Durante la plenaria del 7 luglio, l’EDPB ha adottato i seguenti documenti e resi pubblici nella giornata di ieri, in particolare:
– Linee guida sui codici di condotta come strumento per i trasferimenti;
– Linee guida sugli Assistenti Vocali Virtuali (a seguito di consultazione pubblica);
– Linee guida sui concetti di Titolare e Responsabile (a seguito di consultazione pubblica);
Linee guida sugli Assistenti Vocali Virtuali
Una particolare attenzione meritano le Linee guida sugli Assistenti Vocali Virtuali, quest’ultime indicano ai titolari del trattamento dei dati che forniscono servizi VVA e i loro responsabili del trattamento la necessità di applicare il GDPR e Direttiva e-Privacy.
Queste linee guida identificano alcune delle sfide di conformità più rilevanti e forniscono raccomandazioni alle parti interessate e su come affrontarle.
I responsabili del trattamento dei dati che forniscono servizi VVA, tramite dispositivi terminali, devono comunque informare gli utenti secondo quanto previsto dal GDPR durante la configurazione o l’installazione di VVA o l’utilizzo di un’app VVA, in particolar modo se questa avviene per la prima volta. Di conseguenza, si raccomanda ai fornitori/progettisti e sviluppatori VVA di sviluppare soluzioni basate sui comandi vocali con interfaccia semplice per facilitare le informazioni obbligatorie.
Le quattro finalità
Le linee guida considerano quattro delle finalità più comuni per le quali i VVA trattano i dati personali: esecuzione delle richieste, miglioramento del modello di learning VVA, identificazione biometrica e profilazione per contenuti o pubblicità personalizzati. Nella misura in cui i dati VVA sono trattati al fine di eseguire le richieste dell’utente, ovvero nella misura strettamente necessaria per fornire un servizio richiesto dall’utente; in tal caso, i responsabili del trattamento sono esentati dall’obbligo del consenso preventivo ai sensi dell’articolo 5, paragrafo 3, della direttiva e-Privacy.
Inoltre, alcuni servizi VVA conservano i dati personali fino a quando i loro utenti non ne richiedono la cancellazione. Ciò non risulta in linea con il principio di limitazione della conservazione. I VVA dovrebbero conservare i dati per il tempo strettamente necessario agli scopi perseguiti.
I responsabili del trattamento dei dati che forniscono servizi VVA dovrebbero garantire agli utenti l’esercizio dei diritti degli interessati che utilizzano comandi vocali. I fornitori/progettisti VVA, così come gli sviluppatori di app dovrebbero alla fine del processo informare gli utenti che i loro diritti sono stati debitamente valutati e garantiti, a voce o per iscritto con notifica al cellulare, all’account o a qualsiasi altro mezzo scelto dall’utente.
Le linee guida apportano un ausilio rilevante, infatti, gli elementi descritti dall’EDPB evidenziano la necessità di implementare adeguate misure di sicurezza e di garanzia, di applicare i principi di privacy by design e di privacy by default e di ricorrere agli strumenti di accountability del GDPR quali audit ed accordi.
In aggiunta, il provider dei servizi VVA dovrebbe fornire agli interessati tutte le informazioni previste dal GDPR, in una forma semplice, chiara, accessibile. Tali informazioni dovrebbero essere rilasciate non solo agli utenti registrati ai servizi VVA, ma anche a chi non è registrato ed agli utenti accidentali.