Le istituzioni europee hanno da qualche tempo cominciato ad attenzionare il fenomeno Metaverso (che secondo un recente studio di Bloomberg, raggiungerà un valore di circa 680 miliardi di dollari entro il 2030). Alle dichiarazioni della vicepresidente esecutiva della Commissione europea, Margrethe Vestager, sono seguiti alcuni formali interventi del Parlamento che, lo scorso 24 giugno, ha pubblicato un briefing emblematicamente intitolato “Metaverse – opportunities, risks and policy implications”. Nel documento vengono prese in considerazione una serie di potenziali implicazioni giuridiche (e non solo) che, se non adeguatamente presidiate, rischiano di sfociare nella nascita di mondi virtuali contrari ai principi e ai valori comuni su cui si fonda l’Unione Europea, specialmente in termini di uguaglianza e non discriminazione: tra queste, poniamo l’attenzione sugli aspetti relativi al Metaverso e alla protezione dei dati personali degli utenti.
Il Metaverso in pillole
Sebbene non esista una definizione comunemente accettata, il concetto di Metaverso – inteso come la naturale e logica evoluzione di Internet – può essere semplificato come la combinazione di un insieme di tecnologie capaci di riprodurre mondi virtuali interconnessi tra di loro nei quali gli utenti, attraverso l’utilizzo di appositi device (occhiali intelligenti, visori 3D e prodotti similari), saranno in grado di muoversi simultaneamente e interagire in maniera immersiva e coinvolgente.
Alcune di queste tecnologie, pur in costante evoluzione, possono già ritenersi in qualche modo “mature”: connettività veloce, AI, IoT e Internet of Everything per garantire un flusso costante e ininterrotto di comunicazioni; Blockchain e NFT per monetizzare le transazioni nell’ambiente digitale. Tra le tecnologie emergenti, spiccano quelle cd. d’eccellenza per la realizzazione del Metaverso, in quanto più profondamente connesse alla interazione uomo-macchina: realtà virtuale e realtà aumentata.
Nel contesto metaversale, gli avatar costituiscono le nostre rappresentazioni tridimensionali che ci consentiranno di esplorare i mondi virtuali. Delle vere e proprie identità digitali, ognuna diversa dall’altra, analogamente alle immagini del profilo che utilizziamo nei social network, con la (non banale) differenza di essere dinamiche, anziché statiche, e in grado di trasmettere fedelmente le nostre caratteristiche più strettamente personali.
Il Metaverso si presenta, dunque, per sua stessa concezione, come un flusso informativo costante, un ambiente aperto che raccoglie in maniera continuativa dati degli utenti in un contesto regolamentare che, sebbene tecnologicamente “neutro”, solleva una serie di dubbi interpretativi e applicativi.
Le questioni rilevate dal Parlamento europeo riguardo la protezione dei dati
I dispositivi tecnologici che abiliteranno l’accesso e la permanenza nel Metaverso raccoglieranno un volume potenzialmente sconfinato – sia in termini quantitativi che qualitativi – di dati e metadati, anche frutto di movimenti e comportamenti “inconsci” o generati dall’interazione con l’AI, tra cui caratteristiche fisiche e comportamentali, espressioni del volto, gesti, movimenti, emozioni, stati psicologici, reazioni.
Si pongono in primo luogo una serie di questioni preliminari: alla luce dell’attuale quadro normativo europeo, questi dati personali (cd. human characteristic data) costituiscono una nuova tipologia o sono inquadrabili nella categoria dei dati biometrici? E, in quest’ultimo caso, risulta prevalente la finalità di identificare univocamente gli utenti (rientrando dunque nelle categorie “particolari” di cui all’art. 9 GDPR) o di consentire le interazioni all’interno degli ambienti virtuali (che determinerebbe una classificazione come dati “comuni”)?
Il Parlamento sembra propendere per la natura “biometrica” di questa tipologia di dati e per la loro qualificazione come dati “particolari” (salvo, come rilevato da alcuni autori, pervenire a diverse conclusioni in base al caso di specie), determinando l’applicazione di una serie di presidi aggiuntivi a tutela dei diritti degli interessati.
Partendo da questo presupposto, in considerazione della particolare delicatezza e sensibilità dei dati personali oggetto di trattamento nel Metaverso, ripercorriamo alcuni dei principali temi su cui si sofferma il Parlamento.
Identificazione dei ruoli, informativa e acquisizione dei consensi – La coesistenza negli stessi ambienti virtuali di una moltitudine di entità, profondamente interconnesse tra di loro per garantire l’erogazione dei servizi agli utenti, renderà estremamente complesso individuare con esattezza i ruoli privacy (Titolare e Responsabile del trattamento) e attribuire i conseguenti compiti e responsabilità così come delineati nel GDPR. Tra questi, particolare risalto assumono l’obbligo di informativa e la raccolta dei consensi per alcune specifiche finalità. In un contesto nel quale il “rilascio” di dati da parte degli utenti sarà largamente involontario e continuo, è sufficiente una sola informativa e una contestuale raccolta dei consensi a monte per un unico ambiente metaversale? Oppure tutte le entità profit (o i soggetti pubblici) dovrebbero essere tenute ad adempiere separatamente ai relativi obblighi?
Sfera virtuale privata e opt-out – Il rilascio (come detto, continuo e involontario) di dati personali in forma strettamente integrata alla fruizione dei servizi riduce notevolmente il “controllo” da parte degli utenti sui propri dati personali. Per mantenere la riservatezza della propria sfera virtuale privata, preservandola da interessi commerciali e bisogni “indotti”, il tradizionale sistema di opt-out potrebbe risultare obsoleto, richiedendo uno sforzo da parte delle autorità e del mercato verso la ricerca di soluzioni alternative.
Condivisione e portabilità dei dati – Sebbene le aziende siano tradizionalmente intransigenti sulla proprietà dei dati acquisiti / generati nell’ambito delle proprie infrastrutture digitali, la interoperabilità del Metaverso (intesa come possibilità di movimento e condivisione di utenti e oggetti digitali in una pluralità di mondi virtuali) spingerà le organizzazioni a stabilire regole comuni per la condivisione e la libera circolazione dei dati, nel pieno rispetto del framework normativo sulla protezione dei dati personali, prestando particolare attenzione alla disciplina sui trasferimenti verso Paesi extra UE.
Marketing diretto e profilazione “intrusiva” – L’acquisizione di una mole maggiore e sempre più “granulare” di dati è destinata ad alimentare l’attuale modello di business utilizzato dalle aziende per le attività di marketing diretto (basato su geolocalizzazione e profilazione), consentendo di indirizzare verso gli utenti pubblicità ancora più mirate e fondate su specifici comportamenti e reazioni emotive, con potenziale perdita di controllo sulla propria sfera decisionale. Secondo il GDPR, la condivisione di dati personali con soggetti terzi (aziende interessate ai “profili” degli utenti) richiede il consenso esplicito dell’interessato: come mantenere questo requisito in un ambiente nel quale gli utenti sono sempre più bersagliati da comunicazioni subliminali (si pensi non solo alle pubblicità commerciali, ma anche a temi ancor più delicati come le campagne elettorali)? Come incrementare le tutele per i gruppi vulnerabili (in particolare i minori) che, ai sensi del GDPR, richiedono una protezione speciale? Probabilmente, bisognerà rafforzare i controlli a monte sull’età e adottare idonee misure per dissuadere i minori dal fornire i propri dati personali.
Metaverso: stato dell’arte e prospettive future
Le osservazioni del Parlamento spalancano le porte a una serie di questioni e dubbi interpretativi per i quali, più che precise risposte, vengono fornite indicazioni di tipo metodologico prevalentemente rivolte verso esigenze di regolamentazione e standardizzazione.
In primo luogo, non vi è dubbio che l’attuale quadro normativo delineato nel GDPR, in quanto concepito come “tecnologicamente neutro”, trovi applicazione anche per il Metaverso, con particolare riferimento ad alcuni concetti chiave quali la privacy by design, i principi di trasparenza, limitazione e minimizzazione, la valutazione preliminare d’impatto, le privacy enhancing techniques.
D’altro canto, come confermato dallo stesso legislatore europeo, le basi del GDPR possono guidare le istituzioni nell’adozione di una serie di integrazioni al Regolamento per rispondere ad alcune peculiari sfide e complessità poste dal Metaverso come, in particolare, la necessità di regolamentare i dati personali raccolti durante i comportamenti inconsci o generati attraverso l’interazione con l’AI.
Il continuo ed esponenziale monitoraggio delle nostre abitudini di consumo, delle nostre opinioni e dei nostri gusti attraverso l’intelligenza artificiale, unitamente all’accesso a un bacino di informazioni sempre più ampio e variegato, rischiano di generare una manipolazione dei nostri bisogni e delle nostre interazioni sociali, determinando una possibile mercificazione dei comportamenti umani.
In un contesto in cui l’evoluzione tecnologica è sempre più rapida ed esponenziale, le istituzioni europee stanno discutendo una serie di proposte cruciali per garantire lo sviluppo di un mercato unico digitale salvaguardando, al contempo, i diritti dei cittadini europei.
Il Regolamento sull’intelligenza artificiale potrà avere un impatto significativo sul Metaverso nella misura in cui introdurrà regole armonizzate per uno sviluppo etico dei sistemi di AI, vietando alcuni utilizzi considerati altamente rischiosi in termini di potenziali impatti negativi sugli individui. Tra questi, rientrano espressamente la manipolazione inconsapevole delle persone attraverso tecniche subliminali per influenzare il loro libero arbitrio (con potenziali danni fisici o psicologici) e lo sfruttamento delle vulnerabilità di specifici gruppi, quali minori o persone con disabilità, con potenziali conseguenze pregiudizievoli per l’individuo nel “mondo reale”.
Ulteriori presidi verranno introdotti dai diversi atti normativi da adottare nell’ambito della “European Data Strategy” (su tutti, Digital Services Act Package e Data Act), a condizione che – come chiarito da un recente parere congiunto dell’European Data Protection Supervisor e dell’European Data Protection Board – il richiamo, finora generico, a una conformità ai principi fondamentali dell’UE (tra cui il diritto alla protezione dei dati personali) sia accompagnato da una più chiara definizione di alcuni punti chiave delle nuove regole. Tra questi, rientrano l’utilizzo dei dati generati dalla interazione con l’AI e la “messa a disposizione” di un ampio spettro di servizi, come l’interoperabilità tra sistemi e la connessione tra device legata all’internet delle cose.
Conclusioni
L’intervento del Parlamento europeo conferma, ancora una volta, che il principale banco di prova posto dal Metaverso sarà rappresentato dal salvaguardare gli utenti (e in particolare le fasce deboli) da attività predatorie di manipolazione subliminale della sfera individuale e dal rischio di mercificazione delle nostre personalità, richiamando l’attenzione dei decisori politici e dei vari stakeholders coinvolti nella realizzazione degli ecosistemi virtuali a definire regole chiare e a individuare standard condivisi a livello internazionale.
Con un approccio bottom up, lo sviluppo dovrà includere la privacy e la sicurezza degli utenti fin dalle fasi di progettazione e di testing, cruciali per individuare (e conseguentemente mitigare) i rischi ed elaborare strategie utili per contribuire alla certezza del diritto e definire framework standardizzati (come codici di condotta, norme di soft law, principi etici e meccanismi di certificazione) su alcuni aspetti di fondamentale importanza: trasparenza, condivisione dei dati, salvaguardie efficaci a tutela degli interessati.
Le prossime sfide, più attuali che future, consisteranno in un delicato gioco di equilibri per trovare un corretto bilanciamento tra diversi valori, diritti, interessi e libertà presi in considerazione nel Metaverso.
La interoperabilità – decisiva per esprimere a pieno le potenzialità del Metaverso – dovrà contemperare sia la sicurezza, senza la quale non è immaginabile creare un ecosistema equo e inclusivo, che la trasparenza, spingendo verso la ricerca di modalità innovative per informare in maniera chiara ed esaustiva gli utenti e renderli pienamente consapevoli. Il diritto al trattamento da parte delle aziende, inteso come aspetto della libertà di iniziativa economica e del progresso tecnologico, dovrà rispettare il diritto alla riservatezza degli utenti, incrementando le tutele per evitare che certi paradigmi di interazione uomo-macchina portino a una “immersione non gestita” e allo sviluppo di dipendenze.
In definitiva, i temi individuati dal Parlamento fanno emergere una serie di quesiti ai quali non è possibile rispondere senza una visione più ampia di ciò che è veramente auspicabile per il nostro futuro.
Le scelte che verranno prese, in termini di bilanciamenti, avranno un forte impatto sul mondo nel quale vivremo, costringendoci a una serie di riflessioni etiche: siamo davvero pronti, come individui e come collettività, per questa rivoluzione? Gli utenti hanno la necessaria consapevolezza sul fatto che la fruizione apparentemente gratuita di alcuni servizi può determinare una perdita (o quantomeno un “depotenziamento”) di alcuni dei loro diritti e libertà? Le aziende hanno un’adeguata sensibilità in ordine all’importanza di proteggere i dati personali degli utenti? O forse sarebbe il caso di rallentare il processo in atto per costruire (o rafforzare) le basi di questa consapevolezza / sensibilità?
Responsabilizzazione, consapevolezza e regolamentazione potranno certamente contribuire a evitare che il Metaverso diventi un terreno di caccia, ove regna la dinamica homo homini lupus, in cui a soccombere saranno sempre gli utenti e, in particolare, le fasce più vulnerabili che – in un’ottica di inclusività, non discriminazione e uguaglianza – andrebbero maggiormente tutelate.
