Smart Assistant: profili di criticità e raccomandazioni delle Autorità per la protezione dei dati personali
di Maura Mialich
Introduzione
La tecnologia ubiqua ha travolto le nostre abitudini quotidiane, portandoci a delegare la maggior parte delle attività domestiche e lavorative all’intelligenza artificiale (IA). Si tratta di una branca della tecnologia che sviluppa software e sistemi che, attraverso l’utilizzo di sofisticati algoritmi, sono in grado di elaborare una consistente mole di dati, interpretare la realtà sulla base di questi e assumere decisioni in ambiti prestabiliti.
Gli assistenti digitali ne sono un esempio e, come tutti i dispositivi e i servizi che sono parte dell’Internet of Things (IoT), non si limitano a essere in connessione con la Rete, ma sono anche in grado di dialogare con altri dispositivi IoT. Tale capacità agevola la possibilità di raccolta, di incrocio dei dati e di diffusione di informazioni personali.
Proprio nell’ambito della domotica, Apple, Amazon, Google e altre aziende della Zigbee Alliance (tra cui Ikea, Samsung SmartThings, Legrand/BTicino) hanno recentemente siglato un accordo che ambisce a creare un nuovo protocollo di connessione tra gli smart devices, al fine di rafforzare e semplificare la loro interazione. Il frutto di questa alleanza è il progetto CHIP (Project connected home over IP), ora noto come Matter, il cui obiettivo è semplificare lo sviluppo per i produttori e aumentare la compatibilità per i consumatori, creando un ecosistema “reliable by nature“, “secure by design” e “compatible at scale“.
Con la crescente fruizione di apparecchiature intelligenti interconnesse, però, aumentano anche le criticità in ambito di privacy e sicurezza informatica, non sempre immediatamente percepite dall’utente, stante l’eterogeneità delle interfacce e dei relativi protocolli.
Le intelligenze artificiali non sono intelligenti strictu sensu, non essendo dotati della capacità di sviluppare una coscienza autonoma, pertanto, è fondamentale utilizzare le nuove tecnologie con consapevolezza.
Cosa sono gli assistenti digitali e come funzionano
L’assistente digitale (o smart assistant) è un software che, attraverso algoritmi di IA, interpreta il linguaggio naturale, in forma orale e scritta, e dialoga con gli interlocutori umani fornendo informazioni e compiendo azioni.
I più noti e diffusi sul mercato sono Alexa (Amazon), Google Assistant (Google), Siri (Apple), Bixby (Samsung) e XiaoAI (Xiaomi).
Gli smart assistant, nel loro complesso, si compongono di più elementi: la componente hardware in cui è installato l’assistente virtuale (smartphone, speaker, smart TV, smart watch, ecc.); il software, cioè il programma che implementa l’interazione uomo-macchina e integra i moduli per il riconoscimento automatico della lingua parlata, l’elaborazione del linguaggio naturale, il dialogo e la sintesi vocale (operazione spesso eseguita in remoto); infine le risorse, i dati esterni che alimentano il database degli smart assistant fornendo conoscenza (ad es. il comando “leggi le mie e-mail”) e capacità di eseguire azioni su richiesta (es. aumentare la temperatura).
Una particolare declinazione dell’assistente virtuale è il chatbot, il servizio di assistenza presente in molti e-commerce e che, tramite chat, fornisce supporto ai clienti e li guida nel processo di acquisto.
Questi dispositivi intelligenti, utilizzando software di weak AI, sono in grado di riprodurre alcune funzionalità cognitive dell’essere umano e si attivano grazie a comandi vocali predefiniti dalla casa produttrice (c.d. wake-up words); una volta registrato il comando impartito, si collegano a un server per decodificarlo.
Anche quando non volontariamente attivati, tali dispositivi restano in ascolto passivo (c.d. passive listening), una sorta di stato di dormiveglia da cui escono quando recepiscono la parola di attivazione, quindi sono sempre potenzialmente in grado di registrare suoni e immagini.
Zone d’ombra e implicazioni giudiziarie
La costante esposizione digitale ci impone di tenere conto anche delle implicazioni privacy per i fruitori delle nuove tecnologie, delle zone d’ombra in cui si insediano i rischi per i dati personali dell’utente.
Secondo un recente studio, condotto congiuntamente dalla Northeastern University of Boston e dall’Imperial College di Londra[1], molti dati personali degli utenti raccolti dai dispositivi intelligenti sarebbero trasmessi a terze parti (come Spotify e Microsoft) senza alcuna autorizzazione, anche nei casi in cui l’utente non abbia sottoscritto alcun abbonamento. Netflix, ad esempio, potrebbe rilevare la presenza dell’utente nella propria abitazione.
L’indagine sull’IoT condotta dalla Global Privacy Enforcement Network (GPEN)[2] nel 2016 (c.d. “Privacy Sweep”) – ha commentato Antonello Soro, già Presidente del Garante per la protezione dei dati personali – “ha rivelato che le società del settore non hanno ancora posto sufficiente attenzione alla protezione dei dati personali, con il rischio, peraltro, di generare sfiducia nei consumatori. Alcune aziende, ad esempio, non si rendono conto che non solo il nome e il cognome, ma anche i dettagli sul consumo elettrico di una persona o i suoi stessi parametri vitali, sono dati personali da proteggere. Così come non è ancora sufficientemente garantita neppure la possibilità per i consumatori di cancellare i dati raccolti da questi dispositivi. Il Garante italiano insieme alle altre Autorità del Global Privacy Enforcement Network monitorerà con attenzione questi prodotti e servizi, al fine di verificare che la realizzazione di strumenti innovativi come elettrodomestici intelligenti, braccialetti per il controllo dei cicli del sonno o dell´indice glicemico, oppure le stesse automobili connesse a Internet, non avvenga a danno della riservatezza dei dati personali, spesso anche sensibili, degli utenti”.
All’esito dell’indagine, oltre il 60% dei dispositivi IoT non ha superato l’esame di affidabilità dei Garanti Privacy di 26 diversi Paesi.
Emblematico, in tema di ubiquità delle IA, è l’utilizzo degli smart assistant nei processi giudiziari.
Negli Stati Uniti, dal 2015 Alexa è stata più volte interrogata come possibile testimone di omicidio.
Il caso più recente si è verificato nel luglio del 2019, in Florida, quando Adam Reechard Crespo è stato accusato dell’omicidio della fidanzata Silvia Galva, avvenuto nella loro abitazione. Gli inquirenti hanno chiesto e ottenuto un mandato di perquisizione per analizzare le registrazioni del dispositivo presente in casa, nella speranza che lo stesso, magari inavvertitamente attivato, avesse registrato suoni significativi e utili a ricostruire l’accaduto.
Questo sarebbe possibile in Italia? In astratto le registrazioni – o meglio le trascrizioni delle registrazioni – degli smart assistant possono essere utilizzate nel processo, nel rispetto della normativa penalistica e civilistica di riferimento.
In linea generale, nel nostro Ordinamento la registrazione fonografica di una conversazione da parte di un soggetto che ne sia parte presuppone di norma il consenso anche degli altri interlocutori.
E’ possibile, in ogni caso, prescindere dal consenso degli interessati nel caso in cui la raccolta dei dati intervenga per far valere o difendere un diritto in sede giudiziaria o stragiudiziale (Cass. Civ., sent. n. 11322/2018).
Inoltre, fatto salvo il divieto di divulgazione, la registrazione di conversazione effettuata da uno degli interlocutori all’insaputa dell’altro non è classificabile come intercettazione, perché costituisce una modalità di documentazione dei contenuti della conversazione, già nella disponibilità di chi la effettua e passibile di trasposizione nel processo attraverso la testimonianza (Cass. Pen. Sez. II, sent. n. 19158/2015).
Profili di criticità e strumenti di tutela in punto di trattamento dei dati personali
Le raccomandazioni del Garante Privacy italiano
Il Garante per la protezione dei dati personali in Italia, lo scorso anno, ha offerto una serie di consigli per un utilizzo degli assistenti digitali a prova di privacy[3], che vediamo in sintesi di seguito.
E’ importante, innanzitutto, informarsi sulle modalità di trattamento dei propri dati, leggendo con attenzione l’informativa privacy e cercando di comprendere quali e quante informazioni sono acquisite dall’assistente digitale, come sono utilizzate, se ne è prevista la comunicazione e/o il trasferimento a terzi, nonché le modalità di conservazione delle stesse (dove e per quanto tempo).
Quanto si attiva uno smart assistant, è opportuno fornire solo le informazioni strettamente necessarie per la registrazione e l’attivazione dei servizi, magari utilizzando pseudonimi (soprattutto se si tratta di minorenni) ed evitando di memorizzare informazioni delicate (dati relativi alla propria salute, password, numeri delle carte di credito).
Quando non si utilizza l’assistente digitale, se acceso, è buona norma disattivare il microfono e la videocamera del dispositivo, tenendo presente che il dispositivo è in stato di passive listening e avendo cura di scegliere wake-up words di uso non troppo comune o fraintendibili.
E’ possibile mantenere attive sul dispositivo solo determinate funzioni e disattivarne altre (es. pubblicazione sui social, acquisti online, ecc.), nonché inserire una password per autorizzare l’utilizzo dei dati forniti solo su specifica richiesta dell’utente.
E’ buona norma cancellare periodicamente la cronologia delle informazioni registrate, almeno dei dati più delicati. Inoltre, le password di accesso devono essere complesse, sia per l’uso dello smart assistant, sia per la sua connessione a Internet e vanno modificate periodicamente.
E’ preferibile che la crittografia della rete Wi-Fi sia impostata sul protocollo di sicurezza WPA2 ed è consigliabile installare e aggiornare costantemente un sistema di protezione antivirus.
In caso di dismissione o cessione di un dispositivo, è raccomandata la disattivazione o la disconnessione del proprio account, avendo cura di cancellare i dati eventualmente registrati. Se i dati raccolti sono stati trasmessi e conservati nei database dell’azienda produttrice o di altri soggetti, è opportuno chiederne la cancellazione.
Linee Guida del Comitato Europeo per la protezione dei dati (EDBP)
Il Comitato Europeo per la Protezione dei Dati Personali (European Data Protection Board – EDPB) è intervenuto in tema di smart speaker e assistenti vocali, pubblicando alcune raccomandazioni utili a gestire le criticità nell’applicazione del GDPR a questo nuovo scenario tecnologico.
Il 9 marzo scorso, infatti, l’EDBP ha adottato le Linee Guida n. 2/2021 relative all’utilizzo degli assistenti vocali, affinché gli operatori del settore si impegnino a rispettare le normative vigenti a tutela dei soggetti utilizzatori. Il framework normativo di riferimento dell’intervento è costituito dal Regolamento europeo per la protezione dei dati personali (GDPR) e dalla Direttiva 2002/58/CE (Direttiva e-Privacy).
Gli smart assistant, come abbiamo visto, sono una tecnologia molto versatile, in grado di elaborare innumerevoli dati, che il Board distingue in “primary data” (registrazioni vocali, cronologia delle richieste), “observed data” (dati del dispositivo e attività online) ed “inferred or derived data” (dati dedotti dalla profilazione dell’utente).
Sono molteplici anche i soggetti coinvolti nella supply chain. Si pensi alla possibilità, per una banca, di offrire ai propri clienti un’applicazione in grado di fornire informazioni tramite assistente vocale. A trattare i dati personali dell’utente sarebbero – quanto meno – la banca (titolare del trattamento), lo sviluppatore (responsabile del trattamento) e i dipendenti (autorizzati al trattamento). Ne consegue l’importanza di normare le attività svolte da ogni singolo attore attraverso specifiche designazioni.
Infine, trattandosi di dispositivi spesso interconnessi con altri device o servizi offerti da terze parti, è possibile che i dati siano oggetto di diffusione a terzi.
Il Comitato Europeo, quindi, evidenzia la necessità di implementare adeguate misure di sicurezza e di garanzia, di applicare i principi di privacy by design e di privacy by default e di ricorrere agli strumenti di accountability previsti espressamente dal GDPR.
Uno dei principi ispiratori del GDPR è proprio quello della “privacy by design e by default”, cristallizzato nell’art. 25, il quale stabilisce che le misure di protezione dei dati personali siano incorporate nei sistemi o dispositivi utilizzati per trattare dati e che gli stessi siano progettati in modo tale da minimizzare l’utilizzo dei dati raccolti.
È sempre utile, quindi, prestare particolare attenzione alla privacy policy adottata dalle società produttrici dei dispositivi intelligenti. Amazon, ad esempio, sebbene nella policy di “Alexa” riconosca la possibilità di attivazioni involontarie del dispostivi, stabilisce un sistema di doppio controllo sulle parole di attivazione, al fine di minimizzare la quantità dei dati raccolti. A titolo esemplificativo, pertanto, gli sviluppatori non potranno analizzare la voce dell’utente per ricavare informazioni sul suo stato di salute, senza uno specifico consenso.
Il Board, inoltre, raccomanda ai produttori di smart assistant di informare gli utenti del trattamento dei loro dati personali in forma semplice, chiara e accessibile, nel rispetto dell’art. 13 del GDPR e alla luce dei principi contenuti nel Considerando 58.
In ambito di smart assistant, il rischio asimmetria informativa tra fornitore del servizio e utente è più forte proprio per la natura di questi dispositivi. L’impiego di algoritmi e intelligenze artificiali nel trattamento di dati personali, infatti, impone alle persone fisiche di comprendere, spesso senza averne le competenze, il funzionamento e l’operato di una macchina deputata ad agire al posto di un essere umano.
Secondo l’EDBP, alcune misure idonee a garantire maggior trasparenza sono la previsione di un comando vocale specifico, l’installazione di una spia led che indichi se il dispositivo è acceso o spento, una sezione specifica dell’informativa privacy dedicata al trattamento dei dati effettuato attraverso gli smart speaker. Ciò, a maggior ragione, se si considera che tra i fruitori del servizio possono figurare soggetti vulnerabili (es. bambini e anziani) e utenti accidentali (ospiti in casa, pazienti in uno studio medico, ecc.).
Un altro tema sviscerato dal Board è quello della base giuridica del trattamento dei dati attraverso gli smart speaker, che risiede nell’esecuzione degli obblighi contrattuali, potendo trovare applicazione l’articolo 5(3) della direttiva e-Privacy.Non è necessario, dunque, il consenso dell’interessato, laddove il trattamento sia effettuato nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente. Nello specifico, gli obblighi contrattuali del provider sono l’acquisizione, l’elaborazione, l’interpretazione e la trascrizione del comando vocale dell’utente.
Ogni altra finalità (es. miglioramento del modello di apprendimento automatico, identificazione biometrica, profilazione per contenuti o pubblicità personalizzati), dunque, sarà legittima solo previa acquisizione del consenso dell’interessato.
Le proposte per la “Strategia italiana per l’Intelligenza Artificiale” del MISE
La regolamentazione dell’Intelligenza Artificiale, in un’ottica di tutela dell’individuo e dei dati personali, è stata oggetto di analisi del Ministero per lo Sviluppo Economico lo scorso luglio. Una task force di esperti indipendenti ha elaborato un documento contenente le proposte per la strategia italiana per l’intelligenza artificiale, che razionalizza le idee pervenute a seguito di una consultazione pubblica[4].
L’Italia deve farsi portavoce a livello europeo e globale di un approccio responsabile e antropocentrico all’IA. Il piano suggerisce un uso responsabile dell’IA, finalizzato a raccogliere i benefici che la stessa può apportare al Paese, con un approccio che integri tecnologia e sviluppo sostenibile, mettendo sempre al centro l’individuo.
In tema di protezione dei dati personali, in particolare, l’analisi del MISE muove dalla consapevolezza che i big data costituiscono oggi il nuovo oro per le imprese e che l’utente-consumatore è il soggetto debole nel rapporto con le aziende produttrici di nuove tecnologie. Il rischio è che il dato personale, ormai facilmente sacrificabile in cambio di beni e servizi, si riduca a moneta di scambio. Tale monetizzazione, secondo il Garante Privacy italiano, comporta un condizionamento della libertà dei singoli e una limitazione sempre più pregnante del controllo sui dati personali.
Uno dei punti chiave per un uso consapevole delle IA è fornire un’informazione adeguata e corretta al grande pubblico. Il fruitore finale deve essere sensibilizzato attraverso un’azione divulgativa che contrasti la disinformazione e l’asimmetria informativa in ogni ambito: l’industria, la pubblica amministrazione, il terziario e la società nel suo complesso.
Il MISE propone di assumere come modello il DPIA (Data Protection Impact Assessment), disciplinato dall’articolo 35 del GDPR, come strumento per responsabilizzare i produttori di tecnologie IA e rendere l’utente consapevole.
Ai sensi del GDPR, infatti, qualora il trattamento dei dati di un soggetto presenti un rischio elevato per i diritti e le libertà dell’individuo, il titolare del trattamento ne deve valutare preliminarmente l’impatto sulla sfera personale dell’interessato. Analogamente, la strategia del MISE prevede la redazione di una sorta di “check-list” contenente gli adempimenti minimi e necessari e le prescrizioni normative alle quali attenersi per garantire la tutela dell’utente rispetto ai rischi connessi nell’utilizzo della tecnologia AI.[5]
Conclusioni
Lo scenario tecnologico odierno tende al diritto e all’etica un guanto di sfida, che richiede di individuare un giusto compromesso tra le opportunità che la scienza offre e il rispetto dei diritti fondamentali dell’individuo. E’ un obiettivo che si può raggiungere mediante l’elaborazione di un quadro normativo che disciplini in modo chiaro i progressi attesi dallo sviluppo di sistemi di IA, ma anche attraverso un contegno responsabile dell’utente e di tutti gli stakeholder coinvolti nel processo.
[1] https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf
[2] La Rete globale per l’attuazione della privacy (Global Privacy Enforcement Network – GPEN) è nata nel 2010 in seguito a raccomandazioni dell’Ocse. La rete, che ha natura informale e comprende oltre 60 Autorità di 39 paesi, mira a promuovere la cooperazione internazionale fra le Autorità per la privacy in un contesto sempre più globale in cui consumatori e imprese necessitano di un flusso costante e transnazionale di informazioni personali.
[3] https://www.gpdp.it/web/guest/temi/assistenti-digitali
[4] https://www.mise.gov.it/images/stories/documenti/Proposte_per_una_Strategia_italiana_AI.pdf
[5] Il 19 febbraio 2020, la Commissione europea ha presentato un pacchetto di proposte per promuovere e sostenere la transizione digitale che comprende la comunicazione quadro in materia “Plasmare il futuro digitale dell’Europa” COM(2020)67, la comunicazione sulla Strategia europea per i dati COM(2020)66 e il Libro Bianco sull’Intelligenza Artificiale COM(2020)65. La comunicazione quadro contempla iniziative in ogni settore, dal potenziamento della connettività e del rapporto tra cittadini e pubbliche amministrazioni, a nuove misure per il sistema delle imprese e per potenziare le competenze digitali degli europei. La strategia per i dati propone la creazione di un cloud europeo per competere a livello internazionale nei big data e il Libro bianco indica strumenti e orientamenti per rendere accessibile a industrie, ma anche a PMI e pubblica amministrazione l’Intelligenza artificiale (https://ec.europa.eu/digital-single-market/en/news/white-paper-artificial-intelligence-public-consultation-towards-european-approach-excellence).
Autore: