Gaming, betting e eSports: caminho para a segurança jurídica

No quinto e último artigo da série "Gaming, betting e eSports Law: o que você precisa saber?" analisamos como as empresas podem atuar de forma ética, responsável e em conformidade com as regulações aplicáveis.

O objetivo é fornecer informações que ajudem as empresas a fortalecer sua segurança jurídica e gerenciar adequadamente os riscos envolvidos, para que possam aproveitar ao máximo as oportunidades e colher melhores resultados de suas práticas.

Privacidade e proteção de dados pessoais. As atividades que envolvem as práticas de gaming, e eSports, ainda que variem de perfil e estrutura de governança, usam dados pessoais para sua execução. Ou seja, dados que permitam extrair informações sobre os indivíduos envolvidos nessas atividades, principalmente jogadores, apostadores e empregados.

É fundamental que as empresas tenham uma governança sólida dos dados pessoais para mitigar riscos e estejam plenamente adequadas à legislação de proteção de dados pessoais, em especial à Lei Geral de Proteção de Dados Pessoais (LGPD) e sua regulação pela Autoridade Nacional de Proteção de Dados (ANPD). Uma governança sólida também será profundamente estratégica para que as empresas possam utilizar os dados com conformidade jurídica e estejam bem-preparadas para o recebimento de investimentos, posicionando-se de forma consistente nas due diligences às quais forem submetidas.

Assim, as empresas também precisam estar prontas para prestar contas de suas atividades. Para isso, devem:

ter a privacidade como elemento-chave de sua visão e missão;
estruturar uma equipe responsável pelas questões de privacidade e, principalmente, nomear um encarregado de proteção de dados (Data Protection Officer);
elaborar e manter atualizados inventários de dados, especialmente de registro das operações que envolvem dados pessoais, com a identificação e o mapeamento de todas as bases legais e a produção dos documentos pertinentes;
estabelecer rotinas que consolidem o ideal de privacy by design para que a privacidade e a proteção de dados pessoais estejam integradas em todas as atividades da organização;
realizar todas as avaliações pertinentes e necessárias, como:
- testes de balanceamento para atividades que se valham do legítimo interesse;
- relatórios de impacto relativos à proteção de dados para tratamentos de dados de alto risco e outras situações;
- avaliações de inteligência artificial;
- avaliações de fornecedores;
- avaliações dos controles e rotinas de segurança da informação; e
- due diligences pertinentes
elaborar e atualizar políticas e avisos de privacidade;
elaborar e manter um plano de atendimento às requisições de titulares de dados pessoais.
implementar medidas de treinamento e conscientização dos profissionais;
preparar adequadamente os contratos da empresa, com uma configuração clara sobre o papel do agente de tratamento e demais cláusulas pertinentes;
adotar todas as medidas técnicas ou administrativas para evitar qualquer tratamento ilícito ou inadequado de dados pessoais e incidentes de privacidade, incluindo a elaboração de plano de resposta e remediação de incidentes de privacidade que prevejam exercícios simulados de verificação prática de riscos e procedimentos.

Nudges techniques e dark patterns. Para manter a conformidade com a legislação aplicável, especialmente de privacidade e de proteção envolvendo públicos específicos, como crianças, adolescentes e idosos, é altamente recomendável evitar a adoção de nudges techniques e dark patterns.

As avaliações técnicas e jurídicas preventivas são ótimas iniciativas para mitigar riscos e evitar o desperdício dos investimentos aplicados. Elas podem prevenir o lançamento de jogos em desacordo com as melhores práticas, ou que seja necessário prejudicar o fluxo de produção para efetuar correções ou ajustes.

Nudges techniques são recursos utilizados no decorrer do jogo que guiam ou levam o usuário a seguir o caminho que o desenvolvedor deseja. Porém, se a técnica ou esse “caminho” prejudicar direitos do jogador, essas práticas devem ser evitadas.
Dark patterns são nudges techniques mais ostensivas ou que exercem um poder de pressão maior sobre o usuário para que ele opte pelo que é melhor para o desenvolvedor. Entre os exemplos do que deve ser evitado na avaliação inicial e no desenvolvimento da prática, produto ou serviço – seja qual for sua modalidade ou plataforma de uso –, estão os seguintes recursos:
- play to skip, em que os jogadores são “convidados” a pagar um valor para fazer progressos durante o jogo;
- play to unlock, em que os jogadores são “convidados” a pagar um valor para liberar determinadas etapas do jogo ou conteúdos específicos; e
- dayly rewards, em que os jogadores recebem prêmios ou itens do jogo diariamente, o que os leva a frequentar o jogo com assiduidade.

Crianças e adolescentes. Considerado um dos principais públicos-alvo dessas práticas, há preocupações e riscos diretamente relacionados à proteção das crianças e adolescentes. É importante garantir que o desenvolvimento das práticas voltadas para esse público estejam alinhadas com a legislação, principalmente com o Estatuto da Criança e do Adolescente (ECA), o Código de Defesa do Consumidor (CDC) e a LGPD.

A mitigação dos riscos legais e a credibilidade dos games estão diretamente relacionadas à capacidade das empresas de inserir parâmetros legais de proteção no processo de desenvolvimento dos jogos. Avaliações e alinhamentos jurídicos são fundamentais.

Entre as principais medidas a serem consideradas estão:

adotar mecanismos de identificação dos jogadores menores de 18 anos com elevado grau de precisão e implementar ferramentas e comunicações que desincentivem falsas declarações de maioridade.
priorizar práticas e iniciativas que não sejam prejudiciais à saúde e ao bem-estar das crianças. Por exemplo, é recomendável adotar medidas para desincentivar a permanência por longos períodos contínuos nos games. Entre essas medidas estão:
- introduzir checkpoints frequentes;
- evitar o uso de loot boxes que tenham como condição de elegibilidade a permanência no jogo por longo período;
- adotar protocolos relacionados a idades diferentes para encorajar os jogadores a realizar intervalos; e
- não associar os resultados dos jogos ou o sucesso durante o jogo a grandes períodos de permanência.
ter atenção com as práticas publicitárias enganosas (que não condizem com a realidade) e abusivas (que se aproveitam da fragilidade ou desconhecimento do público infantil) destinadas à comercialização dos games, serviços ou itens relacionados.
priorizar como padrão a não adoção de profiling^{^[1]} ou perfilamento dos jogadores para fins de marketing ou publicitários, especialmente aqueles relacionados ao monitoramento de comportamentos dos usuários.
implementar medidas de monitoramento ou controle dos games, publicidades e migrações dos jogadores para atividades de terceiros que podem não estar no mesmo nível de adequação e conformidade.
evitar o uso de nudges techniques e dark patterns na jornada dos jogadores, principalmente pela maior vulnerabilidade desse público.
adotar meios adequados para identificar comportamentos inadequados ou ilícitos em espaços de interação (vídeo, chat etc.), incluindo as situações extremas em que adultos participam do jogo para a prática de crimes relacionados à exposição e/ou pornografia infantil.

Inteligência artificial. As práticas se valem de ferramentas de inteligência artificial em boa parte de seus processos e operações. É importante que as empresas busquem a segurança jurídica necessária para o uso da inteligência artificial, com a adoção das melhores práticas para o uso dessa tecnologia, para minimizar riscos, maximizar oportunidades e garantir níveis adequados de ética, transparência, confiabilidade e segurança da informação.

Entre as iniciativas, recomenda-se:

desenvolver e aplicar frameworks e soluções para governança ética e de conformidade legal, com a identificação dos parâmetros éticos, legislações e precedentes nacionais e estrangeiros aplicáveis, destacando-se, por exemplo, a recente aprovação do AI Act pela União Europeia;
elaborar políticas e documentos de transparência aplicáveis;
elaborar avaliações necessárias, como aquelas relativas à proteção de dados pessoais e ao uso de inteligência artificial;
avaliar e contratar fornecedores;
monitorar e fazer auditoria dos sistemas de inteligência artificial; e
treinar e conscientizar as equipes responsáveis, inclusive com políticas de uso consciente desses sistemas para proteção dos dados pessoais e da propriedade intelectual da empresa.

Segurança da informação. O tema da segurança da informação também é um fator de alta sensibilidade. As empresas precisam estar preparadas para mitigar riscos de fraudes digitais, ataques cibernéticos e crises, assim como se manter prontas para responder adequadamente a todas essas situações.

É fundamental que as empresas se concentrem na:

preparação, desenvolvendo planos e estruturas adequados para gerenciar o risco cibernético e responder a incidentes de forma rápida e eficaz. Para isso, é recomendável elaborar e revisar planos de resposta, políticas, contratos, campanhas, códigos de conduta e estruturas de governança corporativa, para reduzir a exposição a riscos e garantir a preservação de provas eletrônicas, com base nas melhores práticas do mercado, nas normas ISO ABNT 27.000 e 31.000, em práticas COBIT, ITIL, NIST, direito comparado e legislação vigente.
resposta, mantendo-se preparadas para conter os impactos negativos do evento, assegurar a continuidade do negócio e proteger a reputação da marca. Para isso, é recomendável que as empresas estejam prontas para investigar incidentes, preservar as evidências necessárias, conduzir crises interagindo com as autoridades e reguladores, a alta administração e outros públicos envolvidos, como empregados, fornecedores e clientes.
remediação, mantendo-se preparadas para mitigar o impacto de ações judiciais resultantes do incidente – incluindo responsabilização –, ações coletivas, procedimentos administrativos, entre outros. Também é recomendável que as empresas estejam preparadas para revisar os incidentes em um processo de avaliação de gaps e lições aprendidas que ajuda a fortalecer a segurança da informação da organização.

^[1] A conduta de profiling ou perfilamento consiste em qualquer forma de tratamento automatizado de dados pessoais que avalie os aspectos pessoais relativos a um indivíduo. O objetivo é analisar ou prever aspectos relativos ao desempenho do titular dos dados, situação econômica, saúde, preferências ou interesses pessoais, confiabilidade ou comportamento, localização ou movimentos.

Categorias

Gaming, betting e eSports: caminho para a segurança jurídica

Quais iniciativas as empresas devem tomar para gerenciar adequadamente os riscos, aproveitar ao máximo as oportunidades e colher melhores resultados, mantendo a ética e a conformidade legal?

Autores

Segurança da Informação

Integridade

Categorias

Gaming, betting e eSports: caminho para a segurança jurídica

Quais iniciativas as empresas devem tomar para gerenciar adequadamente os riscos, aproveitar ao máximo as oportunidades e colher melhores resultados, mantendo a ética e a conformidade legal?

Autores

Assuntos Relacionados

Data Centers e a janela de oportunidades no Brasil

Pesquisadores debatem com representantes do mercado sobre Seguro Cibernético

Cibersegurança: detalhes e ações de prevenção | Ep.02

Cibersegurança: detalhes e ações de prevenção | Ep.01

STJ: Juiz pode obrigar Google a tirar vídeos do ar em outros países

Banco Central abre consulta pública sobre prestadoras de serviço de ativos virtuais (VASPS)

Governo prepara uma política nacional para ‘data centers’

Machado Meyer promove evento sobre riscos de fraude e compliance

Segurança da Informação

Integridade