In questi giorni in cui cresce esponenzialmente l’uso di piattaforme per le videochiamate (Zoom ha registrato un aumento dei download del 1300 % nell’ultimo mese) è lecito chiedersi in che modo vengono trattati i nostri dati personali.
Queste piattaforme possono utilizzare per attività di profilazione anche i dati audio e video di tutti i partecipanti alla conversazione, oltre ai files condivisi. In altre parole, le nostre conversazioni e lo scambio di files possono essere monitorate per carpire i nostri gusti e così fare profitto di queste preziose informazioni, profilandoci per offrirci servizi e pubblicità personalizzata.
È tutto perfettamente lecito e chiaramente spiegato nelle informative privacy (art. 13 del Regolamento Europeo 679/2016 “gdpr”), dove si precisa che potranno essere utilizzate tutte le informazioni che l’utente fornisce o crea durante l’utilizzo del servizio. Il riferimento è ai files audio ed alla documentazione eventualmente scambiata.
Per poter usufruire del servizio, infatti, ai sensi dell’articolo 22 del gdpr è necessario prestare il consenso al trattamento dei dati, anche di quelli vocali.
Il consenso, però, diventa obbligatorio in tutti i casi in cui, ad esempio, senza il riconoscimento vocale dell’utente non è possibile erogare quel servizio. In tutti gli altri casi, il consenso è facoltativo, ma alcune funzionalità potrebbero essere ridotte. Possono essere memorizzate anche la cronologia delle attività, i dati di geolocalizzazione dei vari dispositivi usati, i dati dei contatti con i quali comunichiamo e i video che guardiamo. Nella maggior parte dei casi la profilazione avviene in forma aggregata e i dati vengono salvati in maniera criptata. Se le misure di sicurezza vengono attuate correttamente, gli utenti non corrono particolari rischi. Vi è poi la possibilità per il singolo utente, spulciando nelle impostazioni della privacy, di poterle modificare per minimizzare la raccolta dei dati.
A questo proposito il Garante privacy ha pubblicato di recente alcune raccomandazioni per l’uso domestico degli assistenti digitali (qui l’articolo). Tutti questi dispositivi possono raccogliere molti dati personali e incrociarli tra di loro. Sono in grado di carpire i dati personali anche terze persone presenti nella stanza, memorizzare la loro voce, i volti e persino gli stati d’animo. Anche quando sono in stato di “passive listening”, questi dispositivi sono in grado di sentire e, se dotati di telecamera, anche di vedere quello che li circonda, in modo da attivarsi al comando vocale. È consigliabile quindi disattivarli quando non si usano (staccando la spina laddove non è presente un interruttore), scegliere con cura la parola di attivazione e minimizzare le informazioni affidate al dispositivo.
Un aspetto particolarmente importante per il trattamento dei dati è quello dell’iscrizione alle piattaforme di videoconferenza e ai siti web in generale. È bene ricordare, infatti, che quando ci si iscrive tramite un social network si autorizza quest’ultimo ad incrociare i dati trattati con quelli della piattaforma di videoconferenza. Lo prevedono le informative privacy sia dei social network che delle varie piattaforme di volta in volta utilizzate. Così come possono essere incrociate le informazioni dei vari dispositivi usati (smartphone, tablet, pc).
I dati acquisiti, inoltre, possono essere ceduti a terze parti. Alcuni strumenti pubblicitari standard richiedono il consenso al trattamento dei dati personali,come Google Ads e Google Analytics. Per questo, ad esempio, quando vengono installati i cookies sui nostri dispositivi dobbiamo prestare il consenso. I dati possono essere condivisi con tutte le aziende che utilizzano i servizi delle piattaforme di videoconferenze online, che sono in grado di fornirci un servizio gratuito proprio grazie alle inserzioni pubblicitarie.
Essere costretti a condividere informazioni con i gestori, tuttavia, non significa poter registrare e diffondere impunemente il contenuto di seminari o di lezioni on line, che lo ricordiamo possono essere registrate soltanto per uso personale e non possono essere divulgate a terzi non autorizzati senza l’autorizzazione del docente.
A garantire i nostri diritti interviene l’art. 17 del gdpr, il quale tutela il diritto di ottenere la cancellazione di tutti i dati trattati. Ricevuta la nostra richiesta, la piattaforma dovrà provvedere a rimuoverli senza ingiustificato ritardo e comunque entro 30 gg. I nostri dati già ceduti a terzi potranno essere oggetto di trattamento in forma anonima. Alcuni dati vengono eliminati o resi anonimi automaticamente dopo un determinato periodo di tempo; altri possono essere utilizzati per periodi più lunghi (per esempio, per finalità di giustizia). La cancellazione integrale di tutti i nostri dati potrebbe non essere assicurata, ma lo strumento indicato rappresenta comunque un valido alleato a tutela dei nostri dati personali.
Avv. Luca Iadecola
Consulente privacy, Dpo
