Quali sono le sfide per un metaverso a prova di privacy?

Il metaverso comporta una immersione degli utenti in un mondo connesso, ma come garantire la conformità alla privacy in un contesto così coinvolgente per gli individui?

Il metaverso è senza dubbio uno degli hot topic del 2022: appassionati e professionisti del settore stanno discutendo e fantasticando sulle potenzialità di questo nuovo microcosmo virtuale, a partire dalla semplice interazione fra utenti fino al perfezionamento di vere e proprie transazioni.

Tutte queste operazioni, però, non sarebbero possibili senza la raccolta e l’ulteriore trattamento dei dati personali degli utenti. Nel metaverso vengono infatti raccolte un’ampia varietà e quantità di informazioni relative agli utenti e tale circostanza può comportare notevoli rischi per i loro diritti e libertà.

Per tale ragione, interpreti e professionisti del settore hanno iniziato a interrogarsi sulle principali sfide che il metaverso pone in relazione all’applicazione della normativa in materia di protezione dei dati personali e su quali misure debbano essere adottate per assicurare la tutela degli interessati. In questo articolo intendiamo approfondire uno dei possibili aspetti rilevanti in materia di privacy: il tema della profilazione degli utenti all’interno del metaverso.

La profilazione degli utenti e personalizzazione dei contenuti sono aspetti centrali del metaverso. L’analisi delle tracce digitali, lasciate più o meno consapevolmente dagli utenti su social, siti web e altre app, ha portato a forme di targetizzazione che se da un lato offrono a consumatori, pazienti e cittadini attività e servizi customizzati, dall’altro posso facilmente condurre a manipolazione e sorveglianza massiva.  In una realtà immersiva come il metaverso, che promette di offrire agli utenti un’esperienza virtuale che simuli le interazioni della realtà fisica in forma potenziata, la possibilità di tradurre in chiave digitale le percezioni umane rappresenta inevitabilmente la chiave del successo. La creazione di un ambiente in cui gli utenti, attraverso avatar tridimensionali, partecipino a riunioni di lavoro o prendano un caffè virtuale con gli amici senza percepire il distacco creato dall’intermediazione tecnologica richiede però un livello di analisi, previsione e personalizzazione dell’utente mai conosciuto prima. Il mondo del gaming ha già sperimentato le possibilità offerte da immersive experience, ma il futuro metaverso sembra aver le risorse per sfruttare a pieno tutte le sue potenzialità.

Le tecnologie alla base del metaverso – visori 3D, device di movimento e software di realtà aumentata – consentono (e consentiranno sempre più) la raccolta granulare e in tempo reale di informazioni sulla gestualità del corpo, il movimento degli occhi, le micro-espressioni del volto o il tono di voce. Questi dati biometrici e personalissimi, che permetteranno di creare ambienti e interazioni digitali convincenti, apriranno però la porta alla generazione di modelli iper-individuali, costruiti su tratti e caratteristiche intime dell’utente, di cui lui stesso non sarà probabilmente consapevole. A questa mole di dati, si aggiungeranno tutte quelle informazioni che l’utente stesso (o meglio il suo avatar) disseminerà all’interno del metaverso, acquistando beni, effettuando transazioni e comunicando con altri utenti, che andranno ad arricchire e personalizzare ulteriormente il suo profilo.

È evidente che questa raccolta massiva, ubiquitaria e impercettibile di dati personali, anche sensibilissimi, pone notevoli sfide all’applicazione di quelle disposizioni che oggi regolano e limitano la profilazione degli interessati. Trasparenza e consenso informato, pilastri del GDPR, sono in cima alla lista delle questioni spinose che i creatori del metaverso dovranno affrontare. Assicurare che i nuovi internauti siano coscienti della tipologia e quantità di dati personali raccolti, ma soprattutto delle diverse finalità di profilazione per le quali i dati saranno trattati – personalizzare avatar? fornire annunci virtuali targetizzati? customizzare alcune funzionalità o servizi? – sarà compito non da poco, e porta con sé i noti rischi di information overload a cui gli utenti sono già da tempo esposti. È presumibile che alcune tipologie di profilazione, come quelle a sfondo pubblicitario, rimarranno soggette all’obbligo di consenso preventivo dell’utente, aprendo tuttavia alle problematiche connesse alla raccolta di un valido consenso privacy (specifico, libero, informato e inequivocabile) nel complesso ecosistema di entità e flussi di dati che popolerà il metaverso. Le recenti posizioni critiche espresse dai garanti privacy rispetto alla lunga catena di soggetti dell’industria AdTech riflettono l’ormai difficile convivenza nei moderni modelli di business del principio del consenso informato.

Cresceranno in futuro inevitabilmente forme di profilazione e decisioni automatizzate strumentali al funzionamento del metaverso, da considerarsi quindi trattamenti “strettamente necessari” alla fruizione del servizio stesso. L’imposizione di questi trattamenti porterà l’utente a trovarsi di fronte all’alternativa di rifiutare in toto il servizio (con possibili impatti sul piano lavorativo, economico e sociale, qualora il metaverso diventi nuovo centro di scambi e socialità) o accettare la raccolta massiccia dei propri dati, con evidenti problematiche di bilanciamento tra diversi diritti fondamentali. Infine, tema caldo sarà il trattamento dei dati biometrici, alla base della maggior parte di tecnologie per la realtà virtuale. A fronte della quantità e modalità con cui questa tipologia di dati dovrebbe essere raccolta nel contesto del metaverso, sarà interessante osservare le prossime mosse dei privacy watchdog europei, che hanno di recente adottato posizioni di netto contrasto rispetto a importati raccolte di dati biometrici, a causa dei sottostanti elevati rischi di monitoraggio di massa. Esemplificativo in tal senso è il caso Clearview AI che ha dato vita alla sanzione del Garante.

Numerose sono le sfide per un metaverso a “prova di privacy”, così come numerosi sono i potenziali rischi per i diritti degli interessati, derivanti dalle attività di profilazione sopra descritte, che possono rivelarsi particolarmente invasive. Sarà necessario porre in essere adeguati presidi e tutele, affinché gli interessati possano avere controllo sui propri dati personali e sulle attività di trattamento effettuate nel meta-mondo.

L’impegno delle piattaforme nell’adozione di adeguate salvaguardie e la sensibilizzazione degli utenti saranno centrali per scongiurare rischi di discriminazione o sorveglianza massiva degli interessati.

Sul metaverso, può essere interessante il seguente articolo “Copyright & Metaverso: cosa ne sarà del diritto d’autore?