Smart assistant: come cambia la privacy nelle nostre case?
Il corretto uso degli assistenti digitali e linee guida del Garante della Privacy
di Claudia Ciulla
I c.d. smart assistant o assistenti digitali sono ormai entrati nei luoghi nei quali si svolgono i momenti più intimi delle nostre giornate: le nostre case. Se da un lato è innegabile che tali dispositivi migliorino la qualità della nostra vita, rendendo una serie di operazioni più semplici e veloci, dall’altro espongono noi utilizzatori e, in particolare, la nostra privacy ad una serie di rischi. Di seguito approfondiremo come un utilizzo non consapevole degli smart speakers possa potenzialmente compromettere la nostra privacy.
Cosa è un assistente digitale
Gli assistenti digitali non sono altro che dei software i quali, grazie al machine-learning, ovvero processi di auto-apprendimento che sfruttano algoritmi di intelligenza artificiale, sono in grado di riconoscere il linguaggio naturale degli esseri umani ed interagire con gli stessi. Tali apparecchi sono detti intelligenti in quanto, non solo soddisfano le richieste degli utenti – come ad esempio fare una ricerca online o puntare un promemoria – o compiono specifiche azioni – come accendere una luce o regolare la temperatura della nostra camera – ma anche perché, di volta in volta, riducono sempre più il margine di errore. Questa sempre maggiore precisione dello smart assistant in fase di ascolto, comprensione della domanda ed elaborazione della risposta, si spiega alla luce del fatto che lo stesso raccoglie e memorizza un rilevante numero di dati personali – relativi tanto all’utilizzatore diretto quanto a tutti coloro che si trovano nell’ambiente in cui opera – quali ad esempio preferenze, abitudini di vita ed interessi, ma anche caratteristiche biometriche (tono di voce e forma del volto, se dotati di videocamera), posizione e domicilio (geolocalizzazione), caratteristiche personali (sesso, età, ecc.) e perfino le emozioni. Inoltre, la mole di tali dati raccolti cresce ancor di più, e con essa la relativa possibilità di diffusione, in considerazione del fatto che gli smart assistant sono capaci di “dialogare” con gli altri dispositivi IoT, come smart TV, smartwatch o sistemi di videosorveglianza.
Rischi connessi alla privacy
Un profilo sul quale vale la pena soffermarsi riguarda il momento in cui l’assistente digitale si si trova nella fase c.d. di passive listening ovvero in uno stato di “dormiveglia”. In questa fase, benché non attivo, l’assistente digitale resta potenzialmente in grado di “sentire”, tramite microfono del dispositivo di cui fa parte, le nostre conversazioni ed eventualmente anche di “vedere”, mediante videocamera, le nostre azioni. Questo avviene in quanto tali dispositivi, quando accesi, seppur non utilizzati, rilevano in maniera costante e continuativa le frequenze di quello che le persone presenti nella stanza in cui si trova dicono, per poi attivarsi quando la frequenza captata risulta simile alla parola di attivazione dello stesso. Da qui il rischio, non infrequente, di attivare involontariamente lo smart assistant durante normali conversazioni. A tal proposito si evidenzia uno studio della Northeastern Univesity di Boston insieme all’Imperial College di Londra[1], dal quale emerge come la parola chiave predefinita di Amazon Echo “Alexa” sia spesso erroneamente innescata da molte altre parole. Un esempio è la frase che inizia con “I like” plus una parola iniziante con la s, come “I like Star Trek”. Nonostante si tratti di un problema tecnico riconducibile al riconoscimento vocale, resta comunque il fatto che in questo modo si ha una esposizione non autorizzata della nostra privacy, in quanto il dispositivo, in questo caso, riconosce di regola le false attivazioni solo dopo aver inviato l’intera frase al server, e quindi dopo che tale frase sia stata memorizzata in modo più o meno permanente.
Di particolare interesse risulta, a tal proposito, l’analisi relativa al rischio della profilazione[2] di cui all’art. 4 (4) del GDPR. Tale profilazione, che con gli assistenti digitali risulta potenzialmente molto più dettagliata rispetto a quella di una normale navigazione su un motore di ricerca, costituisce lo strumento di cui si servono le aziende per fornire servizi personalizzati o per l’invio di c.d. pubblicità comportamentali[3]. È proprio a tal proposito che risulta determinante il concetto di diritto di opposizione, di cui all’art. 21 del GDPR, che consente all’utente finale di contestare la decisione automatizzata che produca effetti giuridici nei suoi riguardi nonché di richiedere in qualsiasi momento l’intervento umano.
Un’ulteriore questione riguarda poi il periodo di conservazione dei dati personali raccolti dagli smart speakers. In conformità con quanto previsto dal GDPR, in particolare dall’art. 13 (2) (a), le informazioni raccolte da Alexa, Google home o Siri, ad esempio, non vengono conservate a tempo indeterminato, in quanto spetterà all’utilizzatore finale la scelta di cancellare le proprie registrazioni audio, singolarmente o ad intervalli temporali, tramite comando vocale o attraverso la relativa App. Pertanto, sarà rimesso all’utente il compito di determinare il periodo di conservazione dei sui dati, raccolti attraverso le registrazioni audio. Inoltre, tali smart assistant potrebbero comunque conservare altre registrazioni relative alle interazioni tra il cliente e l’assistente digitale, quali ad esempio procedure di acquisti online, avvisi o allarmi, al fine di continuare a fornire all’utente determinati servizi. Altro profilo meritevole di attenzione riguarda, infine, la possibilità che tali assistenti digitali vengano violati da remoto con dei cyber attacchi e possano, pertanto, a seguire i comandi di uno sconosciuto.
Le risposte del Garante della Privacy
Recentemente il Garante della Privacy[4] ha ritenuto, infatti,opportuno intervenire fornendo delle linee guida per un uso maggiormente consapevole degli smart assistant, riassumibili come segue:
- Leggere attentamente l’informativa sul trattamento dei dati personali, al fine di comprendere quali e quanti dati vengono acquisiti direttamente dallo smart assistant, come potrebbero essere trasferiti a terzi, dove sono conservati e per quanto tempo.
- Evitare di memorizzare informazioni delicate quali password o numeri di carte di credito.
- Disattivare l’assistente digitale quando non in uso, per evitare ogni acquisizione e trasmissione indesiderata di informazioni personali, disattivando il microfono e/o la videocamera o spegnendo direttamente il dispositivo ospitante.
- Decidere quali funzioni mantenere attive (come quelle di controllo domotico) e inserire apposite password.
- Cancellare periodicamente la cronologia delle informazioni registrate tramite App o sito web.
- Impostare password di accesso complesse, cambiarle con frequenza e installare sistemi di protezione antivirus.
- Cancellare tutti i dati registrati al suo interno o tramite app prima di vendere, regalare o dismettere l’assistente digitale nonché disattivare i relativi account.
A fronte dell’incessante sviluppo delle tecnologie e delle interconnettività degli strumenti intelligenti (IoT) di cui ci serviamo quotidianamente è necessario assumere, quindi, un atteggiamento consapevole e di prevenzione nei confronti dei rischi connessi alla nostra privacy. Pertanto, al fine di colmare il deficit di consapevolezza che talvolta possiamo avere nell’utilizzo di questi assistenti digitali, occorre non sottovalutare la capacità di rivelare loro i nostri stili di vita, tramite i dati raccolti, e seguire le linee guida predisposte dal Garante della Privacy.
[1] “Information Exposure From Consumer IoT Devices: A Multidimensional, Network-Informed Measurement Approach”, Northeastern University di Boston e Imperial College di Londra
[2] Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
[3] Si tratta di una tecnica basata sul tracciamento delle attività online degli utenti, al fine di costruire dei profili degli utenti di Internet con lo scopo di offrire loro pubblicità più rilevante, e quindi più efficace.
[4] www.garanteprivacy.it
Autore: