Smart speaker, le linee guida EDPB: focus su trasparenza e base giuridica del trattamento - Cyber Security 360

ADEMPIMENTI PRIVACY

Smart speaker, le linee guida EDPB: focus su trasparenza e base giuridica del trattamento

Il Comitato europeo per la protezione dei dati personali è intervenuto sull’utilizzo degli smart speaker e degli assistenti vocali pubblicando una serie di consigli e raccomandazioni utili a risolvere le criticità nell’applicazione del GDPR a questo nuovo cotesto tecnologico

16 Mar 2021
D
Diego Dimalta

Avvocato

Più di un anno fa parlammo dei problemi di riservatezza derivanti dall’utilizzo di smart speaker evidenziando come fosse necessario fare maggiore chiarezza su tutta una serie di aspetti legati all’applicazione del GDPR a questo nuovo contesto.

Ebbene, finalmente, dopo molti mesi, l’European Data Protection Board ha deciso di pronunciarsi a riguardo, emanando le Linee Guida 02/2021 in materia di Virtual Voice Assistants.

Queste linee guida, dopo aver inquadrato la fattispecie, di cui ormai si conosce quasi tutto, entrano nel merito e forniscono consigli utili sui diversi aspetti attinenti all’applicazione del GDPR (e della direttiva ePrivacy) al caso concreto.

Il principale fattore critico degli smart speaker

Secondo il Gruppo dei Garanti, il principale fattore critico (peraltro da noi già evidenziato a suo tempo) è da individuare nella “pluralità”, intesa come moltitudine di: tipologie di dati trattati; interessati; trattamenti eseguiti.

WHITEPAPER
Governance, Risk and Compliance - Vuoi salvarti da perdite finanziarie e di reputazione? Scopri come
Finanza/Assicurazioni
Legal

Lo smart speaker, difatti, è uno strumento molto versatile che si presta agli usi più disparati. Può essere utilizzato sia in casa che in ufficio, può essere consegnato ai clienti per una migliore interazione, può registrare le voci di una persona o di una moltitudine di esse e via dicendo.

Banche e assistenti vocali: l’esempio dell’EDPB

L’esempio fatto da EDPB, per comprendere sino a dove ci si potrebbe spingere, è quello di una banca che offre ai propri clienti un’applicazione che può essere interrogata direttamente tramite l’assistente vocale. In questo caso, come vediamo, gli attori coinvolti sono almeno tre: la banca, gli utenti e lo sviluppatore.

Il titolare del trattamento sarà la banca in quanto capace di determinare le finalità e le modalità essenziali del trattamento, mentre l’interessato è sicuramente il cliente. Lo sviluppatore potrebbe essere considerato responsabile esterno del trattamento.

Tuttavia, anche in questo caso, EDPB evidenzia come siano molte altre le persone che potrebbero essere coinvolte nella catena di elaborazione. Dal dipendente, ad ulteriori responsabili esterni, motivo per cui anche in questo caso, come per qualsiasi organizzazione, sarà necessario procedere con nomine e individuazione specifica di compiti.

È della massima importanza chiarire il ruolo di ciascun attore rispetto a ciascuna elaborazione e rispettare i principi cardine del GDPR.

Smart speaker e principio di trasparenza

Proprio con riferimento ai principi, molto spazio viene dedicato alla trasparenza. La corretta applicazione di tale principio consente difatti di superare molti dei problemi derivanti, ad esempio, dalla pluralità di dati trattati e dalla pluralità delle persone coinvolte nell’utilizzo degli smart speaker.

È del resto evidente che poiché gli smart speaker trattano i dati personali (ad esempio la voce degli utenti, l’ubicazione o il contenuto della comunicazione), gli stessi sono soggetti ai requisiti di trasparenza del GDPR.

I titolari del trattamento hanno l’obbligo di informare gli utenti del trattamento dei loro dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile. Ma come fare?

Sottolinea il Board che il rispetto dei requisiti di trasparenza può essere particolarmente difficile per il fornitore di smart speaker in quanto, per via della loro intrinseca natura, gli stessi devono fronteggiare una serie di criticità:

  1. utenti multipli: gli assistenti vocali dovrebbero informare tutti gli utenti (utenti registrati, non registrati e accidentalmente), non solo l’utente titolare del device. Per capirci, se lo speaker viene posizionato in uno studio medico, i dati che potrebbe trattare riguardano anche i pazienti, motivo per cui è necessario fornire una informativa idonea anche a questi ultimi;
  2. complessità dell’ecosistema: le identità e i ruoli di coloro che elaborano i dati personali quando si utilizza un assistente vocale sono tutt’altro che evidenti per gli utenti. A chi vanno i dati? Chi ascolta i nostri audio? come vengono Raccolti? Sono solo alcuni dei quesiti a cui sarà necessario rispondere;
  3. specificità dell’interfaccia vocale: i sistemi digitali non sono ancora adatti per interazioni solo vocali come dimostra l’uso quasi sistemico di uno schermo di accompagnamento. Tuttavia, adattarsi all’interfaccia vocale ed essere in grado di informare l’utente in modo chiaro e corretto attraverso questo mezzo è una necessità.

Purtroppo, evidenzia il Board, tutte queste variabili danno vita ad una sostanziale asimmetria informativa tra produttore ed utente, risultando quest’ultimo a malapena consapevole del fatto che il dispositivo è in ascolto, e ancor meno sullo stato in cui si trova.

I consigli EDPB per il rispetto del principio di trasparenza

Per questo i Garanti raccomandano ai progettisti di adottare misure adeguate per colmare queste asimmetrie, rendendo il funzionamento degli assistenti vocali più interattivo. Gli utenti, ad esempio, dovrebbero essere informati dello stato in cui si trova attualmente il dispositivo (acceso o spento? ci sta ascoltando o no?).

Questo miglioramento della trasparenza può essere ottenuto sia rendendo il dialogo uomo-macchina più interattivo oppure trasmettendo lo stato della macchina con segnali specifici.

Ci sono molte opzioni che possono essere esplorate a questo proposito, che vanno dall’uso di riconoscimenti vocali specifici a icone o luci visibili sul dispositivo.

Se ci fosse un’icona che dichiarasse che il dispositivo è acceso e che sta raccogliendo dati per una determinata finalità, chiunque, entrando nella stanza, potrebbe facilmente regolare il proprio comportamento in base a tali informazioni. È questo l’obiettivo dell’European Data Protection Board.

Come informare correttamente gli interessati al trattamento

Tali questioni, del resto, sono particolarmente rilevanti considerando la pluralità di utenti e la presenza tra di loro di categorie vulnerabili di individui, come bambini, anziani o utenti con disabilità audiovisive.

Si chiede però l’ex Wp29: qual è il modo più semplice per informare gli utenti e quando è il momento opportuno per informarli?

Allo stato attuale, tutti i dispositivi di assistenza vocale sono collegati ad un account utente. Secondo EDPB è in quel momento che all’interessato, per così dire, principale, dovrebbe essere fornita l’informativa.

Le informazioni, anzi, dovrebbero essere disponibili nel negozio on line ancora prima del download.

Tuttavia, evidenzia EDPB, in alcuni casi l’account utente è lo stesso usato per servizi di acquisti online e di streaming video (leggi Amazon). La conseguenza è che in questi casi le privacy policy rischiano di essere molto lunghe e complesse, a discapito dell’effettiva trasparenza.

Per questo, in simili situazioni, l’EDPB raccomanda che l’informativa sulla privacy abbia una sezione chiaramente separata che riguardi solo ed esclusivamente il trattamento di dati effettuato dai servizi di smart speaker.

La base giuridica nel trattamento dati con gli smart speaker

Un passaggio importante (e non totalmente condivisibile) riguarda la base giuridica da adottare per il trattamento dei dati eseguito dagli smart speaker.

European Data Protection Board individua, infatti, nell’esecuzione di un obbligo contrattuale/precontrattuale la base giuridica idonea al trattamento di tali dati.

La funzionalità principale di tale servizio è difatti, secondo i Garanti, l’emissione di comandi vocali che devono essere eseguiti dall’assistente vocale. Tutti i trattamenti sono quindi riconducibile a questo servizio che è il principale motivo per cui lo smart speaker è stato acquistato.

In tal senso, nemmeno la direttiva ePrivacy potrebbe giustificare la richiesta di consenso in quanto sebbene l’articolo 5, paragrafo 3, preveda il principio generale in base al quale lo stoccaggio o l’accesso ai dati richiede il consenso preventivo dell’utente, è altresì prevista un’esenzione al requisito del consenso laddove il trattamento sia effettuato “nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente”.

L’esecuzione del contratto come base giuridica del trattamento

Qualsiasi trattamento di dati personali necessario per eseguire la richiesta dell’utente, secondo EDPB, può quindi fare affidamento sulla base giuridica dell’esecuzione del contratto, la quale comporterà:

  1. l’acquisizione della richiesta vocale dell’utente;
  2. la sua trascrizione in testo;
  3. la sua interpretazione;
  4. le informazioni scambiate con le fonti di conoscenza per preparare la risposta;
  5. la trascrizione in una risposta finale vocale che pone fine alla richiesta dell’utente.

Quando serve, invece, il consenso

L’unica eccezione prevista dai Garanti è quella che riguarda la c.d. human review la quale, quando utilizzata per scopi diversi dall’allenamento delle macchine, come il miglioramento del servizio, non potrebbe basarsi su tale base giuridica, risultando quindi necessario il consenso.

Per questo, concludono i Garanti, gli utenti dovrebbero essere in grado di acconsentire (o meno) alla human review in modo totalmente separato dagli altri trattamenti, anche al fine di rispettare il principio della specificità del consenso.

Dati sensibili, biometria e minimizzazione dati: raccomandazioni

Le linee guida, infine, si chiudono con una serie di raccomandazioni, ad esempio, sul trattamento dei dati sensibili, per i quali è richiesto che le registrazioni audio – da cui vengono poi estratti i modelli vocali – vengano generate, archiviate e abbinate esclusivamente sul dispositivo locale, non su server remoti.

In particolare, se uno smart speaker utilizza l’identificazione biometrica basata sulla voce, i fornitori dovrebbero: garantire che l’identificazione sia sufficientemente accurata da associare in modo affidabile i dati personali agli interessati giusti; assicurarsi che la precisione sia simile per tutti i gruppi di utenti controllando che non ci siano bias che discriminino minoranze.

Quanto alla minimizzazione, i titolari del trattamento dovrebbero ridurre al minimo la quantità di dati raccolti direttamente o indirettamente e ottenuti mediante elaborazione e analisi, ad es. non eseguire alcuna analisi sulla voce dell’utente o altre informazioni udibili per ricavare informazioni sul suo stato mentale, possibile malattia o circostanze ulteriori relative alla sua vita.

In tal senso è necessario che gli sviluppatori implementino impostazioni predefinite che limitino la raccolta e / o l’elaborazione dei dati a una quantità minima richiesta necessaria per fornire il servizio applicando, ad esempio filtri capaci di estrapolare la voce principale dell’utente da quelle di fondo da cui potrebbero comunque derivare informazioni importanti.

Conclusioni

Alla luce di quanto visto finora, l’impressione è che EDPB abbia trattato in modo forse troppo disinvolto questa tipologia di servizi così invasivi e così capaci di carpire informazioni anche molto sensibili da tutti noi e da chi ci sta attorno.

Ci si aspettava di più, non per terrorizzare gli sviluppatori ma per renderli più consapevoli dei rischi derivanti dalle loro attività.

Del resto, più di un anno fa, abbiamo avuto modo di rappresentare le nostre perplessità sulla pratica della human review, perpetuata quasi di nascosto. Pratica che qui viene trattata in modo quasi marginale, senza evidenziarne le enormi criticità a livello etico e giuridico. Ci si aspettava di più. Peccato.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5