ALEXA, lo conosci il GDPR?

15 novembre 2019Ultimo aggiornamento 13 dicembre 2019
Tempo di lettura stimato: 6'
Demis Hassabis, co-fondatore e CEO del progetto Google DeepMind definisce l’intelligenza artificiale (di seguito “IA”) come quella “scienza che rende le macchine smart1.  Ormai non è più fantascienza, esistono dispositivi che predicono azioni, interagiscono con l’uomo, risolvono calcoli e casi complessi, generano contenuti etc. e molti di loro sono già presenti nelle nostre abitazioni o nei nostri uffici di lavoro. 
A decine milioni di utenti piace Alexa Echo di Amazon, un vero e proprio aiutante virtuale, diventato realtà anche in Italia dal 2018, ma Alexa rispetta i princìpi del GDPR?


Cos’è Alexa? 

Alexa è un dispositivo di IA, un vero e proprio “smart speaker” che, attraverso la sincronizzazione dell’account, può ricevere informazioni sulla nostra vita, abitudini e preferenze di consumo diventando il nostro “maggiordomo digitale”, assistendoci nella gestione della quotidianità e nella risoluzione di problemi e domande. Nella pratica, facciamo una domanda a comando e otteniamo una risposta. 


Alexa e privacy - PrivacyLab

Alexa è uno strumento efficiente, proprio per la quantità di dati che raccoglie su di noi durante lo svolgimento del suo ruolo di assistente.
Rispetto ai rischi privacy, negli ultimi tempi è stata sollevata dai più esperti una certa criticità verso la tutela dei dati da parte di Amazon. Solo qualche mese fa l’agenzia Bloomberg aveva diffuso la notizia sull’esistenza di un team “umano” coinvolto nell’ascolto di alcune registrazioni con il compito di perfezionare gli algoritmi di riconoscimento vocale2
Ci sono alcuni aspetti di questi dispositivi che meritano un’analisi:

  • Alexa “forse” ascolta. Come indicato dal Centro di Assistenza e Servizio Clienti, Alexa “potrebbe ascoltarci” nei casi di “attivazione involontaria”, cioè se rilevata una parola simile a quella di Alexa. In ogni caso è sempre possibile disattivare il microfono3.
  • Alexa “forse” guarda. Alcuni dispositivi Echo dotati di schermo hanno integrata la telecamera. In USA è stato lanciato Echo Look, un vero e proprio personal stylist che attraverso la smart camera insegna a scegliere i vestiti; è possibile disattivare il microfono e la telecamera semplicemente premendo un pulsante4;
  • Alexa “forse” registra. Alexa pare non registrare tutte le conversazioni, ma solo quelle avvenute “con la parola di attivazione” o “con quella involontaria di attivazione” e l’utente può sempre cancellarle (ad esempio: “Alexa, elimina tutto quello che ho detto oggi!”); alcune informazioni potrebbero però essere conservate per inviare promemoria, timer, ordini etc. Rispetto al tema della cancellazione, i nuovi prodotti consentiranno l’autocancellazione dei vocali di default ogni tre/diciotto mesi5;
  • Alexa “potrebbe” inviare pubblicità. Alexa un giorno potrebbe suggerire direttamente marchi e brand di consumo, ad esempio può già suggerire alcune Skill Alexa, o consigliarci un brano musicale6
  • Alexa “potrebbe” essere hackerata. Solo di recente una ricerca dell’Università del Michigan e della Electro Communication di Tokyo ha rivelato come sia facilmente possibile hackerare Amazon (e altri dispositivi, Google e Siri) attraverso il semplice uso di un laser, ponendo molti dubbi sul tema della sicurezza delle “smart home”7.
È fuor di dubbio che anche noi piacciamo ad Alexa, infatti quando interagisce impara e allenandosi può fornire informazioni sempre più accurate. 
Alexa non è l’unico strumento di IA nelle nostre case e uffici, esiste Google Assistant o Siri di Apple o Cortana di Microsoft, e molti altri assistenti che nel proprio “core business” hanno i dati e si autoalimentano attraverso il trattamento di questi. Si può dire che sono intelligenti e sono “affamati” di intelligenza. 
Ci sono sistemi che consistono in soli software (proprio come l’assistente vocale di Amazon) oppure più articolati in grado di incorporare hardware complessi (robot, auto a guida autonoma, Internet of things). 
Un sistema di IA è sviluppato secondo alcune caratteristiche di base:

1) “ascolta” l’ambiente per mezzo di un algoritmo (classifica e targetizza i dati ricevuti);
2) “analizza i dati” e poi li collega tra loro;
3) “impara” a svolgere funzioni in modo automatico;
4) “interagisce” con l’utente, essere umano.

Machine Learning - Alexa e Privacy

I dispositivi accumulano informazioni e le selezionano, sono in continua evoluzione e sono stati progettati proprio per diventare sempre più “smart”. Sono raccolti dati per la nostra casa intelligente, per l’invio di messaggi, per la scansione dei codici a barre, per la creazione del profilo vocale dell’utente. 
È stato proprio l’avanzare di queste nuove tecnologie ad indurre la Commissione europea a stilare una serie di requisiti fondamentali per la progettazione di IA “affidabile” e “antropocentrica”. La strategia si basa su sette principi cardini come elencati di seguito:
  1. Azione e sorveglianza umane: “i sistemi di IA dovrebbero promuovere lo sviluppo di società eque sostenendo l'azione umana e i diritti fondamentali e non dovrebbero ridurre, limitare o sviare l'autonomia dell'uomo”; 
  2. Robustezza e sicurezza: “per una IA di cui ci si possa fidare è indispensabile che gli algoritmi siano sicuri, affidabili e sufficientemente robusti da far fronte a errori o incongruenze durante tutte le fasi del ciclo di vita dei sistemi di IA”; 
  3. Riservatezza e governance dei dati: “i cittadini dovrebbero avere il pieno controllo dei propri dati personali e nel contempo i dati che li riguardano non dovranno essere utilizzati per danneggiarli o discriminarli”; 
  4. Trasparenza: “dovrebbe essere garantita la tracciabilità dei sistemi di IA”;
  5. Diversità: “non discriminazione ed equità: i sistemi di IA dovrebbero tenere in considerazione l'intera gamma delle capacità, delle competenze e dei bisogni umani ed essere accessibil”i; 
  6. Benessere sociale e ambientale: “i sistemi di IA dovrebbero essere utilizzati per promuovere i cambiamenti sociali positivi e accrescere la sostenibilità e la responsabilità ecologica”;
  7. Responsabilità intesa anche come accountability: “dovrebbero essere previsti meccanismi che garantiscano la responsabilità e l'accountability dei sistemi di IA e dei loro risultati”8


Chiaro, quindi, che gli assistenti intelligenti come Alexa dovrebbero essere tecnicamente sviluppati nel rispetto dei principi di riservatezza e della “data protection” e - in base alla normativa del GDPR - assicurare trasparenza e controllo delle informazioni degli utenti, consentendo una concreta governance dei dati.
Chi produce AI e l’immette sul mercato UE, non può non tener conto del GDPR, è tenuto a prevedere nella progettazione la privacy by design, a definire in modo chiaro il perimetro del trattamento dei dati personali, a sviluppare un sistema di azione e di presidio che ad esempio comprenda: 
  • il consenso specifico e informato e una raccolta di dati personali strettamente necessari per l’esecuzione del contratto;
  • la definizione della data retention, i dati personali infatti non possono essere mai conservati in modo illimitato;
  • la definizione della messa in sicurezza degli algoritmi e dei server utilizzati, tecniche di anonimizzazione e cifrature dei dati; 
  • in generale l’esercizio dei diritti degli interessati tra cui la cancellazione e il diritto di non essere sottoposti a decisioni basate unicamente su un trattamento automatizzato; 
  • la valutazione di impatto privacy (DPIA). 
Ma alla fine la vera domanda non è tanto se la figlia Alexa di Amazon spia o non spia.  La domanda più spontanea in chiave GDPR è come mai le informazioni tecniche di base di prodotto non sono così facilmente disponibili e perché proprio i clienti non le cercano informandosi prima di utilizzare queste intelligenze?  
Ritorna il principio di accountability, sarebbe fondamentale che le aziende o i consumatori si attivassero per una propria valutazione di impatto privacy, prima dell’acquisto e dell’uso di questi dispositivi intelligenti.

È evidente che l’IA porta con sè alcune problematiche, oggetto di sfida nei prossimi anni: tra cui le discriminazioni in base ai profili creati, manipolazioni, la trasparenza nella creazione degli algoritmi, il grado affidabilità e fiducia nel sistema.

Detto ciò, un cliente di Amazon cosa potrebbe fare in modo attivo per proteggersi meglio? 

Un po’ di buon senso non guasta mai: è necessaria avviare una PIA prima del suo utilizzo, disabilitare l’uso delle proprie informazioni per lo sviluppo di nuove funzionalità (ad. esempio non acconsentendo al miglioramento di Alexa), prevedere la cancellazione di default delle conversazioni memorizzate. E, non si sa mai, ricordiamoci di disattivare il microfono.

_________________________________
6. https://www.amazon.it/b/?node=17136918031  (Cosa succede quando parlo con Alexa?)
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.
Corso Auditor/Lead Auditor per i Sistemi di Gestione per la sicurezza delle informazioni – ISO/IEC 27001:2013, Milano.
Master specializzato in Diritto Vitivinicolo promosso da UGIVI (Unione Giuristi della Vite e del Vino), Milano.Laurea in Legge (Diritto Internet)
Master di II livello in Sicurezza informazioni (Ingegneria informatica)

Attività Professionale:
Founder dello Studio è Francesca Bassa, specializzata in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio.

Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale.
A Milano ha lavorato presso una società di consulenza legale nel settore Technology. Ha fondato il suo studio professionale ad Asti, città dove è nata, presso il quale assiste primarie società italiane e di stampo internazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

E’ membro della Comunità SIIS del Centro di Ricerca Cyber Intelligence and Information Security dell’ Università La Sapienza. E’ membro dell’Associazione di Federprivacy dal 2015 e del network “Idraulici della Privacy”dal 2017. E’ Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy