IoT e privacy, una prospettiva di tutela europea
di Paolo Di Marcantonio
“The Internet of Things is not a concept; it is a network, the true technology-enabled Network of all networks.”
Edewede Oriwoh
Il termine “Internet of things” è stato usato per la prima volta da Kevin Ashton in Procter & Gamble nel 1999 per descrivere un’architettura erogatrice di servizi collegata ad Internet[1].
Oggi il termine indica oggetti connessi alla rete che interagiscono e cooperano tra loro attraverso reti Wi-Fi, Bluetooth o reti mobili. Si è passati da singoli oggetti che operano individualmente, ad un insieme di dispositivi che, raccogliendo, elaborando e trasferendo dati tra loro, permettono il raggiungimento di risultati – in termini di comodità d’uso ed efficienza – impensabili alla fine del secolo scorso.
I dispositivi interessati non sono più soltanto i tradizionali computer o gli smartphone, ma anche quelli integrati in oggetti di uso quotidiano, come i dispositivi indossabili (wearable), di automazione domestica (smart home) e di assistenza alla guida ed al parcheggio (smart car).
La società produttrice del dispositivo IoT acquisisce quotidianamente i dati degli utenti, li elabora e crea modelli comportamentali (pattern), diversificati da utente ad utente. Un’acquisizione così elevata e pervasiva di dati personali ha tuttavia indotto il legislatore nazionale ed europeo [2] a monitorare con attenzione le situazioni di indebita conservazione ed utilizzo che le aziende possono fare di questi dati. Difatti, secondo il Garante, particolare attenzione deve essere riservata ai rischi relativi alla qualità ed affidabilità dei dati – specialmente se in ambito medico-sanitario – e prevenire un invasivo monitoraggio dei comportamenti degli utenti – che ne possa limitare anche significativamente la libertà e la capacità di autodeterminazione.
Altri aspetti delicati rimarcati dal Garante riguardano la possibilità della vendita a terzi di dati personali, il loro utilizzo improprio e la perdita delle informazioni oggetto del trattamento.[3]
Qualità ed armonizzazione sono i due punti chiave per il corretto e sicuro mantenimento dei dati da parte delle aziende erogatrici dei servizi e degli strumenti IoT.
Un aspetto problematico per le società deriva dal fatto che queste conservano e trattano i dati personali (e talvolta sensibili) degli utenti divisi per dipartimenti (vendite, marketing, finance, etc.); questo causa una frammentazione non indifferente, con riflessi sui profili di responsabilità di coloro che gestiscono i dati, e crea sia problemi di governance, sia di efficace monitoraggio e gestione dei dati.
Il regolamento 679/2016 (GDPR) ha toccato alcuni problemi tipici del mercato IoT, facendo perno sui principi di trasparenza, privacy by design, e privacy by default.
Il principio di trasparenza impone che le informazioni destinate all’interessato al trattamento siano complete, facilmente accessibili e di facile comprensione, con informative redatte con un linguaggio semplice e chiaro. Le aziende devono dunque specificare con la massima chiarezza quali siano le implicazioni della raccolta dei dati connessa al prodotto IoT. I dati devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento; da qui l’obbligo di garantire che il periodo di conservazione dei dati sia limitato, imponendo un termine per la cancellazione o verifica periodica. I dati personali, inoltre, devono essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi[4].
Le disposizioni ex art. 25 fanno invece riferimento ai concetti di privacy by design e by default, per cui il titolare – sin dalla progettazione, fino al fine-vita del dispositivo – dovrà tenere conto delle implicazioni privacy legate al funzionamento dell’oggetto e alla sua interconnessione con altri dispositivi, minimizzando i dati raccolti, e massimizzando la tutela dei diritti degli individui. È opportuno che siano trattati solo i dati necessari per il funzionamento del dispositivo e per il tempo strettamente necessario per le finalità perseguite [5].
La materia è dunque decisamente più restrittiva rispetto al passato e le società che operano nel settore, nell’adeguamento, dovranno tenere conto delle pesanti sanzioni amministrative che possono andare dal 2% al 4 % del fatturato mondiale totale annuo dell’esercizio precedente (ex art. 83 GDPR).
Per risolvere i problemi di tutela della privacy, la dottrina[6] ha proposto l’utilizzo della tecnologia blockchain, principalmente per tre ordini di motivi:
- decentralizzazione: la natura distribuita dei dati rende un attacco informatico molto più complesso e oneroso a livello di risorse;
- crittografia: un ampio uso di firme digitali e marcature temporali garantisce maggiore sicurezza nell’archiviazione e gestione delle informazioni;
- il distributed ledger: le informazioni legate ad ogni singola transazione sono pubbliche ma i dati personali dei soggetti coinvolti sono criptati da una chiave nota al solo proprietario dei dati.
Questa soluzione è tuttavia nella maggior parte dei casi ridotta ad una mera sperimentazione da parte delle aziende, poiché, complice la complessità del sistema, solo poche e grandi realtà hanno le risorse finanziarie necessarie per investire in una tecnologia quale la blockchain.
Come per tante altre applicazioni, non resterà quindi che attendere l’entrata in vigore del GDPR per comprendere la portata dell’impatto che avrà nell’acquisizione, gestione e conservazione di dati delle aziende che investono nell’IoT.
[1] K. Ashton, That internet of things thing, RFiD Journal, 97–114, 2009.
[2] Si veda il Working Party article 29, http://ec.europa.eu/newsroom/article29/news-overview.cfm.
[3] R. Roman, P. Najera, J. Lopez, ‘Securing the Internet of Things’, 44 Computer 51, 2011.
[4] S. Wacher, GDPR and Internet of Things: Guidelines to Protect Users’ Identity and Privacy, 2018.
[5] S. Wacher, Normative challenges of identification in the Internet of Things: Privacy, profiling, discrimination, and the GDPR, 2018.
[6] T. W. Bell, Copyrights, Privacy, and the Blockchain, Ohio North University Law Review, Vol.42, 2016; G. Zyskind, O. Nathan, A. Pentland, Decentralizing Privacy: Using Blockchain to Protect Personal Data, Security and Privacy Workshops (SPW), 2015; M. Finck, Blockchains and Data Protection in the European Union, Max Planck Institute for Innovation & Competition Research Paper No. 18-01, 2018.
Autore