Software di trascrizione conforme al GDPR: trascrizione IA senza rischi per i dati
Usare un software di trascrizione in conformità al GDPR: perché gli strumenti cloud americani sono rischiosi, cosa conta sul piano legale e quando l'elaborazione locale è la soluzione più pulita.
Un'intervista di ricerca, una chiamata con un cliente registrata, un memo vocale pieno di appunti di progetto: la trascrizione con l'IA trasforma ore di digitazione in minuti di calcolo. Ed è esattamente per questo che innumerevoli team stanno caricando in questo momento le proprie registrazioni su un servizio di trascrizione qualsiasi, senza chiedersi dove finisca davvero quell'audio.
La verità scomoda: quasi ogni registrazione contiene dati personali, spesso dati appartenenti a categorie particolarmente protette. Se li inviate a un servizio cloud fuori dall'UE, avete un problema GDPR prima ancora che la prima parola sia trascritta. Questo articolo mostra cosa conta davvero in un software di trascrizione conforme al GDPR, quali domande porre a ogni fornitore e perché la trascrizione IA locale impedisce alla maggior parte di questi problemi persino di nascere.
Una precisazione iniziale: questa è una panoramica generale, non una consulenza legale. La valutazione concreta dipende sempre dal vostro scenario d'uso. Se vi interessa la dettatura in tempo reale e non la trascrizione di registrazioni, trovate l'inquadramento giuridico nel nostro articolo sui software di dettatura conformi al GDPR.
Perché la trascrizione è un tema privacy più delicato della dettatura
Quando dettate, elaborate la vostra voce e i vostri pensieri. Quando trascrivete registrazioni, si aggiunge una dimensione decisiva: i dati di altre persone. Un'intervista contiene la voce e le dichiarazioni della vostra interlocutrice. Una riunione registrata contiene le parole di tutti i partecipanti. E una voce, di per sé, è già una caratteristica biometrica.
Il contenuto diventa rapidamente sensibile. Le interviste qualitative toccano spesso salute, opinioni politiche o la storia di vita degli intervistati, cioè categorie particolari di dati personali ai sensi dell'art. 9 GDPR. Le chiamate con i clienti contengono dettagli contrattuali, le riunioni di team questioni interne e di personale. Chi elabora simili registrazioni è responsabile di dati che altre persone gli hanno affidato.
A ciò si aggiunge un obbligo che vale già prima della trascrizione: la registrazione stessa ha bisogno di una base giuridica. Registrare conversazioni all'insaputa e senza il consenso dei partecipanti è illecito in molti casi e può persino costituire reato. Raccogliere i consensi non è quindi una formalità, è il fondamento di tutto ciò che segue.
Il problema dei servizi di trascrizione cloud
I servizi di trascrizione più noti funzionano nel cloud, molti con server negli Stati Uniti. Questo vi apre diversi cantieri contemporaneamente.
Non appena un fornitore elabora audio per vostro conto, vi serve un contratto di nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR. Se il server si trova fuori dall'UE, si aggiunge il trasferimento verso un paese terzo, che dalla sentenza Schrems II richiede garanzie supplementari per i fornitori statunitensi e mantiene comunque un rischio residuo. Verso le persone registrate avete obblighi di informazione ai sensi degli artt. 13 e 14 GDPR: devono sapere che la loro registrazione va a un fornitore di servizi, a quale, e dove. Un consenso che copre solo la registrazione non copre automaticamente il caricamento su un servizio americano.
Un punto viene regolarmente trascurato: l'addestramento dei modelli di IA. Alcuni servizi si riservano il diritto di usare audio o trascrizioni caricati per migliorare i propri modelli. Per registrazioni riservate è un criterio di esclusione, indipendentemente da dove si trovi il server. Un fornitore che non si impegna in modo chiaro e contrattuale a non usare i vostri contenuti per l'addestramento non è un'opzione per registrazioni sensibili.
Per le professioni vincolate al segreto tutto si inasprisce ulteriormente. Medici, avvocati e terapeuti che rivelano senza autorizzazione segreti di clienti o pazienti rischiano conseguenze professionali e spesso penali. Un'intervista con una paziente o la registrazione di un colloquio con un cliente semplicemente non ha nulla a che fare con il server di un fornitore che non controllate contrattualmente.
Trascrizione IA locale: risolvere il problema alla radice
La buona notizia: la tecnologia è cambiata radicalmente. I moderni modelli di riconoscimento vocale come Whisper girano oggi direttamente su normali laptop, senza contatto con server e con una qualità che regge il confronto con i servizi cloud. Trovate di più sulla tecnologia nella nostra guida ai software di dettatura offline per Mac e Windows.
Per la privacy questo cambia tutto. Se la trascrizione gira localmente sul vostro dispositivo, la registrazione non lo lascia mai. Non c'è alcun destinatario, quindi nessun contratto di responsabile per questo passaggio, nessun trasferimento verso paesi terzi, nessuna questione Schrems II e nessuna preoccupazione per l'addestramento di modelli altrui. I vostri obblighi di informazione verso le persone registrate diventano più semplici, perché potete dire in tutta verità: la registrazione resta su questa macchina.
Proprio nella ricerca qualitativa è una svolta pratica. Comitati etici e responsabili della protezione dei dati chiedono regolarmente dove finiscano le registrazioni delle interviste. "La trascrizione gira localmente sul computer dello studio" è una risposta che accorcia sensibilmente i processi di approvazione. Lo stesso vale per le redazioni che proteggono le fonti e per tutte le professioni vincolate al segreto.
L'inquadramento onesto resta comunque: il locale risolve la questione del trasferimento, non tutti gli obblighi. Vi serve sempre una base giuridica per la registrazione stessa, oltre a una ragionevole sicurezza del dispositivo, cioè cifratura del disco, controllo degli accessi e una routine pulita di cancellazione per le registrazioni che non servono più.
Se proprio cloud: allora europeo e disattivabile
Ci sono casi in cui la potenza del cloud è davvero utile, per esempio registrazioni molto lunghe su hardware datato. Allora la domanda non è "cloud sì o no" ma quale. Un percorso cloud è compatibile con il GDPR se l'elaborazione passa esclusivamente per subfornitori europei, se esiste un contratto di nomina a responsabile, se i subfornitori sono elencati in modo trasparente e se il fornitore garantisce la zero data retention, cioè il vostro audio non viene conservato dopo l'elaborazione né usato per l'addestramento. E dovete poter controllare voi se qualcosa va nel cloud: locale per impostazione predefinita, cloud solo come decisione consapevole, funzione per funzione.
Checklist: le domande da porre a ogni fornitore di trascrizione
Prima di caricare una registrazione o adottare uno strumento, queste domande dovrebbero avere risposte nette. La trascrizione gira localmente per impostazione predefinita, o ogni audio va nel cloud? Se il cloud è coinvolto: dove si trovano i server, chi sono i subfornitori, esiste un contratto di nomina a responsabile? Audio o trascrizioni vengono usati per l'addestramento dell'IA o conservati dopo l'elaborazione? Il cloud può essere disattivato completamente? E infine, dal vostro lato: avete il consenso di ogni persona registrata, che copra il tipo di trattamento che intendete davvero svolgere?
Un fornitore che risponde a queste domande solo con formule di marketing di solito non le ha sotto controllo. Una dichiarazione chiara e verificabile nell'informativa privacy vale più di qualsiasi slogan.
Domande frequenti su GDPR e software di trascrizione
Posso trascrivere interviste con un servizio cloud americano?
È rischioso. Vi servono un contratto di nomina a responsabile, una base solida per il trasferimento verso un paese terzo e un consenso degli intervistati che copra il caricamento. Anche allora, dopo Schrems II resta un rischio residuo. L'elaborazione locale o basata nell'UE evita il problema.
Mi serve il consenso delle persone registrate?
Di regola sì, e già per la registrazione stessa, non solo per la trascrizione. Le registrazioni occulte sono illecite in molti casi e possono costituire reato. Il consenso dovrebbe coprire anche come e con quali strumenti la registrazione viene poi elaborata.
La trascrizione IA locale è peggiore di quella cloud?
In pratica non più. I moderni modelli locali come Whisper raggiungono su hardware recente una qualità paragonabile ai servizi cloud per interviste, memo e riunioni. Su hardware datato, un cloud europeo con zero data retention può essere un compromesso sensato.
Cosa significa zero data retention?
Che il fornitore non conserva i vostri audio e le vostre trascrizioni dopo l'elaborazione e non li usa per scopi propri come l'addestramento dei modelli. Per registrazioni riservate dovrebbe essere garantito contrattualmente.
Un server nell'UE basta per la conformità al GDPR?
Risolve il trasferimento verso paesi terzi, ma non tutto. Vi servono comunque un contratto di nomina a responsabile, trasparenza sui subfornitori e la garanzia che i vostri contenuti non vengano usati per l'addestramento. E non sostituisce mai il consenso delle persone registrate.
Cosa vale per medici, avvocati e altre professioni vincolate al segreto?
Per loro l'asticella è più alta: la rivelazione non autorizzata di segreti professionali comporta conseguenze disciplinari e spesso penali. Le registrazioni che coinvolgono pazienti o clienti non dovrebbero idealmente mai lasciare un dispositivo sotto il vostro controllo. La trascrizione locale è spesso l'unica via pulita.
Conclusione: il miglior trasferimento è nessun trasferimento
La trascrizione conforme al GDPR inizia prima del primo caricamento: con il consenso delle persone registrate e con la domanda se la registrazione debba davvero lasciare il vostro dispositivo. Se la trascrizione IA gira localmente, gli obblighi più difficili scompaiono, perché semplicemente non c'è alcun destinatario. Se vi serve comunque la potenza del cloud, allora esclusivamente europea, garantita contrattualmente, senza addestramento sui vostri dati e disattivabile in qualsiasi momento.
Ownvox: trascrizione IA locale, sviluppata in Germania
Ownvox segue esattamente questo principio, con un focus chiaro: la trascrizione in tempo reale. Ownvox trasforma la vostra voce in testo in tempo reale, direttamente al cursore in qualsiasi app, e il riconoscimento vocale gira per impostazione predefinita localmente sul vostro Mac o PC Windows. La vostra voce e le vostre trascrizioni non lasciano mai il dispositivo. Se il vostro caso d'uso è mettere per iscritto il vostro stesso parlato, cioè appunti, memo, pratiche o interi documenti, ottenete l'architettura più rispettosa della privacy attualmente possibile. In opzione potete attivare un cloud europeo la cui inferenza gira in Francia presso Scaleway e il cui proxy in Germania presso Hetzner, con zero data retention e senza addestramento sui vostri contenuti. Un interruttore privacy disattiva tutte le funzioni cloud con un clic, un contratto di nomina a responsabile è disponibile, e Ownvox è sviluppato in Germania.
Se cercate un riconoscimento vocale che non promette la conformità al GDPR ma la integra nell'architettura, scaricate Ownvox e dettate il primo testo senza che la vostra voce lasci mai il computer.