Il Metaverso
Argomento molto attuale riguarda il Metaverso, quell’evoluzione del digitale che attraverso la cooperazione di dispositivi e tecnologie sempre più avanzate, al cloud computing e agli ambienti creati dalla computer graphic, riesce a replicare il mondo fisico rendendo possibile anche lo svolgimento di attività quotidiane virtualmente senza muoversi dalla propria sede.
Molteplici sono gli ambiti applicativi del metaverso, quali ad es. la moda, il food&beverage, l’architettura, il design, l’arte, lo spettacolo, il gaming, senza tralasciare che con lo sviluppo dello smart working registrato durante i mesi di pandemia, in futuro il metaverso potrebbe addirittura riprodurre digitalmente l’ambiente di lavoro.
Tuttavia la creazione di un ambiente in cui gli utenti, possano partecipare a riunioni di lavoro o prendere un caffè virtuale con gli amici attraverso la rappresentazione grafica di un avatar tridimensionale, comporta anche una previsione e personalizzazione dell’utente attraverso una raccolta di un ingente quantità di dati. Peraltro, al fine di rendere il metaverso più ricco, sensibile e reattivo agli input generati dall’utilizzatore nel mondo reale, oltre ai prodotti e servizi offerti nel metaverso, si aggiungono ulteriori strumenti, quali i sensori aptici incorporati, ad esempio guanti, tastiere e altri dispositivi e accessori indossabili, i quali consentono di trasmettere ulteriori informazioni.
Implicazioni sotto il profilo della privacy
L’evoluzione del metaverso comporta, quindi, un notevole flusso di dati personali che non è limitato solo a ciò che gli utenti sono nella realtà, ma anche a ciò che vorrebbero essere.
Attraverso i metadati, infatti, è possibile conoscere identità, posizione, età, preferenze di acquisto, amici, familiari, film preferiti, viaggi, vacanze, lavoro, nonché informazioni particolari come i dati biometrici (il riconoscimento dell’audio, dell’iride, dell’impronta digitale) o l’aumento del feedback motorio e dinamico dell’individuo, raccolti attraversi i dispositivi utilizzati e/o indossati.
La raccolta e il trattamento di tali dati consente la profilazione degli utenti e personalizzazione dei contenuti; infatti grazie all’analisi delle tracce digitali, lasciate più o meno consapevolmente dagli utenti su social, siti web e altre app, è possibile creare forme di targetizzazione che presenta vantaggi e svantaggi. Infatti se da un lato è possibile offrire agli utenti attività e servizi personalizzati in base alle loro esigenze e aspettative, dall’altro può condurre ad una manipolazione e sorveglianza massiva.
Sotto questo aspetto possiamo citare l’esempio di Clearview AI, società americana operante nel settore IT che fornisce software di riconoscimento facciale principalmente alle forze dell’ordine di tutti i Paesi e possiede una banca dati di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, reperendo le immagini e i dati personali da fonti online disponibili al pubblico come i profili dei social.
Le autorità garanti per la protezione dei dati personali europee (Francia, Italia, Regno Unito e Grecia) hanno sanzionato la suddetta società per la raccolta e l’elaborazione illecita di dati biometrici tramite tecniche di riconoscimento facciale.
In particolare l’Autorità Garante italiana per la protezione dei dati personali ha rilevato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente e senza un’adeguata base giuridica.
Infatti il trattamento dei dati operato dalla società consiste nella raccolta di dati fotografici, associati ad ulteriori link che sono idonei a rilevare diversi aspetti della vita privata degli individui. Questi dati vengono reperiti su internet e successivamente sottoposti ad ulteriori operazioni di trattamento, quali elaborazioni biometriche, indicizzazioni mediante hashing e all’operazione di interconnessione dei dati immagine (comuni e biometriche) con metadati raccolti, conservati e associati alle immagini facciali, i quali, a loro volta, possono contenere dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale.
A parere del Garante tutti questi dati vengono trattati in violazione dei principi base del GDPR, quali gli obblighi:
- di trasparenza, poiché la società non ha adeguatamente informato gli utenti,
- di limitazione delle finalità del trattamento, in quanto sono utilizzati dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online,
- di limitazione della conservazione, perché non sono stati stabiliti i tempi di conservazione dei dati.
Per il Garante italiano, quindi, l’attività di Clearview AI si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.
Il Garante ha precisato che la base giuridica non può sicuramente essere il legittimo interesse della società costituito da un fine di lucro a fronte di un trattamento che presenta una particolare intrusività nella sfera privata degli individui. Per il Garante, quindi l’interesse legittimo della Società alla libera iniziativa economica deve soccombere rispetto ai diritti e alle libertà degli interessati, in particolare alla grave messa in pericolo del diritto alla riservatezza, al divieto di essere sottoposti a trattamenti automatizzati e al principio di non-discriminazione insiti in un trattamento di dati personali come quello effettuato dalla Società.
Conseguentemente il Garante italiano ha comminato a Clearview AI la sanzione amministrativa di 20 milioni di euro, ha ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale; nonché le ha imposto di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati (Ordinanza ingiunzione nei confronti di Clearview AI – 10 febbraio 2022[doc. web n. 9751362].
Anche il Garante ellenico, ravvisando l’illiceità del trattamento dei dati da parte di Clearview AI ha chiesto alla stessa di interrompere l’elaborazione dei dati biometrici sui cittadini della Grecia le ha ordinato di eliminare tutti i dati personali finora accumulati.
Necessità di una regolamentazione
Il Garante per la protezione dei dati personali ha evidenziato che poiché nel mondo digitale del metaverso attraverso gli avatar tutto può essere tracciato in ogni dettaglio, è necessario che nel rispetto dei ruoli ognuno si assuma le proprie responsabilità (Cerrina Feroni, Vice Presidente del Garante privacy).
Ciò comporta la necessità di una regolamentazione specifica che si affianchi ai principi già fissati dalla disciplina europea del Gdpr. Ma tale regolamentazione non può passare attraverso disposizioni di dettaglio che richiedono necessariamente tempi lunghi di elaborazione e adozione, ma sarebbe più opportuno che venga realizzata dialogando con il mercato e i suoi protagonisti anche forme di efficace co-regolamentazione con le grandi piattaforme (Guido Scorza, componente del Garante Privacy).
Tutela del minori
Nell’ambito di una regolamentazione sorge la necessità di tutelare i minori che utilizzano le piattaforme. A questo proposito è stata prospettata la possibilità verificare l’età degli utenti attraverso l’utilizzo dell’intelligenza artificiale o semplicemente mediante la verifica dei documenti di identità, purché qualunque soluzione venga adottata non si traduca in una raccolta dati ancora più importante di dati (Cerrina Feroni, componente Garante privacy).
Il ruolo dell’Intelligenza Artificiale. La proposta di Regolamento Europeo sull’IA
Quanto al ruolo dell’Intelligenza Artificiale, il Garante per la protezione dei dati personali ha rilevato che occorre individuare i limiti dell’IA impedendo che essa realizzi una vera e propria sostituzione dell’uomo e garantendo in particolare, la non esclusività della decisione automatizzata dando importanza al fattore umano (Pasquale Stanzione Presidente del Garante Privacy).
Al riguardo è stata presentata la proposta del Parlamento Europeo e del Consiglio di un Regolamento Europeo sull’IA, da applicare ai fornitori che immettono sul mercato sistemi di intelligenza artificiale (siano essi parte dell’Unione Europea o provenienti da Paesi terzi che ne prevedano l’utilizzo nell’Unione Europea) al fine di garantire il corretto bilanciamento tra tecnologia e privacy. Nella Relazione alla proposta di Regolamento viene spiegato che l’approccio utilizzato si basa sul rischio; per cui mentre per i sistemi di IA non ad alto rischio verranno imposti obblighi di trasparenza molto limitati, ad esempio la fornitura di informazioni al fine di segnalare l’utilizzo di un sistema di IA nelle interazioni con esseri umani, per i sistemi di IA ad alto rischio verranno richiesti requisiti di qualità elevata dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, precisione e robustezza al fine di attenuare i rischi per i diritti fondamentali e la sicurezza posti dall’IA e che non sono oggetto di altri quadri giuridici in vigore. Inoltre si prevede l’adozione di norme armonizzate e di strumenti di sostegno per l’orientamento e per assistere i fornitori e gli utenti ai fini del rispetto dei requisiti che verranno stabiliti.
Conclusioni
Alla luce delle suesposte considerazioni osserviamo quanto numerosi siano i potenziali rischi per i diritti degli interessati e quanto numerose siano le sfide per la realizzazione di un metaverso che rispetti la privacy.
Si rende necessario apprestare adeguate tutele, affinché gli interessati possano essere adeguatamente informati ed avere il controllo sui propri dati personali e sulle attività di trattamento effettuate nel metaverso.
Si auspica a tal fine un impegno comune finalizzato alla realizzazione di forme di efficace co-regolamentazione tra istituzioni e le grandi piattaforme e la sensibilizzazione degli utenti.
