Source: The Conversation – (in Spanish) – By Marta Beltrán, Jefa del Área Científica de la Agencia Española de Protección de Datos; profesora titular de Universidad en excedencia, Universidad Rey Juan Carlos

Los videojuegos dejaron de ser hace tiempo un simple pasatiempo para convertirse en una industria cultural muy poderosa, en la que millones de jugadores interactúan, compiten y comparten experiencias. Pero, detrás de cada partida, cada logro desbloqueado o cada compra dentro del juego, hay algo más: nuestros datos personales.
Desde el nombre de usuario hasta el comportamiento en el juego, pasando por la ubicación o los hábitos de consumo, la industria del videojuego recoge, analiza y, en ocasiones, comparte con terceros información que puede ser muy sensible.
Un ecosistema con muchos actores y responsabilidades
El tratamiento de datos personales en los videojuegos afecta a un ecosistema amplio y diverso: cada actor tiene un papel distinto, desde los proveedores de hardware (fabricantes de consolas, de tarjetas gráficas o de periféricos específicos para el juego) o de tecnología para el desarrollo (bibliotecas, middleware –software intermediario para la gestión de datos–, kits de desarrollo de software, interfaces de programación de aplicaciones o API, paquetes de código, motores) hasta los editores que financian, comercializan, distribuyen y, en ocasiones, “producen” los juegos.
También se incluyen aquí los storefronts, plataformas online de distribución donde los jugadores compran o descargan juegos. Actúan como intermediarias entre editores, plataformas de hardware y consumidores finales.
Cada uno de estos actores tiene la obligación de cumplir con la normativa de protección de datos, el Reglamento General de Protección de Datos (RGPD) en el caso de la Unión Europea. Sin embargo, la complejidad del sector y de las relaciones entre los diferentes actores participantes, más la globalización de los servicios, hacen que no siempre sea fácil garantizar que todos los eslabones de la cadena actúen con la debida responsabilidad.
¿Qué se hace con los datos personales?
No todos los juegos tratan los mismos datos personales con la misma finalidad o de la misma manera. No es lo mismo un juego offline y de un solo jugador, como un clásico de rol para consola, que un Massively Multiplayer Online (MMO) o un juego online gratuito –free to play–. En el primer caso, es posible que el único dato que se almacene sea el progreso en la partida y que, además, se guarde localmente en el dispositivo. Sin embargo, en los juegos en línea, especialmente aquellos con modelos de negocio basados en microtransacciones o publicidad, el volumen y la variedad de datos personales que se recogen aumentan exponencialmente.
Su tratamiento abarca numerosas actividades, pero hay tres fundamentales que se repiten en casi todos los casos. La primera es la creación y mantenimiento de cuentas. Para acceder a la mayoría de los juegos en línea, es necesario crear una cuenta, lo que implica proporcionar datos como el correo electrónico, el nombre de usuario o, en algunos casos, información de pago. Estos datos se utilizan para identificar al usuario, gestionar su perfil y permitirle acceder a sus progresos desde diferentes dispositivos.
Lo malo es que no todos los juegos son transparentes sobre qué datos recogen durante el registro y con qué finalidad. Algunos solicitan permisos excesivos, como el acceso a la lista de contactos del teléfono o a la ubicación en segundo plano.
Objetivo: monitorizar al jugador
Otra actividad común es la telemetría, es decir, la recolección de datos en tiempo real sobre el uso del juego. Esto incluye desde monitorización técnica (como el rendimiento del dispositivo o los errores del software) hasta datos de comportamiento (como las acciones del jugador, el tiempo de juego o las interacciones sociales).
Esta monitorización puede tener diferentes finalidades: equilibrar la dificultad, diseñar niveles más atractivos, ofrecer recompensas y misiones adaptadas a las preferencias de cada jugador, etc.
El problema surge cuando el tratamiento de datos va más allá de lo necesario o proporcionado, o cuando no se informa claramente al usuario sobre ello. Por ejemplo, algunos juegos recogen datos biométricos (como el ritmo cardíaco o neurodatos a través de wearables) sin que el usuario sea consciente de las implicaciones de compartir esta información.
En la misma línea, en los modelos free-to-play, la telemetría puede ayudar a identificar a los jugadores con mayor probabilidad de realizar compras dentro del juego (se les conoce como “ballenas” o “whales”). Esto permite dirigirles ofertas específicas e, incluso, explotar sus vulnerabilidades o sesgos.
Información que se deduce mientras jugamos
Los datos de los jugadores también se registran para hacer inferencias de comportamiento. Mediante técnicas de análisis predictivo, muchas veces basadas en inteligencia artificial, diferentes actores del ecosistema pueden extraer conclusiones sobre los jugadores, que van más allá de los datos explícitos que estos han proporcionado.
Por ejemplo, un juego puede clasificar a los usuarios en función de su habilidad, personalidad o su estado emocional, y utilizar esos perfiles para personalizar la experiencia o mejorar los emparejamientos. Pero también para venderlos a terceros.
Para hacernos una idea, se puede inferir que un usuario es menor de edad basándose en su patrón de juego o en las compras que realiza, incluso si este ha proporcionado una fecha de nacimiento falsa.
O se puede detectar que alguien tiene tendencias adictivas y, en lugar de alertarle, utilizar esta información para mantenerle enganchado con recompensas variables (un mecanismo similar al de las máquinas tragaperras).
Las amenazas: lo que puede salir mal
Como se puede observar, el tratamiento de datos personales en este contexto no está exento de riesgos. Para empezar, los juegos en línea son un objetivo frecuente de ciberataques. Si un adversario logra acceder a las bases de datos de una plataforma, puede robar información sensible, como contraseñas, direcciones de correo electrónico, datos de pago o datos biométricos.
Pero existen otras muchas amenazas que, probablemente, no sean tan obvias. Una de ellas es la vinculación. Aunque muchos juegos evitan la utilización de identificadores explícitos o directos, existen datos como la dirección IP o el comportamiento en el juego (por ejemplo, un patrón único de juego, como un estilo de movimiento o un ritmo de disparos) que pueden ser suficiente, por ellos mismos o mediante combinación de patrones, para asociar diferentes sesiones de juego, cuentas o transacciones a una misma persona.
Esto es especialmente preocupante porque se puede obtener un perfil para cada jugador. Este puede usarse a modo de huella digital única e intransferible, para rastrearle o vigilarle en el juego o en otros entornos digitales.
La vinculación también puede facilitar la identificación, de manera que se llegue a conocer la identidad real de un jugador. Así, el doxing (divulgación pública de información privada) es un riesgo real en comunidades de jugadores. Datos como nombres de usuario, direcciones IP o conversaciones en chats pueden filtrarse o usarse para acosar, extorsionar o discriminar a una persona. Así, en juegos multijugador, donde la interacción social es clave, la exposición de datos personales puede tener consecuencias graves, como el robo de identidad o el riesgo para la integridad física.
Datos erróneos y patrones de diseño adictivos
Por otro lado, los datos recogidos en los juegos y las inferencias realizadas a partir de ellos no siempre son exactos o correctos. Por ejemplo, un juego puede clasificar erróneamente a un usuario como “con tendencias adictivas”,
basándose en patrones de juego atípicos (como sesiones largas durante un fin de semana, por ejemplo). O como “tramposo”, tras la recogida de información de ciertos eventos. Estos errores no solo afectan a la experiencia del usuario, sino que pueden tener consecuencias legales si se toman decisiones automatizadas (como la exclusión de un jugador), basadas en datos o inferencias incorrectos, tanto dentro como fuera del juego.
Asimismo, hay que tener en cuenta el engaño o manipulación a través del uso de ciertos patrones de diseño en los interfaces o de mecánicas de juego específicas, como los sistemas cosméticos –para modificar la apariencia del personaje–, skins –aspecto visual alternativo– o personalización de avatares. Estas amenazas pueden llevar a los jugadores a tomar decisiones que de otro modo evitarían, mediante la explotación de sus vulnerabilidades psicológicas y sesgos cognitivos.
De igual manera, muchos juegos están diseñados para maximizar el tiempo de juego, la obtención de datos personales o el gasto (por ejemplo, a través de las cajas de botín o los pases de batalla). Esto puede tener un impacto mayor en los más jóvenes, al conducirles a realizar compras no autorizadas o a desarrollar conductas adictivas.
¿Qué se puede hacer?
Aunque la obligación recae en los responsables de los diferentes tratamientos de datos personales, las personas que juegan también pueden tomar medidas para proteger sus derechos:
-
Leer las políticas de privacidad y la información que se proporciona. Aunque, a veces, puedan ser largas y complejas, es importante entender qué datos personales se tratan y para qué. Si algo no nos convence, consideremos no utilizar ese servicio. Seamos críticos: ¿de verdad tenemos que conectar el juego con nuestras redes sociales? ¿O activar ese chat de voz?
-
Ajustar la configuración de privacidad. Muchos juegos y plataformas permiten limitar la recolección de datos o desactivar ciertas funciones de telemetría e inferencia. Revisemos estas opciones al empezar a jugar y elijamos las que mejor se adapten a nuestras preferencias.
-
Usar contraseñas seguras y autenticación en dos pasos. Esto reducirá el riesgo de que nuestra cuenta sea “secuestrada” y de que suplanten nuestra identidad.
-
Tener cautela con los datos que compartimos. Es mejor no proporcionar información sensible (como dirección física, datos de pago, biometría), a menos que sea absolutamente necesario. De nuevo, cuestionemos la información que se nos ofrece y no demos a “Aceptar” ciegamente.
-
Educación y concienciación. Podemos hablar con otros jugadores, especialmente con los más jóvenes, sobre la importancia de la privacidad y los riesgos asociados al uso de videojuegos. También es útil leer las recomendaciones de las autoridades de protección de datos personales o de otras instituciones de confianza (educativas, del sector de la salud, comunidades profesionales de juego, etc.).
Jugadores conscientes de sus derechos
Los videojuegos son una forma de entretenimiento, arte y socialización que ha transformado la cultura moderna. Pero, como en cualquier otro ámbito digital, el uso de datos personales conlleva riesgos que no deben subestimarse. La industria tiene la responsabilidad proactiva de garantizar que estos datos se traten de manera ética, transparente y, obviamente, conforme a la ley.
Los jugadores, por su parte, deben ser conscientes de sus derechos y tomar medidas para proteger su privacidad. El objetivo no es demonizar el tratamiento de datos personales, sino asegurar que se haga de manera que el sector pueda desarrollar su actividad económica e innovar, mientras se proporciona a los jugadores una excelente experiencia de juego sin comprometer sus derechos fundamentales. Y usted, ¿ha revisado alguna vez qué datos recoge su juego favorito?
![]()
Marta Beltrán no recibe salario, ni ejerce labores de consultoría, ni posee acciones, ni recibe financiación de ninguna compañía u organización que pueda obtener beneficio de este artículo, y ha declarado carecer de vínculos relevantes más allá del cargo académico citado.
– ref. ¿Para qué se usan los datos personales que recogen los videojuegos? – https://theconversation.com/para-que-se-usan-los-datos-personales-que-recogen-los-videojuegos-286381
