venerdì, Marzo 29, 2024
Uncategorized

Internet of Things tra benefici sociali e rischi per la protezione dei dati personali

internet of things

Il termine Internet of Things (IoT) fa riferimento ad un insieme di tecnologie che caratterizza tutti i dispositivi che, collegati dalla rete internet, raccolgono dati tramite dei sensori, li processano e li trasferiscono a specifiche piattaforme. I dati raccolti vengono immagazzinati nelle piattaforme e ordinati sotto forma di database, per essere analizzati e utilizzati al fine di mettere in atto delle azioni.

Nonostante la definizione sia complessa e sembri descrivere oggetti futuristici, già al giorno d’oggi siamo circondati da molti più dispositivi IoT di quanto realmente percepiamo. Un esempio attinente alla sfera della vita quotidiana è rappresentato dagli smart-fridge: frigoriferi che rilevano gli alimenti contenuti e che, in base alle abitudini del proprietario, eventuali diete o intolleranze, sono in grado di effettuare ordini on-line. Un esempio di dispositivo molto diffuso è rappresentato dagli smart-tracker, i bracciali che rilevano il battito cardiaco, le calorie bruciate durante l’attività fisica e i km percorsi, comunicando i dati ad un’app che fornisce un feedback dell’attività dell’utilizzatore del bracciale [1].

L’Internet delle Cose non è destinato esclusivamente a rivoluzionare la vita di tutti i giorni, bensì ha importanti impieghi anche nel settore della sanità, nell’impresa, nell’agricoltura e nell’ambito delle città, con i progetti smart-city. I dati a riguardo sono significativi: secondo McKinsey [2], nel 2015 il numero di dispositivi IoT era pari a 5 miliardi, mentre si stima che nel 2025 supererà i 28 miliardi. Per quanto riguarda, invece, il valore economico, nel 2015 il mercato dell’IoT aveva un valore di 655 miliardi di dollari, destinati a diventare 11mila miliardi entro il 2025, pari a circa l’11% dell’intera economia mondiale.

Come ogni innovazione destinata ad apportare profonde modifiche economico-sociali, anche l’Internet of Things non è immune dal creare questioni giuridiche in relazione alla sua applicazione.  Difatti, quelle stesse caratteristiche che rendono l’IoT un potente strumento, rappresentano altresì un grande rischio principalmente per la privacy e la sicurezza dei dati raccolti dai dispositivi.

Le specifiche problematiche sono state prese in considerazione dal Gruppo di Lavoro sulla Protezione dei Dati ex art. 29 (WP 29) che, nel settembre del 2014, ha pubblicato l’Opinione 8/2014 sugli sviluppi dell’Internet of Things[3].

Il WP 29 ha identificato molteplici rischi: dalla perdita di dati, all’infezione ad opera di software dannosi, fino all’utilizzo inopportuno e invadente dei dispositivi indossabili, e alla raccolta non autorizzata di dati personali di soggetti diversi dai diretti utilizzatori dei dispositivi.

Accanto ai rischi, principalmente dovuti all’utilizzo nei dispositivi di sistemi facilmente attaccabili da soggetti esterni, il Gruppo di Lavoro si è concentrato anche sulle problematiche legate all’implementazione della normativa sulla tutela dei dati (sino ad ora, la Direttiva 46/95, ma, da maggio 2018, il Regolamento 679/2016, conosciuto come GDPR: a riguardo si veda l’articolo Il nuovo scenario in tema di protezione dei dati personali alla luce dell’imminente applicazione del GDPR). La questione principale riguarda il consenso al trattamento dei dati, richiesto sia dalla precedente disciplina, che dal GDPR, il quale deve manifestare “l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali (…) siano oggetto di trattamento”. Il presupposto del problema consiste nel fatto che molti individui non percepiscono la differenza tra, ad esempio, un normale orologio e uno smart-watch, e qualora quest’ultimo sia dotato di sensori di movimento, microfoni o videocamere, è in grado di raccogliere e traferire dati riguardanti anche i soggetti che entrano in contatto con l’utente, senza che essi se ne accorgano e abbiano modo di dare o negare il proprio consenso. I meccanismi tradizionali di richiesta del consenso risultano quindi difficili da applicare all’ecosistema IoT, in cui i dispositivi non sono progettati per fornire informazioni, dando luogo a consensi che, anche qualora ottenuti, sono invalidi poiché basati su una generale mancanza di informazioni.

Non solo il consenso rischia di essere invalido, ma potrebbe non coprire tutti gli utilizzi effettuati da terze parti, qualora tali utilizzi non fossero inizialmente prevedibili. Dati apparentemente insignificanti, come quelli rilevati dall’accelerometro e dal giroscopio di uno smartphone, possono essere utilizzati da terze parti in modo incrociato e utilizzando algoritmi, in modo da trarne informazioni ulteriori, quali le condizioni fisiche del soggetto utilizzatore. Se il proprietario del telefono può non avere problemi nel condividere le informazioni originali derivanti dal proprio telefono, potrebbe invece non gradire il loro utilizzo per dedurne informazioni sulla sua salute.

Il WP 29 conclude formulando delle raccomandazioni indirizzate a tutti i soggetti coinvolti, a diverso titolo, nella realtà IoT. Tali raccomandazioni sono finalizzate a rendere il settore progressivamente conforme alla normativa sulla privacy e sulla protezione dei dati, per permetterne il miglior sfruttamento economico, con un bilanciamento dei diritti degli utenti.

In particolare, il Gruppo di Lavoro auspica la ricerca di nuove modalità di richiesta del consenso che siano adatte alla nuova tecnologia, e che forniscano indicazioni il più possibile comprensibili agli utenti. Rivolgendosi, invece, ai produttori dei dispositivi, è stata avanzata la richiesta di introdurre delle opzioni al fine di modulare le tipologie di dati raccolti, e di poter disattivare i sensori inserendo delle modalità simili a quella off-line dei telefoni, affinché l’utilizzo dei dispositivi sia personalizzato e confacente al consenso fornito dall’utente. Da ultimo, il WP 29 si è focalizzato sull’implementazione di strumenti che permettano agli utenti di accedere, modificare ed eventualmente cancellare i propri dati, nonché di funzionalità che permettano l’utilizzo dello stesso dispositivo da parte di differenti utenti, senza che l’uno venga a conoscenza dell’attività e dei dati dell’altro (basti pensare, ad esempio, ai dispositivi di domotica –termostati e illuminazione intelligente, smart-fridge, smart-tv, e voice assistants – installati in un appartamento, che può essere affittato e, dunque, utilizzato da differenti soggetti).

Nonostante l’Opinione del Gruppo di Lavoro sia risalente a tre anni fa, e nel frattempo sia subentrato il nuovo Regolamento sulla Protezione dei Dati Personali, le questioni sollevate sono più che mai attuali. Come per tutte le disruptive innovations, ossia innovazioni dirompenti e rivoluzionarie, le difficoltà nell’adattarsi alla normativa rappresentano una fase fisiologica che può essere superata con il progressivo utilizzo e apporto di modifiche all’innovazione stessa. Sarà difficile che entro il 25 maggio 2018, data di applicazione del GDPR, i problemi siano globalmente risolti, ma questo certamente non scalfisce l’impatto positivo che l’IoT sta avendo, e sempre più avrà, sulle nostre vite.

 

 

[1] E ancora, smart-tv, termostati smart controllabili da remoto, sistemi di illuminazione intelligente, dispositivi che effettuano chiamate di emergenza nel caso in cui rilevino un malore nel soggetto che li indossa, spazzolini smart che comunicano al dentista la presenza di batteri e la qualità dello spazzolamento dei denti, sleep-trackers che monitorano la qualità del sonno, fino alle smart-car e ai voice-assistant come Google Home.

[2] McKinsey Global Institute, The Internet of Things: Mapping the value beyond the hype, Giugno 2015, disponibile qui .

[3] Disponibile, in lingua inglese, qui http://www.dataprotection.ro/servlet/ViewDocument?id=1088.

Lucrezia Berto

Classe 1992, piemontese di nascita ma milanese d’adozione, si laurea nel 2016 in giurisprudenza alla School of Law dell’Università Bocconi. Dopo l'inizio della carriera professionale negli Stati Uniti e la pratica forense presso uno dei principali studi legali milanesi, decide di seguire le sue passioni iscrivendosi all’LL.M in Law of Internet Technology dell’Università Bocconi. Attualmente vive in Spagna, a Barcellona, dove si occupa di consulenza in materia IP, IT e Data Protection a startup ad alto livello tecnologico. Appassionata di nuove tecnologie, proprietà intellettuale e big data, è un’amante dei viaggi e dello sport. Contatto: lucrezia.berto@iusinitinere.it

Lascia un commento