La protezione dei dati personali nel Metaverso: sfide operative e incertezze normative

ict-insider-metaverse-data-protection

Autori: Eleonora Margherita Auletta, Francesca Tugnoli, Giada Iovane

 

Con il termine “Metaverso”[1], ereditato dalla letteratura fantascientifica e cyberpunk si identifica il progetto tecnologico introdotto sul mercato digitale a partire dal 2021 da Meta Platforms Inc., realizzato tramite la realtà virtuale aumentata[2] ed alimentata dalla convergenza massiva di dati e metadati al suo interno.

 

I dati personali all’interno del Metaverso: focus sui dati psico-fisici degli utenti

Nel Metaverso, dunque, si realizza una stretta interconnessione tra realtà fisica ordinaria e realtà virtuale aumentata con la conseguente duplicazione dell’identità di ciascun individuo che, quando diventa utente del Metaverso, crea un proprio avatar. A ciò consegue, inevitabilmente, il trattamento di una vasta quantità di dati personali, quali:

      • dati identificativi, necessari per la creazione del proprio avatar;
      • dati di localizzazione;
      • dati relativi ad abitudini, interessi, preferenze ed opinioni;
      • dati relativi alla sfera psico-fisica dell’utente, tra cui dati comportamentali (es. reazioni emotive e interazioni sociali) e dati relativi al movimento corporeo (es., la postura, lo sguardo, i gesti, le espressioni facciali e la distanza interpersonale degli utenti)[3].

È, in particolare, tale ultima tipologia di dati che assume nel panorama metaversale una rilevanza centrale sotto due particolari aspetti: da un lato, (i) l’identificazione univoca della persona fisica e, dall’altro, partendo dal corredo già acquisito di dati psico-fisici del singolo utente, (ii) la possibilità di essere esso stesso la fonte di “ulteriori” informazioni riferibili a quest’ultimo.

Invero, con riguardo al (i) primo aspetto, le reazioni emotive e i movimenti corporei esternalizzati dall’avatar per mezzo della mediazione di apposite tecnologie consentono la facile identificazione dell’individuo nella realtà ordinaria, con la conseguenza che anche tali elementi comportamentali e relativi al movimento corporeo diventano nella realtà virtuale informazioni ascrivibili in modo univoco all’individuo. Ciò implica concretamente che tale patrimonio informativo assume, nel Metaverso, connotati inediti, con la conseguente applicazione del Regolamento UE n. 2016/679 sulla protezione dei dati personali (di seguito, anche solo “GDPR“). Infatti, a differenza di quanto accade nella realtà fisica, movenze e gestualità possono rientrare nel concetto di dati personali di cui all’art. 4, n. 1 del GDPR ed essere oggetto di trattamento (art. 4, n. 2 del GDPR) da parte del Titolare.

In relazione al (ii) secondo profilo, si evidenzia come determinati movimenti e/o comportamenti, una volta traslati nel Metaverso, possano facilmente “svelare” dettagli sensibili della persona fisica, quali patologie, menomazioni fisiche o, ancora, traumi precedentemente subiti[4]. I dati ulteriormente ricavati dalle caratteristiche umane prendono il nome di “dati inferiti” con la conseguente applicazione, anche per tale tipologia di dati personali, delle norme del GDPR. Nell’ipotesi in cui questi ultimi dovessero poi rivelare anche informazioni sensibili, tra cui dati relativi alla salute, troverebbe piena applicazione il regime previsto dall’art. 9 del GDPR, con le relative condizioni di trattamento e di circolazione di tali dati[5].

 

La regolamentazione del Metaverso alla luce del vuoto normativo europeo

La numerosità e la diversità dei dati personali coinvolti nelle operazioni di trattamento poste in essere nella realtà digitale, sembrerebbero esigere una disciplina normativa ad hoc diretta alla puntuale regolamentazione dei flussi di dati all’interno del Metaverso e del rapporto di interconnessione – sempre più onnipresente – tra la realtà virtuale e quella fisica.

Nonostante tale esigenza, si constata, ad oggi, la mancanza di un intervento europeo di positivizzazione che definisca un adeguato e specifico framework normativo in materia.

A tal riguardo, la Commissione europea, fermo restando il continuo monitoraggio degli sviluppi tecnologici e di mercato, ha fino a poco tempo fa smentito – anche in sede di interrogazione parlamentare[6] – sia l’intenzione di avviare uno studio sul funzionamento del Metaverso, sia quella di proporre misure politiche e/o una normativa di settore dedicata a tale specifico ambito[7].

Tuttavia, il 2023 potrebbe rappresentare un vero e proprio turning point nella storia del Metaverso. La Commissione europea ha infatti annunciato, pochi giorni fa, di voler presentare una proposta di regolamentazione del Metaverso, volta a chiarire regole e aspettative inerenti a tale spazio virtuale[8].

 

Gli adempimenti richiesti in materia di protezione dei dati e il principio di accountability

In risposta all’assenza di una regolamentazione europea specifica che disciplini ex ante lo “sbarco” di utenti e aziende sul Metaverso è possibile, dal punto di vista data protection, invocare l’applicazione extraterritoriale[9] – in questo caso ad una realtà virtuale parallela – del GDPR dando attuazione, in tal modo, ad uno dei suoi principi cardine, i.e. il principio di accountability[10]. Ciò in ragione delle evidenti sopra citate attività di trattamento poste in essere in tale contesto e che non possono esimere da una necessaria regolamentazione delle stesse. In conformità a tale principio, qualunque azienda presente sul Metaverso dovrà ritenersi qualificabile quale Titolare del trattamento, vista la determinazione delle finalità e dei mezzi del trattamento di dati personali. Ciò con la conseguenza che dovranno essere soddisfatti una serie di adempimenti al fine di garantire un’adeguata protezione dei dati personali riferibili agli utenti e, contestualmente, tendere alla mitigazione del rischio inerente all’accadimento di potenziali incidenti di sicurezza e/o violazioni di dati personali (cd. data breach).

Dal punto di vista operativo, viene richiesto al Titolare del trattamento di:

      • consegnare informative che dettaglino gli estremi dell’attività di trattamento, delle basi legali per il trattamento lecito dei dati e del flusso degli stessi all’interno della realtà parallela ai fini di un accrescimento della consapevolezza dell’utente e del rilascio edotto del proprio consenso, ove eventualmente previsto e necessario come base giuridica per il trattamento dei dati;
      • in occasione di nuovi trattamenti basati su nuove finalità (c.d. secondary use) e/o ulteriori trattamenti fondati sulla finalità originaria, provvedere ad un inquadramento sistematico degli stessi al fine di garantire la certezza di quanto comunicato in sede di prima informativa, data la dinamicità della realtà virtuale[11];
      • considerare le esigenze espresse dalla normativa in materia di protezione dei dati personali, in occasione della progettazione delle interfacce e dei tools, ai sensi dei principi di privacy by design e by default[12];
      • svolgere DPIA (Data Protection Impact Assessment) allo scopo di una proficua padronanza dell’incremento di minacce e rischi inerenti alla gestione del patrimonio informativo conferito alla realtà metaversale;
      • garantire il rispetto dei limiti di trattamento e di circolazione sanciti dall’art. 9 del GDPR relativamente alle particolari categorie di dati personali, tra cui i dati relativi alla salute.

 

Conclusioni

In attesa di un intervento in materia da parte delle istituzioni europee, la lacuna legislativa risulta provvisoriamente e parzialmente colmabile combinando le disposizioni di cui al GDPR, per quanto attiene alla data protection, e i contenuti delle proposte e dei nuovi regolamenti che costituiscono il recente progetto europeo di innovazione legislativa per la trasformazione digitale della società e dell’economia, tra cui: AI Regulation[13], E-Privacy Regulation[14], Data Act[15], Digital Markets Act (DMA)[16], Digital Services Act (DSA)[17] e Data Governance Act (DGA)[18].

 

 

 

[1] Termine coniato dallo scrittore Neal Stephenson nel romanzo Snow crash (1992) per indicare uno spazio tridimensionale all’interno del quale persone fisiche possono muoversi, condividere e interagire attraverso repliche umane digitali (cd. avatar). https://www.treccani.it/enciclopedia/metaverso.

[2] In inglese augmented reality (AR), tecnica attraverso cui si aggiungono informazioni alla scena reale. Questa tecnica è realizzabile attraverso piccoli visori sostenuti, come i caschi immersivi, da supporti montati sulla testa che permettono di vedere la scena reale attraverso lo schermo semitrasparente del visore (see-through), utilizzato anche per mostrare grafica e testi generati dal computer. https://www.treccani.it/enciclopedia/realta-aumentata_%28Lessico-del-XXI-Secolo%29/#:~:text=sost.,aggiungono%20informazioni%20alla%20scena%20reale.

[3]Bailenson J.N., Protecting Nonverbal Data Tracked in Virtual Reality, in JAMA Pediatrics, 6 agosto 2018. https://stanfordvr.com/mm/2018/08/bailenson-jamap-protecting-nonverbal.pdf.

[4] Miller M.R., Herrera F., Jun H. et al., Personal identifiability of user tracking data during observation of 360-degree VR video, Sci Rep 10, 17404 (2020), 15 ottobre 2020. https://www.nature.com/articles/s41598-020-74486-y.

[5] Bolognini L., Carpenelli M.E., The future of personal data in the Metaverse, Istituto Italiano per la Privacy e la Valorizzazione dei Dati, 5 aprile 2022.

https://www.academia.edu/75598264/The_future_of_personal_data_in_the_Metaverse.

[6] Interrogazione parlamentare – E-000656/2022(ASW) – Risposta di Thierry Breton a nome della Commissione europea (1° giugno 2022): “La Commissione non intende avviare, in questa fase, uno studio specifico sul funzionamento del metaverso, che non è tuttavia da escludersi in una fase successiva. La Commissione non intende neppure proporre immediatamente misure politiche o normative specifiche riguardanti il metaverso, dato, in particolare, che il quadro normativo vigente si applica anche al metaverso. La legge sui mercati digitali e la legge sui servizi digitali, ad esempio, in merito alle quali è stato recentemente raggiunto l’accordo politico, forniscono il quadro adeguato e gli strumenti necessari per affrontare le questioni relative al metaverso”. https://www.europarl.europa.eu/doceo/document/E-9-2022-000656-ASW_IT.html.

[7] ART – Analysis and Research Team of the Councill of the European Union, Metaverse – Virtual world, real challenges, ART Paper, 9 marzo 2022. https://www.consilium.europa.eu/media/54987/metaverse-paper-9-march-2022.pdf.

[8] Commissione europea, statement, Bruxelles, 14 settembre 2022. https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_22_5525.

[9] Art. 3 del Regolamento (UE 2016/679) del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR). https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679.

[10] Con il termine “accountability” previsto all’art. 24, par. 1, del Regolamento (UE 2016/679) del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR) si fa riferimento al concetto di responsabilizzazione in capo al Titolare del trattamento. Quest’ultimo, a fini di rendicontazione deve adottare comportamenti proattivi in modo tale da dimostrare la concreta implementazione di misure finalizzate a garantire l’applicazione del Regolamento. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679.

[11] Ibidem ut supra, nota 5.

[12] Si tratta di principi previsti dall’art. 25 del Regolamento (UE 2016/679) del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR)  che sanciscono, da un lato, la necessità di tutelare i dati fin dalla fase di progettazione dei sistemi che ne prevedono la raccolta e l’utilizzo (privacy by design) e, dall’altro, l’esigenza di progettare i sistemi di trattamento che raccolgano e trattino personali esclusivamente nella misura necessaria al perseguimento delle finalità previste e per il periodo strettamente necessario. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679.

[13] Proposta di regolamento sull’Intelligenza Artificiale, volta alla regolamentazione dei sistemi di AI considerati ad alto rischio, tramite l’individuazione di obblighi e di responsabilità nei confronti dei fornitori di sistemi di intelligenza artificiale. https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0006.02/DOC_1&format=PDF.

[14] Proposta di Regolamento E-Privacy, finalizzata alla regolamentazione delle comunicazioni elettroniche, che andrà a sostituire la Direttiva E-Privacy del 2002.

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=IT.

[15] Proposta di regolamento, volta a favorire la totale interoperabilità dei sistemi e ad accrescere la portabilità dei dati, tutelando la concorrenza nei diversi settori economici.

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52022PC0068&from=EN.

[16] Nuovo regolamento, che definisce una serie di regole destinate alle piattaforme che rivestono, sul mercato digitale, un ruolo strategico nel rapporto tra aziende e consumatori (cd. gatekeepers).

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020PC0842&from=en.

[17] Nuovo regolamento sui servizi digitali che definisce nuove modalità di prevenzione dei rischi sistemici e sancisce determinati obblighi in capo alle piattaforme online a seconda delle dimensioni di queste ultime.

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020PC0825&from=IT.

[18] Nuovo regolamento sui dati (non solo personali) diretto alla creazione di un ecosistema digitale europeo, in cui promuovere la disponibilità e la condivisione dei dati appartenenti ai settori considerati maggiormente strategici.

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020PC0767&from=EN.

 

 

ICTLC Italy
italy@ictlegalconsulting.com