La industria de los videojuegos se ha consolidado como uno de los sectores digitales con mayor crecimiento y alcance a nivel global, especialmente entre menores y jóvenes. Este entorno, profundamente conectado y basado en modelos intensivos de datos, plantea importantes desafíos en materia de privacidad y protección de datos personales. En este contexto, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) establecen obligaciones específicas para los responsables del tratamiento, así como garantías reforzadas para los usuarios menores de edad.
A lo largo del presente artículo se analizan los principales riesgos asociados al uso de videojuegos online, los tipos de datos que suelen recopilarse, las obligaciones legales de las compañías y las medidas necesarias para asegurar un tratamiento conforme a la normativa europea.
Incumplimientos recientes de protección de datos en plataformas de videojuegos.
Diversos análisis sobre plataformas de gestión de consentimiento han mostrado que aproximadamente el 90% de los videojuegos evaluados presentan incumplimientos respecto de las obligaciones en materia de privacidad, poniendo de manifiesto importantes deficiencias en la aplicación práctica de los requisitos establecidos por el RGPD.
Entre los casos recientes destaca la queja formal presentada contra Ubisoft por la presunta recopilación ilícita de datos personales en títulos como Far Cry Primal, Assassins´s Creed y Prince of Persia. Según la denuncia, la compañía habría recabado información relativa a los tiempos de inicio y fin de sesión, así como datos sobre las conexiones del juego, transmitiendo posteriormente estos registros a servidores externos operados por terceros como Google, Amazon o Datadog. La persona reclamante constató estas prácticas tras ejercer su derecho de acceso conforme al artículo 15 del RGPD.
Ubisoft fundamentó su actuación en lo dispuesto en su Acuerdo de Licencia de Usuario Final y a su política de privacidad, documentos en los que se indicaba que el tratamiento de datos tenía por finalidad “ofrecer una mejor experiencia de juego” y que el uso de “herramientas de análisis de terceros” resultaba necesario para dicho propósito. No obstante, la denuncia presentada en Austria argumentó que estas actividades constituían una vulneración del artículo 6.1 del RGPD, solicitando la supresión de los datos tratados sin una base jurídica válida y el cese de futuros tratamientos presuntamente ilícitos. El caso podría conllevar para Ubisoft la imposición de una sanción de hasta 92 millones de euros.
En España, la Agencia Española de Protección de Datos (AEPD) ha decidido continuar con la investigación a la plataforma de videojuegos estadounidense Roblox debido a las dudas existentes sobre sus políticas de tratamiento de datos de menores. Se estima que cerca del 40 % de su base global de usuarios —aproximadamente 111 millones de menores de 13 años— pertenece a este grupo especialmente protegido por la normativa.
La controversia se ve agravada por otros factores, como la insuficiente supervisión de las interacciones entre menores y adultos dentro de la plataforma, así como la existencia de mundos virtuales que reproducen casinos o espacios con máquinas tragaperras, contenidos potencialmente inapropiados para su audiencia principal.
Como respuesta a la presión regulatoria y a las investigaciones en curso, Roblox anunció la implantación de un sistema de verificación de edad más estricto en diversos países, entre ellos Reino Unido, España y Francia, con el objetivo de reforzar las medidas de protección dirigidas a los usuarios menores de edad.
Videojuegos online y datos personales: qué información recogen
Los videojuegos, especialmente aquellos que integran funcionalidades en línea, generan y procesa una amplia variedad de datos. Entre los principales riesgos asociados figuran el uso excesivo por parte de menores, las posibles interacciones con desconocidos a través de chats o foros —con fenómenos como el grooming— y la exposición a prácticas de recopilación de información que pueden comprometer la privacidad de los usuarios.
En cuanto al tipo de datos recabados, estos suelen incluir información de uso, datos del dispositivo, ubicación aproximada, comunicaciones de voz y contenido de chats (véase: La voz también nos identifica: Sanción por difundir voces de menores). Tales prácticas resultan relevantes no solo para el desarrollo y optimización de funcionalidades por parte de las empresas, sino también porque pueden ser explotadas en actividades ilícitas vinculadas a la obtención indebida de información.
El Instituto Nacional de Ciberseguridad (INCIBE) identifica varios riesgos relevantes: recopilación excesiva de datos sin criterios de minimización, vulnerabilidades de seguridad que pueden facilitar accesos no autorizados ―especialmente a información de pago― y la transferencia de datos a terceros sin la debida transparencia o sin medidas de seguridad adecuadas.
Muchos videojuegos incorporan sistemas de telemetría, entendidos como mecanismos de recopilación y transmisión automatizada de datos desde dispositivos remotos hacia una plataforma central para fines de supervisión y análisis del rendimiento. En numerosos casos, esta funcionalidad se encuentra activada por defecto sin ofrecer al usuario la posibilidad de rechazarla, circunstancia que puede vulnerar el requisito de consentimiento libre, informado y específico exigido por el artículo 6.1 del RGPD.
Tipos de datos recopilados
- Datos de registro: incluyen información básica proporcionada por el usuario, como nombre, dirección de correo electrónico o fecha de nacimiento.
- Datos de pago: comprenden la información vinculada a métodos de pago, como tarjetas o cuentas utilizadas para compras integradas dentro del juego
- Datos de localización: abarcan la dirección IP y, en algunos casos, la ubicación geográfica aproximada del usuario.
- Datos de comportamiento: recopilan patrones de uso, como tiempos de juego, niveles alcanzados, frecuencia de conexión o preferencias del jugador
- Datos de categorías especiales: pueden incluir información relativa a salud, orientación sexual u origen étnico o racial, entre otros, cuando el usuario la facilita o se deduce de su actividad. Este tipo de datos está sujeto a una protección reforzada conforme al artículo 9 RGPD.
Obligaciones de las compañías de videojuegos como responsables del tratamiento
Las compañías de videojuegos en la posición de responsable del tratamiento deben garantizar que la información sobre el uso de datos personales sea accesible y fácilmente comprensible, ya sea dentro del propio juego o a través de su política de privacidad. Dicha información debe incluir, como mínimo:
- Identidad y datos de contacto del responsable del tratamiento.
- Datos de contacto del Delegado de Protección de Datos (cuando resulte obligatorio o el responsable cuente con esta figura).
- Finalidades del tratamiento y base jurídica aplicable.
- Destinatarios o categorías de destinatarios a los que se comunicarán los datos.
- Información sobre transferencias internacionales, cuando existan.
- Plazos o criterios previstos para la conservación de los datos.
- Relación de derechos de los interesados y los canales disponibles para ejercerlos.
- Posibilidad de presentar una reclamación ante la autoridad de control competente.
- Información sobre decisiones automatizadas y elaboración de perfiles, en caso de que se lleven a cabo.
Gestión del consentimiento parental para menores de 14 años
Cuando el usuario es menor de 14 años, en España conforme al artículo 7 LOPDGDD, se exige la obtención del consentimiento previo de los padres o tutores legales para el tratamiento de sus datos personales. Con el fin de garantizar una validación adecuada, las plataformas pueden implementar, entre otras, las siguientes medidas:
- Sistemas de verificación de edad durante el proceso de registro.
- Mecanismos de autorización parental, como la firma electrónica u otros medios válidos que permitan acreditar la identidad del progenitor o tutor.
- Avisos específicos dirigidos a menores y padres, incluidos en la información proporcionada dentro del videojuego, la política de privacidad o materiales promocionales.
Marco legal aplicable
En Europa, el marco de referencia principal es el RGPD, que exige la existencia de bases jurídicas sólidas, información adaptada a las distintas franjas de edad y la verificación del consentimiento parental cuando corresponde. Asimismo, refuerza la obligación de aplicar medidas de protección desde el diseño y por defecto, especialmente en el caso de menores. Por ello, no resulta suficiente limitarse a declarar que un videojuego “no es apto para menores”; es necesario implementar salvaguardas técnicas y organizativas que respalden efectivamente dicha afirmación.
La privacidad por defecto en cuentas de menores debe incluir medidas esenciales como: ocultar los perfiles de los jugadores por defecto, desactivar inicialmente funcionalidades como geolocalización, cámara y micrófono, y aplicar limitaciones en las comunicaciones. A ello se suman filtros de chat, herramientas de moderación y opciones de bloqueo o silencio para prevenir interacciones no deseadas (véase: Sistemas de verificación de edad para proteger a los menores en Internet).
Este enfoque se complementa con otras normas relevantes, como la Directiva ePrivacy y el Digital Services Act, que establecen requisitos de transparencia publicitaria, obligaciones de moderación de contenidos y limitaciones específicas respecto a la publicidad personalizada dirigida a menores. Paralelamente, la normativa de consumo exige una información clara sobre compras integradas, uso de monedas virtuales y condiciones de reembolso, aspectos que adquieren especial importancia cuando los usuarios son menores de edad.
Conclusión
La protección de datos en la industria de los videojuegos constituye un reto creciente, especialmente en un sector caracterizado por la interacción constante, la recopilación masiva de información y la elevada participación de menores. Los incumplimientos detectados en los últimos años reflejan la necesidad de reforzar la transparencia, la diligencia y la responsabilidad proactiva por parte de las plataformas.
El cumplimiento del RGPD, la LOPDGDD, la Directiva ePrivacy y el Digital Services Act exige la implantación de medidas técnicas y organizativas sólidas, así como la adopción de políticas claras de privacidad y consentimiento. Solo mediante un enfoque integral que combine protección desde el diseño, verificación del consentimiento parental, controles adecuados y una comunicación accesible para los usuarios podrá garantizarse un entorno digital seguro y respetuoso con los derechos fundamentales, especialmente cuando se trata de menores.
Si quieres más información sobre menores y protección de datos puedes visitar otras entradas de nuestro blog pinchado aquí y aquí.
