Le nuove Linee Guida EDPB raccontano i (molti) ostacoli da superare affinché gli assistenti vocali possano dirsi conformi alla normativa privacy europea.
Alexa, Cortana, Google, Siri. Sono solo alcuni dei più famosi virtual voice assistant (VVA), ossia servizi in grado di comprendere ed eseguire comandi vocali, agendo da interfaccia tra gli utenti, i loro dispositivi e servizi internet.
Si tratta di tecnologie sempre più popolari e oggetto di grande sviluppo, integrate in molteplici dispositivi di uso comune (telefoni, PC, televisori, automobili) e in appositi dispositivi dedicati (gli smart speaker), nonché ormai divenute protagoniste della domotica e dell’Internet of Things.
Nelle Guidelines 02/2021 on Virtual Voice Assistants, pubblicate il 9 marzo per la consultazione pubblica, l’European Data Protection Board (EDPB) ha analizzato la complessa natura dei VVA e le circostanze del loro impiego, così raccontando gli ostacoli alla loro compliance privacy.
Pluralità
L’EDPB constata una certa pluralità sotto ogni aspetto del contesto in analisi.
- Dati personali trattati: oltre ai dati direttamente conferiti (informazioni dell’account, registrazioni vocali dei comandi, storico delle richieste), vi sono quelli “osservati” (come le informazioni sul dispositivo utilizzato o il registro delle attività online) e quelli desunti o derivati (come le informazioni ottenute attraverso profilazione).
- Interessati: possono essere utenti registrati o meno, utenti “accidentali” (ossia, soggetti la cui voce è trattata dall’assistente attivatosi per errore), o anche più fruitori dello stesso VVA.
- Trattamenti di dati: possono avvenire anche per finalità diverse dalla mera esecuzione delle richieste dell’utente. Peraltro, i trattamenti sono frammentati in diverse fasi: standby e attivazione mediante keyword, trasmissione del comando vocale al fornitore del servizio e sua trascrizione, interpretazione ed esecuzione.
- Titolari e responsabili: non è facile ripartire ruoli e responsabilità tra il progettista del sistema, gli sviluppatori di software anche di terze parti, i costruttori dei dispositivi hardware e finanche chi offra un servizio che prevede l’utilizzo di tali sistemi (ad esempio, strutture ricettive o veicoli a noleggio).
Ognuno degli aspetti sopra menzionati ingenera frammentarietà e confusione, a scapito di una pacifica applicazione delle regole di data protection.
Trasparenza e informative
Come è noto, i Titolari del trattamento sono tenuti a informare tutti gli interessati sui trattamenti dei loro dati in una forma concisa, trasparente e intelligibile (artt. 5, 12 e 13 GDPR). In questo contesto complesso, ciò può costituire un’ardua impresa per i seguenti motivi:
- è problematico informare anche gli utenti non registrati e quelli “accidentali”;
- dovrebbero indicarsi compiutamente le specifiche di ogni trattamento, ma così si otterrebbe un documento lungo e complesso, a scapito del principio di trasparenza;
- è difficile fare chiarezza sui ruoli privacy e sulle responsabilità, soprattutto quando sono incorporate funzionalità di terze parti;
- bisognerebbe indicare sempre in quale delle fasi si trova il VVA (per esempio standby);
- bisognerebbe specificare quali informazioni il VVA raccoglie dall’ambiente circostante.
Liceità dei trattamenti
Ai dispositivi dotati di VVA si applica anzitutto l’art. 5, par. 3 della Direttiva 2002/58/CE (Direttiva e-Privacy). L’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale è quindi consentito unicamente a condizione che l’interessato sia stato adeguatamente informato e abbia la possibilità di rifiutare il trattamento. È però prevista un’eccezione laddove tali attività siano svolte “nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto” dall’utente, che è quanto accade ogniqualvolta si dà un comando all’assistente.
Tuttavia, al di là dell’archiviazione e dell’accesso, ogni altra operazione di trattamento dovrà essere lecita ai sensi del GDPR.
- Esecuzione delle richieste dell’utente. Il trattamento può dirsi lecito in quanto necessario all’esecuzione di un contratto (art. 6, par. 1, lett. b del GDPR).
- Miglioramento del VVA attraverso sistemi di machine learning e revisione manuale di comandi vocali. I trattamenti per tali finalità non dovrebbero considerarsi necessari per l’esecuzione del contratto con l’utente e, pertanto, necessitano di un’altra base giuridica ai sensi dell’art. 6 GDPR.
- Profilazione dell’utente per contenuti e annunci personalizzati. Se la personalizzazione dei contenuti è un elemento intrinseco e prevedibile del servizio, è legittima in quanto necessaria all’esecuzione del contratto; altrimenti, tale trattamento dovrà fondarsi sul consenso dell’interessato o sul legittimo interesse del titolare. La personalizzazione degli annunci pubblicitari, invece, non può che fondarsi sul consenso.
- Identificazione dell’utente attraverso impronta vocale. Tale attività implica il trattamento di dati biometrici, per il quale è necessaria la presenza di un’eccezione al divieto di trattare dati particolari di cui all’art. 9 GDPR. In particolare, l’unica eccezione applicabile in questo contesto specifico è il consenso esplicito dell’interessato.
Ciononostante, tale trattamento avviene anche nei confronti della voce di utenti non registrati o “accidentali” (almeno per la comparazione delle impronte vocali), che non hanno fornito alcun consenso. Il riconoscimento biometrico dovrebbe quindi attivarsi soltanto per iniziativa dell’utente registrato e non mediante un’analisi permanente. Le impronte vocali, peraltro, dovrebbero essere generate, conservate e confrontate esclusivamente sul dispositivo locale e non su server remoti. Una soluzione ulteriore potrebbe essere l’applicazione di sistemi di filtraggio automatico dei rumori di fondo.
Ai trattamenti fondati su consenso trovano particolare applicazione i principi di privacy by design e by default: l’interessato dovrà essere messo in condizione di prestare attivamente consensi separati per ciascuna delle finalità di trattamento.
Conservazione dei dati
In forza del principio di limitazione della conservazione, i VVA dovrebbero archiviare i dati per il tempo strettamente necessario al conseguimento delle finalità di ogni specifico trattamento. In forza del principio di minimizzazione, i dati conservati potranno essere solamente quelli strettamente necessari alle finalità perseguite.
Un problema particolare riguarda il trattamento mediante i moduli di machine learning poc’anzi menzionati. Se l’utente non presta il consenso o lo ritira, i suoi dati non potranno più essere utilizzati per addestrare il modulo. Posto che i dati utilizzati dovranno essere cancellati, il modulo addestrato in precedenza potrà invece essere mantenuto. Tuttavia, in alcuni moduli di machine learning residua in ogni caso la possibilità di re-identificazione dell’interessato e dunque è sempre necessario che siano adottate misure di mitigazione di tale rischio.
Sicurezza
Data la natura dei VVA, è di fondamentale importanza autenticare chi effettua i comandi vocali. L’EDPB ricorda che non è necessario essere vicini al dispositivo per impartire un comando: il VVA può essere manipolato, ad esempio, attraverso segnali radio o TV, o ancora con onde laser o ultrasoniche. Vi sono tre categorie di elementi utilizzabili per l’autenticazione, ma ognuna di queste presenta gli ostacoli applicativi di seguito riportati.
- “Qualcosa che sai” (ad esempio una password): la parola dovrebbe essere pronunciata ad alta voce e quindi potrebbe essere ascoltata dagli individui nei paraggi.
- “Qualcosa che hai” (ad esempio una smart card): richiederebbe importanti costi di creazione, distribuzione e gestione dei tokens utilizzati per provare la propria identità.
- “Qualcosa che sei” (ad esempio un’impronta vocale): implica l’utilizzo di dati biometrici al precipuo scopo di identificare una persona fisica, con le conseguenti implicazioni in tema di trattamento di categorie particolari di dati.
Un altro problema di sicurezza consiste nella concentrazione del mercato dei VVA, sul quale attualmente ci sono meno di una dozzina di provider. Ogni vulnerabilità del software potrebbe quindi interessare, contestualmente, milioni di utenze.
Infine, alcune criticità possono riguardare l’intervento umano sui comandi vocali registrati (ad esempio, per il miglioramento della qualità del servizio). I revisori umani dovrebbero ricevere solamente i dati strettamente indispensabili e pseudonimizzati e, inoltre, dovrebbe essergli espressamente vietato qualunque trattamento che permetta l’identificazione dell’interessato.
Diritti degli interessati
Sarebbe opportuno implementare mezzi che facilitino l’esercizio dei diritti di cui agli artt. da 15 a 22 del GDPR, come strumenti self-service di gestione del profilo.
- Diritto di accesso. Le informazioni a cui si chiede di accedere dovrebbero essere presentate in un formato facilmente accessibile e intelligibile, in una forma elettronica di uso comune. L’interessato non dovrebbe essere costretto a ottenere specifici software o hardware per poter accedere alle informazioni richieste.
- Diritto di rettifica. Ogni utente dovrebbe essere messo in condizione di gestire e aggiornare, in ogni momento, i propri dati attraverso comandi vocali rivolti direttamente al dispositivo VVA. Dovrebbe inoltre ricevere una notifica sonora dell’avvenuta rettifica.
- Diritto alla cancellazione. Oltre a quanto detto per il diritto di rettifica, il titolare, a fronte di una specifica richiesta in tal senso da parte dell’interessato, dovrà assicurare che i dati non saranno più oggetto di trattamento. Possono però incontrarsi alcuni limiti legali o tecnici. Si pensi al caso in cui, prima della richiesta di cancellazione, l’utente abbia acquistato un prodotto online attraverso comando vocale: i provider del VVA potranno cancellare tale comando, ma non le conseguenze dello stesso (l’acquisto resterà valido e i relativi dati saranno mantenuti dal sito di e-commerce).
- Diritto alla portabilità. Lo sviluppo di un formato comune di dati leggibili dalla macchina faciliterebbe l’interoperabilità tra i servizi e i dispositivi, così facilitando la possibilità di passare da un VVA a un altro.
Conclusioni
I vantaggi derivanti dall’impiego degli assistenti vocali sono evidenti, soprattutto per individui con disabilità o coloro che, in generale, hanno difficoltà a rapportarsi con le interfacce tradizionali. Ciononostante, il “prezzo da pagare” per la comodità fornita da tali strumenti è relativamente alto, perché al fine di garantire una piena operatività, i dispositivi devono essere sempre in ascolto. Le criticità riscontrate dipendono dunque da una considerazione di fondo: il trattamento di dati personali svolto dagli assistenti vocali è sempre più esteso, sia nello spazio, sia nel tempo. Per tale motivo, in ultima analisi, può dirsi che la frammentarietà dell’ecosistema dei VVA rende complessa perfino l’applicazione di uno strumento flessibile quale il GDPR, pensato proprio per adattarsi alle evoluzioni sociali e tecnologiche
