Metaverso: Desafíos para la privacidad y la protección de datos

Aunque el metaverso todavía está lejos de convertirse en una realidad, su llegada tiene el potencial de traer consigo una nueva serie de desafíos y riesgos para la protección de datos y de la privacidad de los usuarios. En este artículo echamos una pequeña mirada hacia el futuro para ver qué podemos esperar de esa relación entre el metaverso, protección de datos y privacidad.

Primero, ¿qué es el metaverso?

Desde que Facebook cambió de nombre a Meta (para empezar a vincular el nombre de la empresa con lo que está por venir) y presentó su proyecto de metaverso, es uno de los conceptos de moda y otras tecnológicas ya ha empezado hablar de sus planes al respecto de sus propios metaversos. Pero, ¿qué es el metaverso?

Podríamos remontarnos a los orígenes de esta palabra acuñada en la ciencia ficción por el autor Neal Stephenson, pero nos limitaremos a decir que el metaverso es una combinación entre el mundo físico y el mundo digital, es decir, un lugar virtual donde, a través del uso de diferentes tecnologías (gafas de realidad virtual, gafas de realidad aumentada, guantes y otras prendas o dispositivos hápticos, etc.), los usuarios podrán sumergirse e interactuar con otras personas y objetos como si lo hicieran en el mundo real. De manera que en el metaverso se podrán llevar a cabo diferentes tipos de actividades (reuniones de trabajo, asistir a clases, viajes virtuales, juegos, compras…), algunas de las cuales podrían tener efecto en el mundo real (por ejemplo, comprar online en el metaverso y recibir esa compra en casa).

En cierto sentido, aunque alejados aún del futuro metaverso de Facebook (y de ese metaverso que podemos ver en películas o novelas de ciencia ficción como Ready Player One), ya existen metaversos actuales, como los que podemos encontrar en los videojuegos online (especialmente los que tienen un alto componente de interacción social) o, quizás uno de los ejemplos de metaverso más evidente, Second Life, un mundo virtual en el que podías tener una «vida paralela» completamente digital.

Evidentemente, a estos metaversos actuales lo que les falta es el componente de la inmersión, algo que los sistemas de realidad virtual y la tecnología háptica están más cerca de conseguir.

Desafíos del metaverso para la privacidad y la protección de datos

Tal y como ha ocurrido con las redes sociales, el uso de aplicaciones, el comercio electrónico y otros servicios digitales, que ya supusieron nuevos retos para la protección de datos, retos que desembocaron en la creación del RGPD (Reglamento General de Protección de Datos) en Europa, el metaverso también trae consigo una serie de desafíos para la privacidad que pueden implicar la creación de nuevas leyes o la adaptación de las ya existentes.

Para empezar, esas nuevas tecnologías necesarias para entrar al metaverso capturarán y registrarán datos biométricos, unos datos que dentro del RGPD son considerados como datos sensibles cuando se destinan a la identificación inequívoca de una persona a través de medios automatizados. Es cierto que las actuales tecnologías de los denominados wearables (como las smartbands), así como el reconocimiento facial o el escaneo de la huella dactilar o del iris, por citar algunos ejemplos, son ya formas de tratamiento de datos biométricos que el propio RGPD y la Ley Orgánica de Protección de Datos vienen regulando desde que están en vigor, por lo que las limitaciones para el uso de este tipo de datos personales ya existe, aunque habría que ver hasta qué punto esas nuevas tecnologías podrían llegar a capturar nuevos tipos de datos biométricos que hasta ahora no se tenían en consideración (en concreto, aquellos relacionados con la información neuronal de los usuarios).

Pero no solo se trata de datos biométricos; los usuarios, en sus interacciones con el metaverso, generarán más datos que podrán recabarse y usarse para diferentes fines, tal y como ocurre actualmente con nuestra huella digital. Por lo que será necesario trasladar el consentimiento expreso para la recolección y uso de esos datos por parte de los usuarios. El reto surge cuando, como ocurre con las cookies técnicas, parte de la recolección y tratamiento de esos datos sea necesaria para el funcionamiento del metaverso, lo que haría del consentimiento algo no completamente obligatorio y podría dejar la puerta abierta a la recolección y tratamiento de una gran cantidad de datos (y metadatos) personales sin que el usuario tenga realmente control sobre ello.

¿Y quién recabará y tratará esos datos? En principio, serán las grandes tecnológicas, no muy diferente a lo que ya ocurre en la actualidad, por lo que el reto está, nuevamente, en controlar los datos que son transferidos y tratados en países fuera de la UE.

El metaverso también planteará retos relacionados con la protección de la intimidad y el derecho al honor y la propiedad intelectual, en el sentido de hasta qué punto los límites legales relacionados con estos derechos en el mundo real, se pueden trasladar al propio metaverso. Algo que ya podemos extrapolar desde lo que ocurre en redes sociales y plataformas para compartir contenidos creados por los usuarios y que la UE quiere legislar con su Ley de Servicios Digitales y de Mercados Digitales (ambas en fase de desarrollo actualmente).

Las criptomonedas en el metaverso y otros criptoactivos, como los NFT, son otro de los desafíos para los países y regulaciones internacionales, puesto que se espera que las transacciones económicas en los metaversos se hagan usando criptomonedas, algo que podría escapar completamente al control de la ley y de las haciendas de cualquier país; pese a que las criptomonedas en España y en la UE ya cuentan con una pequeña legislación (relacionada con el blanqueo de capitales), esta todavía es insuficiente y, de cara al futuro uso de estas en el metaverso, más aun.

En definitiva, podemos hablar de un gran desafío y es cómo podrán aplicarse leyes a mundos digitales para evitar que estos se conviertan en una especie de «países soberanos independientes», donde quien crea las reglas es la gran empresa tecnológica de turno.

Riesgos del metaverso para la privacidad

Dada la propia concepción datificada del metaverso, su uso podría llegar a ser muy intrusivo en lo que a nuestra privacidad se refiere. En este mundo digital los datos lo son todo y los usuarios, como hemos dicho en el punto anterior, generarán datos continuamente, que serán capturados, analizados y explotados por diferentes agentes del metaverso.

Ya hemos dicho la capacidad que wearables y gafas de realidad virtual tienen para captar nuevos datos biométricos. Si a estas tecnologías sumamos las futuras interfaces neuronales (que son las que más potencial tienen para sumergirnos en el metaverso y hacernos vivir una experiencia «real» en él), la capacidad para perfilar a los usuarios aumenta exponencialmente con respecto a lo que se puede hacer actualmente. Es muy posible que del análisis de los datos recopilados a través de esas tecnologías, se obtenga información sobre los usuarios de la que ellos no sean conscientes y que, quizás, no quisieran revelar.

Si el mundo digital actual y el tratamiento de datos personales que se genera en él, ya puede causar riesgos para la privacidad y para los derechos y libertades de las personas, la concurrencia de las tecnologías que hacen o harán posible el futuro metaverso multiplican esos riesgos. Hablamos de discriminación, de fraude, de suplantación de identidad, de vigilancia masiva, así como de riesgos que podrían, incluso, pasar del mundo digital al mundo físico, al explotar posibles vulnerabilidades en los dispositivos que usemos para interactuar con el metaverso.

El cómo se rijan los metaversos, es decir, las «leyes» que los gobiernen también podrían suponer un riesgo para la privacidad y los derechos y libertades de los usuarios, puesto que estos mundos digitales descentralizados se basarían en el blockchain y algo similar a lo que ocurre con los smart contracts, es decir, en reglas que se ejecutan de manera automática, dejando que sean los algoritmos los que tomen las decisiones, desplazando así cualquier tipo de regulación humana.

¿Es suficiente el RGPD para garantizar la privacidad en el metaverso?

Ya hemos ido adelantando parte de la respuesta a esta pregunta en el punto anterior. Actualmente, el RGPD parece que podría ser suficiente para hacer frente a algunos de los retos que plantea el metaverso respecto a la privacidad y la protección de datos, a fin de cuentas, ya hemos visto que los datos biométricos están amparados por esta normativa y, por tanto, su uso también, por lo que ya sabemos qué limitaciones hay respecto al tratamiento y la finalidad de dicho tratamiento de este tipo de datos.

Lo mismo ocurre con los datos que se puedan generar en las interacciones con el metaverso; la publicidad dirigida va a estar más regulada por la Ley de Servicios Digitales, por lo que los usuarios tendrán, en teoría, más control sobre quién y cómo se les rastrea al usar determinados servicios en Internet y esto puede incluir al metaverso también. Tanto esta ley como el RGPD son flexibles en ese aspecto, dejando espacio para modificaciones e introducción de nuevos aspectos, según avanza la tecnología.

Además, el RGPD establece la protección desde el diseño y por defecto, algo que debe aplicarse a cualquier tratamiento de datos y, por extensión, a cualquier tecnología que implique el tratamiento de datos personales, como lo serán aquellas que se usen para entrar e interactuar en el metaverso. Por lo tanto, sus desarrolladores y aquellos que vayan a implementarlas, deben aplicar ese principio del RGPD cuando traten con usuarios de la UE.

En consecuencia, el RGPD y nuestra LOPDGDD deberían ser suficientes para enfrentar la mayoría de desafíos que el metaverso planteará para la protección de la privacidad, aunque es muy probable que sea necesario hacer modificaciones según se desarrollen tanto la tecnología implicada como los propios metaversos. Que estos mundos digitales no estén en ninguna región real, no tiene por qué implicar que no se puedan aplicar regulaciones sobre ellos, de la misma forma que ya se aplican regulaciones sobre Internet.

¿Qué deben tener en cuenta las empresas que quieran trabajar en el metaverso y cumplir con la ley de protección de datos?

Como ya ocurre con las redes sociales, es más que probable que las empresas también quieran formar parte del metaverso, tener su presencia en este mundo digital e interactuar con sus trabajadores y clientes en él. Por ello, es necesario que las empresas que vayan a querer tener esa presencia en el metaverso, se aseguren también de que cumplen con la ley de protección de datos.

Así, esas empresas deberán conocer y cumplir estrictamente con lo dispuesto en la normativa de protección de datos y también con la Ley de Servicios Digitales, así como otras leyes europeas relacionadas que están en proceso de aprobarse (como, por ejemplo, el Reglamento IA o la Ley de Mercados Digitales); el metaverso, como hemos dicho, no tendrá una ubicación real, pero el procesamiento y tratamiento de los datos capturados en él sí, ya sea en países de la UE o fuera de ella.

Si la empresa va a hacer uso o tener acceso a los datos biométricos de empleados o usuarios con los que se interaccione en el metaverso, deberá cumplir con los requisitos tanto de información como de consentimiento expreso para el tratamiento de dichos datos. Consentimiento que deberá renovar cada cierto tiempo, puesto que la conservación de estos datos no debería ser indefinida.

Así mismo, y como ya hemos señalado, será necesario que la protección de la privacidad esté integrada en el diseño de la propia tecnología o en el uso que se quiere hacer de ella. Además, se deberán implementar las medidas de seguridad adecuadas para garantizar la protección de esa privacidad.

Las empresas que operen en el metaverso y especialmente si ofrecen servicios gratuitos, deberán ofrecer a sus usuarios políticas de privacidad clara, en las que se especifique si ese «uso gratuito» es a cambio de información personal (no muy diferente a lo que ya es obligatorio hacer con los formularios de suscripción para poder tener acceso a determinados materiales de una web) y para qué fines se usará dicha información.

Aparte de esto, será necesario cumplir con todas las obligaciones que actualmente se recogen en el RGPD y la LOPDGDD respecto a la protección de datos (análisis de riesgos, evaluaciones de impacto, elaboración del registro de actividades de tratamiento, nombramiento del delegado de protección de datos, ejercicio de derechos de los interesados e información sobre brechas de seguridad), sin olvidar otros aspectos relacionados con el tratamiento de datos personales obtenidos del metaverso, como son:

• La minimización de los datos recogidos.
• La aplicación de la privacidad desde el diseño y por defecto.
• La transparencia, especialmente en las decisiones automatizadas.
• La protección de los datos que generan los wearables y otros dispositivos para interactuar con el metaverso, tanto mientras se transmiten como cuando se almacenan.
• La aplicación de medidas de seguridad que garanticen la disponibilidad, resiliencia y confidencialidad de los datos personales tratados en el metaverso.

Además de aquellas modificaciones o novedades que se puedan incluir en el futuro, tanto en el propio RGPD y la LOPDGDD como en otras leyes relacionadas con la protección de datos y la privacidad y el uso de las nuevas tecnologías y el metaverso.