fra cui anche soggetti minori d’età, è sempre più interrelata con le garanzie che può presentare anche nell’assicurare trasparenza e controllo circa l’impiego dei propri dati personali.
La diffusione di consapevolezza
Uno dei fattori che ha contribuito a questa esigenza di convergenza è stata certamente un’aumentata consapevolezza – dovuta anche a spinte di attivismo civico digitale, o l’azione pedagogica di autorità di controllo e del settore pubblico – da parte del consumatore digitale nei confronti dei servizi offerti online e la ricerca di un potere di selezione. Questo si può comunemente constatare in una generale diffidenza nei confronti di clausole quali “take-it-or-leave-it” nelle circostanze di evidenti squilibri contrattuali e asimmetrie informative, che porta al rischio di abbandono o rinuncia della fruizione del servizio da parte dell’utente.
Infine, non è da sottovalutare il ruolo che può aver avuto l’informazione relativa agli eventi di attacchi informatici e data leak che hanno coinvolto più frequentemente il settore del gaming, che ha portato ad un comportamento generalmente più prudente soprattutto nel caso di violazioni di credenziali o wallet.
Progettazione di backend e di UX/UI design: il coinvolgimento del DPO
Se la selezione, o preferenza, di un servizio di gaming rispetto ad un altro transita dunque per questo binomio security-privacy, è chiaro che già nella progettazione di backend, e soprattutto nelle implementazioni di UX/UI design, il coinvolgimento di una funzione privacy quale quella del DPO è fondamentale.
Non solo in quanto l’obbligo di designazione del DPO è richiamato in ragione della conduzione di attività principali che prevedono un monitoraggio regolare e sistematico di interessati su larga scala[2], ma anche perché tale funzione può contribuire ad un miglioramento concreto ed effettivo nell’offerta e presentazione dei servizi. Soprattutto poi se erogati da soggetti che non risiedono all’interno dell’Unione Europea, e dunque necessitano di un rappresentante, possono trarre un rilevante beneficio di mercato attraverso ogni rafforzamento di quelle tutele e garanzie che sono in grado di comprovare.
Già nello sviluppo di backend è infatti fondamentale che il titolare possa essere assistito dalla consulenza del DPO affinché vi sia un’impostazione corretta secondo privacy by design e privacy by default, nonché il corretto inquadramento dei ruoli e delle responsabilità dei soggetti che possono intervenire sui dati. Nell’elaborazione delle funzioni di piattaforma da rendere disponibili agli utenti e nelle modalità di presentazione delle stesse, è rilevante non solo il fattore della trasparenza ma anche la possibilità di consentire attraverso le stesse l’esercizio dei diritti. Emblematicamente: l’accesso ai dati generati dall’utente, la possibilità di chiedere il takout degli stessi, la procedura di cancellazione dell’account.
Il ruolo dei controlli automatizzati
Non bisogna sottovalutare infine il ruolo che possono avere alcuni controlli automatizzati, spesso per finalità antifrode, che però devono consentire[3] un intervento dell’utente a riguardo. E qualora le piattaforme rientrino nell’ambito di applicazione del Digital Services Act, è opportuno che prevedano già in tale sede anche il sistema interno di gestione dei reclami[4] e la disponibilità dello stesso lato utente.
In ogni caso, la trasparenza nei confronti dell’interessato gioca un ruolo fondamentale, tanto nell’ipotesi che questo sia un partecipante alla gara, a una demo, o sia uno spettatore. Particolare attenzione deve essere inoltre posta nel momento di early stage della piattaforma, stanti i vincoli circa la promozione della stessa e soprattutto le garanzie cui deve comunque provvedere anche in una fase iniziale ad accesso anticipato in versione alfa o beta, anche su invito.
La tutela dei minori online: age verification e sistemi KYC
Sia che venga offerto un servizio nei confronti di soggetti di maggiore età, che anche di minorenni, il nodo del controllo accessi mediante age verification è uno degli argomenti che prima o poi transiterà sul tavolo del C-level e che inevitabilmente coinvolgerà anche l’ufficio del DPO. La ricerca di equilibrio fra tutele prestate e una raccolta sproporzionata di informazioni è il punto focale di un ragionamento che può portare a selezionare dei servizi di age/ID verification, peraltro in parte già previsti dagli obblighi di svolgere controlli di tipo KYC (Know Your Customer) nel caso di contest a premi, ai fini del rispetto delle disposizioni normative in tema di antiriciclaggio.
Nelle verifiche KYC tali controlli sono spesso svolti mediante provider terzi, con i quali è possibile però definire non solo le modalità di ricezione sicura dei dati, ma anche la data retention e soprattutto l’output fornito che dovrà seguire il principio di minimizzazione dovendo fornire evidenza circa l’idoneità o meno per l’accesso alla piattaforma. E ovviamente predisporre un conseguente blocco automatico.
I successivi controlli su segnalazione, invece, che possono essere ricevuti da parte di altri utenti non solo per irregolarità (cheating) ma anche per la presenza di minori di età la cui iscrizione non è consentita, dovranno necessariamente seguire invece le previsioni già richiamate in tema di controlli automatizzati.
Garantire il presidio del DPO
Stante la complessità delle attività di trattamento svolte, così come l’esigenza della conduzione di una DPIA anche per la definizione dei ruoli svolti dai vari soggetti che intervengono e delle garanzie cui occorre provvedere nei confronti degli interessati a cui vario titolo si può rivolgere la piattaforma di gaming, è indubbio che il presidio del DPO assuma una rilevanza strategica. Tanto premesso, l’ufficio del DPO non deve solamente essere selezionato per l’adeguatezza allo svolgimento dei proprio compiti ma anche essere dotato di risorse sufficienti, così come inserito in una corretta posizione[5] all’interno dell’organizzazione, e ne sia garantita la raggiungibilità tanto da parte degli interessati che per il personale interno o esterno di cui il titolare si avvale.
Altrimenti, la mancata integrazione del DPO non solo realizza una perdita di opportunità, ma può anche comportare un aumento di costi operativi, strategici ed economico-finanziari. Ad esempio, il mancato coinvolgimento in sede di progetto comporta l’esigenza di compiere interventi successivi, così come l’impossibilità di riferire tempestivamente ai vertici decisionali può riflettersi in ritardi. E qualora ciò non venga considerato, c’è un’esposizione a rischi sanzionatori con tutte le conseguenze del caso, fra cui essere destinatari di un provvedimento di blocco o divieto dei trattamenti oltre che sanzionatorio.
Dal momento che il DPO rappresenta un fattore critico di successo, deve innanzitutto essere riconosciuto come tale dal management e da tutti i soggetti (interni o esterni) che intervengono nel processo di sviluppo, in modo tale che la sua opinione venga debitamente considerata. Inoltre, è opportuno che vengano favorite dal titolare delle sinergie virtuose, anche attraverso la predisposizione di canali di comunicazione interna, riunioni periodiche di progetto e attuazione, nonché un programma di audit e controlli che non si occupi solamente degli aspetti di sicurezza ma anche della corretta gestione dei dati.
Note
[1] Emblematicamente, art. 5 par. 1 lett. e) e art. 32 GDPR.
[2] Ricorrendo così l’ipotesi di cui all’art. 37 par. 1 lett. b) GDPR.
[3] Come da art. 22 GDPR.
[4] Come da art. 17 Digital Services Act.
[5] Come previsto dall’art. 38 GDPR.
