Assistenti digitali (smart assistant): i consigli del Garante per un uso a prova di privacy

Il Garante per la protezione dei dati personali ci ricorda, con un decalogo di regole recente pubblicazione, le raccomandazioni che dobbiamo sempre tenere presente per un uso consapevole degli assistenti digitali.

L’assistente digitale (o smart assistant) è un programma che interpreta il linguaggio naturale tramite algoritmi di intelligenza artificiale ed è in grado di dialogare con gli esseri umani al fine di soddisfare diversi tipi di esigenze (ad esempio: rispondere direttamente a  richieste di informazioni, fare ricerche su internet, indicare percorsi stradali, ecc.) o compiere determinate azioni (ad esempio: fare acquisti online, regolare la temperatura o l’illuminazione di un’abitazione, chiudere o aprire serrature di case o automobili intelligenti, attivare elettrodomestici come la lavatrice, ecc.). Ce ne siamo già occupati in altre occasioni: clicca qui o qui

Questa tecnologia è ormai molto diffusa e viene installata su vari dispositivi (la troviamo nei nostri smartphone, nelle auto, nelle case sotto forma di “altoparlanti intelligenti” come alexa o google home).

Gli assistenti digitali possono raccogliere e memorizzare una grande quantità di dati personali – non solo relativi all’utilizzatore diretto, ma a chiunque si trovi nello stesso ambiente – riguardanti, ad esempio:

  • scelte, preferenze e abitudini relative a stili di vita, consumi, interessi, ecc.;
  • caratteristiche biometriche, come ad esempio quelle della voce e del volto, se dotati di videocamera;
  • geolocalizzazione (posizione, percorsi abituali o frequenti, domicilio, indirizzo del posto di lavoro, ecc);
  • numero e caratteristiche (età, sesso, ecc.) delle persone che si trovano nell’ambiente in cui operano;
  • stati emotivi.

E’ quindi opportuno  cercare di fare un uso informato e consapevole di questi strumenti, per tutelare in modo adeguato i nostri dati personali e quelli di tutte le persone che entrano, volontariamente o meno, nel campo di azione degli assistenti digitali, attraverso pochi semplici accorgimenti:

  1. Informarsi sempre su come vengono trattati i propri dati personali.

Se per attivare l’assistente digitale o le eventuali app di gestione è necessario registrarsi fornendo dati personali, è bene leggere con attenzione l’informativa sul trattamento dei dati personali, che deve sempre essere disponibile, ad esempio sul sito dell’azienda che offre il servizio o nella confezione del dispositivo in cui è installato lo smart assistant (smartphone, altoparlante intelligente,ecc.).

In particolare, è importante cercare di comprendere:

  • quali e quante informazioni saranno acquisite direttamente dall’assistente digitale (ad esempio, tramite microfono e/o videocamera);
  • come potrebbero essere utilizzati o trasferiti a terzi i dati raccolti (solo per far funzionare lo strumento o anche per altre finalità);
  • chi e come potrebbe ricevere i dati raccolti e se sono possibili, per qualsiasi ragione, accessi “in diretta” al microfono e alla videocamera dello smart assistant da parte di addetti della società che lo ha prodotto o della società che gestisce i servizi offerti;
  • dove sono conservati questi dati e per quanto tempo.
  1. Attenzione alle informazioni che passano attraverso gli smart assistant

Alla prima attivazione dello smart assistant è meglio fornire solo le informazioni specificamente necessarie per la registrazione e attivazione dei servizi.  È consigliabile vietare ai minori l’uso degli smart assistant, impostando password o impronte vocali che limitano l’accesso al servizio solo a specifici utenti adulti. In caso ciò non fosse possibile meglio utilizzare pseudonimi per gli account, soprattutto se riferiti a minori.

Evitare di utilizzare l’assistente digitale per memorizzare informazioni delicate come quelle relative alla propria salute, le password, i numeri delle carte di credito, ecc..

In generale occorre ponderare attentamente se concedere o meno le autorizzazioni allo smart assistant per accedere ai dati conservati sul dispositivo in cui è installato, come ad esempio l’archivio fotografico, la rubrica, il calendario dello smartphone, ecc..

3 Disattivare l’assistente digitale quando non lo si usa

Quando è acceso ma non viene utilizzato, l’assistente digitale è  in uno stato detto di passive listening, uno stato di “dormiveglia” da cui esce non appena sente la parola di attivazione che abbiamo scelto (o quelle impostate di default come “Alexa” o “Hey Google”).

Ecco allora alcune precauzioni:

  • (quando è possibile) scegliere con cura la parola di attivazione, evitando parole di uso frequente (nomi di persona o di oggetti di uso quotidiano) che possono causare, qualora captate, attivazioni involontarie dello smart assistant;
  • ricordare che durante il passive listening l’assistente digitale è potenzialmente in grado di “sentire” (tramite il microfono del dispositivo su cui è installato) ed eventualmente anche di “vedere” (tramite la videocamera del dispositivo su cui è installato) tutto quello che diciamo e facciamo. Questi dati possono anche essere memorizzati e inviati a terzi, o comunque possono essere conservati non sul dispositivo, ma su server esterni.

Per evitare ogni possibile acquisizione e trasmissione non desiderata di dati, quando non si usa l’assistente digitale (ad esempio la notte, quando non si è in casa, ecc.), si può:

  • disattivare il microfono o la videocamera o entrambi gli strumenti, a seconda dei casi, attraverso appositi tasti presenti sul dispositivo che ospita l’assistente digitale (ad esempio: smartphone, altoparlante intelligente, ecc.) o utilizzando le impostazioni sulle app di gestione; oppure, meglio:
  • disattivare del tutto l’assistente digitale tramite le impostazioni del dispositivo su cui è installato, oppure spegnere direttamente il dispositivo che lo ospita. E’ una scelta forse un po’ scomoda, perché comporta il dover riattivare il dispositivo quando necessario; ma può servire a garantire una maggiore protezione della propria riservatezza.
  1.  Disattivare le funzioni non utilizzate

Se l’assistente digitale è in grado di svolgere particolari azioni, come inviare messaggi ad altre persone (tramite sms o sistemi di messaggistica), pubblicare contenuti sui social o effettuare acquisti online, si può decidere di:

  • disattivare tali funzioni;
  • inserire, laddove possibile, una password per autorizzare l’uso solo su specifica richiesta dell’utente.

Gli assistenti digitali, come tutti i dispositivi e servizi che sono parte dell’Internet delle cose (Internet of Things), non si limitano ad essere in connessione con la rete, ma sono anche in grado di “dialogare” con altri dispositivi IoT. Questa capacità amplifica la possibilità di raccolta, incrocio dei dati e diffusione di informazioni personali.

Ad esempio, gli assistenti digitali con funzioni domotiche possono essere connessi con oggetti e servizi presenti nelle nostre case, dagli elettrodomestici alle smart TV, dalle luci ai sistemi di sicurezza e videosorveglianza.

Si tratta di funzioni che semplificano la vita, perché in questo modo molti oggetti diventano controllabili a distanza con il solo utilizzo della voce. Tuttavia è sempre bene:

  • informarsi con attenzione su come e da chi vengono raccolti, elaborati, conservati ed eventualmente a chi vengono resi accessibili i dati personali;
  • considerare il possibile impatto sulla privacy domestica.

Occorre inoltre valutare se disattivare alcune funzioni di controllo domotico e inserire apposite password per controllare l’attivazione o disattivazione dei sistemi, in modo da poter utilizzare lo smart assistant con maggiore sicurezza. Si pensi, ad esempio, al rischio eventuale che la voce dell’utente venga in qualche modo captata e clonata da malintenzionati e utilizzata per controllare elettrodomestici o ingressi o sistemi di protezione della casa, oppure per “spiare” l’interno dell’abitazione utilizzando microfoni e videocamere.

  1. Cancellare periodicamente la cronologia

Per limitare il trattamento dei dati personali raccolti dall’assistente digitale, si può periodicamente cancellare la cronologia delle informazioni in esso registrate, o quantomeno eliminare dalla cronologia alcune tipologie di dati (ad esempio, quelli ritenuti più delicati).

Questa operazione si può effettuare di solito utilizzando il sito web o l’app dedicati alla gestione dello smart assistant, oppure utilizzando le funzioni di impostazione del dispositivo su cui è installato (smartphone, smart speaker, automobili intelligenti, ecc.).

  1. Tutelare la sicurezza e la privacy

Come per tutti i servizi digitali, una buona regola di base è impostare password di accesso complesse, sia per l’uso dello smart assistant che per la sua connessione a Internet.

Sono precauzioni importanti:

  • verificare che la crittografia della rete Wi-Fi sia impostata preferibilmente sul protocollo di sicurezza WPA 2;
  • cambiare periodicamente la password;
  • verificare se sul dispositivo in cui è installato lo smart assistant siano presenti sistemi di protezione anti-virus e tenerli costantemente aggiornati.

Se il sistema operativo dell’assistente digitale o della app di gestione prevedono delle impostazioni privacy, è opportuno controllarle e regolarle sui livelli di protezione alti.

  1. Cancellare i dati prima di dare via lo smart assistant

Nel caso in cui il dispositivo (smartphone, smart speaker, automobili intelligenti, ecc.) su cui è installato lo smart assistant venga eventualmente venduto, regalato o dismesso, è bene disattivare gli eventuali account personali creati e provvedere alla cancellazione di tutti i dati eventualmente registrati al suo interno o sulla app di gestione.

Se i dati raccolti sono stati trasmessi e conservati nei database dell’azienda produttrice o di altri soggetti è opportuno chiederne la cancellazione.

 8 A chi rivolgersi in caso di dubbi sull’osservanza delle norme

L’art. 3 del Codice privacy e il Regolamento (UE/2016/679) in materia di protezione dei dati personali prevedono che i sistemi elettronici siano prodotti e configurati per ridurre al minimo la raccolta e il trattamento di dati personali (privacy by design e privacy by default). Occorre inoltre siano rispettati alcuni principi fondamentali, come quello di trasparenza riguardo al trattamento dei dati, e i diritti delle persone fisiche.

Tali regole e principi debbono essere rispettati anche dai produttori di assistenti digitali.

Nei casi in cui ci siano dubbi sull’effettivo rispetto delle norme o sul corretto uso dei propri dati personali, ci si può rivolgere al Garante per la protezione dei dati personali, scrivendo a urp@gpdp.it

 

Avv. Luca Iadecola

Consulente privacy, dpo