Focus dedicato alle Linee guida sugli Assistenti Vocali Virtuali

Durante la plenaria del 7 luglio, l’EDPB ha adottato i seguenti documenti e resi pubblici nella giornata di ieri, in particolare:

Linee guida sui codici di condotta come strumento per i trasferimenti;

Linee guida sugli Assistenti Vocali Virtuali (a seguito di consultazione pubblica);

Linee guida sui concetti di Titolare e Responsabile (a seguito di consultazione pubblica);

Risposta dell’EDPB all’eurodeputata in merito alla dichiarazione dell’EDPB 04/2021 sugli accordi internazionali, compresi i trasferimenti.

Linee guida sugli Assistenti Vocali Virtuali

Una particolare attenzione meritano le Linee guida sugli Assistenti Vocali Virtuali, quest’ultime indicano ai titolari del trattamento dei dati che forniscono servizi VVA e i loro responsabili del trattamento la necessità di applicare il GDPR e Direttiva e-Privacy.

Queste linee guida identificano alcune delle sfide di conformità più rilevanti e forniscono raccomandazioni alle parti interessate e su come affrontarle.

I responsabili del trattamento dei dati che forniscono servizi VVA, tramite dispositivi terminali, devono comunque informare gli utenti secondo quanto previsto dal GDPR durante la configurazione o l’installazione di VVA o l’utilizzo di un’app VVA, in particolar modo se questa avviene per la prima volta. Di conseguenza, si raccomanda ai fornitori/progettisti e sviluppatori VVA di sviluppare soluzioni basate sui comandi vocali con interfaccia semplice per facilitare le informazioni obbligatorie.

Le quattro finalità

Le linee guida considerano quattro delle finalità più comuni per le quali i VVA trattano i dati personali: esecuzione delle richieste, miglioramento del modello di learning VVA, identificazione biometrica e profilazione per contenuti o pubblicità personalizzati. Nella misura in cui i dati VVA sono trattati al fine di eseguire le richieste dell’utente, ovvero nella misura strettamente necessaria per fornire un servizio richiesto dall’utente; in tal caso, i responsabili del trattamento sono esentati dall’obbligo del consenso preventivo ai sensi dell’articolo 5, paragrafo 3, della direttiva e-Privacy.

Inoltre, alcuni servizi VVA conservano i dati personali fino a quando i loro utenti non ne richiedono la cancellazione. Ciò non risulta in linea con il principio di limitazione della conservazione. I VVA dovrebbero conservare i dati per il tempo strettamente necessario agli scopi perseguiti.

I responsabili del trattamento dei dati che forniscono servizi VVA dovrebbero garantire agli utenti l’esercizio dei diritti degli interessati che utilizzano comandi vocali.  I fornitori/progettisti VVA, così come gli sviluppatori di app dovrebbero alla fine del processo informare gli utenti che i loro diritti sono stati debitamente valutati e garantiti, a voce o per iscritto con notifica al cellulare, all’account o a qualsiasi altro mezzo scelto dall’utente.

Le linee guida apportano un ausilio rilevante, infatti, gli elementi descritti dall’EDPB evidenziano la necessità di implementare adeguate misure di sicurezza e di garanzia, di applicare i principi di privacy by design e di privacy by default e di ricorrere agli strumenti di accountability del GDPR quali audit ed accordi.

In aggiunta, il provider dei servizi VVA dovrebbe fornire agli interessati tutte le informazioni previste dal GDPR, in una forma semplice, chiara, accessibile. Tali informazioni dovrebbero essere rilasciate non solo agli utenti registrati ai servizi VVA, ma anche a chi non è registrato ed agli utenti accidentali.

Giuristi esperti nella trasformazione digitale della pubblica amministrazione

Scopri il corso in E-learning

Il decreto-legge Semplificazioni n. 76/2020 ha introdotto nel CAD il nuovo art. 13-bis, nel quale si stabilisce che le pubbliche amministrazioni si possono avvalere di uno o più Esperti dotati di esperienza e qualificazione professionale nello sviluppo e nella gestione di processi complessi di trasformazione tecnologica e progetti di trasformazione digitale.

La fruizione del percorso è valida come formazione professionale ai fini dell’acquisizione delle competenze per svolgere il ruolo di Esperto nello sviluppo e nella gestione di processi complessi di trasformazione tecnologica e progetti di trasformazione digitale, ai sensi dell’art. 13 bis del CAD