Data protection

Metaverso, così stritola la nostra privacy: ecco tutti i punti oscuri

Personalizzare i contenuti pubblicitari sulla base dei dati raccolti sembra essere l’obiettivo del metaverso: ma quali saranno i dati coinvolti? Il ruolo dell’eye-tracking, la normativa GDPR, le proposte per garantire il controllo sui propri dati

11 Mar 2022
Adriano Garofalo

Studio De Berti Jacchia Franchini Forlani

Giulietta Minucci

Associate, De Berti Jacchia

È facile aspettarsi che nel metaverso il diritto alla privacy sarà limitato come mai prima d’ora, tenuto conto della naturale difficoltà del legislatore nel tenere il passo rispetto alla velocità del progresso tecnologico.

Il metaverso, quindi, sarà un importante banco di prova per l’idoneità del GDPR a tutelare la privacy nella realtà tecnologica del futuro e per l’adeguatezza del nuovo Regolamento ePrivacy, la cui definizione è attesa da tempo.

Dal metaverso al metacapitalismo: un nuovo stadio del capitalismo della sorveglianza?

Metaverso: le sfide legali da affrontare

Non è da escludere che possano sussistere e coesistere in astratto infiniti metaversi, come pianeti della stessa galassia, ciascuno disciplinato e governato dalle proprie regole.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Quale legge sarà applicata in questa moltitudine di metaversi? Non è l’unica sfida da affrontare.

Le practice coinvolte nel metaverso sono molteplici: dalla tutela dei consumatori al trattamento dei dati personali dell’utente-avatar acquisiti, sino al regolamento dei rapporti contrattuali in esso conclusi.

Creando il proprio avatar, infatti, ed indossando un visore di realtà aumentata/virtuale per navigare nel metaverso, l’utente può compiere tutta una serie di azioni che possono determinare un inconsapevole conferimento dei propri dati personali, anche di categorie particolari (dati biometrici e altri).

Ogni metaverso potrebbe/dovrebbe avere le proprie regole, alternativamente individuate tramite l’applicazione dei principi di diritto internazionale privato o ancora mediante condizioni contrattuali accettate da ciascun utente prima della creazione del proprio avatar. Simultaneamente, l’utente potrebbe ricevere una informativa sul trattamento dei suoi dati personali nel metaverso.

Metaverso: banco di prova per GDPR e regolamento e-Privacy

Sono numerosi i lati oscuri del metaverso: visori, interfacce sensoriali ed eye tracking, se da un lato promettono di offrire una esperienza digitale sempre più immersiva, dall’altro, se non usati correttamente e in modo conforme alla normativa, possono essere potenti strumenti di compromissione della tutela dell’utente, sia in quanto interessato del trattamento dei dati personali, sia in qualità di consumatore.

Tra i visori di realtà aumentata, degno di nota per le implicazioni che comporta è l’eye tracker: un dispositivo fisico che utilizza un tipo di illuminazione prossima agli infrarossi, detta near infrared, che, in combinazione con telecamere in hd, proietta luce nell’occhio e registra la direzione verso cui viene riflessa dalla cornea.

Grazie ad algoritmi avanzati di IA, i dati acquisiti possono essere utilizzati per calcolare la posizione dell’occhio e comprendere esattamente direzione e durata dello sguardo. Diventa quindi possibile studiare e misurare il comportamento visivo dell’utente-avatar, e capirne gusti e preferenze.

La tecnologia di tracciamento dei movimenti oculari e delle nostre espressioni facciali potrà quindi raccogliere dati personali di diversa natura, come i dati biometrici ricavabili dalla nostra retina, oppure i dati relativi ai nostri interessi di ogni genere.

Vi è, inoltre, la possibilità che siano rilevate informazioni che l’utente potrebbe non aver nessuna intenzione di condividere con altri soggetti: status mentale o emotivo, reazioni e umore sono senz’altro dati potenzialmente esposti nel momento in cui le espressioni facciali dell’utente, visibili attraverso il proprio avatar, siano costantemente ed automaticamente oggetto di registrazione ed analisi.

Il GDPR, in base al fondamentale principio della minimizzazione dei dati personali, stabilisce che debbano essere trattati esclusivamente dati personali che siano pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, le quali, per soddisfare le condizioni di liceità imposte dal GDPR, devono essere determinate, esplicite e legittime.

Sarà quindi necessario definire con precisione e informare gli utenti delle finalità del trattamento, escludendo tutti i dati che non servono a conseguirle.

Metaverso: quale minimizzazione dei dati personali?

Sembrerebbe che l’obiettivo dell’azienda di Zuckerberg, con il progetto Meta, inerisca alla volontà di personalizzare i contenuti pubblicitari grazie ai dati acquisiti all’interno del Meta-metaverso, sottoponendo all’utente solo contenuti pubblicitari mirati.

Le volontà di Meta e la conseguente ampiezza del tracciamento dei dati personali dell’utente (complice anche l’utilizzo di dispositivi di eye tracking), mal si concilia con il principio di minimizzazione dei dati personali.

I dati personali degli utenti a disposizione di Meta o di altri soggetti terzi vanno, infatti, ben oltre quelli necessari per le finalità da questi ultimi perseguite.

Affinché un utente possa essere lecitamente tracciato e profilato è necessario che questi abbia preventivamente conferito il proprio consenso. In altri termini, l’utente deve possedere il controllo dei propri dati e ciò può dirsi avvenire solamente, ai sensi del GDPR, conferendo un consenso valido, ossia libero, informato, specifico ed inequivocabile, oltreché verificabile e revocabile.

Conseguentemente, affinché il consenso prestato dall’utente possa considerarsi valido, Meta dovrà senz’altro predisporre dei meccanismi di raccolta e registrazione dei consensi che permettano di rispettare i rigidi requisiti imposti dalla normativa europea.

A tal proposito è interessante soffermarsi su quanto affermato dallo European Data Protection Board in merito alla libertà del consenso. Esso, infatti, ha ritenuto che “l’elemento della manifestazione di volontà ‘libera’ implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati.”

Conclusioni: come garantire il controllo sui propri dati

Essere in controllo dei propri dati significa essere adeguatamente informati in anticipo sul loro trattamento.

Solo un utente pienamente consapevole di tutti gli aspetti spaziali, temporali e non solo del tracciamento dispone di un livello di informazioni tale da poter decidere liberamente in merito al trattamento e alla protezione dei propri dati personali. Per questo è necessaria l’informativa di cui sopra.

Inoltre, avere il controllo sui propri dati significa poter decidere liberamente quando “accendere” e “spegnere” il tracciamento, in modo semplice ed efficace. Il GDPR prevede che il consenso dell’utente debba essere revocabile con la stessa facilità con cui, in origine, era stato prestato: Meta o qualsiasi altra realtà che unisca dinamiche di AR/VR e eye tracking dovrà, pertanto, garantire che l’utente possa revocare il proprio consenso in qualsiasi momento, così da potersi sottrarre al tracciamento, con la stessa facilità con cui aveva, in precedenza, accettato di essere tracciato.

Il legislatore, d’altro canto, dovrà fare tesoro dell’esperienza di questi anni in materia di cookie e tracciamento, armonizzando la normativa ad oggi presente anche considerando le implicazioni privacy sussistenti nelle meta-realtà.

A voler essere provocatori: l’utente è mai stato pienamente consapevole ed in controllo della sua profilazione realizzata tramite cookie?

Probabilmente no. La profilazione sul web 2.0 è un trattamento che, in concreto, purtroppo, non è mai stato domato. Confidiamo non si ripeta il medesimo errore nel web 3.0.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4