Metaverso & Privacy: essenziale un approccio “Technology Neutral”
L’annuncio, quasi un mese fa, da parte del Ceo di Facebook (ora Meta) della volontà di creare uno spazio condiviso che vada oltre il semplice social network, per approdare verso un’esperienza il più completa possibile, sia virtuale che in realtà aumentata, sia per svago che per lavoro, ha dato ufficialmente il via alla corsa per colonizzare questo nuovo spazio concettuale denominato “metaverso”.
(Nella foto: l'Avv. Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Finora, i tentativi di creare un mondo virtuale si sono sempre limitati allo svago, di cui abbiamo molti esempi: dai primi tentativi, all’alba del nuovo millennio, con Second Life, fino ai più recenti, come VR Chat, il quale fa pieno uso delle nuove tecnologie di visori di realtà virtuale come l’Oculus Rift (sempre di proprietà di Zuckerberg). Allo stesso tempo, dopo svariati tentativi falliti di lancio sul mercato di servizi legati alla realtà aumentata, uno fra tutti quello dei primi anni ’10 di Google con i suoi Google Glasses, Facebook sembra voler riunire queste due tecnologie per creare uno spazio totalizzante.
Un servizio, quindi, che mantenga l’interessato all’interno della stessa bolla di raccolta dati, sia durante la tua attività lavorativa o studentesca, sia quando tale interessato si “alza” dalla scrivania virtuale per svagarsi con amici o sconosciuti su qualche gioco virtuale, oppure per fare acquisti online o, più in generale, per consumare i più svariati contenuti, dai film alla musica, dall’arte agli articoli di giornale.
Ma, tralasciando la particolarità di Facebook, concentriamoci ora sul “Metaverso” e sui suoi risvolti in ambito Privacy.
Innanzitutto, è difficile pensare che l’interessato si affidi a più metaversi per le sue attività; al contrario, è molto più probabile che l’interessato scelga un unico fornitore. Tale fornitore, sarà pertanto in grado di accentrare presso di sé una quantità di dati personali ancora maggiore di quelli che finora potevano raccogliere, ad esempio, le “Big Tech” americane come Google o Amazon, attraverso i loro vari servizi.
Oltre ai canonici e ormai ampiamente discussi dati personali riguardanti le attività svolte e i gusti personali in fatto di contenuti multimediali, vestiti e alimenti, i dati raccolti per questa “copia digitale” di sé stesso riguarderanno anche la corporeità dell’interessato. Basti pensare alla necessità di individuare i movimenti dell’interessato sia nello spazio virtuale, per finalità di utilizzo del servizio stesso, sia nello spazio reale, per finalità di sicurezza fisica dell’utente.
Oppure si pensi al tracciamento dei movimenti facciali per poterli riprodurre nel metaverso ed evitare sterili visi che potrebbero portare all’effetto di c.d. “Uncanny Valley”, risultando quindi in un massivo utilizzo di dati biometrici per finalità che al massimo potrebbero definirsi superflue o meramente estetiche. Inoltre, vale la pena citare il potenziale tracciamento del focus visivo del soggetto, che potrà essere utilizzato per verificare che l’interessato stia effettivamente assistendo ad una certa pubblicità o per inserirla nei punti, all’interno del metaverso, in cui più spesso cade l’occhio degli utenti.
In questi casi risulta essenziale l’approccio “Technology Neutral” adottato dal GDPR.
Ciò rileva soprattutto nel caso dell’applicazione dei principi di cui all’art. 5 dello stesso regolamento e, in particolare, quello di minimizzazione dei dati personali di cui al co.1 lett. c) per poter tutelare al meglio gli eventuali interessati. Si pensi, ad esempio, al fatto che i dati raccolti per finalità di sicurezza o di estetica non sfocino in trattamenti ultronei di dati. Soccorre anche l’art. 25 del GDPR, il quale stabilisce i principi della Privacy by Design e by Default, soprattutto alla luce del fatto che questi metaversi non sono ancora veramente in funzione, per cui ogni potenziale tentativo, anche minimo, di scusare eventuali violazioni del GDPR tramite immodificabili problematiche strutturali non potrebbe sussistere.
Risulta infine di vitale importanza l’art. 20 del GDPR, ovvero il “diritto alla portabilità dei dati”, nell’ottica di una possibile “migrazione” dell’interessato da un metaverso all’altro, permettendogli di portare con sé tutto ciò che lo riguarda, dal lavoro al tempo libero, senza arbitrarie restrizioni, che potrebbero inoltre sfociare in pratiche anticoncorrenziali.
La tutela dell’interessato però, non passa solo dai diritti ma anche dall’educazione. Gli sforzi, sia da parte dello Stato che da parte dei fornitori di questi nuovi servizi, per educare gli individui rispetto alla delicata tematica della Privacy, dovrà necessariamente adattarsi per riflettere queste nuove modalità di svagarsi, studiare e lavorare, permettendo anche ai primi “pionieri” di questi metaversi di muoversi all’interno di essi in modo cauto e sicuro, riducendo perciò i rischi derivanti da questa nuova realtà.
Il metaverso sarà l’occasione per poter dimostrare che un approccio “technology neutral” della normativa permette non solo di governare il progresso ma anche di indirizzarlo e persino di anticiparlo, con tutti i benefici che ne derivano per la tutela degli individui, dei loro diritti e delle loro libertà fondamentali.