Hoy, noyb ha presentado una denuncia contra el desarrollador y editor de videojuegos francés Ubisoft (conocido por Assassins Creed, Far Cry, Prince of Persia). La empresa obliga a sus clientes a conectarse a Internet cada vez que inician un juego para un solo jugador. Esto ocurre incluso si el juego no tiene ninguna función en línea. Esto permite a Ubisoft recopilar el comportamiento de juego de la gente. Entre otras cosas, la empresa recopila datos sobre cuándo se inicia un juego, durante cuánto tiempo se juega y cuándo se cierra. Incluso después de que el denunciante preguntara explícitamente por qué se le obliga a estar en línea, Ubisoft no reveló por qué ocurre esto. En virtud del artículo 6, apartado 1, del RGPD, no parece haber base jurídica válida para recopilar aleatoriamente estos datos de los usuarios.
Juegos offline - con obligación de estar online. La mayoría de los videojuegos ofrecidos por el desarrollador y editor francés Ubisoft están diseñados en torno a una experiencia para un solo jugador. Entre las ofertas más populares de esta categoría están las franquicias Assassins Creed, Far Cry y Prince of Persia. Aunque estos juegos pueden jugarse sin interactuar con otros jugadores, Ubisoft obliga a los jugadores de PC a conectarse a Internet e iniciar sesión en una cuenta de Ubisoft antes de poder jugar a un juego comprado. Esto también le ocurrió al denunciante: Después de comprar el juego de Ubisoft "Far Cry Primal" en el mercado en línea Steam, intentó iniciarlo estando desconectado, pero se dio cuenta de que no era posible. En su lugar, se vio obligado a iniciar sesión en una cuenta de Ubisoft antes de poder empezar a jugar.
Joakim Söderberg, abogado especializado en protección de datos de noyb: "Imagina que el hombre del Monopoly se sentara a tu mesa y tomara nota cada vez que quieres jugar a un juego de mesa con tu familia o amigos. Pues esa es la realidad de los videojuegos. A menudo, ni siquiera importa si los juegos se juegan online u offline. Mientras tengas una conexión abierta a Internet cuando juegas, tus datos se recogen y analizan"
Recogida secreta de datos. Para saber más sobre las prácticas de recopilación y seguimiento de datos de Ubisoft, el denunciante presentó una solicitud de acceso en virtud del artículo 15 del RGPD. Ubisoft respondió con información como un identificador único para el denunciante e información sobre cuándo inició el juego, cuánto tiempo estuvo en marcha y cuándo lo abandonó. Como buen conocedor de la tecnología, el denunciante examinó además qué datos exactos se enviaban a Ubisoft al jugar. El denunciante descubrió que, en un periodo de sólo 10 minutos, el juego estableció una conexión con servidores externos 150 veces. Entre los destinatarios de los datos del denunciante: Google, Amazon y la empresa de software estadounidense Datadog.
Juego del gato y el ratón para obtener más información. En un intento de averiguar más, el denunciante también se puso en contacto con el servicio de atención al cliente de Ubisoft. En su respuesta, Ubisoft alegó que sólo realiza una comprobación de propiedad en el lanzamiento. Para todo lo demás, se remitió al denunciante al Acuerdo de licencia de usuario final (CLUF) y a la política de privacidad de la empresa. Allí, Ubisoft confirma que recopila datos personales "con el fin de proporcionarle una mejor experiencia de juego"y que utiliza "herramientas de análisis de terceros para recopilar información sobre tus hábitos de juego y el uso del producto, así como los de otros usuarios" y que recopila "datos del juego así como "datos de inicio de sesión y navegación".
No es necesario y, por tanto, es ilegal. El caso es que El denunciante nunca ha dado su consentimiento a este tratamiento. Según el artículo 6, apartado 1, del RGPD, esto significa que la operación de tratamiento sólo es legal si es necesaria, lo que no es el caso del denunciante. Al haber comprado el juego en Steam, la propiedad ya está confirmada. Además, Ubisoft ofrece una opción (oculta) para jugar al juego sin conexión, lo que demuestra que el tratamiento de todos los datos personales en la configuración estándar no es realmente necesario. E incluso si lo fuera, no explicaría la recogida de datos mientras se juega. Si Ubisoft quiere datos para mejorar un juego, sólo tiene que pedir el consentimiento de los usuarios. La empresa también puede preguntar a los jugadores si quieren enviar informes individuales de errores a sus servidores. Sin embargo, no parece legal que el PC de un usuario envíe informes constantes por defecto.
Lisa Steinfeld, abogada de protección de datos de noyb: "Los videojuegos son caros, pero eso no impide que empresas como Ubisoft obliguen a sus clientes a jugar en línea innecesariamente, sólo para poder ganar más dinero rastreando su comportamiento. Las acciones de Ubisoft son claramente ilegales y deben detenerse"
Denuncia presentada en Austria. Por ello, noyb ha presentado una denuncia GDPR ante la autoridad austriaca de protección de datos (DSB). Solicitamos a la DSB que declare que Ubisoft infringió el artículo 6(1) GDPR con su procesamiento de datos personales sin una base legal válida. Además, solicitamos que Ubisoft elimine toda la información personal del denunciante que haya sido procesada sin una base legal válida - y que la empresa cese el procesamiento ilegal posterior. Por último, pero no por ello menos importante, sugerimos que la autoridad de protección de datos imponga una multa administrativa. Teniendo en cuenta que Ubisoft facturación de más de 2.000 millones de eurosla autoridad de protección de datos podría imponer una multa de hasta 92 millones de euros.
