GDPR (privacy) vademecum pratico per gestori di giochi online

Articolo pubblicato il 26/05/2021 da ilgrandeinverno

GDPR Giochi Online

Introduzione ed Indice

Questo vademecum non vuole essere una trattazione esaustiva del GDPR nè un decalogo punto per punto nè una guida su come costruire un'informativa da sbattere sul proprio sito per poi dimenticarsene. L'idea è anzi quella di esaminare come il GDPR può impattare in concreto su alcune attività di ordinaria amministrazione di un gioco online e come regolarsi di conseguenza: incluse tematiche spinose come il che fare con gli utenti bannati, i dati che occorre conservare per eventuali controlli anti "doppi", cosa fare se si vogliono mantenere attivi dei PG in seguito all'abbandono da parte del giocatore, eccetera.

- Glossario
- Ai fini della gestione di un PbC o di un PbF, adeguarsi al GDPR é obbligatorio?
- Ma l'indirizzo email é davvero un dato personale? Devo proprio attrezzarmi ai sensi del GDPR se raccolgo solo quello?
- L'informativa/alert sui cookies e quella per il GDPR sono la stessa cosa?
- Devo raccogliere il consenso per mostrare i contenuti del sito?
- Come predispongo un'informativa ai sensi del GDPR?
- Quando devo predisporre l'informativa e la raccolta del consenso?
- Il titolare del trattamento dati: chi è e come lo identifico?
- Responsabilità del titolare e i compagni di staff
- Il titolare del trattamento dei dati: quali riferimenti devo pubblicare?
- Il titolare del trattamento dei dati: posso usare un nickname o genericamente "il gestore"?
- Quali dati rientrano nella disciplina del GDPR?
- Se cripto / faccio l'hashing dell'indirizzo email tolgo di mezzo la necessità di adeguarmi al GDPR?
- Dati tecnici: L'IP address e lo User Agent sono dati personali?
- I dati di gioco del PG (personaggio giocante) sono dati personali?
- E' legale raccogliere [X/Y/Z/il_tal_dato]?
- Le finalità di trattamento dei dati: cosa devo dichiarare?
- Termini di conservazione dei dati: quanto a lungo posso trattenerli?
- Le copie di backup del database e quelle replicate per lo sviluppo/testing, rientrano sotto il GDPR?
- Il consenso al trattamento dei dati: cosa NON fare mai!
- Il consenso al trattamento dei dati: come mi regolo con i minori?
- Ho fatto dei cambiamenti all'informativa, cosa devo fare per chi ha espresso il consenso in passato?
- L'esercizio dei diritti dell'interessato
- Termini di risposta all'interessato
- La revoca del consenso al trattamento dei dati (art. 7)
- Il diritto di accesso ai dati (art. 15)
- Il diritto di rettifica dei dati (art. 16)
- Il diritto alla portabilità dati (art. 20)
- I diritti di limitazione del trattamento, opposizione e cancellazione/oblio dei dati personali (artt. 17, 18, 19, 21)
- Cosa fare col giocatore che ha chiesto la cancellazione/opposizione/limitazione/revoca del trattamento
- Problema pratico: utenti bannati "a vita"
- Problema pratico: i messaggi "privati" del PG e i record delle chat "private", sono dati personali?
- Problema pratico: i messaggi delle bacheche/forum offgame sono dati personali?
- La sicurezza dei dati personali


Glossario

- Dato personale: ciò che è considerato un dato personale é definito chiaramente. Sparisce la vecchia distinzione formale tra "dato personale" (es. dati anagrafici, indirizzo email) e "dato sensibile" (es. appartenenza a organizzazioni politiche, religiose o sindacali, quadri clinico/sanitari/biometrici, orientamento sessuale, ecc.): il Regolamento UE considera entrambi i tipi di dato come Dati Personali, distinguendoli per tipologia ed importanza nel modo in cui sono trattati e (eventualmente) diffusi a terzi. L'informativa deve specificare quali dati vengono conservati e trattati e con quali finalità. Normalmente i dati intenzionalmente raccolti dai giochi afferiscono alla prima tipologia, utile a identificare il soggetto, mentre la seconda categoria fa normalmente parte di dati che possono finire per essere trasmessi, condivisi o diffusi a prescindere dalla volontà dei gestori del gioco e/o del titolare del trattamento dei dati.
- Dato sensibile: (vedi Dato Personale).
- Conservazione e Trattamento: anche se quasi sempre coincidono (i dati sono normalmente registrati sul database e usati/trattati dal nostro sistema di gioco), tecnicamente non sono la stessa cosa. Il trattamento implica l'uso continuo del dato (es. identificazione dell'utente al login per utilizzare il gioco, procedure di reset/recupero password e username), la conservazione solo il fatto che il dato è conservato da qualche parte anche se non viene più trattato. Dove la conservazione avviene a prescindere dal trattamento (es. copie di backup del database) va dichiarato e va dichiarato come, dove, per quanto tempo e per quali finalità vengono conservati i dati.
- Finalità: le finalità con cui vengono raccolti i dati devono essere elencate chiaramente e l'utente ne neve essere informato. Ai fini dei nostri giochi le finalità più comunemente utilizzate sono la registrazione di un account di login, l'identificazione univoca dell'utente quando accede al gioco, le procedure di recupero/reset di nome utente e password, statistiche interne sull'utilizzo del gioco e gli eventuali controlli di sicurezza e moderazione. Se il trattamento prevede finalità di profilazione commerciale, offerta di prodotti e servizi terzi, trasmissione dei dati a terzi (escluse le pubbliche autorità), anche queste finalità vanno dichiarate esplititamente.
- Termini di conservazione: Per quanto tempo vengono trattenuti e/o trattati i dati. Ai fini dei nostri giochi non è possibile predefinire un termine massimo, essendo legato all'utilizzo che il giocatore fa del suo account; é implicito che finchè l'utente continua ad effettuare il login per identificarsi i dati vengono conservati e va quindi indicato, piuttosto, per quanto tempo vengono conservati i dati anche successivamente all'ultimo utilizzo dell'account (ultimo login).
- Interessato: ai fini pratici è l'utente che si registra per giocare. Nel caso di registrazione di minori se il consenso viene espresso dai genitori/tutori, diventano di fatto "interessati" anche loro.
- Titolare del trattamento dati: normalmente proprietario del sito, gestore del gioco e amministratore del database coincidono. Dove non coincidono é conveniente partire dal basso ed indicare in ordine di importanza pratica chi effettivamente é responsabile del modo in cui sono trattati i dati e può accedervi illimitatamente, quindi dalla persona formalmente intestataria del database e con i permessi necessari alla sua gestione e amministrazione.
- Terzi: qualunque soggetto esterno al rapporto diretto tra Titolare del trattamento e l'Interessato. Possono essere gli altri giocatori, visitatori e utenti del sito che possono entrare in contatto con l'Interessato nel corso delle normali attività di utilizzo del sito, come anche soggetti del tutto esterni al gioco a cui i dati possono essere trasmessi o resi accessibili, come autorità di polizia e giudiziarie, soggetti commerciali eccetera.
- Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. Useremo il termine pseudonimizzazione e anonimizzazione come se fossero intercambiabili; anche se non lo sono strettamente, ai fini pratici per noi lo sono.


Ai fini della gestione di un PbC o di un PbF, adeguarsi al GDPR é obbligatorio?

Dipende anzitutto da chi gestisce la raccolta, conservazione e trattamento dei dati forniti dagli utenti quando si registrano al gioco. In sostanza dipende da che grado di controllo abbiamo sui dati. Le nostre responsabilità sono pressochè nulle se ci limitiamo a gestire un sistema totalmente in carico ad altri soggetti (esempio un forum ospitato da formumfree), crescono sostanzialmente se siamo titolari di un database direttamente amministrato da noi, e sono massime se abbiamo anche in carico la gestione sistemistica del server che ci ospita (es. gestione di VPS, server in housing o server tenuto in cantina con connessione dedicata).
Se utilizzate un "vostro" database, al quale potete accedere liberamente in lettura, per registrare i dati personali degli utenti, sì, dovete. Se vi appoggiate ad applicazioni (es. un forum su forumfree) gestiti da terzi e non avete modo di accedere direttamente ai dati personali degli utenti, non siete tenuti a pubblicare una policy specifica sulla conservazione, trattamento e protezione dei dati personali, perchè si presume che lo faccia il titolare del servizio.
Questo ovviamente non riguarda solo le land PBC ma anche eventuali forum ospitati da servizi come altervista, in cui non siete "proprietari" del dominio (perchè vi ospita gratuitamente altervista) ma avete comunque accesso al database su cui avete istallato phpBB (o qualunque altro CMS) perchè i dati personali degli utenti saranno comunque registrati in un database amministrato da voi.
Secondariamente dipende dal tipo di dati che richiedete alla registrazione. Purtroppo la normativa tratta gli indirizzi email come se fossero identificativi univoci di una persona fisica (anche se sappiamo benissimo quanto sia facile costruire delle identità fake) quindi tecnicamente un indirizzo email é un dato personale (di fatto l'unico dato certo con cui potete identificare un utente) e come tale va trattato.
In linea teorica e filosofica potete anche giocare alla roulette russa, non eseguire alcuno degli adempimenti previsti dal GDPR e sostenere (se mai qualcuno vi chiamerà a farlo in sede legale) che un indirizzo email da solo non garantisce alcuna identificabilità della persona fisica che lo utilizza e sperare che la giurisprudenza riconosca come valido il vostro assunto, ma questo discorso esula dai nostri fini. Sotto questo punto di vista il GDPR non ci aiuta: se registrate gli indirizzi email e volete stare "sicuri" vi conviene considerare l'indirizzo email come un dato personale a tutti gli effetti, punto.
Valga come consiglio generale: se scegliete di essere "GDPR compliant", fatelo fino in fondo. E' meglio non pubblicare alcun documento impegnativo, che pubblicarne uno monco, incompleto o fallace o solo parzialmente valido, per fare bella figura e mostrare di essere "GDPR compliant", se poi vi tirate indietro quando l'applicazione del GDPR richiede passaggi difficili o antipatici (tipo pubblicare il vostro nome e cognome reali), perchè in questo modo mettete a rischio la credibilità della vostra buona fede, nel momento in cui dovessero insorgere contestazioni in sede legale. Per non dire che sarebbe una presa in giro bella e buona nei confronti dei vostri utenti.


Ma l'indirizzo email é davvero un dato personale? Devo proprio attrezzarmi ai sensi del GDPR se raccolgo solo quello?

Qui si aprirebbe un discorso lunghissimo. Allo stato attuale ci sono pronunciamenti del Garante della Privacy e sentenze della Cassazione che specificano che nome, cognome e indirizzo email vanno considerati dati personali e che quindi l'espressione del consenso esplicito per la loro raccolta é necessaria (quindi SI' bisogna predisporre gli adempimenti richiesti dal GDPR).
Peccato che tali disposizioni e sentenze parlino sempre dell'indirizzo email associato a dati indentificativi della persona fisica (tipicamente Nome e Cognome), non dell'indirizzo email da solo, che di per sè non garantisce alcuna identificabilità della persona fisica che lo utilizza (a meno che non si tratti di PEC, posta elettronica certificata).
Salvo sentenze o pronunciamenti del Garante in senso contrario, ossia che specifichino chiaramente che anche un indirizzo email da solo, privo di qualsiasi riferimento anagrafico a persone fisiche, è un dato personale, permane sempre il dubbio sulla natura di "dato personale", o no, di un indirizzo email puro e semplice, e quindi della obbligatorietà o meno di predisporre gli adempimenti previsti dal GDPR.
Nel dubbio il consiglio che diamo sempre è quello di non giocare alla roulette russa, per quanto basse siano le probabilità che qualcuno vi porti mai a rispondere in sede legale di un indirizzo email fornito per registrarsi a un gdr, e quindi di trattare l'indirizzo email come se fosse un dato personale a tutti gli effetti e di ottemperare agli adempimenti previsti dal GDPR.


L'informativa/alert sui cookies e quella per il GDPR sono la stessa cosa?

No. L'informativa/alert per l'utilizzo di cookies (propri e di terze parti, come ad esempio Google Analytics, Facebook, ecc) che è obbligatorio mostrare e l'informativa su come vengono trattati, conservati e protetti i dati personali sono due cose sostanzialmente diverse. La prima non richiede il conferimento di alcun consenso esplicito e personale, non richiede che registriate l'avvenuta espressione del consenso ed è anonima (si imposta un cookie su un browser ma non lo si lega ad alcun dato personale). La seconda riguarda tutti gli adempimenti necessari a informare l'utente dell'uso che facciamo dei dati che ci fornisce, assieme a un suo consenso esplicito che deve essere registrato sul nostro server, non tra i file temporanei e i cookie di navigazione del browser dell'utente.
Le due informative possono accorpate nello stesso documento o in sezioni diverse della stessa pagina, ma prestare il consenso al trattamento dei propri dati e autorizzare i cookies sono due operazioni completamente distinte, tecnicamente e concettualmente, ed obbediscono a disposizioni normative distinte. Soprattutto, l'informativa ai sensi del GDPR deve essere esplicitamente accettata e dobbiamo tenerne traccia registrata quindi non basta mostrarla e chiedere un si/no con un "alert", un popup o un div a scomparsa come per i cookie.


Devo raccogliere il consenso per mostrare i contenuti del sito?

Se le pagine che mostrate sono accessibili a chiunque senza registrazione, no. Dovete richiedere il consenso al trattamento dei dati solo nel momento in cui effettivamente richiedete tali dati, tipicamente al momento dell'iscrizione al gioco e della creazione di un account di login. Il che è il motivo per cui per la parte "esterna", liberamente consultabile, del sito basta la cookie policy (e relativo popup/alert/div a comparsa per la conferma dell'utilizzo dei cookies) mentre per l'accesso alla parte riservata ai giocatori iscritti è necessario il conferimento del consenso al trattamento dei dati personali, se raccogliete dati personali.


Come predispongo un'informativa ai sensi del GDPR?

E da sconsigliare il fai-da-te. Il rischio di dimenticarsi o di omettere qualcosa, o di usare terminologie improprie è troppo alto. Suggeriamo di rivolgersi a qualcuno che abbia una competenza specifica in merito o di ricalcare l'informativa di siti affidabili, cambiando ciò che va cambiato (posto che sappiate esattamente cosa state facendo perchè non si tratta di cambiare solo il nome del titolare del trattamento dei dati o il nome del sito: tutto dipende dall'uso concreto che farete dei dati raccolti e quello può cambiare da sito a sito). Eventualmente potete anche rivolgervi a servizi come Iubenda per formulare un template di informativa, ma resta valido il consiglio di avvalervi della consulenza di un esperto. Per quanto sia remota la possibilità che qualcuno vi trascini mai in tribunale a rispondere dell'uso che avete fatto di un indirizzo email usato per registrarsi in un gioco di ruolo online amatoriale, l'informativa è un obbligo di legge e vi appariranno il vostro nome e cognome reali e potreste sempre essere chiamati a rispondere di eventuali errori od omissioni.


Quando devo predisporre l'informativa e la raccolta del consenso?

Nel momento stesso in cui permettete l'iscrizione e la raccolta di dati personali. Non importa se siete in alpha/beta/gamma testing: se raccogliete un dato personale dovete avere già l'informativa da far sottoscrivere e dovete avere già gli strumenti tecnici necessari a registrare il consenso degli interessati, non importa se si tratta di amici, parenti o conoscenti di cui vi fidate e che avete coinvolto nella fase di test del gioco. Evitate di sottoporre informative "temporanee", o peggio ancora incomplete/vuote, durante il betatesting. Piuttosto attendete qualche giorno in più e siate ragionevolmente sicuri che l'informativa che fate sottoscrivere, anche ai betatester, sia completa in ogni sua parte. Anche perchè se la cambiate in corso d'opera potreste dover richiedere nuovamente l'espressione del consenso, ogni volta che introducete modifiche sostanziali, il che rappresenta una seccatura sia per voi che per l'utente finale.


Il titolare del trattamento dati: chi è e come lo identifico?

Il titolare del trattamento dei dati è necessariamente la persona (fisica o giuridica) che risponde dal punto di vista legale della raccolta, conservazione e trattamento dei dati personali. In un contesto di play by chat dovrebbe coincidere con la persona fisica che ha i privilegi di amministrazione del database su cui il gioco si regge.

Dove più persone (es. mogli/mariti/fidanzati/amici/compagni di staff) accedono in lettura al database, andrebbero indicati anche loro, come figure "responsabili del trattamento dati", subordinate al titolare e che sono quindi figure distinte dal titolare, che resta come responsabile ultimo dell'intero processo di conservazione e trattamento dei dati (e quindi anche del comportamento dei suoi "sottoposti"). In ogni caso a meno che proprietaria del vostro gioco non sia una società dotata di personalità giuridica (es. una S.P.A. o una S.R.L.) la rigura del responsabile, distinta da quella del titolare del trattamento dati, è di dubbia fondatezza perchè non c'è alcun incarico formale sancito da un contratto vincolante. L'ideale è che l'accesso diretto al database (e quindi alla lettura dei dati personali degli utenti) sia gestito da una sola persona e solo quella.
E comunque in generale dal punto di vista pratico è opportuno che l'accesso ai dati personali sia il più ristretto possibile, anche internamente allo staff. Ad esempio potrebbe essere conveniente che all'indirizzo email (di norma l'unico effettivo dato personale propriamente detto) possa accedere solo l'admin principale, ossia il titolare del database e non ogni membro dello staff che venga abilitato come moderatore, guida, eccetera.
Normalmente in un play by chat il titolare coincide col gestore, che si solito è anche intestatario del dominio e quindi del database su cui si basa il gioco. Dove le cose non coincidano, deve comunque essere, in ultima analisi, la persona che può accedere con pieni poteri al database in cui vengono conservati i dati.
Indicare come titolare zii/nonni/parenti/amici/conoscenti, anche se non sono minimamente coinvolti nella gestione del gioco e dei dati, è possibile (finchè nessuno vi sgama) ma altamente sconsigliato, anche se sono consenzienti, se poi non sono effettivamente loro a occuparsi dei dati, perchè in caso di contestazioni in sede legale mettereste una terza persona in una posizione spiacevole (dover rispondere di qualcosa che non faceva) e rappresenterebbe una aggravante per voi, l'aver mentito sull'identità di chi ha accesso alla gestione dei dati personali degli utenti, vanificando qualunque possibile difesa basata sulla vostra "buona fede".


Responsabilità del titolare e i compagni di staff

Il titolare del trattamento dei dati personali è uno. I membri di uno staff possono essere molti; hanno di solito livelli di permessi diversi e funzioni diverse (es. admin, moderatori, master, guide, ecc). In caso di contestazioni legali per abusi nel trattamento dei dati personali è il titolare del trattamento a risponderne, quindi assicuratevi che l'accesso diretto ai dati personali degli utenti sia il più ristretto possibile e strettamente limitato a chi può avere davvero una necessità di accedervi, oscurandolo a tutti gli altri.
Un moderatore che deve controllare che gli utenti non si scambino parolacce in chat o via MP non ha alcun bisogno di accedere direttamente ai dati personali degli utenti. Chi deve masterizzare una quest o, tutt'alpiù, controllare che i giocatori non barino, non ha alcun bisogno di accedere direttamente ai dati personali degli utenti. Lo stesso dicasi per guide (e ruoli analoghi) che devono aiutare i giocatori a orientarsi e inserirsi nel gioco. E così via.
Assicuratevi di predisporre strumenti gestionali (pannelli di controllo, log delle chat, eccetera) che non mostrino i dati personali degli utenti a membri dello staff che non hanno alcuna necessità di accedervi. Idealmente l'unico a potervi accedere in caso di stretta necessità dovrebbe essere l'amministratore incaricato delle funzioni di titolare del trattamento dei dati.
Se avete più amministratori, fate attenzione: se uno qualsiasi di loro fa qualche sciocchezza coi dati personali di un utente (per ingenuità, leggerezza, disattenzione, dispetto o stupidità) chi ci va di mezzo per primo è chi ha assunto l'incarico di titolare del trattamento dei dati. E anche se in seconda battuta potrà cercare di rivalersi sul responsabile diretto del fattaccio, in prima battuta chi corre il rischio di finire nelle grane è il titolare. Per questa ragione ripetiamo che è altamente opportuno che anche dove ci sono più admin, solo uno abbia i permessi di accesso ai dati personali degli utenti.
La maggior parte dei controlli di moderazione basati sull'identificazione (tipicamente: controlli anti "doppi", controllo dei ban, controlli su comportamenti sospetti, controlli anti-baro e disturbatori seriali) non richiedono un accesso diretto ai dati personali. Cercate di costruire, anche tecnicamente, i vostri sistemi di controllo in maniera tale da evitare che i vostri compagni di staff possano (o debbano) accedere ai dati personali per effettuare i loro controlli. Dove fosse strettamente necessario un controllo diretto dei dati personali, assicuratevi che solo il titolare del trattamento dei dati abbia i permessi amministrativi e gli strumenti tecnici per farlo.


Il titolare del trattamento dei dati: quali riferimenti devo pubblicare?

A meno che il sito non sia gestito da una organizzazione avente personalità giuridica (es. Enti pubblici, società per azioni, società a responsabilità limitata, ecc), circostanza in cui è possibile ricorrere a formule come "il funzionario incaricato" e simili, il responsabile del trattamento dei dati deve essere una persona fisica, con nome e cognome, e da questo non si scappa.
Nota: avere una partita IVA non vi solleva dagli obblighi di identificazione del titolare del trattamento dati.
Non è necessario indicare recapiti fisici nè numeri di telefono, bastano nome, cognome e un indirizzo email valido al quale il titolare del trattamento dati deve sempre essere contattabile nei tempi di risposta previsti dal GDPR. Non deve essere necessariamente "la" mail personale, può benissimo anche essere una mail legata al dominio su cui è ospitato il gioco (es, le classiche admin@ilmiogdr.com), l'importante è che sia un indirizzo valido e al quale avete accesso stabile.
Consiglio pratico: preparatevi ad impostare bene i filtri antispam, perchè pubblicare un indirizzo email sul web significa che molto presto cominceranno a riempirvi di spam, sia per colpa di qualche spam-bot automatico, sia per colpa di qualche cretino disadattato che vi iscriverà a dozzine di mailing list solo per farvi un dispetto.
Altro consiglio pratico, se si ricorre a sistemi come attivare una classica mailbox "admin@ilmiodominio.com", assicuratevi di accedere regolarmente a quella mailbox, perchè se per caso un utente vi scrive per esercitare i propri diritti e non gli date alcuna risposta nei termini previsti (perchè non controllate mai quella mailbox) ai fatti risultate inadempienti nei confronti degli obblighi stabiliti dal GDPR.
Nota: la mail pubblicata non vale come identificativo del titolare, ossia non potete pubblicare solo l'email e saltare Nome e Cognome, neanche se l'indirizzo email li contiene già (es: mario.rossi@miodominio.com). La mail è solo il recapito attraverso il quale mettete l'interessato in condizione di contattarvi, ma l'identità del titolare del trattamento dati deve essere resa nota esplicitamente.


Il titolare del trattamento dei dati: posso usare un nickname o genericamente "il gestore"?

Assolutamente no. Su questo la normativa é chiarissima e non ammette sconti. Il titolare del trattamento dei dati DEVE essere chiaramente identificabile e l'utente DEVE essere facilitato nell'accesso ai dati e nell'identificazione del titolare.
Indicare come responsabile del trattamento dati un nickname tipo Elrond89 o BlackWidow vanifica completamente la validità di qualunque misura attuativa delle disposizioni del GDPR. Il concetto di "tanto poi i giocatori vengono a sapere chi é Elrond89" non ha alcun significato ai fini del GDPT: l'utente deve sapere a chi sta affidando i suoi dati PRIMA di affidarveli, non essere costretto a scoprire, forse, dopo che si è registrato, chi è Elrond89.
Dove il dominio non è protetto da whois-privacy (ossia è possibile ottenere il nome del titolare del dominio con una semplice ricerca whois domain), se il titolare del trattamento dati coincide con l'intestatario del dominio è teoricamente possibile indicare "il titolare del dominio", anche se il GDPR prescrive che l'utente deve essere facilitato nell'accesso alle informazioni e costringerlo a fare un whois-domain per sapere chi è il titolare del trattamento dati potrebbe non essere considerato un modo di facilitare l'accessibilità e l'identificazione del titolare del trattamento dei dati.
Va da sè che se il nostro gioco è ospitato da servizi come altervista o comunque da siti di proprietà di terzi, mentre il database lo amministrate voi, questa opzione (indicare "il titolare del dominio") non è utilizzabile e dovremo usare esplicitamente il nome e cognome del titolare del trattamento dati.
Nota: La cosa può avere risvolti spiacevoli se si tiene alla propria privacy, se ad esempio dà fastidio l'idea di avere curiosi e perditempo che vanno a cercarci su facebook o sull'elenco telefonico, ma sfortunatamente è il prezzo da pagare se si vuole essere "GDPR compliant". Se si decide di imboccare la strada di essere "GDPR compliant", non indicare nome e cognome del titolare dei dati rappresenta un errore marchiano, e trasmette l'idea che il titolare del sito abbia voluto "fare bella figura" mostrandosi rispettoso delle normative sulla privacy, ma poi (non volendoci mettere la faccia) si sia tirato indietro proprio su un adempimento fondamentale come l'identificabilità del titolare del trattamento dei dati, che in sostanza significa far sapere agli utenti a chi stanno mettendo in mano i loro dati personali. Se non ci si vuole assumere questa responsabilità di trasparenza, tanto vale non perdere tempo con la stesura di un'informativa che perde qualsiasi valore.


Quali dati rientrano nella disciplina del GDPR?

Dell'indirizzo email abbiamo già detto in apertura. Nella maggior parte dei casi è l'unico effettivo dato personale raccolto, perchè è davvero raro e difficile che un gioco ne richieda altri. Mentre nel caso di servizi commerciali e servizi online di pubblici uffici spesso vi verranno richiesti anche altri estremi, magari anche il codice fiscale e l'indirizzo di residenza, ai fini del funzionamento di un gdr l'unico dato eventualmente richiesto e indispensabile (ma non necessariamente) é l'indirizzo email, utilizzato per "garantire" l'unicità dell'account, per ricevere la password quando viene aggiornata e per eventuali comunicazioni tra gestione del gioco e utente.
E' altamente consigliabile ridurre al minimo indispensabile il numero di dati personali raccolti, specificamente la raccolta di dati anagrafici "reali" (fermo restando che il gestore di un gioco non ha solitamente alcuna possibilità di verificare l'autenticità di quello che dichiarano gli utenti) e di limitarsi a quanto strettamente richiesto per il funzionamento del servizio. In ogni caso i dati che raccogliete ai fini dell'iscrizione vanno dichiarati esplicitamente nell'informativa.
Un tipico caso in cui non basta l'email è se avete previsto sistemi di recupero della password che per sicurezza chiedono di rispondere a una domanda di sicurezza (la cui risposta, da voi registrata, potrebbe rientrare nell'ambito dei dati regolamentati dal GDPR), o magari la data di nascita e/o il sesso di appartenenza. Se raccogliete questi dati (che da soli, e di per sè, non sono dati personali, ma associati al dato principale lo diventano) dovete dichiararlo esplicitamente nell'informativa.
C'è poi un secondo tipo di dati personali (che un tempo, col vecchio D.Lgs. 196/2003 si chiamavano "dati sensibili") che potreste registrare senza necessità, non perchè li richiedete voi ma perchè gli utenti li forniscono autonomamente, magari chiacchierando via posta interna o nelle chat o sui vostri forum interni. Si tratta dei c.d. "dati sensibili", ossia dati personali non di natura anagrafica ma riguardanti le opinioni politiche, lo status sociale, l'orientamento sessuale, le condizioni di salute, eventuali iscrizioni ad organizzazioni, ecc dell'utente.
Questi dati non vengono solitamente richiesti ai fini dell'iscrizione ma è possibilissimo che siano gli utenti stessi a fornirli in modo estemporaneo e non prevedibile, discutendo in un forum o usando la messaggeria interna con altri utenti. E voi ve li ritrovate registrati in un database di cui siete responsabili.
La cosa migliore da fare oltre a specificare che NON raccogliete intenzionalmente, nè analizzate o trasmettete a terzi tali dati, è specificare che non vi assumete alcuna responsabilità per l'uso che venisse fatto da terzi (es. gli altri giocatori) dei dati comunicati di propria iniziativa dagli utenti. Vedremo in seguito come regolarsi in caso di esercizio del "diritto all'oblio" (e diritti analoghi) da parte di un utente.


Se cripto / faccio l'hashing dell'indirizzo email tolgo di mezzo la necessità di adeguarmi al GDPR?

In teoria sì, in pratica no. Fare l'hashing dell'indirizzo email (tecnicamente ai sensi del GDPR è una misura di "pseudonimizzazione") è una soluzione tecnica valida per non dover conservare un indirizzo email "in chiaro". L'hashing vi permette di conservarlo in forma "crittata" a voi incomprensibile e non utilizzabile, pur senza impedirvi di effettuare le normali operazioni di riconoscimento al login nè le procedure di reset della password (posto che l'utente si ricordi quale indirizzo email ha utilizzato).
Nessuna soluzione tencica però vi può proteggere anticipatamente dall'utente che decide di sua iniziativa di usare il vostro gioco/sito per comunicare (attraverso un chat, attraverso la messaggeria privata, su un forum interno, tramite le note nella scheda del personaggio, ecc) dati personali anagrafici propriamente detti e dati ex "sensibili". Dati che oltre a transitare per il vostro sito ed essere eventualmente resi visibili a terzi (gli altri giocatori) resteranno conservati più o meno a lungo nel vostro database.
Quindi anche se vi siete premurati tecnicamente di non dover raccogliere dati personali per far funzionare il vostro gioco, nessuno vi può mettere al riparo dall'iniziativa personale degli utenti. Quindi é una buona idea proteggervi da tutto ciò, a prescindere che voi crittiate o meno gli indirizzi email degli utenti che si registrano per giocare da voi.
Normalmente vi basterà specificare che non vi assumete alcuna responsabilità per la divulgazione da parte di terzi di questi dati "non richiesti", ma resta il fatto che quei dati "involontari" sono registrati nel vostro database e finchè vi restano registrati voi siete responsabili del loro trattamento, conservazione e protezione. Di conseguenza dovete scrivere da qualche parte come intendete trattare, conservare e proteggere questo tipo di dati e ottenere il consenso dell'utente a farlo.


Dati tecnici: L'IP address e lo User Agent sono dati personali?

Assolutamente no. L'IP address, da solo, non è un dato personale. Se non siete un'organizzazione di pubblica sicurezza in grado di richiedere l'accesso all'identità di chi stava utilizzando un determinato IP in un determinato momento, e se non siete una compagnia telefonica o un internet provider in grado di stabilire questa corrispondenza. Un indirizzo IP da solo non identifica alcuna persona fisica. Viene spesso citata la sentenza europea che ha stabilito che gli IP address, anche quelli dinamici, sono dati personali: quello che ci si dimentica sempre di citare è che quella stessa sentenza ha anche specificato chiaramente che sono da considerarsi dati personali solo qualora chi li raccoglie abbia gli strumenti tecnici e legali per risalire all'identità fisica di chi li stava utilizzando.
Quindi a meno che noi gestori non siamo un Internet Service Provider, un'autorità di polizia o un ente statale, NO, ai fini dell'uso che possiamo fare noi, l'IP non è un dato personale.
Tanto per stare sicuri, potete inserire nell'informativa che registrate l'IP address e/o lo User Agent (sistema operativo e browser utilizzato dall'utente) degli utenti per motivi di sicurezza, ma state attenti a non chiamarli "dati personali" perchè non lo sono, anche se possono rivelarsi utili ad identificare una specifica sessione utente o a individuare eventuali doppi account non autorizzati.
Peraltro è pressochè certo che il provider che ospita il vostro sito registrerà autonomamente gli IP e gli UA di chi si connette, sempre per ragioni di sicurezza e senza far sottoscrivere alcuna informativa ai visitatori: proprio perchè IP address e User Agent non sono dati personali e sono comunque dati necxessari alla sicurezza e al funzionamento del servizio.
Quindi anche se il vostro CMS non registra autonomamente questi dati, lo fa l'hosting per voi e questi dati solitamente vi vengono messi a disposizione nel pannello di controllo del sito (sicuramente gli IP dei visitatori, gli user agent più raramente).


I dati di gioco del PG (personaggio giocante) sono dati personali?

Assolutamente no. Il PG é un'identità virtuale fittizia, non una persona fisica e il GDPR riguarda la protezione della privacy delle persone fisiche, non di personaggi immaginari. Nome, sesso, orientamento sessuale, opinioni politiche e religiose, dati sanitari di un PG possono essere (e di norma sono) totalmente inventati, spesso anche in contrapposizione di quelli della persona fisica che interpreta il personaggio. Ma anche coincidessero con quelli del giocatore che ha ideato e animato il personaggio non riguardano una persona fisica. Di conseguenza i dati del personaggio NON sono dati personali e non rientrano nella casistica di cui si occupa il GDPR.
Nota: nel caso dei PG non scatta nemmeno il concetto di "nickname pubblicamente noto" (esattamente come non vale per l'identificazione del titolare del trattamento dei dati). Non parliamo di un nickname come "Ghino di Tacco", lo pseudonimo che usava Bettino Craxi per scrivere i suoi editoriali sul giornale l'Avanti!, e che tutt'Italia sapeva corrispondere a un politico ben preciso (e soprattutto un gdr non è una testata giornalistica dotata di direttore responsabile che risponde per qualunque cosa scritta da "Ghino di Tacco").
Il nickname "Shepard" potrebbe corrispondere a Mario Rossi su un GdR e a Teresa Bianchi su un altro, quindi nemmeno il nickname associato al PG è da considerarsi come dato personale.
Questo significa che i dati di gioco del personaggio possono legalmente e legittimamente sopravvivere ed essere conservati e trattati anche in seguito all'esercizio dei diritti di opposizione/limitazione/cancellazione/oblio dei dati personali e alla revoca del consenso al trattamento dei dati, se il gestore desidera conservarli e continuare ad utilizzarli.


E' legale raccogliere [X/Y/Z/il_tal_dato]?

Attenzione il GDPR non pone vincoli di legittimità del raccogliere questo o quel dato, previo il consenso dell'interessato. Il GDPR si limita a specificare cosa dovete fare e che obblighi avete SE raccogliete certi tipi di dato, detti appunto "dati personali" e definiti negli articoli da 5 a 10 del GDPR.
Di un utente, volendo, potete registrare email, nome, cognome, indirizzo, codice fiscale, numero di telefono, numero di scarpe, nome dell'ultima fidanzata, segno zodiacale, la carta di credito, la cartella clinica e l'importo a saldo del conto corrente bancario. La raccolta di nessuno di questi dati é "illegale" ai fini del GDPR.
Ai fini dell'adempienza al GDPR quello che è importante considerare è che SE/QUANDO raccogliete un dato personale:
1) L'interessato deve esserne preventivamente informato e sapere a quali finalità e per quanto tempo viene conservato e trattato il dato
2) L'interessato deve aver dato il proprio esplicito consenso alla conservazione e trattamento di quel dato
3) L'interessato deve sapere CHI accede a quel dato e ne è responsabile (alias il titolare del trattamento dati)
4) L'interessato deve essere messo in condizione di esercitare agevolmente i propri diritti (vedi più oltre)
Quindi di base per il GDPR non esiste la domanda "è legale raccogliere il tal dato?" ma solo "come mi devo comportare se raccolgo il tal dato?".


Le finalità di trattamento dei dati: cosa devo dichiarare?

Tutto quello che farai con i dati che hai raccolto e perchè li raccogli. In genere basta motivare la raccolta dati con le necessità tecniche di accesso ed utilizzo del servizio da parte dell'utente (creazione e uso di un account per effettuare il login), le operazioni di reset e recupero password e garantire l'applicazione delle politiche di moderazione, ma se li usi anche per altri motivi (es. a finalità statistiche o di profilazione) devi dichiararlo. In particolare se per qualunque motivo trasmetti i dati a terzi soggetti devi dichiararlo e richiedere esplicitamente il consenso anche per la trasmissione a terzi. Anche finalità di profilazione commerciale devono essere dichiarate esplicitamente.
Nota: a volte possibili finalità ulteriori di utilizzo possono venire in mente o diventare una necessità in un secondo momento. Per questo se si ha anche solo l'intenzione ipotetica di utilizzare, in futuro, un dato in un certo modo è preferibile dichiararlo subito nell'informativa che essere costretti a integrarla in seguito e a raccogliere nuovamente il consenso degli interessati.


Termini di conservazione dei dati: quanto a lungo posso trattenerli?

Non c'è alcun termine predefinito. Teoricamente se motivi la cosa e ne informi gli interessati puoi conservarli per tutta la durata in essere del servizio (ossia a tempo indeterminato = finchè ti regge di tenere aperto il gioco).
Dal momento che i termini vanno comunque indicati è bene stabilire un termine legato alla cessazione del'utilizzo dell'account da parte dell'utente. Questo perchè sicuramente finchè l'utente userà il nostro gioco avremo bisogno di poter conservare e trattare i suoi dati, mentre una volta cessato di usare il suo account non ci serviranno più, se non per ragioni statistiche o di controllo doppi. Possono essere due mesi come vent'anni, l'importante è che dichiari esplicitamente quanto a lungo i dati verranno conservati oltre la cessazione dell'utilizzo dell'account.
Non esistendo un termine prestabilito, l'autorità Garante effettua (in caso di richiesta o contestazione) una valutazione basata sul merito e le circostanze. La tendenza dell'Autorità di Garanzia, almeno in Italia, è di stabilire una relazione di "termine ragionevole" rapportato allo scopo di utilizzo del servizio. Ad esempio a fronte di una contestazione il Garante si espresse stabilendo che una gioielleria con un proprio servizio di vendite online poteva conservare i dati dei clienti fino a 10 anni dopo l'ultimo utilizzo del sito. Questo non significa nè che voi possiate indicare 10 anni come quella gioielleria, nè che dobbiate indicare un termine inferiore o superiore. Finchè non vi viene contestato davanti all'autorità Garante e l'autorità Garante non si esprime, qualunque termine è legittimo purchè sia esplicitamente dichiarato.
Con l'eccezione degli utenti bannati, che sono un caso a sè, conviene stabilire tempi ragionevolmente brevi considerando che potresti intasare inutilmente il database con dati di account inutilizzati. In genere si consigliano dai 3 ai 6 mesi dopo l'ultimo utilizzo dell'account, in modo da dar tempo all'utente di tornare se avesse avuto una pausa per i motivi più diversi, ma questo è un termine soggetto valutazioni di circostanza molto variabili, che dipendono anche dalla quantità di utenti che hai da gestire.
Poche centinaia di record non sono un problema se hai solo 20 utenti attivi e il resto sono account "dormienti", ma ovviamente se sei una land con centinaia di utenti attivi e migliaia di utenti inattivi, rischi di appesantire inutilmente il database e rallentare il gioco se trattieni i dati inutilizzati troppo a lungo: il che comunque è una valutazione tecnica, non legale. Ribadiamo che non esiste alcun obbligo di legge a conservare i dati per un massimo di tot mesi e non oltre, l'unica cosa importante è che il termine sia dichiarato e (in vista di ipotetiche, per quanto improbabili, contestazioni future davanti al Garante) che stabiliate il termine basandovi su una valutazione ragionevole delle necessità tecniche di conservazione del dato.


Le copie di backup del database e quelle replicate per lo sviluppo/testing, rientrano sotto il GDPR?

Sì. Se salvate (periodicamente in modo automatico o occasionalmente in modo manuale) delle copie di sicurezza del vostro database, esse conterranno gli stessi dati personali del database "di produzione" che avete sul server e quindi tali copie di sicurezza rientrano fra ciò che dovete dichiarare nell'informativa; e dovete anche dichiarare per quali finalità effettuate i backup o le repliche del database; se avete un server (anche in locale sul vostro computer) dove avete replicato una copia del database per fare i vostri test di sviluppo e il db contiene dati "reali" degli utenti registrati, anche quella copia rientra sotto il cappello del GDPR.
Il GDPR si preoccupa non solo di quello che avete sul server che ospita il vostro gioco, ma in generale del trattamento, conservazione e sicurezza dei dati che avete raccolto, e avere delle copie di sicurezza del database rientra chiaramente nella conservazione dei dati e nelle misure di sicurezza che dovete garantire a chi vi ha messo a disposizioe quei dati. Quindi quanto a lungo conservate le copie di backup, dove le conservate e cosa fate tecnicamente e praticamente per garantirne la sicurezza rientra fra ciò che dovete dichiarare nell'informativa, anche se una volta salvati quei dati non vengono più trattati.
Problema pratico: se avete sviluppatori diversi, che necessitano di una copia funzionante del database per sviluppare il codice e testarlo, assicuratevi di fornirgli copie "anonimizzate", ossia coi campi contenenti i dati personali svuotati o hashati, a meno che lo sviluppatore non coincida col titolare del trattamento dei dati. Vale lo stesso discorso fatto per gli altri membri dello staff: uno sviluppatore non ha alcuna reale necessità di accedere direttamente ai dati personali degli utenti.


Il consenso al trattamento dei dati: cosa NON fare mai!

Il consenso deve essere personale, esplicito e consapevole, distinto dall'accettazione di altre clausole o dalla pura richiesta di iscrizione/login al servizio e distinto dal banner/alert di conferma dell'utilizzo dei cookies. Dal punto di vista tecnico dovete fare tutto quanto è nelle vostre possibilità per facilitare l'accesso e la lettura del documento in cui dichiarate che uso fate dei dati raccolti, e che l'utente lo abbia letto prima di accettarlo.
Sono assolutamente da evitare:
- alert/popup che si limitano a mostrare la richiesta di consenso senza registrare la conferma sul vostro database
- form di iscrizione "precompilati" con la casella di spunta del consenso già marcata
- form di iscrizione malfunzionanti e che completano la registrazione anche senza la sottoscrizione del consenso
- form di iscrizione attivati prima che l'informativa sia stata predisposta nella sua forma definitiva
- form di iscrizione con caselle di spunta comprensive di più voci/documenti
Se volete che l'utente accetti, oltre all'informativa sulla privacy, anche altri documenti, regolamenti, condizioni d'uso, eccetera, fate caselle di spunta distinte; l'ideale sarebbe una casella per documento, ma in ogni caso deve esserci comunque una casella distinta per il consenso al trattamento dei dati personali.
Se state ancora completando l'informativa, la state ancora scrivendo, lo zio avvocato deve ancora darvi un parere... NON aprite le iscrizioni. Essere in alpha/beta/zeta/gamma test e non aver ancora completato il sito non vi solleva dal dovere di ottenere il consenso di chi si registra, anche se i betatester sono vostri amici, cugini, parenti, amanti e quant'altro.
Il consenso é strettamente personale: quindi sono preferibili metodi di iscrizione che convalidano l'iscrizione solo dopo la verifica dell'indirizzo email fornito, dal momento che l'indirizzo email è l'unico effettivo mezzo utile a identificare l'utente. Il sistema dovrebbe inviare una richiesta di conferma all'indirizzo email usato per la registrazione e l'iscrizione quindi dovrebbe essere completata solo nel momento in cui avviene la conferma (es: tipico sistema del link da ricliccare inviato a chi si è appena registrato).
Poi se l'utente ha utilizzato una casella email non sua ma alla quale ha accesso (es. la mail di un genitore o della fidanzata), sono affari suoi, ma almeno sul vostro lato voi avete fatto quello che era nelle vostre possibilità tecniche per verificare che il consenso sia stato espresso da chi ha effettivamente registrato l'account.


Il consenso al trattamento dei dati: come mi regolo con i minori?

Primo spartiacque: Al di sotto dei 14 anni non è consentito acquisire il consenso, quindi tecnicamente al di sotto dei 14 anni non ci si può registrare a un sito che tratta e conserva dati personali. Se l'utente decide di dichiarare il falso è un problema suo, ma il nostro sistema deve prevedere un filtro sui minori, filtro che sarà più o meno stringente a seconda delle circostanze.
Secondo spartiacque: al di sotto dei 16 anni è necessario il consenso al trattamento da parte dei genitori. Sì, plurale: i genitori, se entrambi sono in vita. In alternativa il consenso deve essere espresso da chi esercita la "potestà genitoriale" (es. tutore legale). Al di sopra dei 16 e prima dei 18 anni, il minore può esprimere il consenso da solo, ma solo a condizione che il servizio non sia di natura commerciale, non comporti alcun tipo di transazione economica e che non venga eseguita alcuna profilazione commerciale.
L'intera questione è una bella rogna, perchè se consentiamo l'accesso al gioco ai minori di 16 anni (o ai minori di 18 e vendiamo gadget / accettiamo pagamenti di qualunque tipo) dobbiamo predisporre gli strumenti tecnici necessari per raccogliere anche il consenso da parte dei genitori (entrambi). I quali dovranno inviare una liberatoria firmata e corredata da copie dei propri documenti di identità, assieme, ovviamente, alle LORO firme di consenso al trattamento dei dati personali (i loro), perchè in tal modo acquisirete dati personali non solo del minore, ma anche dei suoi genitori. E dovrete quindi predisporvi a conservare in luogo sicuro copie delle autorizzazioni ricevute e specificare nell'informativa per quanto tempo le conserverete anche dopo che saranno diventate inutili.
NB: se vendete gadget o accettate trasazioni monetarie o prevedete forme di profilazione commerciale, dovete assicurarvi di avere le autorizzazioni genitoriali anche dopo i 16 anni, oppure limitare l'accesso dei minori alle funzionalità a pagamento e trovare tecnicamente il modo di escluderli dalla profilazione commerciale.
Scorciatoie per evitare la grana dell'autorizzazione dei genitori: se non vendete gadget nè accettate forme di pagamento di alcun genere e non fate profilazione commerciale, potete cavarvela vietando l'accesso al gioco ai minori di 16 anni. Se accettate pagamenti in qualunque forma o, tipicamente, vendete gadget e simili, o usate sistemi di profilazione commerciale, e volete evitare la grana dell'autorizzazione dei genitori, dovete per forza vietare l'accesso ai minori di 18 anni.
Nessuna di queste misure vi mette al riparo dall'utente minore che si registra dichiarando una falsa età, ma sul vostro lato dovete predisporre gli strumenti necessari a poter dire, il giorno che vi fosse chiesto di dimostrarlo, "io l'ho chiesto, è l'utente che ha mentito".


Ho fatto dei cambiamenti all'informativa, cosa devo fare per chi ha espresso il consenso in passato?

Dovete assicurarvi che chi ha già prestato il proprio consenso prenda visione delle modifiche e che sia d'accordo, ossia che RINNOVI il suo consenso. Rispetto alla vecchia normativa (D.Lgs. 196/2003) il GDPR è molto più restrittivo col ricorso al "silenzio-assenso" o al "consenso implicito". E' sempre stato uso e costume ricorrere a formule come "l'interessato ha il dovere di consultare periodicamente questo documento e verificare eventuali cambiamenti, essendo libero di revocare in qualunque momento il proprio consenso". E' una soluzione possibile ma potrebbe cofliggere con le raccomandazioni esplicite del GDPR, che sottolineano in ogni modo possibile la nostra responsabilità diretta nell'informare tempestivamente e con completezza gli interessati di tutto ciò che riguarda il trattamento e la sicurezza dei loro dati.
E' quindi altamente opportuno non limitarsi alla formula di cui sopra, ma inviare sempre almeno una comunicazione diretta ai giocatori, ogni volta che viene introdotta qualche modifica all'informativa, specificando cosa è stato cambiato.
Sulla necessità di rinnovare il consenso in caso di modifiche, la cosa migliore sarebbe di richiedere nuovamente l'espressione del consenso e bloccare all'utente l'accesso al gioco finchè non lo ha rinnovato, anche se su questo è possibile fare esercizio di buon senso: se avete cambiato solo qualcosa nella punteggiatura o corretto dei refusi, la comunicazione dell'avvenuta modifica con reminder della possibilità di revocare il consenso è più che sufficiente, ma se avete introdotto modifiche sostanziali dovete invece assicurarvi di ottenere nuovamente un esplicito consenso (es. sono cambiate le finalità di trattamento dei dati o il tipo dei dati trattati, se avete aggiunto una profilazione commerciale, o avete deciso che i dati saranno conservati per 10 anni invece che per 6 mesi dall'ultimo utilizzo, ecc).
Sì è una seccatura, ma a differenza della vecchia normativa sulla privacy, il ricorso al silenzio-assenso è da evitare.
Nota: questo è un altro OTTIMO motivo per evitare di pubblicare versioni "provvisorie" dell'informativa o scritte di fretta durante il betatesting per l'ansia di aprire prima possibile, perchè ad ogni successiva correzione sostanziale dovrete assicurarvi di ottenere nuovamente il consenso degli interessati.


L'esercizio dei diritti dell'interessato

L'interessato, alias l'utente registrato, è portatore di diritti che può esercitare nei vostri confronti per tutta la durata temporale del periodo in cui conservate e trattate i suoi dati. Alcuni di questi diritti, in un PbC, saranno assai difficilmente esercitati, ma altri hanno risvolti pratici che è bene considerare perchè riguardano l'ordinaria amministrazione e moderazione di un gioco e, prima o poi, troverete qualcuno che chiederà di esercitarli.
Li vedremo uno per uno, suggerendo possibili soluzioni regolamentari e tecniche. In generale comunque considerate che un capitolo dell'informativa che fate sottoscrivere deve essere dedicato appositamente alle modalità con cui l'interessato può esercitare i suoi diritti (anzitutto deve essere esplicitamente informato che li ha, questi diritti). E di conseguenza poi voi dovete attrezzarvi tecnicamente in modo tale da poter rispondere adeguatamente.
In alcuni casi è possibile automatizzare l'esercizio di questi diritti, in altri casi sarà necessario un intervento manuale del titolare del trattamento dati (il che è un altro buon motivo per cui il Titolare dichiarato coincida con l'amministratore del database).


Termini di risposta all'interessato

La cosa importante da specificare nell'informativa sono il canale da utilizzare per esercitare i propri diritti, i tempi e le modalità di risposta alle richieste dell'interessato. Ossia quanto tempo avete per rispondere a una richiesta di esercizio dei suoi diritti e come lo farete. Il termine va indicato chiaramente nell'informativa. Tale termine é fissato direttamente dal GDPR in 1 mese per l'esercizio di tutti i diritti, termine che può essere esteso a 3 mesi in casi "di particolare complessità", ma all'interessato andrà comunque dato riscontro entro un mese. Ossia se l'interessato fa una richiesta particolarmente complessa, potete dargli una risposta completa entro 3 mesi anzichè 1 mese solo, ma dovrete comunque rispondergli entro 1 mese motivando il perchè dell'ulteriore ritardo.
Come rispondere: alla maggior parte delle domande di esercizio dei diritti è possibile rispondere via mail utilizzando l'indirizzo fornito assieme all'identificazione del titolare del trattamento dei dati, ma potete anche stabilire metodi alternativi. In linea di principio il GDPR stabilisce che comunque la risposta deve essere in forma scritta. La risposta inoltre deve essere formulata in modo chiaro, coinciso e leggibile (quindi evitate sia il "legalese" sia il ricorso a lessico eccessivamente tecnico dove possibile).
Il GDPR specifica che in casi di particolare complessità della richiesta è possibile chiedere un contributo economico commisurato alla difficoltà dell'adempimento, ma questa è una circostanza che difficilmente si verificherà per un Play by Chat, pertanto limitiamoci a dire che l'esercizio dei diritti deve essere reso possibile di norma in forma gratuita. Il contributo economico può essere richiesto solo nel caso in cui gli utenti avanzino richieste pretestuose, ripetitive, eccessive o manifestamente infondate, il che è una buona arma di autodifesa contro i perditempo di professione e i seccatori compulsivi.
Nota pratica: dal momento che l'esercizio dei diritti dell'interessato passerà quasi sempre attraverso comunicazioni email, questo è un altro buon motivo per NON ricorrere alla crittazione/hashing dell'indirizzo email fornito dall'utente. Farlo non rende impossibile questo tipo di comunicazioni ma complicherà le cose sia a voi che all'interessato e uno dei capisaldi del GDPR è che l'interessato deve essere agevolato il più possibile nell'esercizio dei propri diritti. E' abbastanza evidente che se avete hashato l'indirizzo email per non doverlo registrare "in chiaro" l'utente dovrà comunque fornirvelo per ricevere una risposta valida da voi, il che complicherà le cose perchè il solo atto di comunicare con voi per esercitare uno qualsiasi dei diritti previsti, costringerà l'utente a fornirvi proprio il dato (email) che vi siete sforzati di non dover ricevere in chiaro.


La revoca del consenso al trattamento dei dati (art. 7)

L'interessato può revocare in qualsiasi momento il consenso al trattamento dei dati che ha fornito, senza necessità di motivare o giustificare la sua richiesta. Tecnicamente questo rende l'account inutilizzabile, senza pregiudicare in alcun modo la liceità di quanto fatto (lato gestore/titolare) fintanto che il consenso era in essere. Ossia se un utente revoca il suo consenso, questo non vanifica alcuna delle legittime operazioni di trattamento dei dati avvenute in precedenza. La revoca del consenso non ha bisogno di essere motivata dal richiedente e non è soggetta ad arbitrio decisionale da parte nostra. Se il consenso viene tolto, cessa il nostro diritto di conservare e trattare il dato fornito.
Attenzione a non fare confusione: la revoca del consenso al trattamento dei dati forniti non implica in alcun modo nè la cancellazione obbligatoria del dato (che può eventualmente essere hashato/crittato/pseudonimizzato) nè tantomeno un obbligo a cancellare i dati di gioco. Tipicamente, per intenderci, i dati del personaggio.
La revoca del consenso al trattamento dei dati personali vi obbliga unicamente a cancellare o anonimizzare (solitamente tramite hashing) i dati personali forniti alla registrazione. Se avete valide ragioni per voler conservare i dati di gioco di un personaggio potete farlo anche dopo che il giocatore che lo muoveva ha ritirato il consenso al trattamento dei dati personali, siete liberissimi di farlo purchè vi assicuriate tecnicamente di cancellare o anonimizzare i dati personali a cui era associato.
Il GDPR non specifica le modalità con cui procedere alla revoca del consenso, solo che la revoca deve essere facile quanto lo è stato il conferimento del consenso. Questo significa che la soluzione ideale, dal punto di vista tecnico, sarebbe quella di mettere l'utente in condizioni di annullare da solo, da apposito pannello di controllo, il consenso dato e procedere quindi automaticamente alla cancellazione/anonimizzazione dei dati personali forniti.
Se non complicate in modo assurdo la procedura di revoca, però, potete anche prevedere che la revoca avvenga tramite semplice richiesta scritta/email o form/modulo web e prevedere che sia elaborata manualmente per darvi modo di verificare che la richiesta non sia stata formulata per errore o in modo falso da terzi soggetti che non siano l'interessato (es. fratellino dispettoso che accede al pc del fratello maggiore, ecc).


Il diritto di accesso ai dati (art. 15)

L'interessato ha il diritto di conoscere quali dei suoi dati sono registrati e trattati dal sito. Questo è un tipico esempio di procedura da automatizzare, mettendo l'utente in condizione di accedere da solo, senza dover avanzare richieste manuali, ai propri dati. Nel nostro caso, ossia il caso dei pbc, sarà sufficiente che in un qualunque pannello di controllo l'utente possa accedere visivamente ai suoi dati (eventualmente con invio automatico al proprio indirizzo di posta elettronica o possibilità di salvare i dati in questione su file di testo).
Problema pratico: potrebbe essere più difficile rintracciare eventuali dati personali non richiesti da voi ma eventualmente trasmessi dall'utente di propria iniziativa e "accidentalmente" registrati nel database. Esempio, l'utente Pippo ha fornito il proprio nome e cognome reali, il proprio indirizzo e numero di cellulare all'utente Paperina. Quei dati personali non rientrano tra quelli che avete dichiarato di raccogliere e trattare ai fini del servizio, ma sono comunque dati personali ormai registrati nel vostro database. Ragione ulteriore per specificare chiaramente nell'informativa che non potete assumervi alcuna responsabilità per eventuali dati trasmessi di propria iniziativa dagli utenti.
Dal punto di vista dell'esercizio del diritto di accesso a questi dati, la casistica potrebbe rientrare tranquillamente fra le richieste "eccessive" o di "particolare complessità" dal momento che per voi l'unico modo di rintracciare dati di questo genere è andarvi a spulciare manualmente tutte le comunicazioni (posta, forum, chat, ecc) inviate dall'utente nel corso della sua arrività come giocatore.
Un comodo escamotage è rappresentato dal rendere accessibili agli utenti i messagi inviati, in modo che possano effettuare da soli l'accesso ad eventuali dati da loro trasmessi al di fuori di quanto richiesto ai fini dell'iscrizione.


Il diritto di rettifica dei dati (art. 16)

L'interessato ha il diritto di rettificare e correggere in qualsiasi momento i dati personali forniti (restando negli obblighi di esattezza previsti dal GDPR, sia chiaro). I soli risvolti pratici, di norma, sono se l'utente cambia indirizzo email nel corso delle sue attività da giocatore. Anche in questo caso la cosa più comoda da fare è prevedere che l'utente possa correggere da solo i dati personali forniti, tramite apposito pannello di controllo. In ultima istanza si può sempre ricorrere alla richiesta scritta inviata direttamente al titolare del trattamento dei dati, ma anche questa è una tipica operazione che conviene automatizzare.


Il diritto alla portabilità dati (art. 20)

Scarsamente applicabile nel nostro contesto. Gli eventuali dati personali forniti su richiesta all'interessato, devono essere forniti in un formato facilmente portabile. Nei rarissimi casi in cui dovessimo ricevere una richiesta di questo tipo, sarà sufficiente inviarli in un file di testo con estensione .csv (comma separated values), con i campi separati da virgole. Tanto nella stragrande maggioranza dei casi il file con i dati personali "in formato portabile" conterrà solo un indirizzo email.


I diritti di limitazione del trattamento, opposizione e cancellazione/oblio dei dati personali (artt. 17, 18, 19, 21)

Ai fini pratici di quello che accade per la registrazione a un gdr, raggruppiamo questi diritti sotto un unico cappello dal momento che l'approccio in caso di richiesta di esercizio di uno di questi diritti sarà sostanzialmente lo stesso e, a meno che non vogliate ricorrere all'hashing dell'email e consentire all'utente di continuare ugualmente a usare il gioco, si tradurranno tutti anche nella inutilizzabilità dell'account di gioco.
Ai fini pratici per il titolare del trattamento dati e per la gestione del gioco, la richiesta di esercizio di uno o più di questi diritti si traduce nell'impossibilità di trattare il dato personale fornito e di conseguenza nella necessità di eseguire blocco, cancellazione o anonimizzazione dei dati personali forniti dall'utente. Più realisticamente, cancellazione o anonimizzazione (hashing) del dato, visto che il concetto di "blocco" di un dato che rimane comunque registrato in un database liberamente consultabile é piuttosto aleatorio.
Nota: il titolare può opporsi all'esercizio di questi diritti (sempre rispondendo e motivando nei termini richiesti dal GDPR, ovvero entro 1 mese) solo nel caso in cui la conservazione/trattamento del dato sia necessaria per la tutela del suo interesse vitale, per la propria difesa in sede giudiziaria o per ragioni di sicurezza ed ordine pubblico (cosa che non ci riguarda sicuramente).
La necessità ipotetica di tutelarvi contro eventuali future azioni legali, o cosa sia effettivamente considerato come legittimo "interesse vitale", potrebbe sempre essere oggetto di speculazioni e ulteriori contese, per cui se non sussistono effettivamente gravi motivi vitali o di tutela giudiziaria per negare l'esercizio di uno di questi diritti, è conveniente ottemperare nei termini previsti. Insomma evitate di opporvi "per dispetto", perchè non ne vale proprio la pena. E anche perchè a quel punto, in caso di vostra risposta negativa, l'utente potrà comunque sempre avvalersi della Revoca del Consenso e a quel punto sarete comunque obbligati a cancellare/anonimizzare i suoi dati personali.


Cosa fare col giocatore che ha chiesto la cancellazione/opposizione/limitazione/revoca del trattamento

E' una banale questione di buonsenso: andrebbe considerato come un utente bannato, nè più nè meno e non dovrebbe più avere accesso al gioco, dato che vi priva del diritto di conservare e trattare i suoi dati personali, non solo quelli richiesti da voi, ma anche quelli inviati eventualmente di propria iniziativa. Specie nel caso della revoca del consenso é abbastanza palese che quell'account non dovrebbe più essere utilizzato sul vostro gioco, perchè viene meno persino quell'unico, minimale appiglio di contatto con la realtà fisica del giocatore registrato e la sua identità, ossia l'indirizzo email che ci ha fornito. E viene meno di conseguenza qualunque impegno si sia preso a rispettare un regolamento o le condizioni del servizio. Trattarlo tecnicamente e praticamente come un utente bannato dovrebbe essere elementare buonsenso.
Resta inteso che se si intende mantenere in gioco, o accedere ai dati di gioco del personaggio, è possibile farlo dopo averlo svincolato dai dati personali rimossi o pseudonimizzati.


Problema pratico: utenti bannati "a vita"

Perchè un ban "definitivo" sia efficace, il record dell'account bannato (e verosimilmente il suo indirizzo email) deve essere conservato a tempo indeterminato, se non altro per prevenire che l'utente si registri di nuovo usando lo stesso account email. In realtà sappiamo bene quanto poco sia efficace: altro indirizzo email, altro account, ban aggirato. In ogni caso lato gestore conserviamo i dati del'account bannato. Che fare se l'interessato revoca il consenso al trattamento dei suoi dati o chiede di esercitare uno dei suoi diritti di cancellazione/limitazione/opposizione al trattamento? Può farlo?
Purtroppo la risposta è "sì, può farlo". E se ricorre alla revoca del consenso, abbiamo le mani legate, a meno di non voler ricorrere al "legittimo interesse vitale" per il funzionamento del servizio, e sperare che il bannato non abbia soldi da buttare per trascinarci in tribunale a dimostrare se le esigenze di moderazione di un gioco possono essere considerate un legittimo "interesse vitale" o se le necessità di una ipotetica difesa giudiziaria futura siano applicabili come motivazione per bypassare la revoca del consenso.
Di conseguenza se bannate un utente e quello poi vi contatta utilizzando il canale (email) previsto per contattare il titolare del trattamento dei dati, e vi revoca il consenso, voi siete obbligati ad agire di conseguenza, cancellando o anonimizzando i suoi dati personali. Fine.
Ribadiamo che invece non esiste alcun obbligo di cancellare dati di navigazione (IP, user Agent) o dati di gioco dei personaggi associati all'account bannato, nel momento in cui l'account viene anonimizzato cancellando o hashando i dati personali associati.
Questo vi permette comunque di conservare traccia del giocato (almeno finchè non intervengono eventuali vostre cancellazioni automatiche per inattività) e un dato crittato/hashato che può comunque essere confrontato, in fase di registrazione, con l'indirizzo email fornito da chi si registra, per garantire l'efficacia del ban su quell'indirizzo email. Inoltre se agite con criterio siete comunque in grado di conservare dati utili a scoprire eventuali futuri aggiramenti del ban.
La soluzioine tecnica scelta può dipendere dal modo in cui avete costruito il vostro database ma in linea generale sarebbe opportuno attrezzarsi per poter in qualunque momento effettuare l'hashing delle email degli utenti bannati o che abbiano revocato il consenso, o esercitato uno degli altri diritti di opposizione/limitazione del trattamento dei dati.


Problema pratico: i messaggi "privati" del PG e i record delle chat "private", sono dati personali?

No. Come già detto più sopra i PG non sono persone fisiche, di conseguenza gli scambi di missive, MP, o dir si vogliano non sono dati personali e nemmeno "corrispondenza privata" (a differenza dei messaggi email). Per questa ragione è altamente opportuno che non usiate formule ambigue, che potrebbero confondere i vostri utenti. Già parlare di "messaggi privati" è improprio, dal momento che essi vengono registrati in chiaro nel vostro database, a meno di non ricorrere a forme di crittografia robusta che difficilmente si vedranno mai in un gdr. Quindi state attenti a non spacciare per "privato" ciò che non lo è (e lo stesso vale per le c.d. chat private).
Il giocatore non è tenuto a sapere come funziona un database e se una cosa gli viene spacciata come "privata" la considererà privata e si aspetterà che sia privata. Quando in realtà tanto gli MP quanto i messaggi di una "chat privata", nella migliore delle ipotesi sono comunque registrate in un DB e sono leggibili da chiunque possa accedere a quel DB, e nel peggiore dei casi moderatori, master, guide e/o admin avranno dei comodi pannelli di controllo per monitorare tanto gli MP che i log delle chat, comprese quelle "private".
Il problema è che se un giocatore si aspetta che un canale sia privato può decidere di usarlo per comunicare anche informazioni personali, inclusi magari dati personali propriamente detti. Quindi andrebbero fatte due cose:
1) Informare chiaramente i giocatori che "privato" è un termine usato per comodità e per non usare lunghi giri di parole o termini meno immediati come "diretto", "confidenziale", "ad accesso ristretto", ecc, e che quindi non devono assolutamente usare quei canali per comunicare informazioni personali e se lo fanno, voi non vi assumete alcuna responsabilità per l'uso improprio che potrebbe esserne fatto da terzi.
2) In caso di revoca del consenso, o di esercizio dei diritti di limitazione/cancellazione/oblio, anche mantenendo tutti gli altri dati di gioco del personaggio, sarebbe cosa opportuna cancellare l'intera base messaggi di quel PG, o quantomeno accertarsi di cancellare eventuali messaggi contenenti informazioni personali (per comodità e praticità sarebbe preferibile la cancellazione in blocco).


Problema pratico: i messaggi delle bacheche/forum offgame sono dati personali?

Problema tipico, avete creato degli spazi di discussione offgame, nei quali i giocatori discutono del più e del meno, comunicano eventuali assenze, di danno appuntamenti offgame su skype o per un raduno, magari discutono anche di problemi del mondo reale fra cui argomenti (es opinioni politiche, religiose, informazioni sulle condizioni di salute, ecc) che se associati a un dato personale identificativo della persona rientrerebbero fra i dati coperti dalla normativa (ex "dati sensibili"). Tali messaggi scritti nelle bacheche/forum come vanno trattati?
Qui abbiamo potenzialmente due problemi: la condivisione/trasmissione di dati personali a terzi (gli altri utenti che leggono), e la conservazione dei dati sul vostro database.
Per il primo problema dipende tutto da come avete impostato i vostri forum offgame: se i "terzi", ossia gli altri utenti che leggono e scrivono, non hanno alcuna possibilità di associare quello che leggono ad una persona fisica chiaramente identificabile, il problema della trasmissione a terzi non sussiste. Leggono solo che, ad esempio, per l'utente che muove il personaggio Pluto il presidente Donald Trump é la cosa più bella apparsa sul pianeta Terra dopo i cannoli siciliani. Non c'è alcuna identificabilità di chi muove Pluto, quindi non c'è alcun problema per l'opinione politica trasmessa a "terzi".
Il problema c'è per voi e per chiunque abbia accesso (si spera nessuno a parte il titolare del trattamento dati) ai dati identificativi di Pluto, ossia finchè siete ad esempio in grado di associare "Pluto" all'indirizzo email che ha fornito. Oppure, il problema c'è se ad esempio l'utente ha usato un forum leggibile a terzi per condividere un contatto facebook, skype, il numero di telefono, eccetera.
Se e quando l'utente revoca il consenso al trattamento dei dati, si oppone al loro trattamento o ne chiede la cancellazione/oblio, se intendete conservare i dati di gioco del personaggio (inclusi gli interventi sui forum/bacheche) dovete assicurarvi che non rimangano dati personali identificativi visibili a terzi (es. indirizzi email, link a profili facebook, numeri di telefono, ecc) e che il personaggio/utenza sia stato "anonimizzato" rimuovendo/crittando qualsiasi dato personale identificativo ad esso associato.
Nota: Attenzione alla condivisione di "contatti" esterni, che potrebbe avvenire, come spesso accade, tramite la stessa scheda personaggio, se non attraverso campi/schede appositamente predisposte dai gestori, che a volte i giocatori usano per condividere recapiti esterni (email, account skype, ecc) con gli altri giocatori. Assicuratevi di "ripulire" tali dati, se conservate i record di un personaggio anche successivamente all'esercizio dei diritti di opposizione/cancellazione/revoca del consenso al trattamento.


La sicurezza dei dati personali

Rispetto alla vecchia normativa il GDPR pone molta enfasi anche sulla tenuta in sicurezza dei dati conservati e trattati. Il titolare del trattamento dei dati è responsabile non solo di come vengono trattati e conservati, ma anche della sicurezza dei dati trattenuti.
In termini pratici per il gestore di un gioco di ruolo online questo discorso è relativo (gran parte della sicurezza del database non dipende da noi ma dal servizio che ci ospira, specie se siamo in regime di hosting), ma in linea generale si tenga presente che la propria responsabilità nella tenuta in sicurezza dei dati é maggiore tanto è maggiore il controllo che abbiamo sul sistema che gestisce il gioco. Responsabilità che è pressochè pari a zero nel caso di Play by Forum realizzati su servizi terzi come FormuFree, che cresce nel caso di database gestiti da noi ma ospitati da server esterni (es database su hosting), cresce ulteriormente se abbiamo anche una responsabilità sistemistica (gestione di VPS e server in housing) ed è massima nel caso in cui amministriamo direttamente e fisicamente anche il server perchè ce l'abbiamo in cantina, o perchè teniamo delle copie del database sul nostro pc, su una chiavetta USB o su CD di backup in casa nostra.
I nostri obblighi consistono nel fare tutto ciò che è tecnicamente possibile per prevenire violazioni ed accessi non autorizzati ai dati personali degli utento; nell'informare gli interessati delle procedure di sicurezza che attiviamo e garantiamo; nell'avvisare tempestivamente gli interessati e l'autorità di garanzia in caso di violazioni dei dati (data breach) che comportino rischi per la sicurezza, l'incolumità la libertà, i diritti o l'integrità personale degli interessati.
Nel caso di un gdr é altamente improbabile che si verifichino mai circostanze di questo genere, a meno che non vengano compromessi i server cui cui è hostato il gioco o che un ladro non penetri in casa nostra e si impadronica dei dati; comunque è bene sapere che il GDPR prevede una procedura di notifica della violazione all'autorità garante, che deve ricevere la notifica entro 72 ore dal momento in cui il titolare é venuto a conoscenza della violazione, notifica che deve contenere anche una attenta valutazione dei rischi conseguenti alla violazione avvenuta.
Ovviamente il Garante pone la maggior enfasi possibile sui rischi derivanti da furti di identità, rischi per la libertà degli individui e danni finanziari derivanti dalla violazione avvenuta. Approfondisci qui: https://www.garanteprivacy.it/regolamentoue/databreach
Qualora il nostro database (o un suo backup, digitale o fisico che sia) sia stato violato è in ogni caso opportuno informarne tempestivamente gli interessati (utenti/giocatori) in modo che possano provvedere quantomeno a cambiare le proprie password (vista l'abitudine diffusa di utilizzare le stesse password per più servizi utilizzati con lo stesso indirizzo email). Anche se abbiamo crittato le password degli utenti é meglio andare sul sicuro.
Nota: il GDPR e le direttive del Garante specificano con chiarezza cosa si intende per violazione dei dati e i rischi conessi. Fra le casistiche esaminate ci sono anche le circostanze in cui un compagno di staff può abusare, materialmente, dei propri permessi per accedere ai dati degli utenti e farne un uso improprio, ragion per cui si ribadisce la necessità, dove si abbia uno staff con più admin, di restringere l'accesso diretto ai dati al minor numero possibile di persone e, possibilmente, al solo titolare del trattamento dei dati.

Lascia Commento Proponi Articolo

Commenti

valentine_betty

SCRIVI

01/07/2021 - Grazie mille per questo articolo! Complimenti 😃👍

narutobtgw

SCRIVI

GESTORE GIOCO

05/06/2021 - Molto, molto utile! Complimenti per l'articolo e ovviamente grazie per la condivisione con il grande pubblico!

auronx

ONLINE

SCRIVI

GESTORE GIOCO

30/05/2021 - Letto con interesse e molto utile, good job.

World of TanksWorld of Tanks ↗
Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!

musicamusa

SCRIVI

29/05/2021 - Davvero molto chiaro, utile e calato nel concreto, bravi!

gdr-online.com

ONLINE

SCRIVI

ADMIN

27/05/2021 - Uno splendido esempio su come condividere le proprie conoscenze a beneficio dell'intera comunità. Bravi davvero!

sara

SCRIVI

26/05/2021 - Notevole complimenti!

Entropia UniverseEntropia Universe ↗
Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!

gemini

SCRIVI

26/05/2021 - Davvero un ottimo lavoro, complimenti. :-)

oscar

SCRIVI

26/05/2021 - Un applauso all'autore per questo lavoro favoloso! 👌

Lascia un Commento

Articoli, Recensioni, Interviste e altre Risorse!

GDR Online
GDR Online
Analizziamo assieme i giochi di ruolo online by chat...
Console o Pc?
Console o Pc?
L'eterna sfida del Gaming: Console o PC?
Giochi Digimon
Giochi Digimon
Lista dei giochi ambientati nel mondo dei Digimon! Evolvili tutti!
Effetto Pioggia
Effetto Pioggia
Scopriamo come realizzare un effetto pioggia sulle immagini con Photoshop

Pubblicità

Accedi o Registrati

user

password

Registrati Password?

Risorse del Portale

592 Utenti Online
Articoli, Interviste e Tesi
Forum
Sondaggi
Open Source
Annunci di Ricerca
Ricerca Personaggio
Glossario GdR
Segnala Gioco

Pubblicità

Ultime dal Portale

NosTale: Ora nel NosMall: dolcissimi mini-pet

blancks ha risposto alla discussione: Parere su BrowserGame

Enlisted EnlistedGuida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!

DarkOrbit: Aggiorna la scatola dell'Apocalisse!

I dati del generatore di rank sono stati aggiornati!

aik ha aperto una nuova discussione: Parere su BrowserGame

eXtremelot: La Bussola dei Cartografi di Lot

Hero Wars Hero WarsCostruisci la tua squadra di eroi leggendari e domina il campo di battaglia! Strategia, tattica e potenza si scontrano in questo RPG ricco di azione!

Dallas Black Gold: [Trama] JFK Memorial

Hero Wars: Artefatti dei Titani!

bother ha recensito Never Have I Ever: Mysteries of Laconia Bay

Games of Thrones Winter is Coming: #giveaways codice regalo! 🥳

Exclusive Villa GdR Exclusive Villa GdRLas Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.

Enlisted: Migliorare e ottimizzare le ombre

Road to Hamartia: CACCIA: Sarà uno o tre?

can_can ha risposto alla discussione: Peregrine GDR

Articolo → Guida a GDRCD: sviluppo in locale

Storie di Agarthi Storie di AgarthiUn Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, diventa quello che hai sempre cercato.

Pubblicità

Articoli e altro

Politica dei Vertici Politica dei Vertici - Consigli utili, piccole accortezze, e riflessioni sulla politica dei Gestori nei GDR

Oltre il Velo Oltre il Velo - Intervista alla gestrice del GdR fantasy moderno Oltre il Velo!

Figure del Sacro Figure del Sacro - Interessante tesi dal titolo: Tolkien figure del sacro nel simbolo epico

Abisso Oscuro Abisso Oscuro - Recensione del GDR fantasy Abisso Oscuro

Internet Internet - Internet non serve soltanto per informarsi... sul web è possibile anche divertirsi!

Guida Nuovi Giocatori Guida Nuovi Giocatori - Guida per i nuovi giocatori: come iniziare nel complicato mondo del GdR Online!