Migliaia di dipendenti in ascolto delle conversazioni degli utenti “captate” tramite smart speaker. E’ la “human review”, pratica emersa in tutta la sua conflittualità sul fronte privacy, grazie alle inchieste di alcune delle più note testate al mondo, nonché a seguito dei provvedimenti delle Authority europee, prima fra tutte quella di Amburgo (Germania). Ora ci sono stati i passi indietro di alcuni big tech (vedremo quanto definitivi), ma il problema resta sempre fisso all’orizzonte e si presenterà certo in altri contesti, perché al momento l’intelligenza artificiale ha bisogno di un intervento umano in itinere per correggere errori.
Ecco perché è importante chiedersi quali sono le principali criticità della human review in base al Regolamento Generale sulla Data Protection.
La human review, come evidenziato anche dall’Authority di Amburgo, è lontana dall’essere una pratica del tutto trasparente generando, anzi, una serie di dubbi sulla conformità al GDPR.
Preliminarmente, è necessario sgomberare il campo da ogni eventuale dubbio sulla applicabilità del GDPR. Un osservatore poco attento potrebbe eccepire che, trattandosi di circostanze afferenti contesti privati, il GDPR non risulti applicabile. In realtà, come vedremo, i trattamenti in questione hanno ad oggetto vicende che solo in apparenza riguardano contesti privati.
Conversazioni “rubate”: contesto pubblico o privato?
In effetti gli interessati, utilizzando il proprio assistente vocale o scrivendo un messaggio privato su Facebook ad un amico, potrebbero erroneamente pensare di trovarsi in un contesto privato mentre, in realtà, le loro conversazioni vengono registrate e riascoltate da multinazionali che effettuano tali trattamenti per fini meramente commerciali.
E’ forse questo l’aspetto maggiormente problematico: non avendo l’utente la percezione che i suoi dialoghi sono oggetto di trattamento, egli è portato a parlare di argomenti anche molto intimi, fornendo quindi alle company delle informazioni altamente sensibili.
Possiamo dire che, mentre gli utenti/interessati agiscono in un ambito privato, il trattamento effettuato da Google, Amazon e simili, è invece riconducibile ad un ambito professionale rendendo quindi applicabile il GDPR.
Ma cosa accadrebbe se anche l’utente si muovesse in un contesto professionale? Se, ad esempio, un medico utilizzasse nel suo studio un assistente vocale, che riflessi avrebbe ciò in ottica GDPR? Si badi, non è un mero caso di scuola, in quanto, come riportato da alcuni informatori al The Guardian tra le registrazioni raccolte da Siri, spesso sono stati riportati dialoghi tra medici e pazienti. Come si concilia pertanto l’obbligo di riservatezza con il fatto di avere un dispositivo che registra le conversazioni e le invia a persone dall’altra parte del mondo? E soprattutto, come gestire i rapporti di titolarità con riferimento ai dati raccolti in simili circostanze?
Ancora più grave risulta il caso di soggetto (professionista o meno) che invii un messaggio privato ad altro soggetto utilizzando Facebook. Un intervento da parte della piattaforma social, senza una previa informativa e senza l’ottenimento di un consenso, rischierebbe di tradursi in una intercettazione non autorizzata di una conversazione ovvero in una violazione della corrispondenza nonché in altre condotte che potrebbero risultare illegittime, non solo alla luce del GDPR ma anche sulla base di altre disposizioni di legge applicabili.
Gdpr: l’articolo 22 è applicabile alla human review?
Si è soliti ricondurre all’art. 22 GDPR i trattamenti effettuati mediante sistemi di intelligenza artificiale. In molti hanno quindi erroneamente ritenuto applicabile tale fattispecie anche al caso della human review. Sia chiaro, la human review è trattamento ulteriore e distinto rispetto a quello principale effettuato, ad esempio, dagli smart speaker (questo sì, effettivamente riconducibile all’art. 22).
La verità è che il problema principale di questa pratica risiede proprio nel fatto che non ci sia un sistema automatico a riascoltare le conversazioni, ma persone, migliaia di persone, che riascoltano, trascrivono e prendono appunti.
Vengono quindi meno tutti i presupposti di applicabilità del citato art. 22, a cui è possibile ricorrere solo in presenza di “una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici”. E’ del resto evidente che non siamo in presenza di trattamenti automatizzati (nemmeno parzialmente) non essendo allo stesso modo previste decisioni capaci di produrre effetti giuridici nei confronti dell’interessato.
Certo, probabilmente molte delle informazioni raccolte con la human review verranno utilizzate per migliorare i servizi di intelligenza artificiale, ma saranno questi ultimi – in un secondo momento – ad essere assoggettati all’art. 22 GDPR, non di certo l’attività di registrazione e riascolto umana che, come detto, dovrà quindi essere assoggettata alla disciplina generale prevista dal Regolamento in materia di trattamento dati.
Trattamento dati, il capitolo “trasparenza”
Uno dei principali problemi della human review, come anticipato, risulta la mancata conoscenza da parte dell’interessato dei trattamenti a cui potrebbero essere sottoposte le sue conversazioni.
Del resto, il solo fatto che per fare luce sull’esistenza della pratica di human review sia stato necessario attendere un’inchiesta del giornale Bloomberg la dice lunga sul livello di chiarezza delle case produttrici nei confronti degli utenti. Tale principio di trasparenza, come ricordano anche le linee guida del Gruppo di Lavoro Art. 29, per quanto ci interessa, si concretizza soprattutto nel diritto degli interessati ad essere informati in merito al trattamento dei dati.
È necessario che sia garantita una trasparenza fino ad oggi quasi inesistente. Con riferimento alla messaggistica Facebook e alle chiamate via Skype, dove entrambi i partecipanti alla conversazione in fase di iscrizione al servizio hanno avuto modo di leggere l’informativa, il problema sarebbe in realtà facilmente rimediabile, essendo sufficiente fornire agli utenti delle informative migliori, più chiare e più complete, rispetto a quelle attualmente adottate.
Diverso è invece per gli assistenti vocali, dove le registrazioni coinvolgono spesso persone che non hanno alcuna percezione dell’esistenza stessa dello smart speaker.
Si pensi agli ospiti che si recano a casa di un amico che ha l’assistente Google, ma anche a clienti di un negozio che utilizza, ad esempio, un sistema Alexa per diffondere la musica.
Tutti questi soggetti hanno il diritto di sapere che ciò che diranno in quell’ambiente, spesso domestico, potrà essere registrato da una corporate e sentito anche da soggetti terzi, al fine di migliorare l’attendibilità di un separato servizio di intelligenza artificiale.
Ma come fornire un’informativa ad ospiti e clienti? Questo è un aspetto che dovrebbero affrontare i Garanti Europei, anche se, a parere di chi scrive, una soluzione semplice potrebbe essere quella di adottare una sorta di cartellonistica non dissimile da quella che si posiziona nelle aree videosorvegliate, ad esempio con dicitura “attenzione, le conversazioni in questo ambiente potrebbero essere registrate”. Sarebbe una soluzione semplice, ma molto efficace.
Privacy e trattamento dati, i nodi per le big tech
Un altro grande problema è il fatto che le registrazioni raccolte (tanto utilizzando gli assistenti vocali, quanto per il tramite dei servizi di chiamata e messaggistica) non possono essere efficacemente rese anonime alla fonte. Circostanza questa che risulta in grado di aumentare notevolmente il rischio derivante dal trattamento.
A tal riguardo, è proprio Google, in un articolo sul suo blog ufficiale, ad affermare:
“Applichiamo una vasta gamma di garanzie per proteggere la privacy degli utenti durante l’intero processo di Human review. Gli esperti di lingua esaminano solo circa lo 0,2 percento di tutti gli audio. Gli audio non sono associati agli account utente come parte del processo di revisione e i revisori sono invitati a non trascrivere conversazioni in background o altri rumori e solo a trascrivere gli “snippet” indirizzati a Google”.
Con questa affermazione, pur tentando di ridimensionare il problema, Google di fatto ha ammesso che è possibile (solo nella fase di riascolto) limitare il trattamento, non essendo invece contemplata una minimizzazione in fase di raccolta. La registrazione del resto, attivandosi “a random”, capta necessariamente intere conversazioni non potendo selezionare e scartare le informazioni capaci di rendere identificabile un individuo. È questa la circostanza grave, a nulla importando che poi i dipendenti (come afferma Google) eviteranno di trascrivere nomi e cognomi o altre informazioni di background.
Del resto, è utile ricordare che anche solo la registrazione e l’archiviazione costituiscono, ai sensi del GDPR, delle attività di trattamento. Le informazioni vengono registrate e ciò, di per sé, è sufficiente a far nascere un obbligo di protezione in carico al titolare. Questo aspetto, però, Google e le altre sembrano averlo sottovalutato eccessivamente.
Ma quali sarebbero i rischi insiti nell’impossibilità di anonimizzare alla fonte una conversazione tra privati (peraltro non informati di tale trattamento)? Un esempio concreto ci arriva dagli Stati Uniti, ed in particolare dal noto caso di due coniugi di Portland che, per errore, videro recapitare ad un terzo sconosciuto tutte le loro conversazioni registrate dallo smart speaker.
Se le conversazioni fossero state anonimizzate alla fonte o comunque se si fossero adottati provvedimenti per limitare i dialoghi in presenza dello speaker, la diffusione delle registrazioni non sarebbe stata un grande problema. Così però non è stato.
Per evitare simili inconvenienti, sarà quindi opportuno che le aziende produttrici individuino delle soluzioni atte a permettere all’interessato di comprendere i momenti in cui la propria conversazione è registrata per finalità di riascolto, così da permettergli di decidere se correre il rischio di condividere i propri segreti con soggetti terzi all’ascolto oppure no. Questa, anche nell’ottica di una privacy by default, pare l’unica vera soluzione per minimizzare il trattamento sin dal momento della raccolta.
Tutelare la privacy, le soluzioni proposte dalle aziende
In tal senso, era una buona soluzione quella di attivare lo speaker solo a seguito della parola chiave “hey Siri/ ok Google / Alexa ecc. ecc.”. In questo modo l’utente sapeva che, dopo aver pronunciato il comando, la sua voce veniva registrata.
La situazione è cambiata totalmente ora che sappiamo che il microfono resta acceso anche prima e dopo l’attivazione vocale. Si potrebbe pensare ad una spia che si accende quando iniziano le registrazioni di background, oppure un segnale audio. Nel caso della messaggistica via Facebook o della chiamata Skype, sarebbe possibile comunicare prima dell’inizio della conversazione che quel particolare dialogo sarà oggetto di riascolto e trascrizione da parte di personale umano. Ancora meglio se un simile messaggio venisse previsto nei soli casi in cui il dialogo fosse effettivamente oggetto di human review, evitando in tal modo che l’utente lo veda come un mero disclaimer presente di default.
Le soluzioni esistono e sono facilmente implementabili. Sarà pertanto compito delle aziende prodigarsi per consentire all’interessato di capire quando può parlare liberamente e quando invece gli conviene tacere.
Privacy: gestione del consenso e opt out
A seguito del clamore suscitato anche dal provvedimento di Amburgo Amazon, come le altre big, è corsa ai ripari comunicando, proprio dal sito Bloomberg che per primo aveva parlato della human review, di aver modificato la privacy policy di Alexa. Come? Semplice: fornendo al cliente la possibilità di disabilitare la registrazione e il riascolto da parte dei dipendenti Amazon (e dei sub contractor).
Ora, pur ritenendo lodevole il tentativo, è comunque da evidenziare come una simile soluzione non possa considerarsi un buon esempio da seguire: in primo luogo, la possibilità di disabilitare la Human review è fornita, chiaramente, al solo cliente. Si badi, al cliente, non agli interessati. Ed in effetti, l’unico soggetto ad aver la possibilità di agire sul dispositivo è il proprietario dello stesso che, tramite l’accesso al pannello di controllo (raggiungibile con user e password) potrà modificare le proprie preferenze. Ma come si risolve il problema se è l’ospite che (previamente informato) decide di non essere registrato? E’ evidente che la possibilità di scelta dovrebbe essere fornita a tutti gli interessati e non solo al cliente.
In secondo luogo, prevedendo questa possibilità di opt out, è da ritenere verosimile che Amazon intenda fondare il trattamento sulla base giuridica del consenso. Ebbene, come noto, perché il consenso ad un trattamento sia valido, è necessario che l’interessato abbia intrapreso un’azione deliberata per acconsentire al trattamento specifico.
Human review, cosa deve fare l’Europa
Ciò in quanto, come precisato dal Gruppo di Lavoro Art. 29 “Il silenzio o l’inattività da parte dell’interessato, così come il semplice procedere all’uso di un servizio, non possono essere considerati una manifestazione attiva di scelta”.
Non è quindi legittimo prevedere una sorta di consenso di default con la possibilità di effettuare l’opt out. Sarebbe invece da capovolgere del tutto la situazione. In tal senso, chi ritiene di acconsentire alla Human review dovrebbe essere messo in condizione di conferire il consenso mentre per gli altri, tale trattamento non potrà essere eseguito. Non solo: come visto, è possibile che gli smart speaker raccolgano anche dati particolari/sensibili.
In tal caso, fondare il trattamento sul consenso potrebbe essere molto pericoloso in quanto, come noto, il GDPR per questo genere di trattamenti richiede il consenso esplicito, con conseguente aggravio in termini di praticità in fase di raccolta del consenso stesso. Probabilmente, per le ragioni esaminate, Amazon verrà invitata a rivedere questa soluzione che, per ora, non sembra molto efficiente, rischiando di generare ancora più problemi di quelli che vorrebbe risolvere.
Come visto, molte e molto importanti sono le implicazioni derivanti dalla human review. Una cosa è certa a parere di chi scrive: l’Europa, con le sue Autorità Garanti, deve intervenire e deve farlo velocemente e in modo unitario.
Ulteriori ritardi, o interventi scomposti da parte di solo alcune autorità, provocherebbero uno scenario disomogeneo, con conseguente incertezza ad ulteriore discapito dei diritti degli interessati.