Los deportes electrónicos son un fenómeno de masas que durante la pandemia ha batido récords de audiencia, y las perspectivas indican un potente crecimiento sostenido a nivel de facturación en los próximos años. Con el auge del sector, la creación de clubes de e-sports está siendo una apuesta recurrente de inversión, hecho que se pone en evidencia por el creciente número de jugadores de fútbol profesional o youtubers que en la actualidad poseen su propio club de e-sports.
Los clubes de e-sports y el RGPD
La rentabilidad esperada de este modelo de negocio es directamente proporcional a la gran variedad de riesgos legales que estas estructuras jurídicas, muchas veces internacionales, deben soportar (laborales, fiscales, de propiedad intelectual, etc.).
Entre los riesgos de diversa naturaleza existentes, tiene especial relevancia el reto de cumplimiento del Reglamento General de Protección de Datos (RGPD). No solo los clubes radicados en Europa están sometidos al RGPD cuando tratan datos personales, sino también, bajo determinadas circunstancias, lo estarán los clubes extracomunitarios. Este hecho no es baladí, ya que muchos de estos clubes venden merchandising o entradas a nivel global, gestionan bases de datos con usuarios europeos, y utilizan técnicas de seguimiento, controlan el comportamiento y las preferencias de usuarios de la UE en Internet. De hecho, Team Liquid y Faze Clan incluyen, en sendas políticas de privacidad, una referencia específica al tratamiento de datos personales de los usuarios residentes en Europa al amparo del RGPD.
Dentro de las estructuras organizativas que habitualmente presentan los clubes de e-sports, encontramos una gran variedad de capital humano especializado (vinculado vía contrato laboral o mercantil) respecto del cual se tratan sus datos personales, como son jugadores, entrenadores, directores técnicos, psicólogos, especialistas en marketing, contables, etc. Es más, muchas de las siguientes actividades que normalmente realizan los clubes conllevan riesgos en la privacidad: diseño de estrategias de internacionalización; creación de experiencias de usuario con el uso de nuevas tecnologías; gestión de bases de datos de fans supranacionales; desarrollo de la presencia en redes sociales; cierre de contratos de patrocinio; o ventas de merchandising o entradas para eventos y torneos de e-sports.
¿Qué deben tener especialmente en cuenta los clubes de e-sports para cumplir con el RGPD?
– Textos legales, consentimientos y cláusulas de privacidad en la web del club
Siendo la web una de las principales fuentes de recogida de datos, debe asegurarse en la misma lo siguiente: (i) el aviso de cookies cumple con los criterios de la AEPD y el consentimiento para su uso es expreso; (ii) se proporciona en la Política de Privacidad toda la información del art. 13 del RGPD – incluyendo todo lo referente al ejercicio de derechos – ; (iii) en los formularios de recogida de datos, la aceptación de la política de privacidad cumple los requisitos de transparencia, y se separa de la casilla de consentimiento para realizar comunicaciones comerciales (sin premarcar).
– Información de protección de datos a empleados y colaboradores
En el momento de la contratación, deberá proporcionarse al interesado toda la información de protección de datos del art. 13 del RGPD y, en su caso, recabar cualquier tipo de consentimiento que no forme parte de la propia relación contractual entre el club y el empleado o colaborador (como, por ejemplo, podría ser, en algunos casos, la cesión de derechos de imagen a favor del club para su explotación comercial, o el tratamiento de algunos datos de salud).
– Contratos con proveedores de servicios y transferencias internacionales de datos
Es necesario revisar todas las relaciones comerciales con proveedores de servicios que tienen acceso a datos del club, y comprobar que existe un contrato de encargado de tratamiento que cumple con el art. 28 RGPD. La normativa exige también que se evalúen ex ante las garantías que ofrece el proveedor de servicios para aplicar medidas técnicas y organizativas adecuadas. En caso de que se transfieran datos a un proveedor de servicios establecido fuera del EEA, y la transferencia no esté basada en una decisión de adecuación, normalmente se deberá recurrir a las cláusulas tipo de protección de datos adoptadas por la Comisión, cuya última versión es del 4 de junio de 2021, y realizar una evaluación de impacto de la transferencia internacional para valorar la posible exposición a intercepciones de gobiernos. Cabe recordar que el TJUE declaró inválido el ‘Privacy Shield’ para transferencias a EE. UU.
– Seguridad en los sistemas de información
Tras el análisis previo de los riesgos en protección de datos que afectan a los derechos y libertades de las personas físicas, el club deberá diseñar un plan de acción para mitigarlos, estableciendo medidas técnicas y organizativas adecuadas. Para ello el club deberá adoptar, entre otras, medidas de seudonimización y cifrado de datos, realizar copias de seguridad, implantar controles de acceso, aprobar políticas de seguridad de la información, realizar formaciones a empleados, etc. Cabe recordar que la actividad que realizan los clubes de e-sports presenta significativos riesgos de ciberseguridad, por lo que será necesario que se garantice la seguridad de las redes y de los sistemas de información donde se tratan datos personales, para prevenir incidentes accidentales, accesos no autorizados o brechas de seguridad que comprometan la disponibilidad, integridad, la resiliencia permanente y la confidencialidad de los sistemas donde se tratan datos.
– Jugadores y fans menores de edad
En todos los casos de recogida de datos de jugadores o fans menores de 14 años se requerirá el consentimiento de los titulares de la patria potestad. En cualquier caso, si bien los mayores de 14 años normalmente podrán prestar su consentimiento directamente, en determinadas circunstancias (por ejemplo, si se ceden derechos de imagen), se requerirá el consentimiento de sus padres, por lo que se recomienda actuar con precaución en este sentido. Además, el club será el que tiene que demostrar un mínimo de diligencia en el proceso de obtención del consentimiento y de verificación de este en la red. En definitiva, al interactuar con menores de edad, deberán tenerse en cuenta los mayores riesgos que podrían derivar del uso de sus datos, y especialmente, en los tratamientos con fines de mercadotecnia y de elaboración de perfiles de personalidad o de usuario en Internet.
– Registro de actividades de tratamiento
Deberá documentarse el flujo de los datos personales que circulan en el club, excepto que este emplee menos de 250 personas, y se determine que el tratamiento no entraña ningún tipo de riesgos para los datos de los interesados, sea ocasional, o no incluya datos especialmente sensibles. En todo caso, por la naturaleza de las actividades que realizan los clubes de e-sports y por lo restrictivo de la excepción, se recomienda siempre llevar a cabo este registro.
– Evaluaciones de Impacto en nuevos proyectos que usan tecnología innovadora
Antes de acometer nuevos proyectos innovadores que impliquen el uso de nuevas tecnologías, se deberán determinar los riesgos que pueden producirse sobre los derechos y libertades de los interesados e implementar medidas para mitigarlos (por ejemplo, al usar datos biométricos, al emplear big data para analizar la preparación física y mental de los jugadores, o al diseñar nuevas experiencias de usuario con técnicas de inteligencia artificial). En función del resultado de la evaluación, se podrá llevar a cabo la actividad, o, si el riesgo es alto sin medidas para mitigarlo, se deberá realizar una consulta previa a la AEPD.
– Nombramiento del Delegado de Protección de Datos (DPO)
Si bien los clubes de e-sports no forman parte del listado de entidades que deben designar un DPO, el concepto amplio de actividades de ‘gran escala’ (que estipula la ley) deberá analizarse con cautela y en función de: (i) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; (ii) el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; (iii) la duración, o permanencia, de la actividad de tratamiento de datos; y (iv) el alcance geográfico de la actividad de tratamiento. En todo caso, se recuerda que el nombramiento del DPO puede realizarse de forma voluntaria y, de hecho, siempre es recomendable.
– Toma de fotografías en eventos y torneos de e-sports para su publicación
En general, la publicación de imágenes de personas en redes sociales o en la página web del club conlleva la cesión (consentida, informada y revocable) de sus derechos de imagen (Ley Orgánica 1/1982), que, además, si la persona es identificada o (razonablemente) identificable, se considerará la imagen como un dato personal al amparo del RGPD. Sin perjuicio de ello, en eventos y torneos de e-sports públicos o de interés informativo, son excepciones a la intromisión ilegítima las imágenes de planos generales del acontecimiento donde aparece la imagen de la persona como meramente accesoria. En eventos organizados por el club, se recomienda informar al público que podrá aparecer en imágenes para su posterior difusión en redes sociales, y que, al aceptar las condiciones de participación en el evento, este autoriza expresamente el uso de su imagen.
El gran reto de los clubes de e-sports ante la privacidad de los datos
Los clubes de e-sports están ante el gran reto de logar explotar una imagen comercial digital y moderna, generar nuevos modos de entretenimiento, aproximarse a nuevas audiencias, captar inversión y mejorar su competitividad deportiva, pero cumpliendo con los principios y obligaciones del RGPD. Hoy en día, con la extensión del concepto de la cultura de la privacidad y su integración en el ADN de las organizaciones, el hecho de ser ‘GDPR-compliant’ es ya un factor decisivo de competitividad para las empresas, pues este sello es un elemento de fidelización y confianza ante los stakeholders.