El Metaverso es un espacio compartido virtual colectivo, creado por la convergencia de una realidad física y digital virtualmente mejorada, repleta de oportunidades, pero también de diversos desafíos y retos a diferente nivel, tal y como ha definido recientemente Gartner.

Opportunities in a Metaverse (Gartner.com)

En tal sentido, el metaverso hoy comprende múltiples tecnologías y plataformas. Es, en definitiva, una economía virtual independiente, habilitada por monedas digitales, tokens no fungibles (NFT) y smart contracts, en donde confluyen otra serie de tecnologías habilitadoras importantes como la realidad virtual (VR), realidad aumentada (AR), pantallas montadas en la cabeza (HMD), Internet de las cosas (IoT), 5G, inteligencia artificial (AI) o Blockchain, entre otras.

Qué nos depara el metaverso en el futuro

Hay cuatro innovaciones clave que hacen del metaverso una tendencia tecnológica estratégica: 1) la Web3; 2) la computación espacial; 3) el gemelo digital de una persona (DToP); 4) o el gemelo digital de un cliente (DToC), como un subconjunto del DToP., según indica igualmente Gartner.

Gartner también apunta que para el año 2026, el 25 % de las personas pasarán, al menos, una hora al día en un metaverso por trabajo, compras, educación, redes sociales y/o entretenimiento. Y eso está, literalmente, a la vuelta de la esquina.

 

World Economic Forum (Strategic Intelligence)

En definitiva, que las tecnologías de metaverso prometen el siguiente nivel de interacción en los mundos virtual y físico, brindando nuevas oportunidades y modelos de negocio innovadores, como muestra el gráfico anterior. Sin embargo, todas estas tecnologías que conforman el entorno del metaverso tienen sus propios riesgos para la privacidad y, sin duda, deben ser gestionados de forma proactiva y anticipada por las empresas y otras organizaciones.

El metaverso y sus riesgos para la privacidad

En línea con lo anterior, tal y como se menciona en la reciente “Carta de Intención sobre el Estado de la Unión Europea (UE)”, el metaverso es uno de los desafíos apremiantes que la UE afronta por delante, poniendo el foco, sobre todo, en la debida protección de las personas y de sus derechos y, en general, de los valores europeos.

De forma que con la normativa sobre protección de datos personales, la regulación en ciernes sobre Inteligencia Artificial, la relacionada con la estrategia europea de datos (Ley de Gobernanza de Datos (Data Governance Act) y propuesta de Ley de Datos (Data Act)), y el nuevo paquete normativo sobre servicios digitales (Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA)), Europa dispone de adecuadas herramientas para afrontar con ciertas garantías la regulación de estos nuevos ecosistemas digitales. Lo que no significa, como bien apunta la propia Comisión Europea, que se trabaje en el reforzamiento de aspectos como la interoperabilidad, la estandarización, la competencia, la propiedad intelectual e industrial, los smart contracts, la infraestructura, los sistemas de almacenamiento de datos, la ciberseguridad y, en general, la mejor protección de los derechos y protección legal a los usuarios, ya sean personas físicas, ya sean usuarios profesionales.

Por su parte, el Parlamento Europeo, en su reciente informe titulado Metaverse: Opportunities, risks and policy implicationsademás de incidir en lo anterior, pone el foco especialmente en la privacidad y la protección de los datos personales en estos entornos, no sólo por una cuestión de generación de mayores volúmenes de datos, sino también por el hecho de que muchos de estos datos pueden tener un carácter biométrico o sensible (datos especialmente protegidos). Como indica la Agencia Española de Protección de Datos (AEPD), desde el punto de vista de la privacidad, el uso del metaverso puede ser muy intrusivo, ya que el conjunto de datos que se tratan en este entorno aumenta de forma exponencial.

También se pone especial atención a estos temas por relación a la  compartición (data sharing), portabilidad y transferencias internacionales de los datos entre diversas plataformas o entornos digitales, lo que implica analizar las bases jurídicas adecuadas para poder realizar estas operaciones de tratamiento con la suficiente legitimidad y seguridad, no solo para evitar posibles sanciones a este nivel, también para dotar de mayor confiabilidad a los servicios que se prestan a los usuarios, incidiendo también en la competitividad y reputación de las compañías en el mercado.

Por su parte, garantizar la identidad digital cuando se opera a través de un avatar o de varios (o cómo asegurar su integridad o evitar la suplantación de identidad), o cómo se protege el derecho de imagen de las personas físicas en los distintos metaversos, son elementos íntimamente relacionados con la privacidad también, lo que plantea un reto de amplio espectro a los reguladores que ahora trabajan en dar una respuesta integral y coherente a esta nueva realidad.

 

Qué tener en cuenta en materia de privacidad al lanzar un proyecto en el metaverso

En términos estrictos de privacidad y de protección de datos personales, podemos destacar los siguientes elementos, -sujetos al análisis de cada caso particular-, que deberían considerarse por parte de las empresas y otras organizaciones cuando estas pretenden lanzar proyectos en el Metaverso, preferentemente, durante la fase de su proyección y diseño inicial:

  • Es importante determinar el rol de la Organización en el proyecto de Metaverso de que se trate, pues son bien distintas las obligaciones legales para un responsable y un encargado del tratamiento de datos, pudiendo existir proyectos en colaboración que, además, requerirían de acuerdos bien de corresponsabilidad (ex art. 26 del Reglamento General de Protección de Datos (RGPD)) o de otro tipo de acuerdo contractual, según se trate. Esta parte también es importante de cara a determinar quién debe responder finalmente ante peticiones de ejercicios de derechos personales por parte de los usuarios u afectados.
  • Diseñar el proyecto en el Metaverso aplicando criterios de diseño legal y ético desde el inicio, sobre todo, en términos de privacidad y seguridad desde el diseño y por defecto (ex artículos 5,24,25 y 32 del RGPG). Se recuerda que no hacerlo puede suponer la comisión de sendas infracciones graves, según el artículo 73 letras d) y e) de la Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Del mismo modo diseñar, en general, un entorno seguro, inclusivo y responsable será fundamental.
  • Realizar los correspondientes análisis y evaluaciones de impacto en protección de datos. Todo ello en coherencia a lo previsto en los artículos 5, 32, 35 y 36 del RGPD. La identificación, trazabilidad y control de los riesgos existentes, minimizando y mitigando estos, en términos de protección y seguridad de los datos, es crucial en las fases de diseño de proyectos en el metaverso.
  • Desarrollar una estrategia inteligente en torno a gobernanza de datos en este tipo de proyectos, con especial atención al principio de minimización en el tratamiento los datos personales, entre otros aspectos importantes relativos al ciclo de vida de estos datos. Pero que también aborde la posible anonimización y reutilización de datos anonimizados (que no son datos personales), promoviendo igualmente la generación y utilización de datos sintéticos (a través del recurso a una de las técnicas más interesantes dentro de las denominadas “Privacy-preservation techniques (PETs)”. Así, en el año 2024, según predice Gartner, el 60% de los datos utilizados para el desarrollo de proyectos de IA y analítica de datos serán generados sintéticamente, algo que puede (y debe) ser aprovechado en el caso de proyectos en el Metaverso. De hecho, las tendencias asociadas a gemelos digitales de personas (DToP), o de clientes (DToC), apuntan a una tendencia en el aumento de este tipo de proyectos basados en datos sintéticos (como alternativa al uso de datos en el mundo real, mejorando desde el diseño los parámetros de privacidad a considerar).
  • Prestar especial atención a los colectivos vulnerables y a sus derechos (en particular, a los menores de edad).
  • La auditoría continuada en el tiempo (interna y/o externa) y la transparencia, sobre todo en las decisiones automatizadas basadas en tecnologías de IA (que suelen estar presentes en este tipo de proyectos), a fin de evitar de forma anticipada importantes problemas éticos y legales relacionados con temas como el sesgo algorítmico, perfilados amplios o sensibles (biométricos, emocionales, etc.), posible discriminación asociada, etc.
  • Contar con políticas, protocolos y cláusulas legales que atiendan lo requerido en la normativa aplicable en estos casos y proyectos, no sólo la legislación de protección de datos, sino también la relativa a servicios de la sociedad de la información y a consumidores y usuarios, incluyendo, las nuevas previsiones y obligaciones legales, cuando apliquen, de la normativa de Inteligencia Artificial y de servicios y mercados digitales. Es decir, contar con una estrategia legal sólida e integrada que garantice el cumplimiento de la normativa europea y española de protección de datos, al tiempo que el resto de las normas y leyes directamente relacionadas con esta (muchas de ellas nuevas), e igual de importante para las compañías que operan online.
  • Revisar de forma particular los protocolos de atención de derechos personales, sobre todo, en lo que pueda afectar específicamente a la garantía del derecho de acceso, portabilidad y de supresión de los datos personales, entre otros.
  • Controlar las garantías que ofrecen los proveedores de servicios, sobre todo tecnológicos y de almacenamiento de datos asociados a estos proyectos, de conformidad con lo indicado en el artículo 28 del RGPD y demás normativa española concordante. Contar con políticas de contratación y control de proveedores a este nivel puede ayudar a cumplir proactiva y responsablemente en el sentido indicado por la ley (políticas corporativas de tecnología responsable y confiable).
  • Atender a las problemáticas relativas a las transferencias internacionales y transfronterizas de datos personales, a fin de prever con suficiente antelación las bases legales habilitadoras a este nivel.
  • Formar y concienciar a los equipos sobre el uso corporativo de estas herramientas, plataformas y nuevos canales de interactuación y de sus implicaciones legales, sobre todo, en términos de privacidad y seguridad de la información (operativa interna y externa).
  • Con carácter general, valorar las posibles interacciones y relaciones del derecho a la protección de datos personales, con otros derechos fundamentales reconocidos a las personas físicas como el de la intimidad o la propia imagen, entre otros derechos, mencionados en la Carta de Derechos fundamentales europea[1], la Carta de Derechos Digitales española, en la próxima Declaración europea de derechos digitales.

Como conclusión, las autoridades de control en protección de datos europeas están preocupadas en cómo se va a desarrollar este tipo de tecnologías y proyectos relacionados, y sobre cuál va a ser su impacto en los derechos de las personas físicas, por lo que cumplir con la normativa aplicable se torna hoy en día, además de en algo necesario, también en un elemento estratégico y competitivo de primer orden para no errar en las inversiones que se estén realizando en este ámbito, pero también de cara a los inversores y otros grupos de interés por relación a cumplimiento de estrategias ESG (Digital ESG / Ética Digital)

 

Fuente: KPMG