NEWS

Roblox: la privacy non è un gioco da ragazzi

Uno degli effetti della pandemia e dei successivi lockdown nazionali è stato certamente quello di aver aumentato in maniera esponenziale le ore che i minori passano davanti allo schermo. Di conseguenza, era inevitabile che ciò si riflettesse in maniera positiva sul mercato videoludico. A questo aumento ha certamente contribuito Roblox, il quale, più che un videogioco, è una piattaforma online per videogiochi. Infatti, tramite l’editor di Roblox, chiunque può creare un videogioco con le più svariate tematiche e meccaniche. Gli unici punti in comune sono la grafica, la quale ricorda vagamente i Lego, ed il fatto di poter monetizzare il gioco.

(Nella foto: l'Avv. Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)

La grafica infantile e la facilità di utilizzo ci permettono di considerarlo come chiaramente rivolto non ad un pubblico di adolescenti, ma ai bambini, specialmente quelli al di sotto dei 13 anni. Infatti, è stato rilevato come ben il 54% dei giocatori sia al di sotto dei 13 anni e con una base di giocatori attivi stimata in 200 milioni, ciò equivale ad almeno 100 milioni di utenti con un’età (dichiarata) inferiore ai 13 anni. La menzione del limite dei 13 anni tradisce le origini americane della società che gestisce il videogioco stesso, il quale quindi è strutturato per riflettere il Children Online Privacy Protection Act (COPPA). Ciò non di meno, tale servizio viene offerto anche ad interessati che si trovano nell’Unione Europea ed inoltre comporta il monitoraggio di questi ultimi, il quale avviene all’interno dell’UE, per cui il servizio offerto ricade ampiamente nello scopo territoriale del GDPR ex art. 3 par. 2.

A ciò si aggiunga che l’utilizzo di una piattaforma online comporta di per sé, potenzialmente, il trattamento di una grande quantità di dati personali, specialmente alla luce del fatto che è presente uno strumento di chat interna alla piattaforma. Di conseguenza, è inevitabile che sorgano domande sui risvolti in ambito privacy e sulle misure di tutela dei minori nelle loro attività online implementati da Roblox.

Innanzitutto, quando si procede alla registrazione tramite l’apposito portale web, il link che porta all’informativa privacy non viene localizzato in lingua italiana, in contrasto con l’obbligo di messa a disposizione dell’informativa ex art. 13, alla luce del fatto che, mentre il portale è localizzato in lingua italiana (per cui non si può negare che il servizio sia indirizzato anche ad utenti italiani), l’informativa non lo è.

Vale la pena anche citare il considerando 58 del GDPR, per il quale “[…]Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente”, e tale indicazione la ritroviamo anche nell’art. 12 par. 1 del GDPR, in quanto il servizio è prevalentemente utilizzato da minori.

Da una ricerca esterna rispetto al processo di iscrizione, è risultata una informativa redatta in italiano, ma è solamente parziale ed il link indicato come quello per poter accedere ad un’informativa estesa conduce, al momento della redazione di questo articolo, ad un vicolo cieco.

Spesso i videogiochi online rivolti ai minori non sono rispettosi del GDPR e della privacy

Simulando l’iscrizione di un minore di 14 anni e procedendo ad utilizzare il servizio, non appaiono altri banner o documenti riguardanti la tutela dei dati. Effettivamente sono presenti sistemi tecnici ed organizzativi per tutelare il minore, in quanto la chat non si attiva se non dopo l’associazione di una e-mail di un genitore (misura, comunque, facilmente eludibile) e, come affermato in svariati punti all’interno dell’informativa in lingua inglese e durante le procedure di iscrizione, la chat viene moderata sia in maniera automatica (tramite filtri costantemente aggiornati) che tramite moderatori umani.

Dalla visione della informativa privacy estesa (in lingua inglese e di ben 45 pagine) risulta inoltre, a pagina 10 del documento, che i dati dell’interessato potranno essere trattati anche per le finalità di “mostrare pubblicità relativa ai nostri servizi che possa essere rilevante per i tuoi interessi” (N.B. traduzione libera dell’autore). Non è però presente alcuna frase che faccia presupporre un discrimine tra minorenni e maggiorenni. Per altro, dal momento dell’iscrizione a quello di utilizzo della piattaforma, non è stato presentato alcun banner, casella o e-mail che riguardasse la prestazione del consenso, da parte dell’utente e degli esercenti la responsabilità genitoriale, per un’attività che chiaramente si può associare alla profilazione e al targeted advertising, specialmente data la considerevole quantità di minori che utilizzano tale servizio.

Infine, un ulteriore aspetto da considerare è che nei documenti e nella pagina web sia presente unicamente l’indicazione del rappresentante del titolare del trattamento non stabilito nell’Unione Europa ex art. 27 del GDPR, ma non del Responsabile per la protezione dei dati personali ex art. 37 del GDPR. E, alla luce di quanto sopra esposto, certamente si può far rientrare la società che gestisce tale videogioco tra quelle che necessitano di un DPO , in particolare in considerazione di quanto stabilito dalla lettera b, ovvero per “[…]trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala[…]”.

Quella effettuata è un’analisi preliminare, ma le criticità del sito e del videogioco stesso – dal punto di vista privacy – sono molteplici. Come sempre, il miglior consiglio per i genitori è quello di prestare la massima attenzione alle attività dei propri figli online, educandoli al tutelare fin da giovanissimi la propria privacy e conseguentemente i dati personali che potrebbero facilmente, se non si sta attenti, finire nelle mani sbagliate, di malintenzionati o di multinazionali con pochi scrupoli.

Per approfondimenti sulla tutela della privacy dei minori con il Gdpr, vedasi la Circolare 5-2020:

Note Autore

Matteo Alessandro Pagani Matteo Alessandro Pagani

Avvocato, Socio Fondatore PLS Legal, Delegato Federprivacy nell'area metropolitana di Milano - Web: www.plslegal.eu

Prev Dal Data Protection Officer al manager dei dati: come deve cambiare il ruolo chiave del Gdpr anche nel quadro di un suo costante aggiornamento professionale
Next Accountability: misure reattive e proattive

App di credito sociale e rischi privacy per i cittadini

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy