Auto connesse e Assistenti vocali, le linee guida dei Garanti privacy europei
Auto connesse e Assistenti vocali, le linee guida dei Garanti privacy europei
Il Comitato europeo per la protezione dei dati (Edpb) ha adottato definitivamente le Linee guida per le auto connesse. In consultazione fino al 23 aprile quelle sugli assistenti vocali
Maggiori tutele per la privacy di conducenti e passeggeri delle auto connesse e trasparenza e sicurezza per i dati personali trattati dagli assistenti vocali, sempre più usati da privati e imprese. Queste sono alcune delle richieste del Comitato europeo per la protezione dei dati (Edpb), che ha adottato specifiche linee guida per produttori e utilizzatori di tecnologie divenute ormai di uso quotidiano.
Auto connesse, le principali linee guida
Per quanto riguarda le auto connesse – ossia i veicoli di nuova generazione collegati in rete o tra di loro – i Garanti europei chiedono all’industria automobilistica di procedere nel rispetto dei principi di privacy-by-design e di privacy-by-default, in modo che gli apparati raccolgano e trasmettano la minor quantità possibile di dati riferibili alle persone presenti sul veicolo, e solo per per specifiche finalità.
Le aziende, per trattare i dati degli utenti, dovranno operare su una base giuridica – prosegue il Garante Privacy in una nota. – Questa, per le auto connesse, è di norma fondata sul consenso degli interessati (guidatori e passeggeri) e sul principio di necessità, ad esempio per l’assistenza alla guida e la sicurezza stradale, o per servizi assicurativi di tipo “pay-as-you-drive”.
Inoltre, per questo tipo di assicurazioni, dovrà essere fornita agli automobilisti un’alternativa che non richieda l’installazione di “black box” e il tracciamento di mobilità.
Informare conducenti e passeggeri
Inoltre, le linee guida richiedono un’informazione chiara per gli utenti, nella loro lingua, sul trattamento dei dati effettuato. Conducenti e passeggeri dovranno poter esercitare con facilità tutti i diritti garantiti dalla direttiva ePrivacy e dal Gdpr, anche attivando o disattivando autonomamente determinati servizi e trattamenti attraverso un’interfaccia di semplice utilizzo.
Quando possibile, tutti i dati, in particolare quelli di geolocalizzazione, dovranno essere elaborati direttamente all’interno del veicolo e non trasmessi sul cloud. Tra le varie tutele indicate dai Garanti europei, vi sono anche quelle relative alla pseudonimizzazione o all’anonimizzazione dei dati, nonché quelle relative all’uso di tecniche crittografiche che ne garantiscano l’integrità e la protezione da accessi illeciti.
Assistenti vocali, le criticità riscontrate
Nel corso dell’ultima riunione plenaria – si legge nella nota del Garante Privacy – l’Edpb ha approvato anche la prima versione delle linee guida relative agli assistenti vocali digitali (Vva – Virtual Voice Assistants), come quelli attivati negli smartphone o nei televisori intelligenti, negli stessi veicoli connessi o nei cosiddetti smart speaker presenti nelle case di molti italiani. Le linee guida sugli assistenti vocali digitali sono state poste in consultazione pubblica fino al 23 aprile 2021.
Una delle principali criticità individuate dai Garanti europei riguarda la molteplicità di tipologie dei dati trattati, delle persone coinvolti e di trattamenti eseguiti. Un assistente vocale può, infatti, eseguire un ordine, rispondere a una domanda o a un comando di domotica, offrire un servizio di customer care per un’azienda, oppure rimanere semplicemente in ascolto in attesa di eventuali richieste.
Il trattamento dei dati può, quindi, riguardare un utente specifico, riconosciuto, oppure una pluralità indefinita di persone o di familiari.
Le richieste dei Garanti
Per offrire maggiori garanzie agli utenti e ridurre i rischi connessi, i Garanti europei hanno, quindi, chiesto a produttori e sviluppatori di assistenti vocali che gli hardware e software usati siano progettati e impostati in automatico per garantire maggiore trasparenza e riservatezza nell’uso dei dati.
L’utente deve poter comprendere se il dispositivo è attivo oppure no, e in quale fase si trova: ad esempio, se è in ascolto o sta eseguendo un comando.
Tutti gli interessati dovranno avere la possibilità di esercitare in maniera semplice i propri diritti, come quello all’accesso, all’aggiornamento, alla cancellazione o alla portabilità dei dati.
Inoltre, dovranno essere ben distinte le finalità del trattamento dei dati e l’utente dovrà avere il diritto di esprimere liberamente il consenso per specifiche procedure, come quella relativo al marketing, alla profilazione o al “machine learning” del servizio di intelligenza artificiale associato al dispositivo.
I Garanti hanno, quindi, indicato specifiche misure a protezione dei dati, tra cui modalità sicure di autenticazione degli utenti, tecniche di pseudonimizzazione e specifiche tutele per i dati biometrici, facendo in modo, ad esempio, che il riconoscimento della voce dell’utente avvenga sul dispositivo e non da remoto.
