Metaverse and Privacy: possibili implicazioni

La partecipazione al Metaverse comporterà la raccolta di quantità e tipi di dati personali senza precedenti. Oggi, le app e i siti Web per smartphone, consentono alle organizzazioni di comprendere come le persone si spostano sul Web o navigano in un'app. Domani, nel Metaverso, le organizzazioni saranno in grado di raccogliere informazioni sulle risposte fisiologiche degli individui e sui loro movimenti, misurando così una comprensione molto più profonda dei processi di pensiero e dei comportamenti dei loro clienti.
Gli utenti che partecipano al Metaverse saranno anche "accesi" per lunghi periodi di tempo; ciò significherà che i modelli di comportamento saranno continuamente monitorati, consentendo al Metaverso e alle aziende che vi partecipano di capire come servire al meglio gli utenti in modo incredibilmente mirato.

Regolamenti europei adattabili al metaverso, presenti e futuri

GDPR, DSA, DMA, AI
Il fatto che i Metaversi siano privi di regole è un falso mito.. già oggi, sono dotati di regole e condizioni che sono di fatto delle regole per la vita al suo interno. 
The Sandbox, inizialmente, permetteva l’avvicinamento positivo agli altri avatar ma permetteva anche un avvicinamento non condivisibile; mentre oggi, c’è una regola che non consente di superare un certo limite di avvicinamento ad una persona. 
Anche se sono semplici regole tecniche, vanno ad influenzare l’esperienza all’interno del Metaverso.
Non ci sono solo norme dettate dai termini e condizioni di servizio, ma ve ne sono alcune che si applicano in maniera diretta: il GDPR, il Digital Service Act, il Digital Market Act ma anche dell’Artificial Intelligence Act. Vediamole insieme.

Il GDPR è adatto a normare il Metaverso?

Il Regolamento europeo sulla protezione dei dati personali (GDPR) si applicherà ai metaversi; è una norma di common law che ci dice quali sono i principi generali offrendo direttive molto ampie; tramite il principio di accountability, colui che crea il Metaverso o l’azienda che entra nel Metaverso, deve decidere come arrivare al suo risultato. Deve essere responsabile delle sue decisioni; questo comporta molta discrezionalità. E dunque vediamo che il GDPR vuole essere aperto all’innovazione e alla tecnologia, ed applicabile in contesti in continuo movimento. 
Il  GDPR ha già 4 anni di vita, si può sicuramente adattare a nuove tecnologie, ma non a tutte. Il Metaverso è un nuovo paradigma tecnologico, qualcosa che non esisteva quando il regolamento è stato concepito. Purtroppo oggi non ci sono altre alternative, in quanto il legislatore non si è ancora pronunciato su regolamenti ad hoc. 
L’applicazione di tale regolamento alla tecnologia blockchain, ad esempio, è stato impossibile, a causa dell’incongruenza dell’immutabilità della blockchain stessa con i principi del GDPR che dicono ogni dato personale deve essere prima o poi cancellato, o almeno anonimizzato; lo stesso varrà per il Metaverso, e probabilmente ci saranno alcuni aspetti che non sarà possibile conformare a tale normativa. 

Digital Markets Act

Il DMA (Digital Markets Act), entrato in vigore il primo novembre 2022, insieme al Digital Services Act (DSA) va a tutelare la concorrenza nel mondo digital all’interno dell’Ue.
Con il DMA, l’Unione Europea afferma che in Europa ci sono 10.000 piattaforme, anche se in realtà sono massimo 10 che dominano il mercato in maniera molto forte. 
Amazon, nel 2021, ha fatturato $469 miliardi; il PIL del Portogallo nel 2020 è stato $231 milioni. Questo ci fa capire che Amazon è un soggeto che fa girare più soldi di una Nazione!

Questa similitudine tra Big Tech e Nazione è molto importante se guardiamo al Metaverso.. queste aziende non sono più solo aziende. 
Facebook ha tutte le carte in tavola per diventare uno Stato: ha cittadini, ha leggi, ha un sistema giudiziario, ha il PIL di uno Stato ed ora ha anche un territorio (con il nuovo passaggio a Meta). 
Le Big Tech prendono decisioni che vanno ad incidere sul corso della storia (es. il caso di Trump bannato da Twitter). Questi soggetti che potrebbero potenzialmente dominare i metaversi, dunque, non sono solo più aziende. 
Questi attori, avendo più dati degli operatori commerciali che utilizzano le piattaforme, sono in grado di agire andando ad imporre le proprie condizioni, come Amazon, indagato per presunto utilizzo di dati degli utenti commerciali e per competere con loro. Concretamente, se cerco una gonna rossa online, al successivo ingresso su Amazon, ti saranno proposte le sue gonne rosse: dunque, non solo il danno, ma anche la beffa per gli operatori.

L’Ue ha agito d’anticipo, e ha emanato il DMA la cui disciplina gira attorno ai cd gatekeepers (BigTech, soggetti che hanno un impatto significativo sul mercato interno) permettendo agli utenti commerciali di operare in un contesto più equo.
In caso di violazione delle disposizioni del DMA, i gatekeepers rischiano una sanzione fino al 10% del loro fatturato totale annuo a livello mondiale. In caso di recidiva, inoltre, la sanzione può essere aumentata fino al 20% del fatturato globale annuo.
La situazione di cui sopra, collegata al Metaverso, andrà a peggiorare, perché queste aziende non avranno più solo i dati relativi alla navigazione, ma avranno i dati relativi all’essenza stessa della persona, (al modo in cui va in giro all’interno del Metaverso, al modo in cui si veste, in cui interagisce..) tutti aspetti, per ora, ancora fuori dal controllo di GAFA.

Ulteriori regolamentazioni

La Commissione Europea ha proposto un nuovo atto legislativo, il Digital Services Act (DSA), entrato in vigore il 16 novembre 2022, e diretto a chiunque offra servizi digitali in UE, andando a tutelare il consumo, anche se non è propriamente una vera Direttiva del consumo, poichè oggetto non sono i diritti dei consumatori, ma i diritti fondamentali degli utenti.
    Un nuovo regolamento europeo sull’AI, proposto dall’Ue il 21 aprile 2021, si applicherà, se verrà approvato, ai fornitori che immettono sul mercato o mettono in servizio sistemi di intelligenza artificiale, sia se tali fornitori siano stabiliti nell’Unione Europea, sia se si trovino in un paese terzo ma il sistema viene utilizzato nell’UE.
Già da tale bozza, si nota l’attenzione posta dal legislatore europeo sull’esigenza di garantire il corretto bilanciamento tra la moderna tecnologia e la  protezione dati e privacy.