Assistenti digitali. I consigli del garante italiano per la protezione dei dati personali

Pubblicato il 16 Giugno 2020
Categoria: News

Gli assistenti digitali (cd. “smart assistant”) consentono di ottenere informazioni e controllare numerosi dispositivi senza l’utilizzo delle mani, attraverso un semplice comando vocale.

Si tratta di assistenti personali che “vivono” all’interno di smartphone, pc, tablet e dispositivi collegati a internet e che si attivano pronunciando un comando specifico.

Gli assistenti digitali sono in grado di archiviare una grande quantità di dati personali appartenenti all’utilizzatore diretto e a chiunque si trovi nelle immediate vicinanze del dispositivo stesso.

Illuminanti gli esempi di tipologie di dati personali raccolti dagli assistenti digitali forniti dal Garante italiano per la protezione dei dati personali nella scheda informativa consultabile al link https://www.garanteprivacy.it/temi/assistenti-digitali:

scelte, preferenze e abitudini relative a stili di vita, consumi, interessi, ecc.;
caratteristiche biometriche, come ad esempio quelle della voce e del volto, se dotati di videocamera;
geolocalizzazione (posizione, percorsi abituali o frequenti, domicilio, indirizzo del posto di lavoro, ecc);
numero e caratteristiche (età, sesso, ecc.) delle persone che si trovano nell’ambiente in cui operano;
stati emotivi.

Di seguito i consigli dell’Autorità sui comportamenti e sugli accorgimenti da porre in essere prima, durante e dopo l’utilizzo di dispositivi elettronici dotati di tecnologie atte a fungere da assistente digitale:

Utilizzo informato e consapevole

E’ importante consultare l’informativa sul trattamento dei dati personali ex art. 13 de Regolamento Europeo 2016/679 e in particolare verificare quali informazioni potranno essere acquisite dall’assistente digitale; quali sono le modalità di utilizzo e trattamento dei dati; se le informazioni possono essere oggetto di diffusione e/o comunicazione; chi e come potrebbe ricevere i dati raccolti; le modalità, il luogo e i tempi di archiviazione.

Non dire troppe cose all’assistente digitale

E’ consigliabile fornire e memorizzare sul dispositivo soltanto le informazioni specificamente necessarie per la registrazione e l’attivazione. E’ una buona prassi utilizzare pseudonimi e non registrare dati di natura particolare (es. dati relativi allo stato di salute) e/o di particolare intrinseca importanza (dati bancari, password, foto ecc.).

Disattivare il dispositivo in caso di inutilizzo

Una delle peculiarità della tecnologia artificiale in discorso è la capacità di “passive listening”, vale a dire che se non disattivati, gli assistenti digitali sono in grado di attivarsi sulla base della semplice captazione del comando vocale di attivazione e conseguentemente di registrare e archiviare tutte le informazioni pronunciate e/o comunque circostanti.

I suggerimenti del Garante:

scegliere con cura la parola di attivazione, evitare parole di uso frequente (nomi di persona o di oggetti di uso quotidiano) che possono causare, qualora captate, attivazioni involontarie dello smart assistant;
ricordare che durante il passive listening l’assistente digitale è potenzialmente in grado di “sentire” (tramite il microfono del dispositivo su cui è installato) ed eventualmente anche di “vedere” (tramite la videocamera del dispositivo su cui è installato) tutto quello che diciamo e facciamo. Questi dati possono anche essere memorizzati e inviati a terzi, o comunque possono essere conservati non sul dispositivo, ma su server esterni;
quando non si usa l’assistente digitale è consigliabile disattivare il microfono o la videocamera o entrambi gli strumenti, a seconda dei casi, attraverso appositi tasti presenti sul dispositivo che ospita l’assistente digitale (ad esempio: smartphone, altoparlante intelligente, ecc.) o utilizzando le impostazioni sulle app di gestione;
quando non si usa l’assistente digitale è buona prassi disattivare del tutto l’assistente digitale tramite le impostazioni del dispositivo su cui è installato, oppure spegnere direttamente il dispositivo che lo ospita.
Selezionare e mantenere attive soltanto le funzioni necessarie, attraverso una selezione ragionata e consapevole

Se l’assistente digitale è in grado di svolgere azioni particolari e/o ultronee, quali in via esemplificativa l’invio di messaggi, la pubblicazione di contenuti sui profili social dell’utilizzatore o l’acquisto online, è consigliabile selezionare in maniera consapevole, ragionata e informata le funzioni da attivare, ciò in base alle preferenze e al normale utilizzo del dispositivo. Inoltre, se l’applicativo lo consente, è una buona prassi impostare la tecnologia in maniera tale che soltanto l’utente, attraverso l’inserimento di una password o l’apposizione dell’impronta digitale, possa attivare specifiche funzionalità.

Cancellare periodicamente la cronologia

E’ una buona prassi cancellare periodicamente la cronologia o quantomeno le informazioni più delicate che il dispositivo possa avere memorizzato. Solitamente è possibile compiere questo tipo di operazioni attraverso il sito web o l’app dedicati alla gestione dello smart assistant, oppure ancora utilizzando le funzioni di impostazione del dispositivo.

Adottare accorgimenti minimi in termini di privacy e sicurezza

– Impostare una password di accesso sufficientemente lunga e complessa (per es. contenente caratteri alfanumerici e speciali);

– Cambiare periodicamente la password;

– Aggiornare periodicamente i dispositivi;

– Installare adeguati sistemi antivirus;

– Aggiornare periodicamente l’antivirus;

– Controllare e personalizzare le impostazioni sulla privacy del dispositivo.

Cancellare i dati prima di buttar via, cedere o vendere il dispositivo

In caso di vendita, cessione a qualsiasi titolo e/o dismissione del dispositivo (smartphone, smart speaker, automobili intelligenti, ecc.) su cui è installato lo smart assistant, è consigliabile disattivare gli eventuali account personali creati e provvedere alla cancellazione di tutti i dati eventualmente registrati al suo interno o sulla app di gestione. Inoltre, è bene verificare se i dati raccolti sono stati trasmessi e conservati anche nei database dell’azienda produttrice e/o di altri soggetti, ciò al precipuo fine di chiederne la cancellazione.

Acquistare e utilizzare soltanto prodotti a prova di privacy

Stando ai dettati della vigente normativa sulla protezione dei dati personali, i sistemi elettronici devono essere progettati, prodotti e configurati in maniera tale da rispettare gli obblighi di legge e al contempo ridurre al minimo la raccolta e il trattamento di dati personali (cd. privacy by design e privacy by default).

In caso di dubbi è possibile rivolgersi al Garante per la protezione dei dati personali scrivendo a urp@gpdp.it.

Avv. Morena Campana

Ufficio Legale Protection Trade

News

Whistleblowing. Protection Trade al Webinar Federlazio

Applicazione del framework di Project Management per realizzare Deliverable Privacy

Nuovo Registro pubblico delle opposizione: esteso ai cellulari e attive le nuove modalità di iscrizione per i cittadini

Eventi

Whistleblowing. Protection Trade al Webinar Federlazio

La governance di Pegaso dopo IORP II – Protection Trade partecipa al PegasoTalk del 29 settembre

Webinar “Il GDPR nella gestione dei dati relativi a campioni biologici umani destinati alle biobanche”

Formazione