SV/A - Souza Vasconcellos Advogados

Apenas em 2021, um total de 2.66 bilhões de jogadores gastaram, em conjunto, o correspondente a 116 bilhões de dólares em games, especificamente nas versões mobile.

Há diferentes modelos de negócio para monetização de games, de modo que cada um atende a um nicho específico de jogadores e ganham níveis distintos de popularidade. 

De forma geral, os jogos podem ser divididos em:

• Paid Games – aqueles em que o usuário paga para a aquisição do jogo e passa a ter acesso, em geral, ilimitado ao seu conteúdo, sendo este o modelo mais antigo e tradicional do mercado.
  
• Free Games – Neste modelo a monetização ocorre principalmente por meio da veiculação de publicidade nos jogos. O acesso e o aproveitamento do jogo em si são gratuitos para o usuário, sendo este o alvo de publicidade de terceiros. Para a monetização dos free games, importa o número de impressões e conversões a partir da publicidade feita nas plataformas.
  
• Freemium Games – Correspondem aos jogos disponibilizados gratuitamente, mas que condicionam a evolução e o aprimoramento da experiência dos jogadores a microtransações dentro do jogo. Os freemium games são gratuitos apenas em certa medida, pois a liberação de determinados conteúdos no jogo só ocorre mediante pagamento (p. ex.: expansões de conteúdo, itens para os personagens do jogo etc.). Como exemplo disso, vale ressaltar o caso que foi recentemente noticiado sobre a criança de 11 anos que gastou cerca de 30 mil reais no cartão do seu pai em compras feitas no jogo Roblox
  
• Paymium Games – Podem envolver tanto a compra inicial do jogo como pagamentos posteriores por meio de micro transações (para acesso a determinados conteúdos) e/ou por meio de assinatura com pagamentos regulares. 

Independentemente do modelo de monetização, a captação de dados pessoais passa a ser um recurso cada vez mais utilizado e necessário para tornar o jogo um serviço contínuo. Quanto mais se conhece quem está do outro lado da tela, maiores são as chances de obter o engajamento do usuário.

Entendendo o perfil dos jogadores, as empresas distribuidoras (publisher3) e/ou desenvolvedoras (developer4) conseguem atender aos interesses e expectativas, bem como influenciar de forma direta e indireta o comportamento do seu público-alvo. Partindo deste ponto, uma das maiores problematizações que circundam o tema é que grande parte deste público se trata de crianças e adolescentes.

Em razão disso, o debate regulatório de jogos é tema presente em diversos países, como as restrições impostas pela China às empresas de tecnologia devido a restrições de uso de games online por menores de idade para combate ao vício5, e regulamentações como a Portaria MJSP no 502/2021 sobre classificação indicativa, publicada pelo Ministério de Justiça e Segurança Pública do Brasil. 

1 – Riscos Comuns Relativos à Segurança da Informação

Srgundo informações obtidas em 2020 pela Akamai, empresa de tecnologia com expertise em soluções de segurança digital, o setor de jogos foi o que teve maior crescimento no índice de ataques, com um volume de ameaças maiores em 340% do que o registrado em 2019. Contra os jogadores, o aumento foi de 224% nas tentativas de intrusão a contas a partir de credenciais vazadas. Golpes desse tipo, somados ao uso de e-mail de phishing para roubo de informações, foram os maiores golpes em 2020. 

Por exemplo, em julho de 2022, uma brecha afetou o site Neopets, levando à exposição de informações de 69 milhões de pessoas, bem como ao acesso indevido ao código-fonte e sistemas internos do game35. O responsável pelo vazamento divulgou uma pequena amostra do conteúdo de banco de dados na dark web, que continha informações como nomes, e-mail, gênero, datas de nascimento, senhas criptografadas, dados de localização e informações do perfil de cada jogador. É preciso levar em consideração que o público-alvo deste jogo é majoritariamente infantil, o que pode tornar as consequências do incidente ainda mais danosas.

De acordo com o Relatório sobre o Direito das Crianças à Privacidade, do Instituto Alana em parceria com o InternetLab36, crianças estão especialmente sujeitas ao uso indevido de seus dados e a riscos digitais, como manipulação comportamental – e por isso é tão importante garantir que mecanismos de segurança sejam implementados durante o desenvolvimento e disponibilização do game. 

2 – Boas Práticas a Serem Adotadas Pela Indústria

Com base no que foi colocado anteriormente, os principais pontos de atenção em relação a privacidade e proteção de dados para as empresas que atuam no ecossistema de games são:

2.1- Considerar aspectos de privacidade e proteção de dados desde as etapas iniciais de desenvolvimento do game, adotando metodologias como o privacy by design e privacy by default.

2.2 – Realizar avaliações prévias de privacidade e de proteção de dados pessoais dos fornecedores, principalmente quanto ao uso de SDKs e APIs.

2.3 – Avaliar as regras de privacidade e proteção de dados das lojas de aplicativos e demais marketplaces nos quais o jogo será disponibilizado.

2.4 – Aplicar medidas adequadas de segurança da informação, considerando as principais ameaças e vulnerabilidades identificadas na indústria e a sensibilidade dos dados pessoais tratados, visando, sobretudo, à detecção e prevenção de riscos.

2.5 – Implementar programas de conscientização junto aos colaboradores envolvidos no desenvolvimento dos games.

2.6 – Considerando o crescimento no índice de ataques à indústria, elaborar campanhas informativas aos jogadores para conscientização e promoção de práticas de segurança.

2.7 – Adotar medidas de transparência reforçadas para as atividades de tratamento de dados realizadas com base em inferências ou em usos secundários, garantindo maior controle individual aos jogadores.

2.8 – Considerar a adoção de medidas específicas direcionadas ao tratamento de dados de crianças e adolescentes, com base em seu melhor interesse, considerando a vulnerabilidade e o estágio de desenvolvimento em que se encontram.

2.9 – Preparar análises de risco, como Relatórios de Impacto à Proteção de Dados, para o jogo em si ou para novas funcionalidades, principalmente se houver dados pessoais sensíveis ou de crianças. 

3 – Conclusão

A indústria de jogos eletrônicos é um segmento crescente e estruturado em torno de diversos modelos de negócio, baseados em diferentes categorias de jogos e estratégias de monetização, de maneira que o modelo escolhido pelo desenvolvedor tem impacto direto na privacidade e tratamento de dados pessoais dos jogadores. Jogos podem coletar um volume significativo de dados pessoais de seus jogadores para diversas finalidades (publicidade, aumento de engajamento, desenvolvimento de novos produtos e serviços, etc).

Além disso, a ampliação dos meios disponíveis para jogar – como smartphones e dispositivos de realidade virtual ou aumentada – diversificam as possibilidades de coleta de dados pessoais. Essas novidades motivam o uso secundário de dados pessoais pelos desenvolvedores para finalidades mais sofisticadas, como inferências sobre a saúde, medição de habilidades, conhecimentos, e hábitos de consumo dos jogadores.

A indústria de games, também, é bastante horizontalizada em serviços secundários indispensáveis, como, por exemplo, para inteligência de negócio, marketing, desenvolvimento de software e segurança da informação. É comum, portanto, que haja o compartilhamento de dados pessoais dos jogadores com os terceiros responsáveis por essas atividades em conjunto com as desenvolvedoras dos games. Nesse cenário vale destacar as plataformas para oferta de games no mercado (marketplaces) – como a Apple App Store, Google Play – que exigem requisitos específicos de privacidade e proteção de dados pessoais.

Esses fatores, somados aos riscos de segurança da informação, requerem tanto de desenvolvedores como de jogadores a adoção de certos cuidados e ações preventivas para evitar incidentes de segurança envolvendo dados pessoais.

Assim, verifica-se que o ecossistema de desenvolvimento de games exige a atuação de diversos atores para que os dados pessoais dos jogadores sejam utilizados de forma adequada, em conformidade com as legislações de proteção de dados pessoais aplicáveis. 

Fernando Henrique Ferreira de Souza é advogado no SV/A – Souza Vasconcellos Advogados, DPO e entusiasta de inovações no mundo do Direito e dos Negócios.