Compliance

e-Sport e protezione dei dati, facciamo il punto

L’e-Sport è diventato una vera e propria industria con profitti destinati a superare il miliardo di dollari nel 2021 e premi di oltre 200 milioni di dollari. Vista la rilevanza dei giocatori, è necessario che l’operatore garantisca il pieno rispetto del Regolamento Europeo sulla privacy

05 Ott 2020

Livio Sannino

studio GTEA

Luca Giacobbe

studio GTEA

Le competizioni di e-Sport sono diventate una vera e propria industria, che nel 2018 ha generato profitti per 906 milioni di dollari. Era il 19 Ottobre del 1972 quando il Laboratory for Artificial Intelligence dell’università di Stanford ospitò quella che viene comunemente riconosciuta come la prima competizione videoludica della storia. L’evento vide la partecipazione di ventiquattro sfidanti che si diedero battaglia nei campi virtuali di Spacewar!, uno sparatutto all’interno del quale due giocatori, al comando di una navicella spaziale, avevano l’obiettivo di distruggere l’avversario. All’epoca, i videogiochi erano quasi esclusivamente fruibili da istituzioni dotate dell’hardware necessario e dunque non ancora diffusi su larga scala.

L’evento non generò profitti, non esistendo in quegli anni un’industria competitiva legata ai videogames. I giocatori iscritti, ovviamente, non erano professionisti e quello che ora viene comunemente chiamato prize pool consisteva unicamente in un abbonamento annuale alla rivista Rolling Stone per il vincitore.

L’epoca non era ancora matura per pensare alle implicazioni del trattamento dei dati personali dei soggetti coinvolti, e pertanto non si rinvengono ulteriori informazioni sul tema.

A partire da quel primo torneo, il fenomeno degli sport elettronici (oggi noti come e-Sport) è cresciuto in maniera esponenziale, fino ad arrivare al “boom” iniziato negli anni ’00. Le proiezioni mostrano chiaramente che il trend di crescita non è destinato a fermarsi, e che per l’anno 2021 gli esport saranno in grado di generare più di 1,6 miliardi di profitti[1]. Nell’ultimo anno sono stati distribuiti circa 228 milioni di dollari in premi[2].

e-Sport e trattamento dei dati personali

La crescita illustrata ha generato una vera e propria nuova offerta di lavoro nell’ambito legale, in virtù del necessario adattamento dell’industria alle normative vigenti. Tra gli altri, preminente importanza ha rivestito e riveste la materia della tutela del trattamento dei dati personali.

Come noto, l’industria degli eSport coinvolge non solo i videogiocatori, ma anche gli sviluppatori, le piattaforme di streaming e i relativi spettatori, gli sponsor e i siti aggregatori di statistiche.

Se prima dell’avvento del GDPR il problema era poco avvertito tanto dalle industrie europee quanto da quelle extraeuropee, a partire dal 2018 gli operatori del settore si sono ritrovati davanti a un’alternativa: uscire dal mercato, oppure adattarsi al nuovo regolamento europeo con i relativi (elevati) costi.

Le risposte, ovviamente, sono state diverse: in via generale, si può affermare che gli operatori con maggior forza economica hanno deciso di investire per rimanere sul mercato e, conseguentemente, hanno rafforzato la propria posizione. Differentemente, gli operatori medio-piccoli non sono stati in grado di sostenere i costi di adattamento e dunque sono usciti dal mercato[3].

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Il problema principale ovviamente risiede nel fatto che i dati personali degli interessati (siano essi professionisti, casual gamer o altri soggetti coinvolti) sono processati dagli sviluppatori, dalle piattaforme di streaming, dai siti che raccolgono statistiche e anche dai siti di scommesse che inseriscono nel proprio palinsesto eventi di sport elettronici.

Tali criticità sono peraltro acuite dal fatto che i titoli videoludici sono accessibili e sono fruiti in modo consistente da soggetti minori d’età per i quali il Regolamento Europeo prescrive maggiori tutele.

Posto quanto sopra, appare utile fornire un quadro di sintesi di cosa, in concreto, dovrebbe fare un operatore del settore che si trovi a essere titolare del trattamento di dati personali dei fruitori del proprio servizio.

e-Sport, gli adempimenti per il titolare del trattamento

In primo luogo, è necessario che l’operatore garantisca l’implementazione dei principi di protezione del dato a partire dalla fase di progettazione (cd. privacy by design) e come impostazione predefinita (cd. privacy by default), così come previsto dall’art. 25 del GDPR.

Al pari, dovranno essere garantiti tutti i principi di cui all’art. 5 del Regolamento Europeo.

In particolare, l’operatore dovrebbe informare in maniera precisa e puntuale il soggetto interessato in relazione al trattamento che intende effettuare, chiarendone le finalità e le basi giuridiche e permettendo così una scelta libera, consapevole e informata del soggetto in questione. Al pari, l’eventuale ritiro del consenso dovrebbe essere sempre semplice e non comportare alcun onere per il soggetto i cui dati vengono trattati.

L’operatore inoltre dovrebbe seguire il principio di minimizzazione del dato, raccogliendo I dati personali con esclusivo riferimento alle attività strettamente necessarie per la fruizione dei servizi che offre.

Le informative dovrebbero essere rese con un linguaggio semplice, preciso e conciso, di talché i contenuti possano essere compresi in pieno anche dai non addetti ai lavori; le policy dovrebbero essere aggiornate con cadenza regolare, di pari passo con il mutare dei servizi offerti o con le ultime interpretazioni o novità normative.

Da ultimo, si ritiene che le eventuali attività di profilazione dovrebbero sempre avere come base adeguate analisi preventive, così da poter valutare nel dettaglio i rischi connessi al trattamento.

Per quanto attiene ai trattamenti di dati personali, deve essere ricordato che (salvo disposizioni particolari) per i minori di anni 16 occorre il consenso da parte del soggetto avente la potestà del minore stesso.

Facciamo l’esempio di un torneo competitivo live cui ha accesso un pubblico anche di minori o di eventi sportivi visibili in streaming sulle piattaforme dei broadcaster come Twitch o Facebook. Nei casi di eventi live il trattamento dei dati di un minore può rendersi necessario per la partecipazione al torneo o per le riprese del pubblico. Il che, in molti casi, potrebbe risultare di non facile ottenimento. Pur non potendo prescindere da tale necessario consenso, non può non essere rilevato che molti operatori, per evitare problematiche di ogni sorta, hanno deciso in toto di non rendere fruibili i servizi ai minori di anni 16.

Si segnala, ad ogni modo, che alcune delle realtà più strutturate hanno invece creato un sistema di consenso espresso sulla base di scambio di email con i genitori dei soggetti interessati[4].

Nel complesso le esigenze dell’industria dell’eSport non possono di certo ignorare le disposizioni positive in materia di trattamento dei dati, rendendo sterile un approccio del tipo one size fits all. Al contrario, oggi più che mai appaiono necessarie figure in grado di “guidare” la nuova industria degli eSport alla totale compliance normativa in materia privacy.

  1. Stime newzoo.
  2. Secondo il sito aggregatore https://www.esportsearnings.com/
  3. Si cita, in via esemplificativa, il caso “Super Monday night combat. Per approfondimenti, https://www.polygon.com/2018/4/28/17295498/super-monday-night-combat-shutting-down-gdpr#:~:text=Uber%2C%20commenting%20to%20Polygon%2C%20said,that%20is%20not%20GDPR%20compliant.&text=Bigger%20picture%2C%20Uber’s%20decision%20could,as%20GDPR%20comes%20into%20focus.
  4. È il caso, ad esempio, del noto gioco League of Legends. Per approfondimenti, https://support-leagueoflegends.riotgames.com/hc/en-us/articles/360001316148
WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA
S
Livio Sannino
studio GTEA
G
Luca Giacobbe
studio GTEA
Argomenti trattati

Approfondimenti

D
data protection
G
GDPR

Articolo 1 di 5