Metaverse Fashion Week a Decentraland, uno dei mondi virtuali più popolari.

Osservatorio Legale n. 48 – Giugno 2022

Il mondo nuovoNel marzo 2022, l'evento Metaverse Fashion Week si è svolto a Decentraland, uno dei mondi virtuali più popolari.

Un concerto online trasmesso in streaming sulla piattaforma di gioco Fortnite ha recentemente attirato 12 milioni di spettatori.

Oggi si sta sviluppando un mondo virtuale, le cui implicazioni umane, economiche e sociali non sono ancora state pienamente comprese.

Secondo il rapporto pubblicato di recente dal Parlamento europeo su questo argomento, entro il 2026 il 25% delle persone trascorrerà almeno un'ora al giorno nel metaverso per lavoro, shopping, istruzione, attività sociali e/o intrattenimento.

Molte aziende commerciali hanno iniziato a sviluppare lì le proprie piattaforme, anche quando le loro attività hanno solo un collegamento molto remoto con la tecnologia digitale.

Il Metaverso può essere descritto come un mondo virtuale 3D immersivo e costante in cui le persone interagiscono tramite un avatar per divertirsi, effettuare acquisti e transazioni o lavorare senza uscire di casa.

L'ecosistema del metaverso economico sfrutta le tecnologie blockchain e delle criptovalute, come i token non fungibili (NFT), per monetizzare le transazioni nell'ambiente digitale.

Questa evoluzione del web solleva molti interrogativi, in particolare per quanto riguarda l'applicazione della legge.

Come possiamo regolamentare concretamente le fusioni e le acquisizioni online, le molestie, le transazioni più o meno legali effettuate in criptovalute, la raccolta massiccia di dati sul comportamento degli individui tramite i loro avatar o persino la sorveglianza degli individui online da parte delle forze dell'ordine?

La posta in gioco è alta per quanto riguarda il GDPR, come evidenziato in un recente articolo pubblicato il 20 maggio sul quotidiano Le Monde, e come sottolinea il Parlamento europeo, data la qualità e la quantità senza precedenti dei dati raccolti.

Possono includere espressioni facciali, gesti o altri tipi di reazioni fisiche o emotive che un avatar può produrre durante le interazioni, in tempo reale e senza esserne consapevole.

In questo modo è possibile raccogliere dati sensibili, come quelli biometrici.

Queste informazioni consentiranno, ad esempio, alle aziende di comprendere meglio il comportamento degli utenti e di adattare le campagne pubblicitarie in modo altamente mirato.

Le regole esistenti sono adattate a questo nuovo universo?

Come possiamo ottenere il consenso degli individui a tale raccolta di dati e chi è responsabile della raccolta, in un ambiente in cui i ruoli sono molteplici e in cui è ancora più difficile identificare il titolare del trattamento dei dati?

Come gestire le interazioni con l'intelligenza artificiale, insite nel funzionamento del Metaverso, e le decisioni automatizzate che ne derivano?

Si stanno esplorando diverse strade, basate non solo sul GDPR, ma anche sulle proposte di regolamenti europei in materia di intelligenza artificiale e governance dei dati.

Vogliamo menzionare il ruolo degli intermediari dei dati, che potrebbero centralizzare le autorizzazioni degli utenti in merito all'utilizzo dei loro dati.

La proposta di regolamento sulla governance dei dati prevede la protezione degli spazi di dati personali, o portafogli di dati, regolamentando la condivisione dei dati e controllando il consenso degli individui.

Tuttavia, nella misura in cui gli intermediari utilizzano l'intelligenza artificiale nella gestione dei dati, sono necessarie misure di salvaguardia per prevenire appropriazioni indebite e abusi.

È opportuno ricordare che queste due proposte di regolamento sono state oggetto di osservazioni da parte del Garante europeo e del Comitato europeo per la protezione dei dati, che insistono sul rispetto del principio di finalità nell'uso dei dati e chiedono misure che prevedano maggiori controlli e garanzie per l'interessato, ad esempio codici di condotta o meccanismi di certificazione.

Le autorità hanno inoltre riserve sul punteggio sociale nel contesto dei social network in generale, e ancor di più nel Metaverso.

Particolare attenzione dovrebbe essere prestata anche alla tutela dei gruppi vulnerabili, in particolare dei bambini, per verificarne l'età e scoraggiarli dal fornire i propri dati personali.

Altri ancora sostengono un Metaverso aperto e decentralizzato, controllato dagli utenti stessi sotto forma di organizzazioni autonome decentralizzate (DAO).

In questo tipo di modello, a differenza di un modello aziendale centralizzato, gli utenti avrebbero un maggiore controllo sui propri dati e sulla loro condivisione.

Anche in questo caso, oltre alle linee guida normative, codici di condotta e meccanismi di certificazione contribuirebbero a una maggiore certezza del diritto.

Alcune risposte a molte domande...

In ogni caso, l'applicazione della legge non potrà essere realizzata senza una maggiore responsabilità da parte degli attori interessati.

E anche

Francia:

Il 7 giugno la CNIL ha pubblicato domande e risposte sull'utilizzo di Google Analytics.

La Commissione ha ordinato a diverse organizzazioni di conformarsi al GDPR, poiché nessuna delle garanzie aggiuntive presentate è stata sufficiente a impedire ai servizi segreti statunitensi di accedere ai dati personali degli utenti europei.

Una soluzione che consenta l'uso di un proxy per evitare qualsiasi contatto diretto tra il terminale dell'utente di Internet e i server dello strumento di misurazione potrebbe, secondo lei, essere possibile, se tale server soddisfa una serie di criteri conformi alle raccomandazioni del Comitato europeo per la protezione dei dati (EDPB), pubblicate il 18 giugno 2021.

Il Consiglio di Stato ha confermato che la CNIL era competente a imporre sanzioni al di fuori del meccanismo dello sportello unico europeo.

Il caso in questione riguarda la società Amazon online France, che ha una sede sul territorio francese e tratta i dati di persone residenti in Francia.

Confermata quindi la multa da 35 milioni di euro comminata nel 2020, che sanzionava l'utilizzo di cookie senza il consenso dell'utente.

Il 30 giugno la CNIL ha inflitto una sanzione di 1 milione di euro alla società Total Energies Electricité et Gaz de France. in particolare per non aver rispettato gli obblighi in materia di prospezione commerciale e i diritti delle persone fisiche.

Il 13 giugno la CNIL ha avviato uno studio sui dati di geolocalizzazione raccolti dalle applicazioni mobili.

Come annunciato nel suo piano strategico 2022-2024, la CNIL desidera sensibilizzare il pubblico e i professionisti sulle problematiche legate alla raccolta di dati di geolocalizzazione tramite applicazioni mobili.

Si tratta anche di verificare la conformità al GDPR dei professionisti del settore della ricerca commerciale.

Europa:

Il Garante europeo della protezione dei dati (GEPD) esprime preoccupazione in merito alle modifiche al regolamento Europol, entrate in vigore il 28 giugno 2022.

Il GEPD sottolinea che tali misure indeboliscono il diritto fondamentale alla protezione dei dati, non garantiscono un'adeguata supervisione dell'agenzia e ampliano significativamente il mandato di Europol per quanto riguarda lo scambio di dati personali con soggetti privati, l'uso dell'intelligenza artificiale e l'elaborazione di grandi set di dati.

Il 14 giugno, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato la sua risposta al Consultazione della Commissione europea sulla creazione di un euro digitale.

Il 16 giugno, ilEDPB ha adottato linee guida sulla la certificazione come strumento per il trasferimento dei dati personali verso paesi terzi che non garantiscono un livello di protezione adeguato.

La conferenza organizzata a giugno dalGEPD, seguito online e di persona da più di 2.000 persone, si è concluso con osservazioni critiche riguardanti la Cooperazione europea nelle indagini.

Per il GEPD, qualsiasi buon modello dovrebbe includere solidi meccanismi di collegialità e le indagini strategiche potrebbero essere condotte a livello centrale, il che supererebbe "i problemi derivanti da legislazioni nazionali incompatibili o da tentativi di armonizzazione disparati".

IL Consiglio d'Europa pubblica uno studio sul Spyware Pegasus e il suo impatto sui diritti fondamentali. Va ricordato che questo spyware è anche oggetto di un'indagine da parte del Parlamento europeo.

IL Rete di cooperazione per la tutela dei consumatori (CPC), in collaborazione con le autorità di protezione dei dati, ha approvato 5 principi chiave per un pubblicità corretta rivolta ai bambiniS.

IL Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha consigliato alla Suva (Fondazione nazionale svizzera di assicurazione contro gli infortuni, che fornisce copertura sanitaria ai suoi dipendenti) di riconsiderare la sua decisione di esternalizzare il trattamento dei suoi dati personali negli Stati Unitis – più precisamente nel servizio cloud di Microsoft, anche se i dati sono ospitati su un server MS in Svizzera.

I trasferimenti fuori dall'Europa sono al centro anche della recente decisione della Il Consiglio di Stato del Belgio ha sospeso la decisione di scegliere un contraente americano nell'ambito di una procedura di appalto pubblico, in quanto tale autorità non ha esaminato a sufficienza se il contraente rispettasse i requisiti del GDPR, in particolare le disposizioni relative ai trasferimenti.

La decisione mette in discussione anche l'ulteriore elaborazione da parte di un'altra società, Smart Analytics, con sede in Russia (tramite GDPRhub).

Dieci associazioni di consumatori, sotto il coordinamento dell' Organizzazione europea dei consumatori (BEUC), ha annunciato il 30 giugno che sta adottando misure per garantire che Google rispetti la legge: il colosso della tecnologia indirizzerà i consumatori al suo sistema di tracciamento quando si registrano per un account Google, invece di fornire la protezione dei loro dati per impostazione predefinita e in base alla progettazione, come richiesto dal GDPR.

La riforma post-Brexit della legislazione britannica sulla protezione dei dati ha raggiunto una nuova tappa fondamentale il 17 giugno, con la risposta definitiva del governo alla consultazione pubblica.

Il documento include diverse riforme, come l'eliminazione dell'obbligo di nominare un responsabile della protezione dei dati, la sostituzione del requisito del consenso con il diritto di opporsi al tracciamento degli utenti di Internet e modifiche al funzionamento dell'Information Commissioner's Office.

APS finlandese ha ordinato a un ospedale di eliminare la cronologia dei dipendenti, i registri delle posizioni e altri dati personali generati dalla funzionalità di registrazione della posizione predefinita in Windows 10.

Questa impostazione viola il principio di "protezione dei dati per impostazione predefinita" dell'articolo 25(2) del GDPR (tramite GDPRhub). 

L'autorità italiana per la protezione dei dati personali ha multato un ospedale di 70.000 euro per aver messo in copia i destinatari di due newsletter mediche. invece di CCI, rivelare i propri dati personali (inclusi i dati sanitari) a tutti i destinatari senza una base giuridica (tramite GDPRhub).

Sullo stesso argomento, l'APS della Romania ha inoltre multato di 1.000 euro un subappaltatore responsabile dell'implementazione di una campagna di marketing per aver inviato un'e-mail di marketing a 27 persone senza nascondere i loro indirizzi e-mail.

Ricordiamolo Il 29 aprile, in un caso simile, il Belgio ha stabilito che l'invio di un'e-mail di questo tipo non costituisce una violazione della sicurezza quando sono coinvolte meno di 16 persone.

Internazionale:

Russia: Un tribunale di Mosca ha multato Google di 15 milioni di rubli per il ripetuto mancato rispetto della norma sulla localizzazione dei dati.

Google era già stata oggetto di una sanzione amministrativa nel 2021 per aver violato lo stesso principio della legge russa sui dati personali, che obbliga le aziende a conservare i dati personali dei cittadini russi sul territorio della Federazione Russa..

STATI UNITI: Le implicazioni della sentenza Roe vs. Wade della Corte Suprema si estendono alle questioni relative alla privacy dei dati. 

La domanda riguarda l'atteggiamento dei giganti della tecnologia nei confronti dell'accesso delle autorità ai dati sulla fertilità.

Questi dati possono essere rivelati tramite fonti quali la cronologia del browser, le ricerche, i registri di posta elettronica e di testo, l'uso di app per la fertilità e altri prodotti commerciali con cui molti utenti interagiscono quotidianamente.

Come riportato da The Register, questo tipo di informazioni è già stato utilizzato dalle forze dell'ordine come prova in casi legati all'aborto.

Cina: Il New York Times pubblica un'inchiesta che cita centinaia di documenti che descrivono in dettaglio il software acquistato dalla Cina per setacciare i suoi vasti database di sorveglianza e prevedere chi diventerà un sospettato o un potenziale piantagrane.

In Canada, Dal 16 giugno, una Carta dei diritti digitali tutela i diritti dei consumatori e i dati personali e regolamenta l'intelligenza artificiale..

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.