Con la aparición de diferentes entornos virtuales como aplicaciones de realidad aumentada, redes sociales o mundos virtuales, combinados con tecnología actual, surge el metaverso. Pero ¿Qué es el metaverso? El metaverso como concepto, es un término con orígenes en la literatura de ciencia ficción, el cual, fue acuñado por Neal Stephenson, quien fusionó dos palabras «meta» y «universo» y lo presentó a una audiencia más amplia en su novela distópica llamada «Snow Crash» en 1992.
El metaverso se puede describir como una combinación de lo físico y lo digital representando la idea de que los usuarios serán capaces de interactuar y realizar transacciones en mundos totalmente digitales.
Podríamos decir que el objetivo actual de la privacidad está centrado en regular todo aquello referente al mundo 2D de la Web 2.0, que, con la llegada del metaverso añadirá una dimensión más compleja al desafío. Los usuarios tendrán la opción de utilizarán todo tipo de nuevas tecnologías para interactuar con el metaverso, como por ejemplo, guantes hápticos con electromiografía. Los procesos de recopilación, almacenamiento y utilización de datos a través de estos dispositivos aún no se han documentado por completo. Además, preservar el anonimato del usuario se convertirá en el primer objetivo que deberá perseguir la privacidad.
Podemos esperar que las empresas cuya actividad esté centrada en el metaverso, recopilen información personal para la identificación individual, publicidad y seguimiento a través de múltiples canales como dispositivos portátiles, micrófonos, monitores cardíacos y respiratorios, e interacciones del usuario a una escala que previamente no se hubiese visto.
Es por ello que la protección de datos se convertirá en un pilar fundamental, tanto para las empresa, desarrolladores como usuarios a la hora de interactuar en el metaverso ya que si atendemos a lo establecido en el artículo 83 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), toda empresa, como responsable o encargado de tratamiento podría llegar a ser sancionada con multas de hasta el 4% de la facturación anual o de 20 millones de euros dependiendo de la infracción según la naturaleza, gravedad, duración de la infracción, intencionalidad y medidas adoptadas, entre otros factores.
Por tanto, las empresas deberán considerar los siguientes factores fundamentales al prepararse para trabajar en el metaverso:
1. Estricta regulación y cumplimiento de los principios de privacidad.
Si nos centramos en aquellas empresas que deben ser reguladas por la normativa europea, deberán cumplir las exigencias del RGPD antes de iniciar su actividad. Esto supone el cumplimiento del artículo 5 del propio Reglamento, el cual viene a decir que todo tratamiento llevado a cabo por el responsable o encargado del tratamiento deberá realizarse de manera lícita, legal, transparente; siendo recogidos con fines determinados, explícitos y legítimos, así como adecuados, pertinentes y limitados acorde a la finalidades detalladas; siendo exactos, confidenciales, y definiendo los correspondientes plazos de conservación.
Cabe señalar que en la actualidad nos podemos encontrar con diferentes normativas de protección de datos como la ley de privacidad del consumidor de California (CCPA) si hablamos de Estados Unidos o la UK Data Protection Act si hacemos referencia a Reino Unido, sin embargo, el metaverso podría convertirse en un territorio completamente separado que opere tanto de manera universal como independiente, por lo que es necesario que se desarrolle una estricta regulación dependiendo de las procedencia o ubicación de los datos recabados.
2. Mejora en los mecanismos para recabar el consentimiento.
Los dispositivos HCI podrían ayudar a recopilar una variedad de tipos de datos, incluida la información biométrica del usuario. Los interesados deben ser conscientes de la información que es utilizada y recabada por la empresa como responsable o encargado del tratamiento, de tal modo que dicho consentimiento se facilite mediante un claro acto afirmativo que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, tal y como estipula el artículo 7 del RGPD.
La empresa deberá ser capaz de demostrar en todo momento que dicho consentimiento se facilitó de manera voluntaria, utilizando un lenguaje claro y sencillo, facilitando al usuario la posibilidad de retirarlo en cualquier momento. Además, el consentimiento deberá actualizarse periódicamente sin la suposición de un permiso indefinido por parte del usuario e igualmente de la solicitud de aquellos casos en los que se lleven a cabo nuevos tratamientos.
3. Implementación de la privacidad por diseño en el desarrollo de la tecnología.
Siguiendo con lo establecido en el artículo 25 del RGPD, las empresas que operen en el metaverso deberán asegurar el cumplimiento de la protección de datos desde el diseño y por defecto en todo momento. Ello implica que la privacidad ya esté integrada en la tecnología, los sistemas de TI, los servicios y los productos para garantizar la protección de datos. En resumen, en todos los procesos de ingeniería que se lleven a cabo teniendo lo harán teniendo en cuenta la privacidad. El responsable o encargado del tratamiento deberá implementar todas las medidas técnicas y organizativas apropiadas en el diseño, operaciones de los sistemas y la infraestructuras.
La privacidad por diseño se basa en la construcción de la privacidad como el modo de operación predeterminado dentro del modelo de negocio de las organizaciones y que se extiende a los sistemas de tecnologías de la información que soportan el tratamiento de los datos, los procesos y las prácticas de negocio relacionadas y el diseño físico y lógico de los canales de comunicación utilizados. Este aseguramiento de la privacidad puede lograrse mediante la puesta en práctica de los siete principios fundacionales:
- Proactivo, no reactivo; preventivo, no correctivo.
- La privacidad como configuración predeterminada.
- Privacidad incorporada en la fase de diseño.
- Funcionalidad total: pensamiento “todos ganan”.
- Aseguramiento de la privacidad en todo el ciclo de vida.
- Visibilidad y transparencia.
- Respeto por la privacidad de los usuarios: mantener un enfoque centrado en el usuario.
4. Monetización adecuada y políticas transparentes.
Uno de los problemas habituales con los que se encuentran los usuarios a la hora de facilitar su información, es el uso indebido de sus datos al registrarse en un servicio que creen que es gratuito cuando el coste por el servicio es la información facilitada.
Por tanto, las empresas deberán definir una política de privacidad clara y revisable en todo momento por parte del usuario. La empresa, como responsable o encargado del tratamiento, deberá informar a los usuarios sobre los datos de contacto del Delegado de Protección de Datos (DPO/DPD), si lo hubiese, las finalidades del tratamiento, la base legitimadora para el tratamiento, los plazos de conservación, la existencia de decisiones automatizadas o elaboración de perfiles, la previsión de transferencias internacionales, así como la posibilidad de poder ejercitar sus derechos o presentar una reclamación ante la autoridad de control, tal y como definen los artículo 13 y 14 del RGPD.
5. Equipo de seguridad integrado y especializado.
Toda empresa que opere en el metaverso se deberá rodear de un equipo especializado en ciberseguridad y privacidad. Por lo que para aquellos casos donde lleva a cabo un tratamiento a gran escala o de datos de carácter sensible o como puede llegar a ser el uso de datos biométricos o de salud, deberá nombrar un Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), el cual le apoyará de forma adecuada y en tiempo oportuno para todas aquellas cuestiones relativas a la protección de datos de carácter personal de los usuarios según lo establecido en el artículo 37 del RGPD.
El Delegado de Protección de Datos, podrá advertir y ayudar a la empresa para que cumpla con la normativa vigente en materia de protección de datos, atenderá los ejercicios de derechos que provengan tanto de los usuarios como de cualquier interesado, así como actuar como punto de contacto con la autoridad de control y ofrecer asesoramiento cuando se solicite acerca de la evaluación de impacto, tal y como define el artículo 39 del RGPD.
Además de todo lo previamente descrito y comentar de una manera resumida, podríamos señalar otras exigencias en materia de privacidad si nos centrásemos exclusivamente en el Reglamento General de Protección de Datos para aquellas empresas cuya actividad se centre en el metaverso como la elaboración de registro de actividades de tratamiento, llevar a cabo una evaluación de impacto (EIPD) mediante la cual se analice en profundidad la naturaleza, alcance, contexto o fines del tratamiento, desarrollo de procedimientos internos, firma de contratos de encargado de tratamiento, así como la formación continua a aquellos profesionales que participen en todas las fases del desarrollo.
Por último, si hacemos referencia a la actualidad podemos encontrar distintos tipos de metaverso cuyo denominador común tiene un componente “gaming”, además de la tecnología Blockchain. Entre los más relevantes encontramos Cryptovoxels, Decentraland, Sandbox.game, Somnium Space, Axie Infinity y Webaverse. Como dato a destacar, dichos metaversos se gestionan mediante el uso de tokens, los cuales, le permite al usuario tener un poder de decisión.
También cabe destacar el anuncio llevado a cabo por Mark Zuckerberg en Facebook Connect 2021 comunicando la transformación de Facebook, Instagram y WhatsApp en Meta como marca y apostando toda la tecnología en el metaverso. Una noticia muy relevante ya que actualmente Facebook cuenta con más de 2.9 mil millones activos mensuales y que más de 3.5 mil millones utiliza alguno de los productos de la compañía.
