Tratto dallo speciale:

Assistenti virtuali: occhio alla privacy

di Barbara Weisz

scritto il

Password, funzioni, dati: guida veloce del Garante Privacy per usare gli assistenti virtuali in modo sicuro.

Leggere attentamente l’informativa sul trattamento dei dati personali, utilizzare eventualmente pseudonimi per gli account, soprattutto se riguardano minori, scegliere bene la parola di attivazione, occhio alle funzioni che vengono lasciate sempre attive, cancellare periodicamente la cronologia: sono alcuni dei consigli forniti dal Garante della Privacy per un utilizzo sicuro degli assistenti virtuali.

Si tratta di programmi diffusissimi: ne sono dotati tutti gli smartphone e sono sempre più presenti anche nelle case (gli altoparlanti intelligenti) o in auto.

Tecnicamente, spiega il Garante Privacy, l’assistente digitale (o smart assistant) «è un programma che interpreta il linguaggio naturale tramite algoritmi di intelligenza artificiale ed è in grado di dialogare con gli esseri umani al fine di soddisfare diversi tipi di richieste (ad esempio: rispondere direttamente a richieste di informazioni, fare ricerche su Internet, ricercare e indicare percorsi stradali, ecc.) o compiere determinate azioni (fare un acquisto online, regolare la temperatura o l’illuminazione di un’abitazione, chiudere o aprire serrature di case o automobili intelligenti, attivare elettrodomestici)».

Il punto è che gli assistenti digitali possono raccogliere e memorizzare una grande quantità di dati personali, che fra l’altro riguardano non solo l’utilizzatore, ma anche chiunque si trovi nello stesso ambiente. I dati che più frequentemente, spesso senza neanche accorgercene, forniamo all’assistente virtuale sono relativi a scelte, preferenze e abitudini personali (stili di vita, consumi, interessi), ma anche a caratteristiche biometriche (la voce, il riconoscimento facciale), geolocalizzazione (dove ci troviamo in un determinato momento, piuttosto che luoghi o percorsi abituali), stati emotivi.

In realtà, è bene sottolinearlo, ci sono una serie di obblighi precisi che devono rispettare i produttori e i distributori di questi assistenti virtuali. La regola generale è che devono essere configurati per ridurre al minimo la possibilità di raccolta e il trattamento di dati personali (privacy by design e privacy by default). Il riferimento fondamentale in questo senso è il Gdpr, recepito dal Codice privacy italiano.

Vanno anche rispettati, sempre da parte dei produttori e di tutti gli attori della filiera, i principi fondamentali relativi alla trasparenza di dati. Detto questo, si tratta di programmi informatici, che se da una parte hanno un utilizzo molto immediato, dall’altra hanno funzionalità molto complesse da gestire, che spesso fanno parte delle impostazioni, e che è facile sottovalutare. Vediamo dunque i consigli del Garante, che in ogni caso invita tutti coloro che hanno dubbi sul rispetto delle norme o sul corretto utilizzo dei dati personali a segnalarlo scrivendo a urp@gpdp.it.

Informarsi sempre sul trattamento dati

L’informativa sul trattamento dei dati deve necessariamente essere disponibile. Gli elementi a cui bisogna stare particolarmente attenti sono:

  • quali e quante informazioni saranno acquisite direttamente dall’assistente digitale (ad esempio, tramite microfono e/o videocamera);
  • come potrebbero essere utilizzati o trasferiti a terzi i dati raccolti (solo per far funzionare lo strumento o anche per altre finalità);
  • chi e come potrebbe ricevere i dati raccolti e se sono possibili, per qualsiasi ragione, accessi “in diretta” al microfono e alla videocamera dello smart assistant da parte di addetti della società che lo ha prodotto o della società che gestisce i servizi offerti dallo smart assistant;
  • dove sono conservati i dati e per quanto tempo.

In fase di attivazione dare poche informazioni

Quando si attiva l’assistente virtuale, oppure si caricano nuove app, vengono sempre richiesti  dati. Questo è quindi un momento molto delicato: la prima cosa da far è tenere presente il coniglio sopra indicato, ovvero leggere attentamente tutte le regole sul trattamento dati. La seconda è proteggersi, fornendo solo le informazioni specificamente necessarie per la registrazione e attivazione.

Quando si apre un account, una regola di sicurezza consiste nel registrarsi con uno pseudonimo. Occhio anche alle autorizzazione che si danno per l’eventuale accesso del programma alle informazioni contenute nel dispositivo che lo supporta (per esempio, l’accesso alle proprie foto, o alla rubrica dello smartphone).

Proteggere i minori

Il Garante consiglia in particolare l’utilizzo di pseudonimi se l’account riguarda un minore. In questi casi è anche utile impostare password o altre limitazioni che consentano loro l’accesso solo in presenza di adulti.

Non usarlo per memorizzare dati sensibili

Password, informazioni sulla propria salute, numeri di conto corrente, carta di credito e via dicendo.

Disattivalo quando non è in uso

In genere questi programmi sono perennemente in passive listening, nel senso che tecnicamente sono pronti ad attivarsi ma non ascoltano nulla fino a quando non vengono invitati a farlo con l’utilizzo di una parola di attivazione. Ebbene, bisogna stare attenti a sceglierne una che non sia utilizzata troppo frequentemente, per evitare di attivare il dispositivo involontariamente.

Attenzione a una cosa: anche quando è in passive listening, è possibile che l’assistente virtuale ascolti (o, se ha una telecamera, veda) cosa succede intorno. E’ anche possibile che registri i dati, magari su server esterni. Due accorgimenti importanti: disattivare l’audio o la telecamera, oppure disattivare o spegnere del tutto l’assistente quando non lo si usa. Ci sono delle controindicazioni pratiche (ogni volta che lo si usa bisogna rifare l’attivazione, cosa ce può essere scomoda o richiedere tempo): è utile bilanciare sempre con accortezza la comodità con la protezione della propria privacy.

Disattivare le funzioni non necessarie

Gli assistenti virtuali sono in grado di fare una serie di azioni, come inviare messaggi, pubblicare contenuti, effettuare acquisti online. I consigli di prudenza: disattivare queste funzioni (in modo che l’assistente non possa eseguirle automaticamente), inserire una password di attivazione.

Cancellare la cronologia

E’ un’operazione sempre possibile, in genere utilizzando il sito web o la app o le impostazioni, e consente di eliminare costantemente i dati. E’ possibile anche eliminare solo alcuni dati.

Impostare password sicure

E’ un accorgimento molto semplice, è utile impostare queste password sia per l’utilizzo dell’assistente sia per la connessione, e anche cambiarle con frequenza. Tenere sempre aggiornati anche gli antivirus.

Cancellare i dati prima di vendere il dispositivo

Quando si vende lo smart assistant, o il dispositivo su cui è installato (come lo smartphone), è utile cancellare tutti gli account e i dati. Se i dati raccolti sono stati trasmessi e conservati nei database dell’azienda produttrice o di altri soggetti è opportuno chiederne la cancellazione.

I Video di PMI

GDPR: Guida al nuovo Regolamento Privacy