Articoli

23 Marzo 2021
Condividi
Condividi su linkedin
Condividi su twitter
Condividi su facebook

Il Comitato europeo per la protezione dei dati rende parere sugli assistenti vocali virtuali

Sono ormai diffusissimi gli assistenti vocali virtuali e vengono sfruttati per svariate finalità. Ma quali sono le norme applicabili al trattamento dei dati acquisiti? Il Comitato europeo è intervenuto a marzo 2021 per tracciare alcune linee guida per titolari e responsabili del trattamento.
Che cosa sono i VVA?

In data 9 marzo 2021, il Comitato europeo per la protezione dei dati ha adottato un parere sugli assistenti vocali virtuali.

I VVA sono attualmente disponibili sulla maggior parte degli smartphone e tablet, computer tradizionali e, negli ultimi anni, anche su dispositivi autonomi come gli altoparlanti intelligenti.

In ragione delle loro funzionalità, i VVA hanno accesso a un’enorme quantità di dati personali: non solo la voce dell’utente con cui dialogano ma tutti i comandi inseriti (ad esempio la cronologia di navigazione o di ricerca) e le risposte alle richieste effettuate (ad esempio gli appuntamenti in agenda).

La normativa applicabile

Ma quali sono le fonti normative che regolano gli IoT e, dunque, anche gli assistenti vocali virtuali?

In realtà, ad oggi, non esiste un corpus normativo unitario che regolamenta nello specifico il settore degli IoT ma si può affermare che indubbiamente in occasione dei trattamenti di dati personali debba trovare applicazione la normativa privacy vigente, costituita dal Regolamento europeo n. 679/2016, meglio noto come GDPR, e dalle singole normative nazionali dei Paesi membri.

Gli aspetti su cui il Comitato ha ritenuto opportuno soffermarsi con alcune raccomandazioni sono stati quelli relativi al rilascio dell’informativa, all’individuazione della corretta base giuridica del trattamento, nonché alla conservazione e minimizzazione dei dati.

Gli aspetti rilevanti e le raccomandazioni

È necessario anzitutto individuare le finalità principali che il VVA può perseguire.

Il Comitato ha individuato le seguenti: esecuzione di richieste, miglioramento del modello di apprendimento automatico, identificazione biometrica e profilazione per contenuti o pubblicità personalizzati.

A parere del Comitato, solo per la prima finalità non è richiesto il consenso, potendo trovare applicazione l’articolo 5(3) della direttiva e-Privacy.

Un’altra occasione in cui non è necessario richiedere il consenso è costituita dall’esecuzione di un contratto, base giuridica alternativa al consenso, ai sensi dell’art. 6 del GDPR.

Le altre finalità, dunque, saranno legittime solo previa acquisizione del consenso dell’interessato.

Complying with the transparency requirement is an imperative”: il Comitato insiste sul tema della trasparenza nell’ambito dell’informazione, affermando che i titolari del trattamento sono tenuti ad informare gli utenti su finalità e modalità del trattamento in maniera concisa, trasparente, intellegibile ed accessibile.

A parere del Comitato, la voce è un dato biometrico e per questo motivo quando i dati vengono trattati esclusivamente per l’identificazione di un soggetto oppure per desumere informazioni di natura particolare, è necessario acquisire il consenso anche ai sensi dell’art. 9 del GDPR e svolgere opportuna valutazione di impatto.

Sui ruoli del trattamento

In occasione della proposta di VVA, i soggetti coinvolti possono essere molteplici.

Difficilmente, infatti, chi progetta il dispositivo intelligente coincide con il soggetto che lo propone sul mercato e che ne offre i servizi. I dati acquisiti potrebbero quindi circolare presso i diversi soggetti della supply chain.

Per valutare i loro ruoli, il Comitato rinvia alle linee guida EDPB 7/2020 sui concetti di titolare e responsabile del trattamento nel GDPR.

Avv. Chiara Benvenuto