Metaverso y privacidad
Desde el punto de vista de la privacidad, el uso del metaverso puede ser muy intrusivo, ya que el conjunto de datos que se tratan aumenta de forma exponencial. Cualquier entorno virtual está plenamente datificado desde su diseño y permite tratar un espectro más amplio de información relativa a actividades humanas.
Foto de julien Tromeur en Unsplash
Los metaversos pretenden ampliar la experiencia de las redes sociales mucho más allá del aspecto visual o de los gráficos en 3D. El metaverso involucra al usuario en múltiples dimensiones, como la social, económica, política o emocional, hasta virtualizar todos los aspectos de desarrollo del individuo, y extiende los datos recogidos a la información no verbal y biométrica. La coyuntura colectiva y técnica actual ha creado el contexto ideal para su desarrollo y expansión, traduciendo las experiencias humanas a un tratamiento de datos digitales mediante simulaciones. Sin embargo, el tratamiento de estos datos personales es completamente real.
Los mundos virtuales o metaversos llevan mucho tiempo presentes en la literatura y cine de ficción. Hasta ahora, las redes sociales eran una proyección del metaverso sobre un entorno lineal y con una capacidad limitada de penetración en el resto de las dimensiones que conforman nuestra realidad. Sin embargo, en la actualidad el metaverso ya no se trata de una utopía y se está avanzando en su implementación. Esto es posible gracias a que ya se dispone de la masa crítica de tecnologías y condicionantes sociales que permiten su despliegue con opciones de obtener una rentabilidad económica.
Por un lado, el marco de la pandemia ha acelerado el despliegue de servicios, a todos los niveles, sobre plataformas digitales. Además, y lo que es más importante, se ha dado un salto de gigante en la penetración de estos servicios en todos los segmentos de la población, en particular en las personas más jóvenes. Dos de estos servicios son críticos: aquellos que involucran la interacción social, y la aceptación masiva de los medios de pago digitales.
Por otro lado, las tecnologías que permiten desplegar una vida virtual ya se encuentran maduras, y entre ellas encontramos:
- Tecnologías de realidad virtual (VR), aumentada (AR) y mixta (MR), o en su conjunto realidad extendida (XR).
- Las monedas virtuales, criptomonedas y tokens, con un ecosistema que lo posibilitan.
- Las técnicas de identidad digital.
- Las técnicas de entidad digital o avatares, y su interacción realista que proyectan los movimientos de los usuarios y las expresiones faciales.
- Los NFT (tokens no fungibles), que son activos digitales: acciones, artículos de arte, juegos, entradas para eventos digitales, propiedades, terrenos…
- El Internet de las cosas, IoT, wearables (gafas, cascos, guantes hápticos, joysticks, Smart watches, sensores, etc.) y los interfaces neuronales (Interfaces cerebro-computador, BCI), como fuentes de información para la interacción físico-virtual, que permiten el tratamiento de características biométricas.
- La Inteligencia Artificial (IA), esencial para responder al comportamiento en el mundo real, habilitar una interacción inteligente entre los usuarios y avatares, y toma de decisiones y perfilados.
- Infraestructura de redes de datos distribuidas y descentralizadas como el blockchain, 5G, cloud o Edge computing.
Todas ellas permiten una interacción inmersiva en los espacios virtuales, que conceden al usuario una experiencia social, una identidad digital y una propiedad de activos con un mercado de intercambio. Las aplicaciones son infinitas, tantas como actividades humanas: mercados de productos digitales, descentralización de las finanzas, eliminación de intermediarios, juegos, educación, trabajo, interacción social, diseño y simulación, salud, compra de terrenos digitales, etc.
No se trata de teorías o futuribles, sino que ya existen conocidas compañías con proyectos desplegados o iniciativas emprendedoras en el metaverso: PWC dispone de servicios de reunión virtual y ha adquirido terrenos virtuales, Adidas ha diseñado NFTs, Warner Music planea conciertos virtuales, el banco HSBC ha adquirido terrenos digitales para tener oficinas virtuales, Epic Games y Lego se han asociado para crear un metaverso para menores, Mastercard ha solicitado varias patentes relacionadas con NFTs y el metaverso, Barbados va a abrir una embajada diplomática virtual, etc.
El metaverso está diseñado para ser interoperable, sin fronteras, persistente y escalable. Actualmente hay un solo proyecto de metaverso, pero ya hay varias plataformas dentro de él. Estas plataformas están definidas de forma finita, como podrían ser: Second Life, The Sandbox, Decentraland, Cryptoboxes, Somnium Space o Horizon Worlds.
Extrapolando las técnicas de criptomonedas, tokens y NFT, se basan en sistemas criptográficos para crear activos digitales pero limitados, lo que permitiría la especulación. Como ha ocurrido en el pasado con otras iniciativas tecnológicas, la entrada en el mercado del metaverso puede producir una carrera incontrolada para formar parte de él, un impulso más basado más en el síndrome FOMO (Fear Of Missing Out, angustia por el temor de estar perdiéndose algo) que por evaluaciones racionales.
Desde el punto de vista de la privacidad, el uso del metaverso puede ser muy intrusivo, ya que el conjunto de datos que se tratan en este entorno aumenta de forma exponencial. Cualquier entorno virtual está por diseño plenamente datificado y permite tratar un espectro más amplio de información relativa a actividades humanas.
En particular, puede implicar nuevas categorías de datos con mayor granularidad y precisión. Sirva de ejemplo que la diversidad de datos biométricos recogidos aumenta a través de los wearables o los interfaces neuronales, aunque lo más interesante es la información que se está buscando de esos datos biométricos. Las gafas VR extraen información de las variaciones del iris, y los mandos que hacen de interfaz con el metaverso desvelan los cambios posturales, lo que permite analizar la respuesta emocional.
El análisis de la posición relativa de los avatares en un mundo virtual permite el análisis proxémico de forma automática, es decir, el estudio de la organización del espacio en la comunicación lingüística no verbal. Los tiempos y la forma de reacción permiten estudiar biomecánicamente al individuo, y así sucesivamente.
Esto, unido a los interfaces neuronales, permite conocer y perfilar al individuo a niveles no conocidos previamente en las redes sociales. Además, esta información fluye en dos sentidos, del individuo al entorno, y del entorno al individuo. En este último caso, la proyección de pequeñas variaciones corporales se traducirá en los avatares de las personas con las que se interacciona en el mundo virtual, con lo que se podría desvelar información de forma no deseada y que sería incluso explotable por medios automáticos. Y por supuesto, se podrían emplear con gran precisión novedosas técnicas de neuromarketing.
Todas las tecnologías que conforman el entorno del metaverso (redes sociales, IA, IoT, interfaces neuronales, etc.) tienen sus propios riesgos para la privacidad que deben ser gestionados. Pero, además, la aplicación conjunta de todas estas tecnologías puede provocar efectos individuales y sociales que genere riesgos para los derechos y libertades a una escala difícil de estimar a priori.
En el metaverso, el usuario experimenta eventos en el mundo virtual como si fuera el real, y se enfrentará a todo tipo de riesgos para su privacidad. Por ejemplo, la vigilancia masiva, la discriminación, la pérdida de autonomía, el fraude o la suplantación de identidad. Incluso el uso de datos personales, a través de las vulnerabilidades de los dispositivos wearables, o del propio entorno virtual, podría suponer riesgos físicos reales para la salud de los usuarios que los manejan.
Un aspecto importante a tener en cuenta es el desarrollo de metaversos sobre tecnologías que pretendan sustituir los mecanismos regulación y gobernanza del mundo real por reglas ejecutadas automáticamente, como ya ha ocurrido en ciertas criptomonedas sobre blockchain. Es decir, la posibilidad de desplazar al humano en el proceso de aplicación de la norma y del derecho, y sustituirlo por algoritmos que tomen las decisiones en un entorno virtual.
Las ‘leyes’ del metaverso se tendrán que contrastar no solo con el RGPD, sino con las nuevas propuestas de regulación en UE, la Digital Services Act, la Data Act, la Digital Markets Act, la Data Governance Act, la propuesta de Reglamento IA, etc.
Finalmente, todo este procesamiento masivo de datos debe ser conforme a lo establecido por el RGPD y hace necesario tener en cuenta:
- Los mecanismos de minimización de datos recogidos por los propios dispositivos wearables y por el metaverso.
- Los mecanismos de gobernanza del metaverso y el establecimiento de normas transparentes de protección de los derechos, fijando claramente los roles de los intervinientes y su sometimiento a los órganos de control.
- La auditoría y la transparencia, sobre todo en las decisiones automatizadas con relación a evitar abusos, sesgos, perfilados y discriminaciones.
- La gestión adecuada de los wearables y dispositivos para proteger los datos transmitidos y almacenados, teniendo en cuenta la posibilidad de que existan datos biométricos de los que se pueda inferir aún más información personal.
- La realización de evaluaciones de impacto para la protección de datos, dada la cantidad de tecnologías, algunas novedosas, que concurren en el metaverso y que amplifica los riesgos para los derechos y libertades.
- Garantizar los derechos de los interesados, incluido el derecho a la cancelación y supresión.
- Las garantías específicas de privacidad desde el diseño y por defecto que se puedan aplicar para, por ejemplo, preservar la privacidad de los avatares y su huella digital en el metaverso.
- La seguridad, especialmente en cuanto disponibilidad, resiliencia y a la confidencialidad de los datos personales que forman parte de los tratamientos realizados en el metaverso.
- Y, por último, es de importancia capital poner a los menores como eje central de las políticas de definición de medidas y garantías en el diseño de los entornos virtuales.
Con relación a lo anterior y a temas de cifrado y seudonimización se puede encontrar más material en la página de Innovación y Tecnología de la AEPD, en particular:
- Guía de Privacidad desde el Diseño
- Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial
- Gestión del riesgo
- Anonimización y Seudonimización
- Cifrado y privacidad
- IoT (II): Del Internet de las Cosas al Internet de los Cuerpos