Le implicazioni giuridiche del Metaverso

Il Metaverso è qualcosa che, oggi, non esiste. È una parola di sintesi, anche per un privacysta, un avvocato dei dati, che vuole indicare una serie di tecnologie, di loro possibili utilizzi, di applicazioni di vario tipo che si stanno immaginando da qualche anno, per il futuro. Non solo non esiste in sé, ma ha senso iniziare a ragionare delle singole parti, delle singole componentistiche, di singoli scenari e anche di singoli dettagli, più o meno diabolici che, di volta in volta, possono rilevare in uno scenario metaversale. Principalmente, se diciamo Metaverso, dobbiamo pensare a realtà virtuale, evolutiva - a seconda dello sviluppo delle tecnologie e degli scenari in cui immaginiamo di utilizzarla - e realtà aumentata. Queste, infatti, rilevano sul piano giuridico. 

Realtà virtuale, realtà mista combinata e realtà che va oltre quella mista: la realtà virtuale aumentata che, tuttavia, ha anche effetti sul reale. Se uniamo questi elementi con l’internet delle cose, in particolare con ciò che è compreso nel Next Generation IoT, allora vediamo anche qualcosa di più.

Vediamo che ragionare di Metaverso non sarà, da qui a dieci anni, ragionare solo di Virtual reality e Augmented reality. Andremo verso qualcosa che avrà anche degli impatti da un punto di vista fisico, da un punto di vista funzionale. Andremo a vedere una convergenza, che già oggi si vede, in ambito cybersecurity - e la stiamo toccando con mano -, ma una convergenza, anche in termini giuridici, tra dimensioni IT e OT. E questo sarà sempre più vero - più drammaticamente vero - anche dal punto di vista giuridico.

Il mio cavallo di battaglia o, se vogliamo, la mia ossessione, è proprio quella di guardare alla progressiva convergenza tra dimensione immateriale e dimensione materiale, che le nuove tecnologie e i nuovi utilizzi di queste tecnologie stanno rendendo possibile. 

Il diritto alla protezione dei dati personali, per usarne uno, tra i tanti diritti fondamentali che possiamo raccogliere dal catalogo della Carta dei diritti fondamentali dell'Unione Europea, è un diritto che nasce immateriale. Se ci pensiamo, è un diritto fondamentale inviolabile che ha a che fare con la dimensione immateriale del sé. È molto immateriale anche il diritto alla privacy. Sia data protection, articolo 8, sia vita privata tutela della riservatezza, articolo 7 della Carta dei diritti fondamentali si pongono, in linea di principio, soprattutto come dimensioni immateriali della salvaguardia dell'essere umano.  

La progressiva convergenza tra dimensione fisica e dimensione virtuale, che sicuramente sarà accelerata dalla combinazione tra realtà virtuale, realtà aumentata, realtà mista, realtà assistita, realtà combinata con Internet delle cose, scombinerà - e già sta iniziando a scombinare, in certi ambiti - quelli che sono i perimetri di questi diritti: privacy e protezione dei dati personali. Dall’elaborazione di dati immateriali, deriverà un effetto materiale, un effetto fisico. Prendiamo, per esempio, il car sharing. L’auto non parte se non la sblocchiamo immaterialmente. 

Realtà virtuale e realtà aumentata - chiamiamolo Metaverso: in futuro, probabilmente lo chiameremo anche così, ma sarà una cosa diversa - corrispondono, se combinati con l'Internet delle cose, anche al contrario. E qui siamo sempre nell'ambito che mi è caro: la trasformazione in dati, in effetti-dati, in effetti immateriali di elementi fisici che fanno parte della dimensione fisica dell'essere nel mondo. 

Noi in questo momento ci troviamo in un luogo. Che lo vogliamo o no, se in questo luogo sono presenti dei sensori di qualche tipo, veniamo catturati e tradotti in dati. E probabilmente, senza un'interfaccia e senza la nostra iniziativa, senza bisogno di andare online e di navigare e quindi di esporci a una dimensione immateriale, digitale. Poi questi dati chissà dove vanno, come vengono utilizzati anche in termini di ingredienti per successive elaborazioni.

Per me, ragionare di Metaverso è innanzitutto ragionare di questi segmenti e di queste combinazioni tra segmenti. Non esiste il Metaverso, ma non è importante, perché certi segmenti esistono già e iniziamo già a vederli combinati in determinati scenari: come l’industria 4.0. Un mondo che ha dato il la all'adozione di tecnologie che sono embrionali rispetto a quello che arriverà in futuro, ma comunque abbiamo già a che fare con queste dimensioni. Abbiamo già a che fare con la tutela del lavoratore che interagisce con queste apparecchiature. Abbiamo già dimensioni dei consumatori e dei cittadini: carsharing, progetti di smart city, servizi intelligenti resi ai cittadini. In questi anni ho avuto la fortuna di fare da consulente (advisor) per municipalità in giro per l'Europa in materia di smart city e progetti specifici e concreti di servizio intelligente alla cittadinanza, e la complessità era estrema per una serie di ragioni.

E in questi scenari che saranno sempre più presenti, certamente la realtà virtuale, la realtà aumentata e l'IoT rilevano già oggi. Semplicemente, non li chiamiamo Metaverso. 

Metaverso probabilmente sarà un insieme di elementi che, proprio come è accaduto con internet, metteranno a fattor comune standard e protocolli, e renderanno possibile questa interazione in maniera diffusa. Cosa che oggi non è. 

Il secondo elemento da considerare è il dettaglio: l'attenzione ai particolari, anche ai più stupidi. E invece lì sta il diavolo. Dedicandosi al cavillo, al pelo dell'uovo, ci si rende conto che di conseguenze ce ne sono, eccome. Allora è giusto non trascurare il micro-particolare. 

Facciamo un esempio. Se siamo in un contesto di virtualizzazione, che coinvolge esseri umani, in un contesto di aumento della realtà e delle potenzialità, inevitabilmente, la tecnologia dovrà andare a catturare e a elaborare caratteristiche fisiche o fisico-comportamentali di quel soggetto che sta interagendo. Nel Metaverso, che l'avatar sia uguale a me o che abbia un'altra forma, poco importa. Se, nella dimensione virtualizzata, vogliamo che si veda che l'avatar sta guardando da una parte, facendo l'occhiolino a un altro avatar, evidentemente si dovrà tracciare l'occhio che si muove, si dovrà tracciare la mano, che è proprio quella mano, che fa qualcosa. Nella misura in cui questo accada, intermediato da tecnologie - e quindi da un provider tecnologico che rende questo possibile - allora bisogna interrogarsi: queste caratteristiche sono o non sono dati biometrici che ricadono nella categoria dei dati particolari? Perché, se lo sono, abbiamo un problema. Il problema è che il provider non li può trattare senza una base giuridica di cui all'articolo 9 del GDPR, o meglio, una deroga al divieto. Andrebbe chiesto un consenso esplicito e rafforzato. 

Se connoto in quel modo o in quell'altro ciò che è caratteristica umana, che è inevitabilmente da trattare in un conteso di realtà virtuale o aumentata, se prendo una strada o un'altra, faccio succedere o non succedere delle cose, con conseguenze giuridiche e che hanno immediatamente una ricaduta di fattibilità. 

“Il Metaverso materializzerà intorno a noi un mondo nuovo, vivificato da un continuo fluire di informazioni e immagini, tra cui anche dati personali come human characteristics e dati inferiti.” (Il Futuro dei dati personali nel Metaverso, Luca Bolognini, Marco Emanuele Carpenelli).

Articolo tratto dall’intervento di Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (IIP), European data & privacy lawyer, avvocato dei dati e saggista, in occasione del GDPR Forum 2022. L’intervento completo è su Raise Academy. 

Questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.