Oggi, noyb ha presentato una denuncia contro lo sviluppatore ed editore francese di videogiochi Ubisoft (noto per Assassins Creed, Far Cry, Prince of Persia). L'azienda obbliga i suoi clienti a connettersi a Internet ogni volta che lanciano un gioco per giocatore singolo. Questo avviene anche se il gioco non ha alcuna funzione online. Ciò consente a Ubisoft di raccogliere il comportamento di gioco delle persone. Tra le altre cose, l'azienda raccoglie dati su quando si avvia un gioco, per quanto tempo lo si gioca e quando lo si chiude. Anche dopo che il denunciante ha chiesto esplicitamente perché è costretto a essere online, Ubisoft non ha rivelato il motivo di questa operazione. Ai sensi dell'articolo 6(1) del GDPR, non sembra esistere una base giuridica valida per raccogliere casualmente tali dati degli utenti.
Giochi offline - con obbligo di essere online. La maggior parte dei videogiochi offerti dallo sviluppatore ed editore francese Ubisoft è concepita come un'esperienza per giocatore singolo. Tra le offerte più popolari di questa categoria ci sono i franchise di Assassins Creed, Far Cry e Prince of Persia. Anche se questi giochi possono essere giocati senza interagire con altri giocatori, Ubisoft obbliga i giocatori di PC a connettersi a Internet e ad accedere a un account Ubisoft prima di poter effettivamente giocare a un gioco acquistato. Questo è accaduto anche al denunciante: Dopo aver acquistato il gioco Ubisoft "Far Cry Primal" sul mercato online Steam, ha provato a lanciarlo mentre era offline, ma ha notato che non era possibile. Al contrario, è stato costretto ad accedere a un account Ubisoft prima di poter iniziare a giocare.
Joakim Söderberg, avvocato specializzato in protezione dei dati personali di noyb: "Immaginate se l'uomo del Monopoli si sedesse al vostro tavolo e prendesse appunti ogni volta che volete giocare a un gioco da tavolo con la vostra famiglia o i vostri amici. Questa è la realtà dei videogiochi. Spesso non importa nemmeno che i giochi siano giocati online o offline. Finché si dispone di una connessione Internet aperta quando si gioca, i dati vengono raccolti e analizzati"
Raccolta segreta di dati. Per saperne di più sulle pratiche di raccolta e tracciamento dei dati di Ubisoft, il denunciante ha presentato una richiesta di accesso ai sensi dell'articolo 15 del GDPR. Ubisoft ha risposto fornendo informazioni quali un identificativo unico per il denunciante e informazioni su quando ha avviato il gioco, per quanto tempo è rimasto in esecuzione e quando ha abbandonato il gioco. Essendo un esperto di tecnologia, il denunciante ha inoltre esaminato quali dati esatti venivano inviati a Ubisoft durante il gioco. Il denunciante ha scoperto che, in un periodo di soli 10 minuti, il gioco ha stabilito una connessione a server esterni per 150 volte. Tra i destinatari dei dati del denunciante: Google, Amazon e la società di software statunitense Datadog.
Gioco del gatto e del topo per ottenere maggiori informazioni. Nel tentativo di saperne di più, il denunciante ha anche contattato l'assistenza clienti di Ubisoft. Nella sua risposta, Ubisoft ha affermato di eseguire solo un controllo della proprietà al lancio. Per tutto il resto, il denunciante è stato rimandato al Contratto di licenza con l'utente finale (EULA) e all'informativa sulla privacy della società. Qui Ubisoft conferma di raccogliere dati personali "al fine di fornire all'utente un'esperienza di gioco migliore"e che utilizza "strumenti di analisi di terze parti per raccogliere informazioni sulle abitudini di gioco e sull'uso del prodotto da parte vostra e di altri utenti" e che raccoglie "dati di gioco" nonché "dati di accesso e di navigazione".
Non necessario - e quindi illegale. Il fatto è che: Il reclamante non ha mai acconsentito a questo trattamento. Ai sensi dell'articolo 6, paragrafo 1, del GDPR, ciò significa che il trattamento è legale solo se è necessario, il che non è il caso del ricorrente. Avendo acquistato il gioco su Steam, la proprietà è già confermata. Inoltre, Ubisoft fornisce un'opzione (nascosta) per giocare offline, dimostrando che il trattamento di tutti i dati personali nella configurazione standard non è effettivamente necessario. E anche se lo fosse, non si spiegherebbe la raccolta dei dati durante il gioco. Se Ubisoft vuole i dati per migliorare un gioco, può semplicemente chiedere il consenso agli utenti. L'azienda può anche chiedere ai giocatori se vogliono inviare ai suoi server segnalazioni di bug individuali. Tuttavia, non sembra essere legale che il PC di un utente invii costantemente segnalazioni per impostazione predefinita.
Lisa Steinfeld, avvocato specializzato in protezione dei dati presso noyb: "I videogiochi sono costosi, ma questo non impedisce a società come Ubisoft di costringere i propri clienti a giocare inutilmente online, solo per poter guadagnare di più monitorando il loro comportamento. Le azioni di Ubisoft sono chiaramente illegali e devono essere fermate"
Denuncia presentata in Austria. noyb ha quindi presentato una denuncia GDPR all'autorità austriaca per la protezione dei dati (DSB). Chiediamo al DSB di dichiarare che Ubisoft ha violato l'articolo 6(1) del GDPR con il trattamento dei dati personali senza una valida base legale. Inoltre, chiediamo che Ubisoft cancelli tutte le informazioni personali del denunciante che sono state trattate senza una valida base legale - e che la società cessi ulteriori trattamenti illegali. Infine, suggeriamo che l'autorità per la protezione dei dati imponga una multa amministrativa. Sulla base del fatturato di Ubisoft ubisoft, con un fatturato di oltre 2 miliardi di eurol'autorità per la protezione dei dati potrebbe comminare una multa fino a 92 milioni di euro.
