+39 0422 235703
info@pralegali.com
Via Pier Maria Pennacchi n.1 - Treviso
uomo nel metaverso

09 Lug La privacy nel metaverso

Posted at 20:50h in Informatica giuridica, Tutela della Privacy by
Tempo di lettura stimato: 7 minuti

Nel metaverso la raccolta di dati personali si farà molto più pervasiva. Appare, pertanto, ragionevole prepararsi per tempo, cominciando sin d’ora ad immaginare dei framework che consentano a questa realtà tecnologica parallela di crescere e svilupparsi nel rispetto dei diritti e delle libertà fondamentali.

In questo articolo proveremo a tratteggiare quelle che, a nostro giudizio, appaiono essere le criticità più rilevanti che in un prossimo futuro ci troveremo a dover gestire.

Cos’è il metaverso? 

Il termine metaverso  si deve allo scrittore Neal Stephenson  che l’ha utilizzato per la prima volta nel 1992 nel romanzo Snow Crash.

Nell’opera postcyberpunk di Neal Stephenson il metaverso viene concepito come una via di fuga. 

Il protagonista del romanzo, che è un hacker, trascorre gran parte del suo tempo nella realtà virtuale.  Accede al metaverso indossando occhiali e auricolari e appare nel mondo digitale come il suo avatar personalizzato.

Una volta nel mondo parallelo, gli avatar possono passeggiare lungo una strada che si sviluppa per decine di migliaia di miglia, su cui si affacciano parchi di divertimento, negozi, uffici e complessi di intrattenimento.

Rispetto alla visione premonitrice di Neal Stephenson, la definizione che normalmente viene data al “metaverso” non si discosta dall’ impostazione originaria.

Si tratta, infatti, di una esistenza digitale, virtuale, parallela, immersiva e pervasiva in cui  è possibile esistere tra altri avatar, acquistare e scambiare beni virtuali, partecipare ad eventi  di vario genere o svolgere altre attività, molte delle quali impossibili o precluse nel mondo reale.

Per i più sottili, infine,  il metaverso non è un luogo, ma un multiverso di mondi digitali offerti da piattaforme diverse, alcune delle quali si fondono con il mondo reale.

Effettivamente, ad oggi, non esiste un unico metaverso come prospettato da Zuckemberg, ma molteplici metaversi. Resta da vedere se in un futuro questi multi/metaversi riusciranno a dialogare tra loro, cioè ad essere interoperabili.

Più creazione equivale a più raccolta di dati personali

Il metaverso  potrebbe mettere il doping alla raccolta dei dati personali ed a tutti i trattamenti che normalmente vengono effettuati sugli stessi.

Le piattaforme del metaverso ed i relativi dispositivi possono, infatti, creare un profilo più intimo degli individui, includendo molte informazioni fisiologiche o biometriche, come le dimensioni della mano, i movimenti degli occhi, la risposta cerebrale e molteplici dati comportamentali.

Le informazioni raccolte da questi sistemi potrebbero non solo indicare preferenze, ma  anche, ad esempio, fare previsioni, identificando l’insorgenza precoce di condizioni patologiche o individuando l’autore di un crimine ancor prima che il delitto venga commesso.

I dati personali, di fatto, continueranno a “sanguinare” tra il mondo virtuale e quello fisico.

Le informazioni o le preferenze del mondo reale che verranno divulgate o visualizzate involontariamente dall’avatar nel mondo virtuale o dalle transazioni riflesse su una blockchain pubblica potranno essere utilizzate per identificare la persona nel mondo reale e viceversa.  

Le preoccupazioni del Garante Spagnolo

Rispetto allo scenario che abbiamo cercato di delineare nei paragrafi precedenti, il Garante Spagnolo si è espresso in modo molto preoccupato.

Quest’ultimo ha rilevato come tutte le tecnologie che compongono l’ambiente metaverso (social media, AI, IoT, interfacce neurali, ecc.) comportino propri rischi per la privacy che devono essere gestiti. Inoltre, in aggiunta ai rischi delle singole tecnologie, l’applicazione congiunta delle stesse, tipica del metaverso, potrebbe causare conseguenze individuali e sociali  per i diritti e le libertà di dimensioni difficilmente stimabili a priori.

Nel metaverso, l’utente, secondo l’Autorità Spagnola, sperimenterà gli eventi nel mondo virtuale come se fosse il mondo reale, ragion per cui dovrà affrontare ogni tipo di rischio per la propria privacy: tra questi, la sorveglianza di massa, la discriminazione, la perdita di autonomia, la frode o ilo furto di identità. Inoltre l’utilizzo dei dati personali, attraverso le vulnerabilità dei dispositivi indossabili, o dell’ambiente virtuale stesso, potrebbe comportare reali rischi fisici per la salute degli utenti.

Metaverso e Smart Contract, la posizione del Garante Spagnolo

“L’ottimismo cosmico” del Garante Spagnolo non si esaurisce qui.

Egli, infatti, ha espresso delle considerazioni, a nostro avviso, alquanto superficiali sugli smart contract.

Secondo lo stesso “un aspetto importante da tenere in considerazione è lo sviluppo di metaversi su tecnologie che cercano di sostituire i meccanismi di regolamentazione e governance del mondo reale con regole eseguite automaticamente, come è già successo in alcune criptovalute su blockchain. Cioè, la possibilità di sostituire l’essere umano nel processo di applicazione della regola e della legge e di sostituirlo con algoritmi che prendono decisioni in un ambiente virtuale.”

A noi pare che l’autorità garante spagnola sovrapponga impropriamente la questione delle decisioni automatizzate alla nozione di smart contract. E’ utile pertanto ricordare come lo smart contract non fa altro che dare esecuzione alle clausole stabilite nel contratto.

Semmai l’accento andrebbe posto sulla necessità che l’utente venga messo nella condizione di comprendere esattamente il testo contrattuale. Questo, però, vale per qualsiasi tipo di contratto, non solo per gli smart contract.

Se poi lo smart contract dovesse contenere delle decisioni automatizzate sotto forma di oracoli, ciò non può ritenersi tout court in contrasto con il GDPR. Il Regolamento per la protezione dei dati personali, infatti, prevede la possibilità di decisioni automatizzate se vi sia il consenso dell’interessato o se ciò sia necessario per l’esecuzione del contratto.  Lasciando perdere la seconda ipotesi che ci porterebbe troppo lontano, per il momento basta evidenziare come il titolare del trattamento dovrà assicurarsi di raccogliere il consenso dell’interessato a tale forma di decisione, curando che quest’ultimo sia informato circa le logiche della decisione, pena il rischio di vedersi contestare la libertà del consenso ricevuto.

Le preoccupazioni del garante spagnolo

Secondo il Garante Spagnolo “le ‘leggi’ del metaverso dovranno essere “contrastate” (questo è letteralmente il termine che usa il Garante Spagnolo) non solo con il GDPR, ma anche con le nuove proposte di regolamento nell’UE, il Digital Services Act, il Data Act, il Digital Markets Act, il Data Governance Act, la proposta Regolamento AI, ecc.”

Viene dato per scontato che gli smart contract siano delle costruzioni tecnologiche in antitesi al diritto.

Al contrario è ben possibile avere, ed è auspicabile, degli smart legal contract, cioè dei contratti perfettamente in compliance con la legge.

Appaiono invece condivisibili le indicazioni del Garante Spagnolo relative agli aspetti di cui si deve tenere in massima considerazione e precisamente:

  • I meccanismi di minimizzazione dei dati raccolti dagli stessi dispositivi indossabili e dal metaverso.
  • I meccanismi di governance del metaverso e la definizione di regole trasparenti per la tutela dei diritti, definendo con chiarezza i ruoli dei partecipanti e la loro sottomissione agli organi di controllo.
  • Audit e trasparenza, in particolare nelle decisioni automatizzate in relazione all’evitare abusi, pregiudizi, profilazione e discriminazione.
  • Una corretta gestione dei wearable e dei dispositivi a protezione dei dati trasmessi e archiviati, tenendo conto della possibilità di dati biometrici da cui si possono dedurre anche più informazioni personali.
  • Effettuare valutazioni d’impatto per la protezione dei dati, attesa la mole di tecnologie, alcune delle quali nuove, che concorrono nel metaverso e che amplificano i rischi per i diritti e le libertà.
  • Garantire i diritti degli interessati, compreso il diritto alla cancellazione e alla rettifica.
  • Valorizzazione della privacy per impostazione predefinita.
  • Sicurezza, soprattutto in termini di disponibilità, resilienza e riservatezza dei dati personali che rientrano nei trattamenti effettuati nel metaverso.
  • Attenzione ai  minori mediante l’adozione di misure e garanzie nella progettazione degli ambienti virtuali.

Metaverso – Blockchain  e diritto di cancellazione e rettifica

Se nel web 1 l’utente poteva soltanto leggere le pagine web e nel web 2.0 può anche interagire scrivendo, il web 3 sarà caratterizzato dalla possibilità di operare  scambiando anche valori senza un intermediari.

Ora,  sebbene molti autori non ritengano necessaria la blockchain per la creazione dei metaversi, è, invece, probabile che essa ne sarà uno dei  pilastri.

Si ritiene, infatti, come soltanto la blockchain potrà garantire l’interoperabilità tra le diverse piattaforme ed un accessibilità diffusa.

Il che ci pone davanti ad un problema: la blockchain, infatti, almeno in prima battuta, pare avere caratteristiche che poco si conciliano con il GDPR.

Da tempo si discute se in una blockchain pubblica sia possibile assicurare il diritto all’oblio o il diritto di rettifica, in ragione dell’ “immutabilità della catena”.

Contrariamente a quanto si sostiene da parte di taluni autori, pur non sottovalutando il problema, riteniamo che la concreta soddisfazione di tali diritti sia possibile anche nel metaverso.

Il GDPR infatti non indica in qual modo debba essere realizzata la rettifica o la cancellazione del dato personale, né è contemplata una definizione di cancellazione o rettifica.

In tale ottica, a nostro giudizio sussiste la possibilità tecnica sia di inserire nella blockchain una contro transazione di rettifica, sia di ottenere il diritto all’oblio, facendo in modo che il dato personale, pur non cancellato in senso assoluto, di fatto sia reso introvabile con un procedimento simile a quanto già avviene con la deindicizzazione dai motori di ricerca.

Nel GDPR infatti non sta scritto in nessuna disposizione che la cancellazione equivale a distruzione del dato.

E’ tanto vero questo che, quanto meno già dal 2014 (caso Google / Spain) la cancellazione viene intesa come deindicizzazione.

Non si può peraltro escludere che by design i controller della blockchain riescano a disegnare un’architettura tale per cui sia possibile che ogni nodo venga incentivato/obbligato a rimuovere il dato.

Più radicalmente, in alternativa si potrebbe ricorrere alla distruzione della chiave privata, come suggerito dal CNIL.

Chi è il titolare del trattamento nel metaverso?

Identificare chi è il titolare del trattamento dei dati è importante, in quanto i titolari del trattamento, tra le altre cose a cui sono tenuti secondo il principio di accountability, devono garantire la trasparenza (ad esempio fornendo le informative sulla privacy) e ottenere il consenso degli interessati per la raccolta e il trattamento dei dati personali.Gli stessi inoltre  devono permettere agli utenti di accedere, correggere ed eliminare i propri dati e avvisare le persone in caso di violazione dei dati, cioè di esercitare tutti i diritti previsti dagli articoli da 15 a 22 del GDPR.Ciò premesso, se già nel Web 2.0 l’individuazione del titolare del trattamento può essere difficile, ancora più problematica diventerà nel web 3, costruito su blockchain pubbliche, laddove gli attori e le interazioni si moltiplicheranno esponenzialmente.Per fare un esempio: proviamo a supporre che il rapper Snoop Dogg tenga un concerto virtuale nel Sandbox (un metaverso di immobili e giochi digitali che consente agli utenti di creare, acquistare e vendere terreni e risorse digitali utilizzando una blockchain pubblica), e si acquisti un biglietto (sotto forma di NFT) utilizzando il proprio portafoglio crittografico. Chi è il titolare del trattamento in questo caso? The Sandbox, il fornitore di criptovalute, il marketplace degli NFT o lo stesso Snoop?La risposta potrebbe essere “tutti i soggetti sopra indicati”.

  • Il fornitore del portafoglio potrebbe essere il titolare del trattamento dei dati utilizzati per creare  l’account.
  • Il Marketplace degli NFT potrebbe essere il titolare del trattamento dei dati sulla sua piattaforma.
  • Il proprietario del metaverso di gioco potrebbe essere il titolare del trattamento dei dati raccolti da creatori di contenuti, utenti e proprietari terrieri.
  • I proprietari del marchio nel metaverso, ad esempio Snoop Dogg, potrebbe essere il titolare del trattamento dei dati raccolti in relazione ai suoi eventi o esperienze che si svolgono nel metaverso, allo stesso modo in cui i marchi sono titolari del trattamento dei dati personali raccolti sulla loro pagina aziendale.

Inoltre, una volta individuato il titolare, o meglio i titolari del trattamento, occorrerà risolvere le conseguenti implicazioni giuridiche ed in particolare:

  • In che modo le diverse entità dovranno mostrare agli utenti la propria informativa privacy?
  • Vi sarà un’unica informativa ex art.13 GDPR oppure ogni titolare dovrà comunicare la propria?
  • In caso di condivisione dei dati personali da un titolare ad un altro al di fuori della contitolarità, da che momento decorrerà il termine di 30 giorni, assegnato dall’art.14 GDPR al titolare ricevente per fornire la sua informativa privacy?
  • Per contro, in caso di contitolarità ex 26 GDPR, quale contenuto dovrà avere l’accordo di contitolarità?
  • In che modo e quando dovrà essere raccolto il consenso degli interessati?
  • Chi sarà responsabile in caso di data breach o illegittimo trattamento dei dati personali?

Inutile concludere come su tutta questa materia non si potrà prescindere dalle indicazioni che arriveranno dai Garanti e dai Regolatori, confidando che le misure prospettate rispecchino una chiara comprensione del fenomeno, vale a dire siano scevre da pregiudizi, tecnicamente possibili e un po’ meno apocalittiche.

Tags:
, ,
Print page


Primo contatto
Chiamaci a questo numero: 0422-235703.