Le linee guida sulle auto connesse – praticamente tutti i veicoli di nuova generazione collegati in rete o tra di loro – sono state adottate definitivamente dopo un anno di lavoro, con il recepimento di alcune delle modifiche proposte nel corso della consultazione pubblica avviata a febbraio del 2020. Sono in consultazione fino al 23 aprile quelle sugli assistenti vocali.
Lo rende noto il Garante della Privacy che partecipa ai lavori del Comitato europeo per la protezione dei dati (Edpb). I Garanti europei chiedono all’industria automobilistica e a tutte le società coinvolte nella produzione e nello sviluppo di servizi per automobili intelligenti di procedere nel rispetto dei principi di privacy-by-design e di privacy-by-default, in modo che gli appartati raccolgano e trasmettano, per specifiche finalità, la minor quantità possibile di dati riferibili alle persone presenti sul veicolo.
Le aziende per trattare i dati degli utenti dovranno operare su una base giuridica che, per le auto connesse, è di norma fondata sul consenso degli interessati (guidatori e passeggeri) e sul principio di necessità, ad esempio per l’assistenza alla guida e la sicurezza stradale, o per servizi assicurativi di tipo “pay-as-you-drive”. Inoltre, per questo tipo di assicurazioni, dovrà essere fornita agli automobilisti un’alternativa che non richieda l’installazione di “black box” e il tracciamento di mobilità.
Le persone sul veicolo dovranno essere informate in maniera chiara, nella loro lingua, sul trattamento dei dati effettuato e dovranno poter esercitare con facilità tutti i diritti garantiti dalla direttiva ePrivacy e dal Gdpr, anche attivando o disattivando autonomamente determinati servizi e trattamenti attraverso un’interfaccia di semplice utilizzo. Quando possibile, tutti i dati, in particolare quelli di geolocalizzazione, dovranno essere elaborati direttamente all’interno del veicolo e non trasmessi sul cloud.
Tra le varie tutele indicate dai Garanti europei, vi sono anche quelle relative alla pseudonimizzazione o all’anonimizzazione dei dati, nonché quelle relative all’uso di tecniche crittografiche che ne garantiscano l’integrità e la protezione da accessi illeciti.
Per gli assistenti vocali digitali, una delle principali criticità individuate dai Garanti europei riguarda la molteplicità di tipologie dei dati trattati, delle persone coinvolti e di trattamenti eseguiti. Per offrire maggiori garanzie agli utenti e ridurre i rischi connessi, i Garanti europei hanno chiesto a produttori e sviluppatori di assistenti vocali che gli hardware e software usati siano progettati e impostati in automatico per garantire maggiore trasparenza e riservatezza nell’uso dei dati.
L’utente deve esser emesso in grado di comprendere se il dispositivo è attivo oppure no, e in quale fase si trova: ad esempio, se è in ascolto o sta eseguendo un comando. È necessario che sia definita con chiarezza e trasparenza la titolarità del trattamento dei dati, anche nel caso di fornitori di servizi specifici, garantendo a tutti gli interessati la possibilità di esercitare in maniera semplice i propri diritti, come quello all’accesso, all’aggiornamento, alla cancellazione o alla portabilità dei dati. Dovranno inoltre essere ben distinte le finalità del trattamento dei dati, garantendo all’utente una libera espressione del consenso per specifici trattamenti, di dati come quello relativo al marketing, alla profilazione o al “machine learning” del servizio di intelligenza artificiale associato al dispositivo. Tra le misure a protezione dei dati sono indicate modalità sicure di autenticazione degli utenti, tecniche di pseudonimizzazione e specifiche tutele per i dati biometrici, facendo ad esempio in modo che il riconoscimento della voce dell’utente avvenga sul dispositivo e non da remoto.