Nei giorni scorsi l’agenzia spagnola per la protezione dei dati personali (AEDP) ha pubblicato un articolo che mette in evidenza i potenziali rischi per la privacy legati ai mondi virtuali o metaversi. Secondo l’Autorità l’uso del metaverso può essere molto invadente per gli individui soprattutto considerando che si tratta di ambienti progettati per l’elaborazione e la raccolta di uno spettro molto ampio di informazioni relative alle attività umane, (virtualizzazione tutti gli aspetti dello sviluppo di un individuo) e dati non verbali e biometrici.
L’insieme delle tecnologie che consentono di implementare una vita virtuale sono già mature e tra queste troviamo:
- Tecnologie di realtà virtuale (VR), realtà aumentata (AR) e realtà mista (MR) o realtà estesa (XR) nel suo insieme.
- Valute virtuali, criptovalute e token, con un ecosistema abilitante.
- Tecniche di identità digitale.
- Tecniche di entità digitali o avatar e la loro interazione realistica che proietta i movimenti e le espressioni facciali degli utenti.
- NFT (token non fungibili), che sono asset digitali: azioni, arte, giochi, biglietti per eventi digitali, proprietà, terreni…
- L’Internet of Things, l’IoT, i wearable (occhiali, caschi, guanti aptici, joystick, smartwatch, sensori, ecc.) e le interfacce neurali (Brain-Computer Interfaces, BCI), come fonti di informazione per l’interazione fisico-virtuale, consentendo la elaborazione delle caratteristiche biometriche.
- Intelligenza artificiale (AI), essenziale per rispondere al comportamento del mondo reale, consentendo l’interazione intelligente tra utenti e avatar, il processo decisionale e la profilazione.
- Infrastruttura di rete dati distribuita e decentralizzata come blockchain, 5G, cloud o edge computing.
Queste tecnologie consentono un’interazione immersiva in spazi virtuali, offrendo all’utente un’esperienza sociale, un’identità digitale e la proprietà delle risorse presenti in un mercato attivo e che offre possibilità di guadagno. Le applicazioni sono infinite, tante quante le attività umane e non solo: mercati dei prodotti digitali, decentramento della finanza, eliminazione degli intermediari, gioco, istruzione, lavoro, interazione sociale, progettazione e simulazione, salute, acquisto digitale di terreni, ecc.
Il metaverso è progettato per essere interoperabile, senza confini, persistente e scalabile. Attualmente esiste un solo progetto di metaverso, ma al suo interno sono già presenti diverse piattaforme. Queste piattaforme sono definite in modo finito, come ad esempio: Second Life, The Sandbox, Decentraland, Cryptoboxes, Somnium Space o Horizon Worlds. Allo stesso modo criptovalute, token e NFT, affidandosi a sistemi di sicurezza crittografici, divengono asset digitali esclusivi e negoziabili.
Dal punto di vista della privacy, il metaverso permette di raccogliere con granularità e precisione dati biometrici attraverso dispositivi indossabili o interfacce neurali, ma ciò che rileva è la varietà ed il volume di informazioni che si possono ottenere da questi dati biometrici. Ad esempio gli occhiali VR estraggono informazioni dalle variazioni dell’iride e i telecomandi che si interfacciano con il metaverso rivelano cambiamenti posturali, consentendo l’analisi della risposta emotiva.
L’analisi della posizione relativa degli avatar in un mondo virtuale consente l’analisi prossemica automatica, ovvero lo studio dell’organizzazione dello spazio nella comunicazione linguistica non verbale. I tempi di reazione e le forme di reazione consentono lo studio biomeccanico dell’individuo, e così via.
Tutto questo, insieme alle interfacce neurali, permette di conoscere e profilare l’individuo a livelli non conosciuti prima nei social network. Inoltre, queste informazioni fluiscono in due direzioni, dall’individuo all’ambiente e dall’ambiente all’individuo. In quest’ultimo caso, la proiezione di piccole variazioni corporee si tradurrà negli avatar delle persone con cui si interagisce nel mondo virtuale, rivelando informazioni involontarie, apprezzabili (anche mediante automatismi) in tecniche di neuromarketing di precisione.
Tutte le tecnologie che compongono l’ambiente metaverso (social network, AI, IoT, interfacce neurali, ecc.) hanno i propri rischi per la privacy che devono essere conosciuti e gestiti dal titolare del trattamento in quanto generano rischi per i diritti e le libertà degli interessati su una scala difficile da stimare a priori.
Nel metaverso, l’utente sperimenta gli eventi nel mondo virtuale come se fosse il mondo reale e dovrà affrontare ogni tipo di rischio sia per la privacy (sorveglianza di massa, discriminazione, perdita di autonomia, frode o furto di identità) sia (in ipotesi) per la salute propria attraverso le vulnerabilità dei dispositivi indossabili o presenti nello stesso ambiente virtuale.
L’Autorità spagnola segnala che un aspetto importante da tenere a mente è lo sviluppo di metaversi su tecnologie che mirano a sostituire i meccanismi di regolamentazione e governance del mondo reale con regole eseguite automaticamente, come è già successo in alcune criptovalute su blockchain. In altre parole, la possibilità di sostituire gli esseri umani nel processo di applicazione di regole e leggi con algoritmi che prendono decisioni al loro posto in un ambiente virtuale.
Le “leggi” coi quali deve confrontarsi il metaverso sono molteplici e comprendono il GDPR, ma anche le nuove proposte normative in UE, il Digital Services Act, il Data Act, il Digital Markets Act, il Data Governance Act, la proposta Regolamento IA, ecc.
Infine, il trattamento di dati di un metaverso, per essere conforme al GDPR, dovrà tenere conto, tra l’altro, di:
- meccanismi per la minimizzazione dei dati raccolti dagli stessi dispositivi indossabili e, di conseguenza, dal metaverso;
- meccanismi di governance del metaverso e definizione di regole trasparenti per la tutela dei diritti degli interessati, stabilendo chiaramente i ruoli privacy dei soggetti coinvolti e l’individuazione degli organi di controllo ai quali sono soggetti;
- trasparenza, in particolare nelle decisioni automatizzate al fine di evitare abusi, pregiudizi, profilazione e discriminazione;
- adeguata gestione dei wearable e dei dispositivi a protezione dei dati trasmessi e archiviati, considerata la possibilità di estrapolare dai dati biometrici informazioni personali inaspettate ed ulteriori rispetto a quelle che che l’utente si immagina;
- valutazioni d’impatto sulla protezione dei dati, dato il numero di tecnologie, alcune delle quali nuove, che concorrono nel metaverso e che amplificano i rischi per i diritti e le libertà degli individui;
- garantire i diritti degli interessati, compreso il diritto all’oblio e alla cancellazione;
- protezione specifica della privacy sin dalla progettazione e per impostazione predefinita degli ambienti virtuali e dei dispositivi tecnologi di interazione (privacy-by-design e by default) applicata, ad esempio, agli avatar ed alla loro impronta digitale nel metaverso, soprattutto se coinvolge minori;
- sicurezza, soprattutto in termini di disponibilità, resilienza e riservatezza dei dati personali che fanno parte dei trattamenti effettuati nel metaverso.
Articolo tratto da una pubblicazione dell’autorità spagnola per la protezione dei dati personali. https://www.aepd.es/en/prensa-y-comunicacion/blog/metaverse-and-privacy
#privacy #gdpr #metaverso #metaverse #governance #minimizzazione #sicurezza #werables #DPIA #IoT #AEDP #biometria #NFT #token #criptovalute #valuazionedimpatto #socialnetwork #minori