Sono ormai diffusissimi gli assistenti vocali virtuali e vengono sfruttati per svariate finalità. Ma quali sono le norme applicabili al trattamento dei dati acquisiti? Il Comitato europeo è intervenuto a marzo 2021 per tracciare alcune linee guida per titolari e responsabili del trattamento.
Che cosa sono i VVA?
In data 9 marzo 2021, il Comitato europeo per la protezione dei dati ha discusso un parere sugli assistenti vocali virtuali.
I VVA sono attualmente disponibili sulla maggior parte degli smartphone e tablet, computer tradizionali e, negli ultimi anni, anche su dispositivi autonomi come gli altoparlanti intelligenti.
In ragione delle loro funzionalità, i VVA hanno accesso a un'enorme quantità di dati personali: non solo la voce dell'utente con cui dialogano ma tutti i comandi inseriti (ad esempio la cronologia di navigazione o di ricerca) e le risposte alle richieste effettuate (ad esempio gli appuntamenti in agenda).
La normativa applicabile
Ma quali sono le fonti normative che regolano gli IoT e, dunque, anche gli assistenti vocali virtuali?
In realtà, ad oggi, non esiste un corpus normativo unitario che regolamentare nello specifico il settore degli IoT ma si può affermare che indubbiamente in occasione dei trattamenti di dati personali si dovrà trovare applicazione la normativa privacy vigente, costituita dal Regolamento europeo n. 679/2016, meglio noto come GDPR, e dalle singole normative nazionali dei Paesi membri.
Gli aspetti su cui il Comitato ha ritenuto opportuno soffermarsi con alcune indicazioni sono stati quelli relativi al rilascio dell'informativa, all'individuazione della corretta base giuridica del trattamento, nonché alla conservazione e minimizzazione dei dati.
Gli aspetti rilevanti e le indicazioni
È necessario anzitutto individuare le finalità principali che il VVA può utilizzare.
Il Comitato ha individuato le seguenti: esecuzione di richieste, miglioramento del modello di apprendimento automatico, identificazione biometrica e profilazione per contenuti o pubblicità personalizzate.
A parere del Comitato, solo per la prima finalità non è richiesto il consenso, potendo trovare applicazione l'articolo 5(3) della direttiva e-Privacy.
Un'altra occasione in cui non è necessario richiedere il consenso è costituito dall'esecuzione di un contratto, base giuridica alternativa al consenso, ai sensi dell'art. 6 del GDPR.
Le altre finalità, dunque, saranno legittime solo previa acquisizione del consenso dell'interessato.
“ Rispettare il requisito della trasparenza è un imperativo ”: il Comitato insiste sul tema della trasparenza nell'ambito dell'informazione, affermando che i titolari del trattamento sono tenuti ad informare gli utenti su finalità e modalità del trattamento in maniera concisa, trasparente, intellegibile ed accessibile.
A parere del Comitato, la voce è un dato biometrico e per questo motivo quando i dati vengono trattati esclusivamente per l'identificazione di un soggetto oppure per desumere informazioni di natura particolare, è necessario acquisire il consenso anche ai sensi dell'art. 9 del GDPR e svolgere opportuna valutazione di impatto.
Sui ruoli del trattamento
In occasione della proposta di VVA, i soggetti coinvolti possono essere molteplici.
Difficilmente, infatti, chi progetta il dispositivo intelligente coincide con il soggetto che lo propone sul mercato e che ne offre i servizi. I dati acquisiti potrebbero quindi circolare presso i diversi soggetti della filiera .
Per valutare i loro ruoli, il Comitato rinvia alle linee guida EDPB 7/2020 sui concetti di titolare e responsabile del trattamento nel GDPR.
Avv. Chiara Benvenuto
