Auto connesse, approvate le regole Ue

Massima attenzione per le consultazioni sugli assistenti vocali e sul trattamento dei dati

Ferrovie dello Stato ItalianeFerrovie dello Stato Italiane

Il tema delle auto connesse, che rappresentano il futuro del mondo automotive, si porta dietro una serie di altre problematiche, prima fra tutte quella della tutela dei dati sensibili. Per questo l'Ue si sta dando da fare per accorciare i tempi e, nei giorni scorsi, ha definitivamente adottato, dopo un anno di lavoro, le linee guida sulle auto connesse: dopo il recepimento delle modifiche proposte nella consultazione pubblica avviata nel mese di febbraio 2020, fino al 23 aprile 2021 saranno in consultazione quelle sugli assistenti vocali. Lo ha reso noto il Garante della privacy che partecipa ai lavori dell'Edpb, il Comitato europeo per la protezione dei dati che chiede all’industria automobilistica e alle società coinvolte nella produzione di servizi per auto intelligenti, di procedere rispettando sia i principi di privacy-by-design che quelli di privacy-by-default. Questo, in modo che gli apparati raccolgano e trasmettano la minor quantità possibile di dati riferibili alle persone che sono presenti nel veicolo.

Per trattare i dati degli utenti, le aziende dovranno operare su una base giuridica fondata, per le auto connesse, sul consenso degli interessati, cioè dei guidatori e dei passeggeri e anche sul principio di necessità, per l’assistenza alla guida, per la sicurezza stradale o anche per i servizi assicurativi tipo pay-as-you-drive. Per questo tipo di assicurazioni, poi, dovrà essere fornita all'automobilista un’alternativa, senza richiedere l’installazione della black box, la scatole nera, e il tracciamento di mobilità.

Le persone che sono sull'auto dovranno essere informate in modo chiaro, nella loro lingua, circa il trattamento dei dati: dovranno potere esercitare facilmente i diritti garantiti dalla direttiva ePrivacy e dal Gdpr, il testo normativo europeo per la tutela dei dati, attivando oppure disattivando autonomamente certi servizi e alcuni trattamenti attraverso un’interfaccia semplice da utilizzare. I dati, soprattutto quelli di geolocalizzazione, quando possibile dovranno essere elaborati direttamente all’interno dell'auto e, dunque, non dovranno essere trasmessi sul cloud. Tra le varie tutele che sono state indicate dai garanti europei, alcune sono relative alla pseudonimizzazione o all’anonimizzazione dei dati: poi ci sono quelle che riguardano l’uso di tecniche crittografiche che ne garantiscano la protezione da accessi illeciti.

Per quanto concerne gli assistenti vocali digitali, i garanti europei hanno spostato l'attenzione sulla molteplicità dei tipi di dati trattati, delle persone coinvolte e dei trattamenti eseguiti. Per offrire più garanzie possibili riducendo i rischi, i garanti europei chiedono ai produttori di assistenti vocali che l'hardware e il software usato sia progettato e impostato in maniera automatica, in modo da garantire una maggiore trasparenza e una maggiore riservatezza nell’uso dei dati.

L’utente deve esser messo nelle condizioni di comprendere se il dispositivo sia attivo o no, e in quale fase si trovi (se è in ascolto oppure se sta eseguendo un comando, per esempio). Necessario anche, secondo i garanti, che sia definita in maniera chiara e trasparente la titolarità del trattamento dei dati, garantendo ai soggetti interessati la possibilità di esercitare i propri diritti in maniera semplice: diritti come l’accesso, l’aggiornamento, la cancellazione o la portabilità dei dati. Devono essere distinte chiaramente anche le finalità del trattamento dati, garantendo all’utente la libera espressione del consenso per dati come il marketing, la profilazione o il machine learning del servizio di intelligenza artificiale che sia associato al dispositivo. Tra le misure studiate a protezione dei dati, vi sono le modalità sicure di autenticazione dell'utente, le tecniche di pseudonimizzazione e le tutele specifiche dei dati biometrici: il riconoscimento della voce dell’utente, per esempio, dovrebbe avvenire sul dispositivo e non da remoto.