Il Comitato europeo per la protezione dei dati (Edpb), ai cui lavori partecipa attivamente anche il Garante italiano, ha adottato specifiche linee guida per produttori e utilizzatori di tecnologie divenute ormai di uso quotidiano.
Arrivano maggiori tutele per la privacy di conducenti e passeggeri delle auto connesse, trasparenza e sicurezza per i dati personali trattati dagli assistenti vocali sempre più usati da privati e imprese.
Nel corso dell’ultima riunione plenaria l’Edpb ha approvato la prima versione delle linee guida relative agli assistenti vocali digitali (Vva – Virtual Voice Assistants), come quelli attivati negli smartphone o nei televisori intelligenti, nei veicoli connessi o negli smart speaker.
Le linee guida sugli assistenti vocali digitali sono state poste in consultazione pubblica fino al 23 aprile 2021.
Una delle principali criticità individuate dai Garanti europei riguarda la molteplicità di tipologie dei dati trattati, delle persone coinvolti e di trattamenti eseguiti.
Si nota, infatti, che un assistente vocale può eseguire un ordine, rispondere a una domanda o a un comando di domotica, offrire un servizio di customer care per un’azienda, oppure rimanere semplicemente in ascolto in attesa di eventuali richieste.
Il trattamento dei dati può riguardare un utente specifico, come quelli riconosciuti tramite tecniche di analisi biometrica della voce, oppure una pluralità indefinita di persone o di familiari.
Per offrire maggiori garanzie agli utenti e ridurre i rischi connessi, i Garanti europei hanno chiesto a produttori e sviluppatori di assistenti vocali che gli hardware e software usati siano progettati e impostati in automatico per garantire maggiore trasparenza e riservatezza nell’uso dei dati.
L’utente deve esser emesso in grado di comprendere se il dispositivo è attivo oppure no, e in quale fase si trova: ad esempio, se è in ascolto o sta eseguendo un comando. È necessario che sia definita con chiarezza e trasparenza la titolarità del trattamento dei dati, anche nel caso di fornitori di servizi specifici, garantendo a tutti gli interessati la possibilità di esercitare in maniera semplice i propri diritti, come quello all’accesso, all’aggiornamento, alla cancellazione o alla portabilità dei dati.
Dovranno inoltre essere ben distinte le finalità del trattamento dei dati, garantendo all’utente una libera espressione del consenso per specifici trattamenti, di dati come quello relativo al marketing, alla profilazione o al machine learning del servizio di intelligenza artificiale associato al dispositivo.
Tra le misure a protezione dei dati sono indicate modalità sicure di autenticazione degli utenti, tecniche di pseudonimizzazione e specifiche tutele per i dati biometrici, facendo ad esempio in modo che il riconoscimento della voce dell’utente avvenga sul dispositivo e non da remoto.
Le regole per le auto connesse basate sul consenso
Dopo un anno di lavoro l’Edpb ha anche adottato le linee guida sulle auto connesse, tutti i veicoli di nuova generazione collegati in rete o tra di loro, con il recepimento di alcune delle modifiche proposte nel corso della consultazione pubblica avviata a febbraio del 2020.
I Garanti europei chiedono all’industria automobilistica e a tutte le società coinvolte nella produzione e nello sviluppo di servizi per automobili intelligenti di procedere nel rispetto dei principi di privacy-by-design e di privacy-by-default, in modo che gli apparati raccolgano e trasmettano, per specifiche finalità, la minor quantità possibile di dati riferibili alle persone presenti sul veicolo.
Le aziende per trattare i dati degli utenti dovranno operare su una base giuridica che, per le auto connesse, è di norma fondata sul consenso degli interessati (guidatori e passeggeri) e sul principio di necessità, ad esempio per l’assistenza alla guida e la sicurezza stradale, o per servizi assicurativi di tipo “pay-as-you-drive”.
Inoltre, per questo tipo di assicurazioni, dovrà essere fornita agli automobilisti un’alternativa che non richieda l’installazione di black box e il tracciamento di mobilità.
Le persone sul veicolo dovranno essere informate in maniera chiara, nella loro lingua, sul trattamento dei dati effettuato e dovranno poter esercitare con facilità tutti i diritti garantiti dalla direttiva ePrivacy e dal Gdpr, anche attivando o disattivando autonomamente determinati servizi e trattamenti attraverso un’interfaccia di semplice utilizzo.
Quando possibile, tutti i dati, in particolare quelli di geolocalizzazione, dovranno essere elaborati direttamente all’interno del veicolo e non trasmessi sul cloud.
Tra le varie tutele indicate dai Garanti europei, vi sono anche quelle relative alla pseudonimizzazione o all’anonimizzazione dei dati, nonché quelle relative all’uso di tecniche crittografiche che ne garantiscano l’integrità e la protezione da accessi illeciti.
