Metaverse Fashion Week in Decentraland, een van de populairste virtuele werelden.

Juridische Watch nr. 48 – Juni 2022

Dappere nieuwe wereldIn maart 2022 vond het Metaverse Fashion Week-evenement plaats in Decentraland, een van de populairste virtuele werelden.

Een online concert dat onlangs werd gestreamd op het gameplatform Fortnite trok 12 miljoen kijkers.

Er ontstaat momenteel een virtuele wereld, maar de menselijke, economische en sociale gevolgen ervan worden nog niet volledig begrepen.

Het onlangs gepubliceerde rapport van het Europees Parlement over dit onderwerp stelt dat in 2026 25% van de mensen minimaal één uur per dag in de metaverse zal doorbrengen voor werk, winkelen, onderwijs, sociale activiteiten en/of entertainment.

Veel commerciële bedrijven zijn daar begonnen met het ontwikkelen van hun eigen platformen, ook al hebben hun activiteiten maar heel weinig met digitale technologie te maken.

De Metaverse kan worden omschreven als een meeslepende, constante virtuele 3D-wereld waarin mensen via een avatar met elkaar interacteren om te genieten van entertainment, aankopen en transacties te doen of te werken zonder hun huis te verlaten.

Het economische metaverse-ecosysteem maakt gebruik van blockchain- en cryptovalutatechnologieën, zoals non-fungible tokens (NFT's), om transacties in de digitale omgeving te gelde te maken.

Deze evolutie van het web roept veel vragen op, vooral over de toepassing van de wetgeving.

Hoe kunnen we online fusies en overnames, intimidatie, min of meer legale transacties in cryptovaluta, grootschalige verzameling van gegevens over het gedrag van individuen via hun avatars en zelfs het online toezicht op individuen door wetshandhaving praktisch reguleren?

De inzet is hoog als het gaat om de AVG, zoals benadrukt in een recent artikel dat op 20 mei in de krant Le Monde werd gepubliceerd. Ook het Europees Parlement wijst erop dat de kwaliteit en kwantiteit van de verzamelde gegevens ongekend hoog zijn.

Dit kunnen gezichtsuitdrukkingen, gebaren of andere soorten fysieke of emotionele reacties zijn die een avatar kan produceren tijdens interacties, in realtime en zonder dat hij zich daarvan bewust is.

Daarmee kunnen gevoelige gegevens, zoals biometrische gegevens, worden verzameld.

Met deze informatie kunnen bedrijven bijvoorbeeld het gedrag van gebruikers beter begrijpen en reclamecampagnes heel gericht aanpassen.

Zijn de bestaande regels aangepast aan dit nieuwe universum?

Hoe kunnen we toestemming van individuen krijgen voor het verzamelen van gegevens en wie is verantwoordelijk voor de verzameling, in een omgeving waar meerdere rollen zijn en het steeds moeilijker is om de gegevensbeheerder te identificeren?

Hoe kunnen we omgaan met de interacties met kunstmatige intelligentie, die inherent is aan de werking van de Metaverse, en de geautomatiseerde beslissingen die hieruit voortvloeien?

Er worden verschillende wegen verkend, niet alleen op basis van de AVG, maar ook op basis van voorgestelde Europese regelgeving met betrekking tot kunstmatige intelligentie en data governance.

Laten we de rol van gegevensbemiddelaars eens noemen. Zij kunnen de autorisaties van gebruikers met betrekking tot het gebruik van hun gegevens centraliseren.

De voorgestelde verordening inzake data governance voorziet in de bescherming van persoonlijke gegevensruimtes, of gegevensportefeuilles, door het delen van gegevens te reguleren en de toestemming van individuen te controleren.

Wanneer tussenpersonen echter kunstmatige intelligentie inzetten bij het beheer van gegevens, zijn waarborgen noodzakelijk om misbruik en verduistering te voorkomen.

Er dient aan te worden herinnerd dat deze twee voorgestelde verordeningen het onderwerp zijn geweest van opmerkingen van de Europese Toezichthouder en het Europees Comité voor gegevensbescherming. Deze dringen erop aan dat het beginsel van het doel van het gebruik van gegevens wordt gerespecteerd en vragen om maatregelen die voorzien in meer controle en garanties voor de betrokkenen, bijvoorbeeld gedragscodes of certificeringsmechanismen.

Ook hebben autoriteiten bedenkingen bij sociale scores binnen de context van sociale netwerken in het algemeen, en nog meer in de Metaverse.

Ook moet bijzondere aandacht worden besteed aan de bescherming van kwetsbare groepen, met name kinderen, om hun leeftijd te controleren en hen te ontmoedigen hun persoonsgegevens te verstrekken.

Sommigen pleiten bovendien voor een open en gedecentraliseerde Metaverse, die door de gebruikers zelf wordt beheerd in de vorm van gedecentraliseerde autonome organisaties (DAO's).

In dit type model, dat verschilt van een gecentraliseerd bedrijfsmodel, hebben gebruikers meer controle over hun gegevens en het delen ervan.

Ook hier geldt dat naast regelgevende richtlijnen, gedragscodes en certificeringsmechanismen bijdragen aan een grotere rechtszekerheid.

Een paar antwoorden op veel vragen...

In ieder geval zal de toepassing van de wet niet tot stand komen zonder een grotere verantwoordingsplicht van de betrokken actoren.

En ook

Frankrijk:

Op 7 juni publiceerde de CNIL vragen en antwoorden over het gebruik van Google Analytics.

De Commissie heeft diverse organisaties opgedragen zich aan de AVG te houden, omdat geen van de aanvullende waarborgen die haar zijn geboden, afdoende zijn gebleken om te voorkomen dat Amerikaanse inlichtingendiensten toegang krijgen tot de persoonsgegevens van Europese gebruikers.

Een oplossing die het gebruik van een proxy mogelijk maakt en elk direct contact tussen de terminal van de internetgebruiker en de servers van het meetinstrument vermijdt, zou volgens haar mogelijk kunnen zijn als deze server voldoet aan een reeks criteria die in overeenstemming zijn met de aanbevelingen van de Europese Raad voor gegevensbescherming (EDPB), gepubliceerd op 18 juni 2021.

De Raad van State bevestigde dat de CNIL bevoegd is om sancties op te leggen buiten het Europese éénloketsysteem.

Het gaat hierbij om het bedrijf Amazon online France, dat een vestiging op Frans grondgebied heeft en gegevens verwerkt van personen die in Frankrijk wonen.

De boete van 35 miljoen euro die in 2020 werd opgelegd voor het gebruik van cookies zonder toestemming van de gebruiker, is hiermee bevestigd.

Op 30 juni legde de CNIL een boete van 1 miljoen euro op aan het bedrijf Total Energies Electricité et Gaz de France. met name omdat de verplichtingen inzake commerciële prospectie en de rechten van individuen niet zijn nageleefd.

Op 13 juni startte de CNIL een onderzoek naar geolocatiegegevens die door mobiele applicaties worden verzameld.

Zoals aangekondigd in haar strategisch plan 2022-2024 wil de CNIL het publiek en professionals bewustmaken van de problematiek rond het verzamelen van geolocatiegegevens via mobiele applicaties.

Het gaat er ook om de naleving van de AVG door professionals in de commerciële prospectiesector te verifiëren.

Europa:

De Europese Toezichthouder voor gegevensbescherming (EDPS) uit zijn bezorgdheid over de wijzigingen in de Europol-verordening, die op 28 juni 2022 in werking zijn getreden.

De EDPS benadrukt dat deze maatregelen het fundamentele recht op gegevensbescherming verzwakken, geen passend toezicht op het agentschap waarborgen en het mandaat van Europol aanzienlijk uitbreiden met betrekking tot de uitwisseling van persoonsgegevens met private partijen, het gebruik van kunstmatige intelligentie en de verwerking van grote datasets.

Op 14 juni heeft het Europees Comité voor gegevensbescherming (EDPB) publiceerde zijn reactie op de Consultatie van de Europese Commissie over de oprichting van een digitale euro.

Op 16 juni werd deEDPB richtlijnen aangenomen over de certificering als instrument voor de overdracht van persoonsgegevens naar derde landen die geen passend beschermingsniveau bieden.

De conferentie die in juni werd georganiseerd door deEDPS, die online en in persoon door meer dan 2000 mensen werd gevolgd, werd afgesloten met kritische observaties over de Europese samenwerking bij onderzoeken.

Voor de EDPS zou elk goed model sterke collegialiteitsmechanismen moeten omvatten en zouden strategische onderzoeken op centraal niveau kunnen worden uitgevoerd, waarmee "problemen die voortvloeien uit onverenigbare nationale wetgevingen of uiteenlopende pogingen tot harmonisatie" zouden worden opgelost.

DE Raad van Europa publiceert een studie over de Pegasus-spyware en de impact ervan op de grondrechten. Er moet aan worden herinnerd dat deze spyware ook onderwerp is van een onderzoek door het Europees Parlement.

DE Netwerk voor samenwerking op het gebied van consumentenbescherming (CPC) heeft in samenwerking met de gegevensbeschermingsautoriteiten vijf kernbeginselen goedgekeurd voor een eerlijke reclame voor kinderenS.

DE Zwitserse federale commissaris voor gegevensbescherming en informatie (FDPIC) adviseerde Suva (Zwitsers Nationaal Ongevallenverzekeringsfonds, dat ziektekostenverzekeringen voor zijn werknemers biedt) om haar besluit om de verwerking van haar persoonsgegevens uit te besteden aan de Verenigde Staten te heroverwegens – meer bepaald in de cloudservice van Microsoft, ook al worden de gegevens gehost op een MS-server in Zwitserland.

Ook de overdrachten buiten Europa staan centraal in het recente besluit van de Raad van State van België, die een besluit om een Amerikaanse aannemer te kiezen, heeft opgeschort in het kader van een openbare aanbestedingsprocedure, omdat deze instantie onvoldoende heeft onderzocht of de opdrachtnemer aan de vereisten van de AVG heeft voldaan, met name de bepalingen inzake doorgiften.

De beslissing brengt ook verdere verwerking door een ander bedrijf, Smart Analytics, gevestigd in Rusland (via GDPRhub), in twijfel.

Tien consumentenverenigingen, onder coördinatie van de Europese Consumentenorganisatie (BEUC)kondigde op 30 juni aan dat ze stappen ondernemen om ervoor te zorgen dat Google zich aan de wet houdt: de techgigant zou consumenten naar het trackingsysteem van Google leiden wanneer ze zich aanmelden voor een Google-account, in plaats van dat hun gegevens standaard en bij ontwerp worden beschermd, zoals vereist door de AVG.

De hervorming van de Britse wetgeving inzake gegevensbescherming na de Brexit bereikte op 17 juni een nieuwe mijlpaal met de definitieve reactie van de overheid op de openbare raadpleging.

Het document bevat verschillende hervormingen, zoals het schrappen van de verplichting om een functionaris voor gegevensbescherming aan te stellen, het vervangen van de toestemmingsvereiste door een recht om bezwaar te maken tegen het volgen van internetgebruikers en wijzigingen in de werkwijze van het Bureau van de Informatiecommissaris.

Finse ODA heeft een ziekenhuis opgedragen om de geschiedenis van werknemers, locatiegegevens en andere persoonlijke gegevens te verwijderen die zijn gegenereerd door de standaardlocatieregistratiefunctie in Windows 10.

Deze instelling is in strijd met het beginsel van ‘gegevensbescherming als standaardinstelling’ uit artikel 25(2) van de AVG (via GDPRhub). 

De Italiaanse autoriteit voor gegevensbescherming heeft een ziekenhuis een boete van € 70.000 opgelegd omdat het de ontvangers van twee medische nieuwsbrieven had gecc'd. in plaats van CCI, hun persoonlijke gegevens (inclusief gezondheidsgegevens) aan alle ontvangers bekendmaken zonder wettelijke basis (via GDPRhub).

Over hetzelfde onderwerp: de Roemeense ODA legde ook een boete van € 1.000 op aan een onderaannemer die verantwoordelijk was voor de uitvoering van een marketingcampagne, omdat deze een marketingmail naar 27 personen had gestuurd zonder hun e-mailadressen te verbergen.

Laten we dat onthouden België oordeelde op 29 april in een soortgelijke zaak dat het versturen van een dergelijke e-mail geen inbreuk op de beveiliging vormt als er minder dan 16 personen bij betrokken zijn.

Internationaal :

Rusland: Een rechtbank in Moskou heeft Google een boete van 15 miljoen roebel opgelegd vanwege herhaaldelijke overtreding van de regelgeving inzake gegevenslokalisatie.

Google werd in 2021 al eens onderworpen aan een administratieve sanctie wegens schending van hetzelfde beginsel van de Russische wet op persoonsgegevens, die bedrijven verplicht de persoonsgegevens van Russische burgers op het grondgebied van de Russische Federatie op te slaan..

VERENIGDE STATEN: De uitspraak van het Hooggerechtshof in de zaak Roe vs. Wade heeft ook gevolgen voor kwesties rond gegevensbescherming. 

De vraag gaat over de houding van techgiganten ten opzichte van de toegang van autoriteiten tot vruchtbaarheidsgegevens.

Deze gegevens kunnen worden verkregen uit bronnen zoals browsergeschiedenis, zoekopdrachten, e-mail- en tekstlogs, het gebruik van vruchtbaarheidsapps en andere commerciële producten waarmee veel gebruikers dagelijks in aanraking komen.

Volgens The Register wordt dit soort informatie al door de politie gebruikt als bewijs in abortuszaken.

China: The New York Times publiceert een onderzoek waarin honderden documenten worden aangehaald waarin software wordt beschreven die China heeft gekocht om de enorme surveillancedatabases van het land te doorzoeken en zo te voorspellen wie verdacht wordt of een potentiële onruststoker is.

In Canada, Sinds 16 juni beschermt het Handvest voor Digitale Rechten de rechten van consumenten en persoonsgegevens en reguleert het kunstmatige intelligentie..

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.