Quando si parla di internet, si pensa normalmente alla rete a cui ci si connette tramite un computer o uno smartphone o un tablet.
Tuttavia, esistono tutta una serie di oggetti che non sono pc o telefoni intelligenti o tablet che possono collegarsi alla rete e dialogare tra loro e con gli esseri umani, per fornire tutta una serie di servizi: pensiamo ad esempio ai giocattoli intelligenti, agli assistenti virtuali, oppure ai termosifoni in grado di comandare il riscaldamento con una semplice telefonata o ai frigoriferi che ci riferiscono quando è ora di andare a fare la spesa e che cosa dobbiamo comprare.
Ogni volta che un oggetto è collegato ad internet si parla di internet delle cose, in inglese internet of things, abbreviato nella sigla IoT.
Entrando più nello specifico, l’IoT è una infrastruttura in cui sensori e software integrati in dispositivi di uso comune o quotidiano, sono progettati per registrare, memorizzare, trasferire e, in generale, trattare dati.
Si tratta quindi di una rete di oggetti fisici, quindi, dotati di sensori, software e altre tecnologie integrate allo scopo di connettere e scambiare dati con altri dispositivi e sistemi attraverso la rete Internet.
Per approfondimenti consigliamo: Compendio breve sulla privacy
Indice
1. Perché ci interessa così tanto l’IoT?
L’architettura dell’Internet degli oggetti è tipicamente basata su tre elementi:
1. Things – i dispositivi, cioè le “cose”, che sono connesse ad una rete.
2. Network – il network connette tutte le “cose” di una rete al cloud.
3. Cloud – i server che immagazzinano i dati.
L’internet delle cose, dunque, coinvolge il trattamento di dati che si riferiscono a persone fisiche identificate o identificabili.
In altre parole, l’IoT implica il trattamento di dati personali così come definiti dall’articolo 4 del GDPR. Per questo motivo l’internet delle cose ci interessa, sotto un duplice punto di vista: interessa sotto un aspetto professionale a chi si occupa di protezione dei dati e interessa (o dovrebbe interessare) a tutti noi perché trattando i nostri dati, gli oggetti collegati alla rete costituiscono una potenziale intrusione nella nostra vita privata e, di conseguenza, nella nostra sfera di diritti e libertà fondamentali.
Il trattamento dei dati personali si basa sull’intervento coordinato di un numero significativo di soggetti produttori di dispositivi: piattaforme, sviluppatori di applicazioni, fornitori di dispositivi, di conseguenza questi player possono avere accesso a dati personali degli utenti interessati, memorizzarli ed elaborarli.
La connessione “perenne” tra oggetti, anche di uso quotidiano, e il trattamento massivo di dati connesso all’IoT non può non generare interrogativi sul trattamento dei dati personali e soprattutto sulla tutela dei diritti e delle libertà delle persone fisiche coinvolte nel trattamento.
L’internet delle cose, dunque, pone nuove sfide in materia di protezione dei dati personali, sicurezza e privacy.
Potrebbero interessarti anche:
2. I problemi di ordine giuridico
Già il Working Party 29 (il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati) aveva formulato un parere sullo sviluppo dei servizi dell’internet delle cose, individuando queste sfide principali da affrontare:
- La mancanza di controllo e l’asimmetria informativa. Uno dei rischi posti dall’internet degli oggetti è un trattamento dei dati poco trasparente. Gli utenti, a causa della scarsa informazione, potrebbero perdere il controllo sui propri dati, sulla loro diffusione e finire sotto la “sorveglianza” di terzi.
- La qualità del consenso dell’utente. Le caratteristiche intrinseche dei dispositivi dell’internet delle cose ci portano a ridefinire il dibattito sulle questioni relative alla protezione dei dati personali perché cambiano drasticamente il modo in cui dati personali sono trattati, raccolti, analizzati, utilizzati, protetti. Un esempio operativo è quello rappresentato dal consenso: tradizionalmente gli utenti leggono le informative, dichiarano le loro preferenze sulla privacy e prestano il consenso, interagendo direttamente con le informazioni presenti sul monitor di un computer o sullo schermo di uno smartphone, dove possono cliccare o “tappare” sulla spunta “accetto”. Per le caratteristiche intrinseche di alcuni oggetti questo può non essere possibile o può essere difficoltoso nel contesto dell’internet delle cose, in quanto molti dei dispositivi non hanno un’interfaccia utente o hanno un’interfaccia utente limitata. Per i dispositivi privi di schermo, l’interessato potrebbe non avere modo di leggere le informative, inserire eventuali modifiche alle politiche privacy o esprimere preferenze specifiche per l’utilizzo dei dati. Gli utenti poi, potrebbero non essere del tutto informati sul trattamento dei dati personali effettuato da specifici oggetti e questa mancanza di informazioni rende il consenso invalido ai sensi delle norme Ue sulla protezione dei dati
- Le finalità della raccolta e l’informazione degli interessati. L’aumento della quantità di dati generati dall’internet delle cose può far sì che i dati raccolti per scopi specifici siano utilizzati anche per scopi completamente diversi. I dati raccolti dai dispositivi potrebbero essere utilizzati per ricavare altre informazioni con scopi e finalità completamente diverse. I titolari del trattamento, quindi, dovrebbero garantire che i dati siano utilizzati per finalità compatibili con la finalità originaria del trattamento e che tali finalità siano note all’utente.
- La profilazione. La raccolta attraverso i dispositivi IoT, di informazioni personali, abitudini, condizioni fisiche nel tempo, potrebbe consentire alle aziende di ricavare informazioni sensibili. I dati potrebbero essere utilizzati in modo discriminatorio: come, ad esempio, per prendere decisioni in ambito lavorativo, creditizio o assicurativo.
- Limitazioni all’anonimato. I dispositivi tecnologici “indossabili”, ad esempio, potrebbero rivelare altri identificatori o altri dispositivi che potrebbero consentire di geolocalizzare l’interessato. Il trattamento dei dati in questo ambito può riguardare anche persone che non sono interessati o utenti. Con gli occhiali “intelligenti”, ad esempio, si possono raccogliere dati su persone diverse dal proprietario del dispositivo.
- Rischi per la sicurezza. Il rischio che l’internet delle cose possa trasformare un oggetto di uso quotidiano in un potenziale obiettivo di sicurezza della privacy. I dispositivi dell’internet delle cose scarsamente protetti potrebbero servire come punti di ingresso per cyberattacchi consentendo a persone malintenzionate di riprogrammare un dispositivo o causarne il malfunzionamento.
3. Il quadro giuridico applicabile all’internet delle cose
Per affrontare le sfide realizzate dalla tecnologia è necessario normare anche l’ambito dell’internet of things, con regole chiare e precise che tutelino l’interessato dai rischi ai suoi diritti e alle sue libertà e che delimitino il confine tra liceità ed illiceità di determinati trattamenti.
Già nel 2014, il WP 29 ha analizzato le sfide poste dall’IoT, fornendo una serie di raccomandazioni, per gli operatori del settore, tra cui l’importanza di identificare i ruoli dei soggetti che a vario titolo, operano nell’ambito dell’IoT al fine di applicare correttamente la normativa relativa alla protezione dei dati.
L’identificazione del titolare del trattamento e del responsabile del trattamento è assolutamente indispensabile in quanto queste condiziona le rispettive responsabilità dei soggetti coinvolti nel trattamento dei dati.
Gli abbonati e in generale gli utenti che si servono degli oggetti IOT si qualificano invece come persone interessate.
L’entrata in vigore del GDPR è stata poi fondamentale poiché sono state introdotte una serie di norme applicabili anche all’ambito IoT.
In base al principio della privacy “by design e by default”, lo sviluppatore dell’oggetto o del servizio deve assumere un ruolo proattivo, porsi la questione sulla protezione dei dati personali e valutare i rischi per i diritti e le libertà degli interessati, già nella fase della progettazione, quindi preliminare al trattamento stesso e non a seguito della vendita degli oggetti.
Il principio di accountability, poi, prevede una valutazione concreta dell’ambito di trattamento e della scelta e dell’adozione di misure tecniche e organizzative “adeguate” a garantire un livello di sicurezza al passo rispetto ai progressi della tecnologia.
Allo stesso tempo, il titolare del trattamento deve essere sempre in grado di dimostrare la ratio alla base delle scelte effettuate e la propria compliance al Regolamento europeo.
E ancora: i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite (principio di minimizzazione dei dati)
Una delle sfide poste dal WP 29 è quella sulla sicurezza dei dati considerato che le vulnerabilità dei dispositivi IoT possono essere sfruttate per accedere, danneggiare dati o causare malfunzionamenti e diventare così una minaccia sia per la sicurezza informatica e la privacy degli interessati.
Già da tempo l’Autorità garante per la protezione di dati personali ha previsto che «il GDPR [debba prevedere] l’incorporazione delle misure di protezione dati negli stessi sistemi e dispositivi, in modo che essi siano progettati e configurati in maniera da minimizzare l’uso di dati personali e proteggerli adeguatamente. Queste misure compensano quel deficit di consapevolezza nell’utilizzo di dispositivi intelligenti di uso quotidiano, la cui apparente innocuità ci induce a sottovalutarne la potenziale esposizione ad attacchi informatici o comunque la capacità di rivelare, tramite i dati raccolti, stili e tenore di vita, persino patologie o dipendenze. Inoltre, rispetto alla profilazione e al microtargeting che questi dispositivi possono incentivare, risultano determinanti il diritto di opposizione e quello di contestare la decisione automatizzata, nonché di ottenere l’intervento umano nel processo decisionale».
Ricordiamoci, in conclusione, che tutto ciò che è connesso è facilmente attaccabile.
Si rende necessaria quindi una maggiore consapevolezza sull’importanza di proteggere i propri dati personali in un mondo iperconnesso e un’educazione al corretto utilizzo degli oggetti smart, già dall’età dell’infanzia. Se pensiamo che i dispositivi smart vengono dati spesso in uso anche ai bambini e che l’età del cd. consenso digitale in Italia è 14 anni, capiamo come questa sia un’esigenza che si rivela sempre più pressante.
Volume consigliato
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | Maggioli Editore 2021
Scrivi un commento
Accedi per poter inserire un commento