Assume tutta un’altra caratura il tema della difesa della privacy e del trattamento dei dati personali se calato nella dimensione del metaverso. Ginevra Cerrina Feroni è la persona più qualificata a guidarci nel labirinto di un fenomeno nuovo e in rapidissima evoluzione. Ordinaria di Diritto costituzionale italiano e comparato e vice presidente del garante dei dati personali, Cerrina Feroni si occupa periodicamente di questi aspetti anche attraverso un’opera di divulgazione sui media nazionali. Particolare focus in questa intervista, il triangolo fra imprese, privacy (e raccolta dei dati) e metaverso.
Quali sono i principali rischi per la privacy degli utenti legati all’utilizzo del metaverso da parte delle imprese?
Partiamo da un dato. Il metaverso promette un cambiamento epocale, qualcosa che l’umanità non ha mai conosciuto prima, ovvero la sovrapposizione tra esperienze fisiche e digitali e la pervasività che questa esperienza esercita su alcune parti del nostro cervello. In questa prospettiva, mi pare che il rischio per la privacy sia quello della profilazione massiva della sfera più intima dell’utente. Diversamente dalla profilazione digitale, dove la volontà è esternalizzata, nel metaverso “vissuto” è più difficile scegliere se condividere o meno i propri dati. I flussi di informazioni potrebbero, infatti, essere raccolti e trattati attraverso semplici metodi biometrici, osservando la postura, il battito cardiaco o semplicemente il movimento dell’iride.
E quali nuove responsabilità dovranno dunque assumersi le imprese in materia di privacy nel metaverso?
Innanzitutto è più corretto parlare al plurale di metaversi. C’è un metaverso infrastruttura nel quale si trovano le app con i vari metaversi. Riguardo all’organizzazione dell’interfaccia, cioè all’impalcatura che garantisce l’interoperabilità tra i vari metaversi, questione che appare essenziale è quella dell’archiviazione e del trasferimento dei dati utilizzati per far funzionare le applicazioni. Riguardo alle app, i problemi che possono sorgere hanno a che fare con la responsabilità per la gestione del dato: conservazione, salvaguardia, nonché tutte le misure atte a garantirne l’integrità. Ovviamente c’è anche il tema del furto o dell’uso improprio dei dati. Tematica non meno rilevante è poi quella relativa allo sviluppo di sistemi semplici da utilizzare (i cosiddetti user friendly) per assicurare un efficace e immediato esercizio dei diritti degli interessati.
Quali sono le principali leggi e regolamenti in materia di privacy già in vigore che possono essere applicabili al metaverso?
L’Unione europea si sta muovendo per formulare un regolamento in grado di disciplinarne l’utilizzo, ma ad oggi non esistono ancora atti per così dire di hard law che regolino la materia. Certo la bozza dell’Artificial Intelligence Act, nell’affrontare i problemi della trasparenza, della responsabilità e del rispetto dei diritti fondamentali nell’utilizzo dell’intelligenza artificiale, è quella che tocca maggiormente, seppure indirettamente, il tema. Dunque il perno intorno a cui ad oggi ruota la regolazione è e resta il GDPR, il Regolamento generale sulla protesione dei dati. La questione sulla “sufficienza” o meno del GDPR a regolare la nuova dimensione del metaverso è dibattuta. La questione è: il GDPR deve essere integrato per venire incontro alle necessità che il nuovo ecosistema comporterà o invece basta un’interpretazione per estensione alla nuova realtà? Io credo che la normativa avrà bisogno di integrare alcuni aspetti.
E quali sono a suo avviso le prospettive future per la protezione della privacy nel metaverso?
Parlare di privacy nel metaverso sembra quasi un ossimoro. Nel metaverso ci sarà, forse, protezione dei dati personali, ma non privacy intesa nel senso originario del termine, come right to be let alone. Il problema che si pone non è più come avere accesso ai dati personali degli abitatori di questa realtà, ma solo come gestire il loro trattamento. Lo dicevo prima: siamo di fronte a fenomeni del tutto nuovi, ad altissimo tasso di complessità tecnica, e in rapidissima evoluzione. Quello che secondo me possiamo realisticamente costruire non è tanto un corpus giuridico di dettaglio, che rischia di essere scavalcato in poco tempo dall’evoluzione tecnologica, ma porre dei principi di base forti attorno ai quali concepire delle risposte concrete, sia legislativamente che nella prassi. È da qualche tempo che rilancio l’idea di un’autorità privacy per il metaverso. Ovviamente si tratta di una provocazione, ma che ha lo scopo di sottolineare come le risposte ai futuri problemi nel metaverso dovranno fare i conti con la natura, con le esigenze e con la tempistica di questa realtà per molti aspetti parallela.
In che modo le imprese possono proteggere la privacy degli utenti nel metaverso?
Certamente il primo punto è quello di trovare un equilibrio tra il massiccio tracciamento di dati personali degli utenti e il principio di minimizzazione dei dati. Un primo passo che il metaverso richiederà è quello di circoscrivere, nella maniera più precisa possibile, la quantità e la qualità dei dati che possono essere raccolti nei limiti delle finalità dichiarate. Ma senza che tale processo gravi esclusivamente sull’interessato. Non penso, infatti, che potrebbero bastare le regole formali sulla legittimità del consenso oggi in vigore. Pensiamo alla gestione di dati sensibili come quelli che seguono le visite di telemedicina: di queste vanno salvate solo le informazioni essenziali alla cura, mentre quelle non pertinenti dovrebbero essere cancellate. Inoltre per il sistema gli utenti andrebbero anonimizzati o, quanto meno, crittografati. Tutto questo però va messo nero su bianco e ne va assicurato il rispetto anche attraverso modelli operativi affidabili.
In che modo il metaverso potrebbe cambiare il modo in cui le imprese raccolgono e utilizzano i dati personali?
Un metaverso interconnesso e legato alle attività quotidiane della persona (e quindi non più solo al suo divertissement, come avviene oggi in larga parte), comporta la raccolta di quantità massicce di dati, tra cui il monitoraggio delle abitudini di consumo, delle opinioni e dei gusti e persino delle emozioni attraverso l’analisi di dati comportamentali e biometrici. Questa pervasività si manifesta soprattutto sotto il profilo della comunicazione e della portabilità dei dati: l’interoperabilità porterà una condivisione automatica dei dati tra metaversi anche se queste appartengono ad aziende diverse? È possibile. Ovvio che la ricomposizione del quadro attraverso pezzi di informazioni concesse qua e là tanto aumenta l’efficienza nel raccogliere dati personali quanto riduce notevolmente la capacità degli utenti di evitare una profilazione precisa e massiva. Quindi il tema fondamentale è capire come sviluppare questo trasferimento di dati salvaguardando la privacy degli utenti. Senza contare che, oltre a guardarsi da interessi predatori commerciali, gli utenti devono proteggersi dalle interferenze dello Stato, penso in particolare a Paesi come la Cina.
E per la protezione dei minori? Quali sono le implicazioni del metaverso?
Al momento per l’accesso dei minori al metaverso in Europa, non essendoci alcuna norma ad hoc, valgono le regole previste dal GDPR e dunque, il metaverso è impedito agli infraquattordicenni. Il problema si pone laddove i minori, una volta che accedono al metaverso, non sono riconoscibili come tali, né i loro avatar godono di particolari tutele. Questo permette ad altri utenti di approfittarsi della loro naturale fragilità in molti modi. Nemmeno gli strumenti di supervisione parentale sono particolarmente utili a questo fine dal momento che si concretizzano sostanzialmente nella gestione dell’accesso alle app. E non potrebbe essere altrimenti considerato che anche il minore gode di una sua privacy. Dunque il pericolo si pone in termini di riconoscimento o meno della minore età dell’utente. E questo può essere tanto più pericoloso in quanto il minore è molto meno attrezzato e consapevole dei propri diritti.
Quali sono le sfide e le opportunità per la ricerca sulla privacy nel metaverso?
Quando si parla di privacy non ci si limita alla protezione delle informazioni. Quello è solo il primo strato. C’è infatti il problema legato al fatto che noi non sappiamo chi è il nostro interlocutore – ho parlato prima dei minori – che è connesso al rischio dell’identità digitale degli utenti e a quello del furto degli avatar. Un importante passo avanti riguarderà la possibilità – che sarà sempre più una necessità – di rendere i profili univoci. Ciò che sicuramente può aiutare è sviluppare il cosiddetto responsible metaverse.
Articoli correlati
Apple Vision Flop? Come va il visore di Cupertino
Il futuro di entertainment, cinema e sport tra metaverso e NFT
Altolà del Garante Privacy al progetto Worldcoin di Sam Altman (OpenAI)
La dissoluzione delle regole, la vera transizione dal reale al virtuale
