Privacy e assistenti vocali: in consultazione pubblica le nuove Linee guida dell’EDPB

Articolo header

Privacy: i consigli del Garante sull’utilizzo degli assistenti vocali virtuali e le nuove linee guida 02/2021 dell’EDPB.


Il 9 marzo scorso l’EDPB ha pubblicato le nuove Linee guida 02/2021 sugli assistenti vocali virtuali (Virtual Voice Assistants - VVA). Le Linee guida usciranno dalla fase di consultazione pubblica il 23 aprile 2021, nell’articolo di oggi vediamo quali sono i principali profili trattati e quali novità apportano in termini di data protection.

VVA: una risorsa da controllare

L’attenzione delle Autorità nei confronti degli assistenti vocali virtuali è cresciuta esponenzialmente negli ultimi anni, di pari passo con lo sviluppo di questa tecnologia e con il relativo diffondersi di assistenti smart (fra tutti si citano i dispositivi “Smart Speakers”, Google Home Assistant e Amazon Alexa). 

Sistemi di VAA, tuttavia, oltre ad essere integrati in dispositivi dedicati come quelli sopra citati, vengono preinstallati nei più comuni sistemi operativi mobile. In questo ambito tali servizi risultano attivi by default, talvolta impostati in stati definiti di “passive listening”, ovvero dormienti, ma che si risvegliano non appena l’utente pronuncia la parola chiave (es. “Ok Google”; “Ehi Siri”; “Hey Cortana”). 

Una volta operativi, gli assistenti possono raccogliere e memorizzare una grande mole di informazioni personali, che possono riguardare il diretto utilizzatore ma anche altri terzi che si trovino nello stesso ambiente. Le informazioni trattate ricomprendono: 

  • scelte, preferenze e abitudini relative a stili di vita, consumi, interessi, etc.;
  • caratteristiche biometriche, come ad esempio la voce / timbro vocale;
  • geolocalizzazione (posizione, percorsi abituali o frequenti, domicilio, indirizzo del posto di lavoro);
  • numero e caratteristiche (età, sesso, etc.) delle persone che si trovano nell’ambiente in cui operano;
  • stati emotivi.

Considerando quindi le modalità di funzionamento e attivazione degli assistenti, la presenza di intelligenza artificiale basata su avanzati algoritmi e i database gestiti, è importante che gli utenti sappiano che ai benefici si affiancano dei rischi privacy rilevanti. 

Le raccomandazioni del Garante

Nel mese di marzo 2021 il Garante ha aggiornato la scheda informativa presente sul sito istituzionale. La scheda riporta alcuni consigli utili sull’utilizzo di tali strumenti, e buone prassi per valutare e limitare il trattamento svolto dagli assistenti. In sintesi, il Garante raccomanda di:

  •  Informarsi preventivamente sul trattamento svolto, leggere l’informativa e capire quali informazioni vengono acquisite; chi potrebbe ricevere i dati; dove sono conservati e per quanto tempo; 
  • Non dire troppe cose all’assistente ed evitare di conferire informazioni riservate quali password, numeri di carte di credito o dati relativi alla propria salute;
  • Verificare le impostazioni e disattivare le funzioni non necessarie (l’attivazione vocale, ad es., può essere sostituita da un’attivazione manuale, in modo da evitare che l’assistente avvii il servizio senza che l’utente ne sia consapevole);
  • Cancellare periodicamente la cronologia delle informazioni ricercate, o quantomeno eliminare dalla cronologia alcune tipologie di dati più delicati.

Le nuove Linee guida dell’EDPB

Con le Linee guida 02/2021 l’EDPB fornisce una panoramica più ampia, analizzando i profili più tecnici, connessi alle tecniche di machine learning e di interpretazione del linguaggio (“natural language processing” - NLP), fino ad arrivare alle implicazioni in materia di data protection (da attenzionare in particolare i temi relativi al trattamento dei dati dei minori e le misure di sicurezza).

Il framework normativo di riferimento è costituito dal GDPR e dalla e-Privacy Directive, la quale riporta la definizione di apparecchi terminali, “terminal equipment”, in cui vi rientrano i VVA. I profili principali sui cui l’EDPB si sofferma riguardano: 

  • La base giuridica del trattamento, che può essere costituita dal consenso, salvo i casi in cui il trattamento venga svolto per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o per fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente. Il provider del servizio dovrebbe valutare la base giuridica più idonea, considerando l’impatto del trattamento sui diritti e le libertà fondamentali degli interessati;
  • L’attivazione accidentale del servizio, che dovrebbe essere riconosciuta come tale (tramite controlli umani o automatizzati). Il fornitore dovrebbe cancellare prontamente i dati raccolti accidentalmente;
  • La tipologia di dati raccolti, che ricomprendono: “primary data” (ad esempio, dati dell'account, registrazioni vocali, cronologia delle richieste); “observed data” (ad esempio, dati del dispositivo, log e attività online); “inferred or derived data” (ovvero dati dedotti o derivati, ad esempio, dalla profilazione dell’utente);
  • La tipologia di soggetti interessati coinvolti, che variano da interessati diretti (ad es. i membri di una famiglia che utilizzano uno smart speaker) ad interessati accidentali (chi interagisce inconsapevolmente);
  • La tipologia di trattamenti effettuati, in considerazione del fatto che gli assistenti vocali si interconnettono con altri device o servizi offerti anche da terze parti (pensiamo allo store di Alexa, tramite il quale si possono integrare delle “Skill” all’assistente);
  • La conseguente necessità di gestire attentamente i ruoli privacy, alla luce della catena di stakeholders coinvolti nel processo. 

Gli elementi descritti dall’EDPB evidenziano la necessità di implementare adeguate misure di sicurezza e di garanzia; di applicare i principi di privacy by design e di privacy by default; di ricorrere agli strumenti di accountability del GDPR quali audit ed accordi legali. 

In aggiunta, il provider dei servizi VVA dovrebbe fornire agli interessati tutte le informazioni previste dal GDPR (ex art. 13 e c. 58), in una forma semplice, chiara, accessibile. Tali informazioni dovrebbero essere rilasciate non solo agli utenti registrati ai servizi VVA, ma anche a chi non è registrato ed agli utenti accidentali (seppure, nella pratica, questa condizione sia difficile da rispettare). 

Le Linee guida riportano utili raccomandazioni e l’analisi completa dei vari principi privacy applicabili ai servizi di VVA. Per ulteriori informazioni si rimanda al documento completo, disponibile al seguente link.

Altre news