Recientemente, la Asociación Española de Protección de Datos – AEPD ha publicado un post identificando los principales riesgos para la privacidad en el entorno del Metaverso.
Ya se ha escrito en abundancia en relación con el impacto que el Metaverso tiene en el ámbito legal; no obstante, la privacidad y la protección de datos es una de las ramas del derecho donde más impacto va a tener. Esto es debido a que desde la entrada en el mismo con el avatar, ya nos solicitarán datos personales identificativos para más tarde poder interactuar en los distintos Metaversos con el mismo. Las posibilidades de interacción en el Metaverso o Metaversos con el avatar van a ser muy amplias: alquilar cosas, comprar propiedades, contratar servicios y experiencias, crear publicidad, interactuar con otros avatares, recibir o impartir formación, etc.
Pues bien, respecto al tratamiento de datos personales de los usuarios que participan en el Metaverso, se puede llegar a realizar analítica de datos con una gran precisión y granularidad en cuanto a sus interacciones: análisis de datos biométricos, gestos y cambios de postura, respuesta emocional, forma de interactuar, comportamientos...
El conjunto de estas tecnologías desplegadas en el Metaverso puede provocar un alto riesgo e impacto con efectos para la privacidad e intimidad de las personas físicas que participen en ello, cuyas consecuencias son difíciles de prever hoy en día: discriminación en los servicios ofrecidos, fraude en la identidad digital, perfilado extensivo sobre la persona, pérdida de autonomía personal, etc.
La AEPD pone el acento en la necesidad de tener en cuenta no solo el RGPD, sino también el DSA, Data Act, Data Governance Act, la propuesta de Reglamento de la IA.
En relación con las tecnologías que participen en el Metaverso realizando un tratamiento masivo de datos personales (IoTs, redes sociales, IA, etc.), se deben tener en cuenta los siguientes procedimientos en materia de protección de datos:
- Principio de minimización.
- Principio de finalidad.
- Principio de necesidad, idoneidad y proporcionalidad.
- Principio de calidad de los datos.
- Realizar evaluaciones de impacto.
- Transparencia y deber de información.
- Privacidad por diseño y por defecto.
- Implementar medidas de seguridad técnicas que aseguren la confidencialidad, disponibilidad e integridad de la información.
- Auditorías de las herramientas que adopten decisiones automatizadas.
- Garantizar que puedan cumplir con los posibles derechos que ejerciten los usuarios en materia de protección de datos (derecho de acceso, rectificación, oposición, limitación del tratamiento, portabilidad, cancelación).
- Nombrar un DPO que vele por la supervisión del cumplimiento de la normativa de protección de datos de personas físicas e implemente todas las garantías en las herramientas antes de que salgan al mercado.
Si desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho enviando un email a contacto@selierabogados.com o bien llamando al 91.205.44.25