Data protection

Metaverso, così stritola la nostra privacy: ecco tutti i punti oscuri

Personalizzare i contenuti pubblicitari sulla base dei dati raccolti sembra essere l’obiettivo del metaverso: ma quali saranno i dati coinvolti? Il ruolo dell’eye-tracking, la normativa GDPR, le proposte per garantire il controllo sui propri dati

Pubblicato il 11 Mar 2022

Adriano Garofalo

Studio De Berti Jacchia Franchini Forlani

Giulietta Minucci

Associate, De Berti Jacchia

metaverso facebook

È facile aspettarsi che nel metaverso il diritto alla privacy sarà limitato come mai prima d’ora, tenuto conto della naturale difficoltà del legislatore nel tenere il passo rispetto alla velocità del progresso tecnologico.

Il metaverso, quindi, sarà un importante banco di prova per l’idoneità del GDPR a tutelare la privacy nella realtà tecnologica del futuro e per l’adeguatezza del nuovo Regolamento ePrivacy, la cui definizione è attesa da tempo.

Dal metaverso al metacapitalismo: un nuovo stadio del capitalismo della sorveglianza?

Metaverso: le sfide legali da affrontare

Non è da escludere che possano sussistere e coesistere in astratto infiniti metaversi, come pianeti della stessa galassia, ciascuno disciplinato e governato dalle proprie regole.

Quale legge sarà applicata in questa moltitudine di metaversi? Non è l’unica sfida da affrontare.

Le practice coinvolte nel metaverso sono molteplici: dalla tutela dei consumatori al trattamento dei dati personali dell’utente-avatar acquisiti, sino al regolamento dei rapporti contrattuali in esso conclusi.

Creando il proprio avatar, infatti, ed indossando un visore di realtà aumentata/virtuale per navigare nel metaverso, l’utente può compiere tutta una serie di azioni che possono determinare un inconsapevole conferimento dei propri dati personali, anche di categorie particolari (dati biometrici e altri).

Ogni metaverso potrebbe/dovrebbe avere le proprie regole, alternativamente individuate tramite l’applicazione dei principi di diritto internazionale privato o ancora mediante condizioni contrattuali accettate da ciascun utente prima della creazione del proprio avatar. Simultaneamente, l’utente potrebbe ricevere una informativa sul trattamento dei suoi dati personali nel metaverso.

Metaverso: banco di prova per GDPR e regolamento e-Privacy

Sono numerosi i lati oscuri del metaverso: visori, interfacce sensoriali ed eye tracking, se da un lato promettono di offrire una esperienza digitale sempre più immersiva, dall’altro, se non usati correttamente e in modo conforme alla normativa, possono essere potenti strumenti di compromissione della tutela dell’utente, sia in quanto interessato del trattamento dei dati personali, sia in qualità di consumatore.

Tra i visori di realtà aumentata, degno di nota per le implicazioni che comporta è l’eye tracker: un dispositivo fisico che utilizza un tipo di illuminazione prossima agli infrarossi, detta near infrared, che, in combinazione con telecamere in hd, proietta luce nell’occhio e registra la direzione verso cui viene riflessa dalla cornea.

Grazie ad algoritmi avanzati di IA, i dati acquisiti possono essere utilizzati per calcolare la posizione dell’occhio e comprendere esattamente direzione e durata dello sguardo. Diventa quindi possibile studiare e misurare il comportamento visivo dell’utente-avatar, e capirne gusti e preferenze.

La tecnologia di tracciamento dei movimenti oculari e delle nostre espressioni facciali potrà quindi raccogliere dati personali di diversa natura, come i dati biometrici ricavabili dalla nostra retina, oppure i dati relativi ai nostri interessi di ogni genere.

Vi è, inoltre, la possibilità che siano rilevate informazioni che l’utente potrebbe non aver nessuna intenzione di condividere con altri soggetti: status mentale o emotivo, reazioni e umore sono senz’altro dati potenzialmente esposti nel momento in cui le espressioni facciali dell’utente, visibili attraverso il proprio avatar, siano costantemente ed automaticamente oggetto di registrazione ed analisi.

Il GDPR, in base al fondamentale principio della minimizzazione dei dati personali, stabilisce che debbano essere trattati esclusivamente dati personali che siano pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, le quali, per soddisfare le condizioni di liceità imposte dal GDPR, devono essere determinate, esplicite e legittime.

Sarà quindi necessario definire con precisione e informare gli utenti delle finalità del trattamento, escludendo tutti i dati che non servono a conseguirle.

Metaverso: quale minimizzazione dei dati personali?

Sembrerebbe che l’obiettivo dell’azienda di Zuckerberg, con il progetto Meta, inerisca alla volontà di personalizzare i contenuti pubblicitari grazie ai dati acquisiti all’interno del Meta-metaverso, sottoponendo all’utente solo contenuti pubblicitari mirati.

Le volontà di Meta e la conseguente ampiezza del tracciamento dei dati personali dell’utente (complice anche l’utilizzo di dispositivi di eye tracking), mal si concilia con il principio di minimizzazione dei dati personali.

I dati personali degli utenti a disposizione di Meta o di altri soggetti terzi vanno, infatti, ben oltre quelli necessari per le finalità da questi ultimi perseguite.

Affinché un utente possa essere lecitamente tracciato e profilato è necessario che questi abbia preventivamente conferito il proprio consenso. In altri termini, l’utente deve possedere il controllo dei propri dati e ciò può dirsi avvenire solamente, ai sensi del GDPR, conferendo un consenso valido, ossia libero, informato, specifico ed inequivocabile, oltreché verificabile e revocabile.

Conseguentemente, affinché il consenso prestato dall’utente possa considerarsi valido, Meta dovrà senz’altro predisporre dei meccanismi di raccolta e registrazione dei consensi che permettano di rispettare i rigidi requisiti imposti dalla normativa europea.

A tal proposito è interessante soffermarsi su quanto affermato dallo European Data Protection Board in merito alla libertà del consenso. Esso, infatti, ha ritenuto che “l’elemento della manifestazione di volontà ‘libera’ implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati.”

Conclusioni: come garantire il controllo sui propri dati

Essere in controllo dei propri dati significa essere adeguatamente informati in anticipo sul loro trattamento.

Solo un utente pienamente consapevole di tutti gli aspetti spaziali, temporali e non solo del tracciamento dispone di un livello di informazioni tale da poter decidere liberamente in merito al trattamento e alla protezione dei propri dati personali. Per questo è necessaria l’informativa di cui sopra.

Inoltre, avere il controllo sui propri dati significa poter decidere liberamente quando “accendere” e “spegnere” il tracciamento, in modo semplice ed efficace. Il GDPR prevede che il consenso dell’utente debba essere revocabile con la stessa facilità con cui, in origine, era stato prestato: Meta o qualsiasi altra realtà che unisca dinamiche di AR/VR e eye tracking dovrà, pertanto, garantire che l’utente possa revocare il proprio consenso in qualsiasi momento, così da potersi sottrarre al tracciamento, con la stessa facilità con cui aveva, in precedenza, accettato di essere tracciato.

Il legislatore, d’altro canto, dovrà fare tesoro dell’esperienza di questi anni in materia di cookie e tracciamento, armonizzando la normativa ad oggi presente anche considerando le implicazioni privacy sussistenti nelle meta-realtà.

A voler essere provocatori: l’utente è mai stato pienamente consapevole ed in controllo della sua profilazione realizzata tramite cookie?

Probabilmente no. La profilazione sul web 2.0 è un trattamento che, in concreto, purtroppo, non è mai stato domato. Confidiamo non si ripeta il medesimo errore nel web 3.0.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati