Riesgos jurídicos en el metaverso desde el derecho y la protección de datos personales

Xavier  Romero Vélez; Gustavo Alberto  Reyna López

doi:10.47865/igob.vol8.n29.2025.391

Authors

Xavier Romero Vélez Pontificia Universidad Católica del Perú
Gustavo Alberto Reyna López Universidad de San Carlos de Guatemala

DOI:

https://doi.org/10.47865/igob.vol8.n29.2025.391

Keywords:

Law, Information Technology and Technology Law, Personal Data Protection Law, Law in the Metaverse, Legal Risks in Virtual and Digital Environments, Legal Risks in the Metaverse under Peruvian Law

Abstract

This article explores the legal risks associated with personal data protection in the metaverse, an
immersive virtual environment that is reshaping digital, economic, and social interactions. The metaverse
introduces significant challenges to privacy by enabling the large-scale and continuous collection of
personal data, including sensitive and biometric data, which raises unprecedented security concerns. The
study evaluates the ability of Peru's Law N° 29733, the Personal Data Protection Law, and its Regulation,
to address these risks. Through an exegesis of the current legislation and a comparative analysis with
international frameworks such as the European Union’s General Data Protection Regulation (GDPR) and
California's Consumer Privacy Act (CCPA), this research identifies the limitations of the Peruvian
framework and proposes reforms to strengthen personal data protection in the context of the metaverse.
Additionally, the article discusses the implications of the recent proposal to modify the regulation of Law N°
29733, and its capacity to respond to the emerging threats posed by this digital environment.

Downloads

Download data is not yet available.

References

Agencia de los Derechos Fundamentales de la Unión Europea & Consejo de Europa. (2018). Handbook on European data protection law. Agencia de los Derechos Fundamentales de la Unión Europea. http://doi.org/10.2811/343461

Chipana, J. (2022). Derecho y nuevas tecnologías: el derecho en una nueva era. THEMIS.

Marecos, A. (2011). La protección de datos personales como núcleo del derecho fundamental a la autodeterminación informativa. En Corte Suprema de Justicia. División de Investigación, Legislación y Publicaciones, Protección de datos personales (pp. 43-190). Asunción-Paraguay.

Renieris, E. M. (2023). Beyond data: reclaiming human rights at the dawn of the metaverse. MIT Press.

Serrano Acitores, A., Alonso Ureba, A., & Montalvá Medina, E. (2022). Metaverso y derecho. Editorial Tecnos.

Zech, H. (2016). Data as a Tradeable Commodity. En A. De Franceschi (Ed.), European Contract Law and the Digital Single Market: The Implications of the Digital Revolution (pp. 51-80). Intersentia. https://doi.org/10.1017/9781780685212.004

Artículos académicos / Tesis o trabajos de investigación:

Abrams, M. (2014). The Origins of Personal Data and its Implications for Governance. The Information Accountability Foundation. http://dx.doi.org/10.2139/ssrn.2510927 8. AEPD. (2023, 8 de noviembre).

Metaverso y privacidad. Agencia Española de Protección de Datos. https://www.aepd.es/prensa-y-comunicacion/blog/metaverso-y-privacidad

Aroni Dolores, L. T. (2022). Consumidor y Metaverso: deber de idoneidad y garantías. [Tesis de segunda especialidad, Pontificia Universidad Católica del Perú]. Repositorio Institucional PUCP. http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/24608/ARONI_DOLORES_LIZETH_TATIANA.pdf?sequence=1

Bolaños Vainstein, G. G. (2022). La incorporación del derecho a la portabilidad de datos personales en el ordenamiento jurídico peruano. [Tesis para optar el título profesional de Abogado, Universidad de Lima]. Repositorio institucional de la Universidad de Lima. https://hdl.handle.net/20.500.12724/15999

Buchholz, F., Oppermann, L. & Prinz, W. (2022). There’s more than one metaverse. i-com, 21(3), 313-324. https://doi.org/10.1515/icom-2022-0034 12. Comisión Europea. (2023, 7 de noviembre).

¿Qué datos personales se consideran sensibles? Comisión Europea. https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-personal-data-considered-sensitive_es

Damar, M. (2021). Metaverse shape of your life for future: A bibliometric snapshot. Journal of Metaverse, 1(1), 1-8. https://dergipark.org.tr/en/download/article-file/2167665

Dwivedi, Y. K., et al. (2022). Metaverse beyond the hype: multidisciplinary perspectives on emerging challenges, opportunities, and agenda for research, practice, and policy. International Journal of Information Management, 66, 102542. https://doi.org/10.1016/j.ijinfomgt.2022.102542

Eguiguren Praeli, F. J. (2015). El derecho a la protección de los datos personales. Algunos temas relevantes de su regulación en el Perú. THEMIS Revista De Derecho, (67), 131-140. https://revistas.pucp.edu.pe/index.php/themis/article/view/14462

Flannery, C. B. (2022). Philosophical and Practical Privacy in the Metaverse: A Case for Data Privacy Protection under the United States Constitution. Cornell JL & Pub. Pol'y, 32, 133. https://heinonline.org/hol-cgi-bin/get_pdf.cgi?handle=hein.journals/cjlpp32&section=7

Hohendanner, M., Ullstein, C., Miyamoto, D., Fukuwatari Huffman, E., Socher, G., Grossklags, J., & Osawa, H. (2024). Metaverse perspectives from Japan: A participatory speculative design case study. arXiv. https://arxiv.org/html/2401.17428v1

Lake, J. (2020). Hey, you stole my avatar! Virtual reality and its risks to identity protection. Emory Law Journal, 69(4), 833-879. https://scholarlycommons.law.emory.edu/elj/vol69/iss4/5

Márquez, I. V. (2011). Metaversos y educación: Second Life como plataforma educativa. Revista ICONO 14. Revista científica de Comunicación y Tecnologías emergentes, 9(2), 151-166. http://icono14.net/ojs/index.php/icono14/article/view/30

Martín, N. B. (2022). La problemática de la privacidad y la protección de datos en el metaverso. In Laborum et Scienciae: Libro homenaje al Prof. Dr. Juan Raso Delgue (pp. 441-462). Alma Mater. https://dialnet.unirioja.es/servlet/articulo?codigo=8729894

Mendiola, M. S. (2022). El metaverso: ¿la puerta a una nueva era de educación digital? Investigación en educación médica, 11(42), 5-8. https://www.medigraphic.com/cgi-bin/new/resumen.cgi?IDARTICULO=104852

McStay, A. (2023). The Metaverse: Surveillant Physics, Virtual Realist Governance, and the Missing Commons. Philosophy & Technology, 36(1), 13. https://link.springer.com/article/10.1007/s13347-023-00613-y

Nair, V., Munilla Garrido, G., Song, D., & O'Brien, J. F. (2023). Exploring the unprecedented privacy risks of the metaverse. In 23rd Privacy Enhancing Technologies Symposium (PoPETS 23), 238-256. http://graphics.berkeley.edu/papers/Nair-EPR-2023-07/index.html

Patczynska, J. (2023). Surveillance of employees in the Metaverse: Data protection and privacy challenges. https://ruj.uj.edu.pl/xmlui/handle/item/308702

Ramos, D. (2022). Realidad, metaversos y protección de datos. La Ley privacidad, (11), 8. https://dialnet.unirioja.es/servlet/articulo?codigo=8490462

Regulation, P. (2022). PRIVACY IN A PROGRAMMED PLATFORM: HOW THE GENERAL DATA PROTECTION REGULATION APPLIES TO THE METAVERSE. Harvard Journal of Law & Technology, 36(1). https://jolt.law.harvard.edu/assets/articlePDFs/v36/Martin-Privacy-in-a-Programmed-Platform.pdf

Rizkiana, R. E., & Khasanah, D. R. A. U. (2022). The Urgention of Personal Data Protection on Metaverse Era: a Potential Threat to Privacy and Security. Megafury Apriandhini, SH, MH Chair of 4th OSC, 85. https://repository.unmul.ac.id/bitstream/handle/123456789/46298/BUKU-PROSIDING-OSC-2022_FIX.pdf?sequence=1#page=97

Shi, L., & Zhu, H. A study of user data privacy protection algorithms in the context of metaverse based on emotional AI IoT. Applied Mathematics and Nonlinear Sciences. https://sciendo.com/article/10.2478/amns.2023.2.00636

Solis, B. (2022, 11 de octubre). The Business Case For The Metaverse: Creating Value In The Next Version Of The Web. Forbes. https://www.forbes.com/sites/briansolis/2022/10/11/the-business-case-for-the-metaverse-creating-value-in-the-next-version-of-the-web/?sh=69d20d953e2e

Suárez Uribe, N. M. (2022). El futuro del derecho tras el boom del metaverso. Gaceta Judicial, (408), 37-45. https://app.vlex.com/#vid/futuro-derecho-tras-boom-916601142

Venegas, A., & Martinez, C. R. (2022). Sobre una realidad paralela: Datos, apuntes y reflexiones acerca del Metaverso y de los Deportes Electrónicos. Anuncios: Semanario de publicidad y marketing, (1659), 26-28. https://dialnet.unirioja.es/servlet/articulo?codigo=8444321

Xynogalas, V., & Leiser, M. R. (2024). The Metaverse: searching for compliance with the General Data Protection Regulation. International Data Privacy Law. https://doi.org/10.1093/idpl/ipae004

Villa López, P. J., Amaya Amaris, J. P., & Pacheco Chaparro, J. M. (2022). Metaverso: perspectivas jurídicas de la nueva realidad (virtual). https://repository.javeriana.edu.co/handle/10554/60201

Normativas legales:

California State Legislature. (2018). California Consumer Privacy Act (CCPA). https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375

Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

European Parliament. (2016). General Data Protection Regulation (GDPR). https://eur-lex.europa.eu/eli/reg/2016/679/oj

Personal Information Protection Commission. (2020). Act on the Protection of Personal Information (APPI). https://www.ppc.go.jp/en/legal/

Presidência da República. (2018). Lei Geral de Proteção de Dados Pessoais (LGPD). http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Constitución Política del Perú. (30 de diciembre de 1993). http://spijlibre.minjus.gob.pe/normativa_libre/main.asp

Ley No 29733, Ley de Protección de Datos Personales. (03 de julio de 2011). http://spijlibre.minjus.gob.pe/normativa_libre/main.asp

Ley No 28237, Código Procesal Constitucional. (31 de mayo de 2004). http://spijlibre.minjus.gob.pe/normativa_libre/main.asp

Parlamento Europeo y del Consejo, Reglamento UE 2016/679. (27 de abril de 2016). Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. http://data.europa.eu/eli/reg/2016/679/oj

Parlamento Europeo y del Consejo, Directiva (UE) 2015/2366. (25 de noviembre de 2015). Sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE. https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32015L2366

Proyecto de Ley N° 7870/2020-PE, Ley que crea la Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. (10 de junio de 2021). https://leyes.congreso.gob.pe/Documentos/2016_2021/Proyectos_de_Ley_y_de_Resolu ciones_Legislativas/PL07870-20210610.pdf

Proyecto de Ley N° 2986/20, “Proyecto de Ley sobre Protección de Datos Personales” (12 de diciembre de 2020). https://www.senado.gob.ar/parlamentario/comisiones/verExp/2986.20/S/PL