La voce è un dato personale? Se qualcuno si ponesse questa domanda, sappia subito che la risposta è un netto “sì”: proviamo a ragionarci su partendo da qualche esempio concreto.
All’interno della cornice giornalistica, a fine 2020 è stata data una sanzione di 10mila euro a R.T.I. – Reti Televisive Italiane S.p.a., dopo che all’interno di una inchiesta de “Le Iene” erano state inserite alcune riprese e dichiarazioni di un medico che, seppur parzialmente oscurato in viso, risultava riconoscibile, tra le altre cose, anche dalla voce “per niente camuffata”.
A inizio anno, in seguito a un servizio della stessa trasmissione, a RTI era già stata peraltro disposta una sanzione di 20mila euro per la diffusione di informazioni personali particolarmente sensibili di una donna: in questo caso, nonostante il servizio fosse stato confezionato attraverso il ricorso dell’immagine di un’attrice (oscurata) in sostituzione della figura della diretta interessata, si è rilevato che l’utilizzo della voce originale registrata, senza alcun tipo di alterazione, ha impedito di garantire adeguatamente l’anonimato della donna.
Anche scavando nel passato, in era ante-GDPR, la voce era stata al centro di alcuni provvedimenti del Garante. La trasmissione radiofonica satirica “La Zanzara” di Radio 24 fu più volte richiamata dall’Autorità per aver illecitamente acquisito e diffuso dati raccolti con l’utilizzo di voce contraffatta. O per essere più precisi, “con l’artificio della simulazione di altra identità” (ad es. attraverso telefonate svolte dal giornalista e intrattenitore Andrea Merkù, che simulava la voce dell’on. Nichi Vendola).
Insomma, non c’è dubbio che la voce sia espressione dell’identità di una persona, nonché un elemento che ne permette l’identificabilità.
E quando si mappano i trattamenti di dati personali per l’applicazione del GDPR, può esser facile focalizzare l’attenzione su documentazione e modulistica. Ci si concentrerà su nomi e cognomi, fino a informazioni sensibili di varia natura. Si analizzeranno anche software contenenti testi, numeri, o tuttalpiù immagini, foto o video (tipicamente in contesti di videosorveglianza) che rendono identificabili le persone ritratte.
Ma l’attenzione per le informazioni che viaggiano su formati multimediali dovrebbe non trascurare anche i file audio. Soprattutto ora che le iniziative basate su registrazioni vocali e suoni, come i podcast, fanno parte della nostra quotidianità. Rappresentano infatti un approccio sempre più diffuso per la divulgazione di contenuti di intrattenimento, marketing, formazione, ecc.
Pochi mesi fa, il caso Clubhouse ha sollevato un certo polverone, richiamando a sua volta l’attenzione dell’Autorità Garante, preoccupata per una serie di elementi del suo funzionamento e delle modalità di gestione e tutela della privacy: per chi ancora non ne fosse al corrente, trattasi di un giovane social network basato interamente su scambi vocali tra i suoi utenti: le stanze sono organizzate per avere un Admin (il moderatore delle conversazioni), determinati Speaker (che animano la conversazione), e degli ascoltatori silenti (che l’Admin può decidere di “promuovere” a speaker).
Non ci addentreremo nei livelli di sicurezza applicati dalla piattaforma o approfondire le diverse contestazioni del Garante. Ma non si può certo negare il fatto che l’utilizzo di una piattaforma come Clubhouse determini inevitabilmente una notevole trasmissione di informazioni. Si pensi solo che alcuni Stati ne hanno bloccato l’utilizzo, poiché consentirebbe ai cittadini un livello di espressione su temi politici “troppo elevato”.
Certo, parlando di temi politici si avranno informazioni sul pensiero politico, ma cosa c’entra la voce di chi lo esprime, in quanto tale?
Nella sua richiesta di chiarimenti sul funzionamento di Clubhouse, il Garante si è concentrato anche sulla questione del trattamento di dati biometrici. Verificando se la Società che gestisce la piattaforma rilevasse, a partire dalle registrazioni vocali, determinate caratteristiche fisiche degli individui. Non è stata la prima occasione: una specifica analoga il Garante l’aveva già fatta nel 2014 nel suo Provvedimento in tema di biometria, dove regolava i sistemi di autenticazione informatica che utilizzasse caratteristiche biometriche “come l’impronta digitale o l’emissione vocale”.
L’esempio di Clubhouse, comunque, ci permette di affermare un’importante duplice natura dei dati che hanno a che fare con la voce e le registrazioni vocali:
a) la voce (o meglio, timbro e tonalità), è essa stessa un dato personale, soprattutto in caso di sue analisi o elaborazioni;
b) la voce può rappresentare un possibile canale di trasmissione di informazioni, proprio perché qualsiasi conversazione, in quanto tale, veicola informazioni.
Occorre ricordare, quindi, che per raccogliere, trattare, elaborare delle registrazioni vocali, bisogna certamente provvedere a tutti gli adempimenti tipici di ogni trattamento di dati personali. Definizione delle finalità di raccolta e trattamento del dato, aggiornamento del registro dei trattamenti, predisposizione dell’informativa per gli interessati e individuazione della base giuridica per il trattamento, gestione dei rischi e applicazione di adeguate misure di sicurezza, e così via. In determinati casi, ovviamente, le attenzioni potranno essere maggiori, proprio in funzione della quantità di dati e del contesto del trattamento.
Non si trascuri, tra l’altro, l’impatto sempre maggiore della tecnologia anche in questo contesto. Al di là delle capacità di abili imitatori, come abbiamo visto nell’esempio de La Zanzara, la contraffazione della voce è un tema più che mai attuale, che è stato ripreso recentemente nel Vademecum del Garante sui Deepfake, quei “software di intelligenza artificiale (AI) che, partendo da contenuti reali (immagini e audio), riescono a modificare o ricreare, in modo estremamente realistico, le caratteristiche e i movimenti di un volto o di un corpo e a imitare fedelmente una determinata voce”.
Vi è poi il tema degli assistenti vocali, riguardo al cui utilizzo sono state recentemente diffuse delle utili Linee Guida dell’EDPB, sintetizzate anche in alcuni consigli di utilizzo da parte del Garante: considerando che questi programmi basati su intelligenza artificiale, con cui dialoghiamo e a cui rivolgiamo diversi tipi di richieste, sono sempre più presente e diffusi grazie ai nostri smartphone, auto intelligenti, altoparlanti usati nella domotica (ora persino nelle macchine del caffè!), dobbiamo essere consapevoli della loro capacità di raccogliere e memorizzare una grande quantità di dati personali (non solo relativi all’utilizzatore diretto, ma a chiunque si trovi nello stesso ambiente), trasmetterli ad altri dispositivi connessi e farli viaggiare in rete.
Tra i molti dati raccolti elaborati dagli assistenti vocali troviamo, tanto per cambiare, anche le caratteristiche biometriche della voce. Insomma, ancora una volta, attenzione alla corretta applicazione dei principi di trasparenza, minimizzazione e sicurezza dei trattamenti. Tantopiù nel momento in cui queste tecnologie non riguardano più solo la nostra vita privata, ma, ad esempio, se utilizzate in contesti di lavoro.