Internet of things, tra diritto e controversie – Wired Italia

Internet of things, tra diritto e controversie – Wired Italia

Oggetti intelligenti dialogano in rete raccogliendo e comunicando dati personali: quali regole tutelano i nostri dati? Una panoramica sui profili legali più controversi dell’internet of things

gdpr_imageCosa hanno in comune una smart tv, un braccialetto per il fitness, un assistente vocale, e più in generale tutti quegli oggetti “intelligenti” che siamo ormai abituati a usare nei più vari ambiti della nostra vita quotidiana? Sono dispositivi tecnologici che appartengono a quella che è conosciuta come internet of things – tnternet delle cose (Iot è l’acronimo inglese), espressione la cui paternità è comunemente attribuita a Kevin Ashton, ingegnere inglese ricercatore presso il Mit, che la usò la prima volta durante una presentazione presso Procter & Gamble nel 1999.

L’Iot designa una molteplicità di oggetti, materiali, strumenti, apparecchiature che, grazie alla loro connessione in rete, “dialogano” tra loro, interagiscono scambiandosi segnali e dati, comprese informazioni su dati personali. L’Iot mira a semplificare la nostra vita di tutti i giorni, a migliorare la salute, la mobilità, l’ambiente, il tempo libero. L’Iot consiste in una rete di infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio – mediante l’utilizzo di tecnologie a radio frequenza (per esempio Rfid, bluetooth ecc.), sia tramite una rete di comunicazione elettronica.

Campi di applicazione dell’Iot

L’Iot trova oggi comune applicazione nei settori più disparati: la salute (dispositivi di smart health per la diagnosi e la prevenzione), la mobilità (smart city e smart mobility), la casa (domotica, smart building), l’industria (Industrial Internet of Things – IIoT), l’agricoltura (smart agrifood), la zootecnia (wearable per animali), i servizi finanziari (digital payment tramite oggetti), il tempo libero (smart band, fit tracker, smartwatch) ecc.

Iot e aspetti giuridici

Sul piano giuridico i principali nodi critici legati allo sviluppo e all’ecosistema dell’Iot riguardano la tutela dei dati personali degli utenti e la sicurezza.

I dispositivi di Iot dialogano con noi e tra di loro ricevendo e scambiando ingenti quantità di dati e informazioni personali, spesso anche dati c.d. sensibili come quelli riguardanti la salute (oggi con il nuovo Regolamento europeo sulla privacy – c.d. Gdpr – non si parla più propriamente di “dati sensibili” ma di “categorie particolari di dati personali”).

Il parere del WP29

A livello istituzionale un primo focus sulle implicazioni legali dell’Iot lo ha dedicato il Gruppo di lavoro “Articolo 29” (WP29), nel “Parere 8/2014 sui recenti sviluppi nel campo dell’Internet degli oggetti” adottato il 16 settembre 2014.

Il WP29 è organismo europeo indipendente che ha svolto funzioni consultive sui temi della protezione della vita privata e dei dati personali fino al 25 maggio 2018 (data di entrata in vigore del regolamento Gdpr), e oggi è sostituito dal Comitato europeo per la protezione dei dati – Edpb.

L’analisi del WP 29 si è concentrata in particolare su tre sviluppi specifici dell’IoT (wearable computing ovvero dispositivi informatici indossabili, quantified self e domotica) che 1) si interfacciano direttamente con l’utente e 2) riguardano dispositivi e servizi che sono effettivamente utilizzati e che in effetti si prestano quindi ad un’analisi alla luce della normativa in materia di protezione dei dati.

Il WP29 ha formulato una serie di raccomandazioni pratiche indirizzate ai diversi portatori di interessi (fabbricanti di dispositivi, sviluppatori di applicazioni, piattaforme sociali, ulteriori destinatari dei dati, piattaforme di dati e organismi di normazione) per aiutarli a mettere in pratica la protezione della vita privata e dei dati nei propri prodotti e servizi.

Iot e Gdpr

Come tutte le tecnologie che implicano il trattamento di dati personali, anche i dispositivi di Iot devono fare i conti con le norme sulla tutela della privacy; in particolare con i principi c.d. di trasparenza e di privacy by design e by default.

Vediamo di cosa si tratta.

* Trasparenza: le informazioni destinate al pubblico o all’interessato devono essere facilmente accessibili e di facile comprensione; si pensi ad esempio alle informazioni online sulle caratteristiche dei prodotti: l’interessato deve poter comprendere se sono raccolti dati personali, da chi e a quale scopo.

I dati personali devono essere trattati in modo lecito, equo, trasparente e il titolare o responsabile del trattamento deve applicare politiche trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

L’uso di dispositivi di Iot pone un problema di asimmetria informativa e di mancanza di controllo sui propri dati personali: la condivisione di dati personali tra produttori dei dispositivi, sviluppatori di software, fornitori di capacità di calcolo, clouds providers e analisti, comporta per le persone, i cui dati sono trattati, un’estrema difficoltà ad esercitare un adeguato controllo sugli stessi, sulle modalità della loro trasmissione dai dispositivi IoT, sulla condivisione tra terze parti e, soprattutto, sulle finalità perseguite  diverse da quelle associate al dispositivo (c.d. “uso secondario”).

* Privacy by design: la protezione dei dati va integrata nell’intero ciclo di vita della tecnologia, dalla fase iniziale di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale.

* Privacy by default: le impostazioni di tutela della vita privata relative ai servizi e prodotti devono rispettare i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

La quantità di dati personali potenzialmente rilevabile dai diversi dispositivi pone inoltre il rischio di una profilazione sempre più sofisticata delle abitudini dei clienti.

Per “profilazione” si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica; in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona.

A questo proposito il Gdpr stabilisce che l’interessato ha il diritto “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“. Abbiamo passato in rassegna alcuni tra i temi legali più controversi legati alla diffusione dell’Iot.

Per un approfondimento sul rapporto tra IoT e tutela dei dati personali rinviamo alla lettura dell’articolo pubblicato su Altalex “Internet of Things: gli aspetti di sicurezza alla luce del Gdpr“; a chi volesse saperne di più riguardo alla profilazione e alle nozioni di privacy by design e privacy by default consigliamo la lettura delle voci enciclopediche “Profilazione” e “Privacy by design“.

Leggi anche

Potrebbe interessarti anche