IL METAVERSO E LA NOSTRA PRIVACY: FACCIAMO CHIAREZZA

Il futuro è nel Metaverso, ma quali saranno i dati coinvolti?
Il ruolo dell’eye-tracking, la normativa GDPR e le proposte per garantire il controllo sui propri dati.

METAVERSO: LE SFIDE LEGALI DA AFFRONTARE

È facile aspettarsi che nel metaverso il diritto alla privacy sia limitato come mai prima d’ora.

 

In primo luogo, questa difficoltà normativa sarà data dall’impossibilità, dimostrata negli anni, del legislatore nel tenere il passo rispetto alla velocità del progresso tecnologico.

 

Nell’analizzare le complicanze date da questa tecnologia, possiamo partire dalla sua definizione e dall’origine del Metaverso; a partire da Mark Zuckerberg con il suo progetto “Meta”, il metaverso ha suscitato l’interesse anche di grandi aziende del gaming (Epic Games), della moda (Gucci, Nike e Balenciaga), dell’entertainment (Warner Music Group) e dell’eCommerce (non da ultimo Alibaba).

 

Il termine “metaverso” è stato coniato molto prima, in particolare nel 1992, dallo scrittore Neal Stephenson che nel romanzo cyberpunk “Snow crash”, lo definisce come uno “spazio tridimensionale regolato da norme specifiche e differenti dalla vita reale, all’interno del quale persone fisiche possono muoversi, condividere e interagire attraverso avatar personalizzati”.

 

Se il concetto di “metaverso” dovesse essere spiegato con parole semplici, potrebbe definirsi come una trasposizione della realtà fisica in una realtà (a)fisica e quindi virtuale: una meta-quotidianità, dove ciò che accade nella quotidianità può essere replicato virtualmente.

 

Non è da escludere che possano sussistere e coesistere in astratto infiniti metaversi, ciascuno disciplinato e governato dalle proprie regole.

 

Le practice che possono essere coinvolte nel metaverso sono molteplici: dalla tutela dei consumatori al trattamento dei dati personali dell’utente-avatar acquisiti, sino al regolamento dei rapporti contrattuali in esso conclusi.

 

Creando il proprio avatar ed indossando un visore di realtà aumentata/virtuale per navigare nel metaverso, l’utente può compiere tutta una serie di azioni che possono determinare un inconsapevole conferimento dei propri dati personali, anche di categorie particolari (dati biometrici e altri).

 

Ogni metaverso potrebbe e/o dovrebbe avere le proprie regole, alternativamente individuate tramite l’applicazione dei principi di diritto internazionale privato o ancora mediante condizioni contrattuali accettate da ciascun utente prima della creazione del proprio avatar.

 

Simultaneamente, l’utente potrebbe ricevere una informativa sul trattamento dei suoi dati personali nel metaverso.

 

Il metaverso, quindi, sarà un importante banco di prova per l’idoneità del GDPR a tutelare la privacy nella realtà tecnologica del futuro e per l’adeguatezza del nuovo Regolamento ePrivacy, la cui definizione è attesa da tempo.

METAVERSO: BANCO DI PROVA PER GDPR E REGOLAMENTO E-PRIVACY

Numerosi sono le implicazioni che possono nascere nel metaverso; tale analisi deve essere fatta partendo da ciò che è ed da ciò che sarà necessario per poter usufruire di tale tecnologia, a titolo esemplificativo ma non esaustivo pensiamo ai visori, interfacce sensoriali ed eye tracking.

 

In primo luogo, questi strumenti permettono di offrire una esperienza digitale sempre più immersiva, in secondo luogo, se non usati correttamente e in modo conforme alla normativa, possono essere potenti strumenti di compromissione della tutela dell’utente, sia in quanto interessato del trattamento dei dati personali, sia in qualità di consumatore.

 

Tra i visori di realtà aumentata, degno di nota è l’eye tracker: un dispositivo fisico che utilizza un tipo di illuminazione prossima agli infrarossi, detta near infrared, che, in combinazione con telecamere in hd, proietta luce nell’occhio e registra la direzione verso cui viene riflessa dalla cornea.

 

Grazie ad algoritmi avanzati di IA, i dati acquisiti possono essere utilizzati per calcolare la posizione dell’occhio e comprendere esattamente direzione e durata dello sguardo.

La tecnologia di tracciamento dei movimenti oculari e delle nostre espressioni facciali potrà quindi raccogliere dati personali di diversa natura, come i dati biometrici ricavabili dalla nostra retina, oppure i dati relativi ai nostri interessi di ogni genere.

 

Vi è, inoltre, la possibilità che siano rilevate informazioni che l’utente potrebbe non aver nessuna intenzione di condividere con altri soggetti; pensiamo allo status mentale o emotivo, reazioni e umore, i quali possono essere costantemente ed automaticamente oggetto di registrazione ed analisi senza una effettiva autorizzazione da parte dell’utente.

IL NOSTRO PUNTO DI VISTA

Il GDPR, in base al fondamentale principio della minimizzazione dei dati personali, stabilisce che debbano essere trattati esclusivamente dati personali che siano pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, le quali, per soddisfare le condizioni di liceità imposte dal GDPR, devono essere determinate, esplicite e legittime.

 

Risulterà essere necessario, di conseguenza, definire con precisione e informare gli utenti delle finalità del trattamento, escludendo tutti i dati che non servono a conseguirle.

 

Possiamo, inoltre, affermare che le volontà di Meta e la conseguente ampiezza del tracciamento dei dati personali dell’utente (complice anche l’utilizzo di dispositivi di eye tracking), mal si concilia con il principio di minimizzazione dei dati personali.

 

I dati personali degli utenti a disposizione di Meta o di altri soggetti terzi vanno, infatti, ben oltre quelli necessari per le finalità da questi ultimi perseguite.

 

Infine, la profilazione e il tracciamento dei dati è lecita solo quando l’utente abbia preventivamente conferito il proprio consenso.

 

In altri termini, l’utente deve possedere il controllo dei propri dati e ciò può dirsi avvenire solamente, ai sensi del GDPR, conferendo un consenso valido, ossia libero, informato, specifico ed inequivocabile, oltreché verificabile e revocabile.

 

Di conseguenza, affinché il consenso prestato dall’utente possa considerarsi valido, Meta dovrà senz’altro predisporre dei meccanismi di raccolta e registrazione dei consensi che permettano di rispettare i rigidi requisiti imposti dalla normativa europea.

 

L’European Data Protection Board in merito alla libertà del consenso ha affermato che “elemento della manifestazione di volontà ‘libera’ implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati.”

 

Solo un utente pienamente consapevole di tutti gli aspetti spaziali, temporali e non solo del tracciamento dispone di un livello di informazioni tale da poter decidere liberamente in merito al trattamento e alla protezione dei propri dati personali.

 

Per questo risulta essere necessaria l’informativa ai dati personali.

 

Inoltre, avere il controllo sui propri dati significa poter decidere liberamente quando permettere o meno il tracciamento, in modo semplice ed efficace, dei propri dati.

 

Il GDPR prevede che il consenso dell’utente debba essere revocabile con la stessa facilità con cui, in origine, era stato prestato: Meta o qualsiasi altra realtà che unisca dinamiche di AR/VR e eye tracking dovrà, pertanto, garantire che l’utente possa revocare il proprio consenso in qualsiasi momento, così da potersi sottrarre al tracciamento, con la stessa facilità con cui aveva, in precedenza, accettato di essere tracciato.

 

E tu cosa pensi a riguardo? Scrivilo nei commenti oppure, se ha necessità di ulteriori informazioni, scrivici all’indirizzo info@abinnovationconsulting.com.