Nell’IoT c’è un problema di perdita di controllo dovuto ad un asimmetria informativa, a fronte della quale l’unica via che sembra ragionevole percorrere per la protezione dei dati dei cittadini/consumatori è quella di richiamarsi ai principi della Privacy by Design e della Privacy by Default. Secondo questi principi lo sviluppatore e la catena di fornitori ad esso connessa devono garantire già nella fase di progettazione e sviluppo che il trattamento dei dati sia corretto, limitato a quando è indispensabile, proporzionato. Garanzie queste che devono essere assicurate anche nella fase di gestione dell’applicativo (Privacy by Default), tramite forme di consenso e revoca al trattamento. Occorre che vi sia una maggiore consapevolezza degli utilizzatori: il contrasto all’asimmetria dell’IoT è efficace solo tramite una cosciente autodeterminazione informativa.
L’Internet of Things si sta diffondendo e la crescita sembra essere esponenziale. Il primo sviluppo che ha già trovato ampio riscontro nel mercato è da ricondursi agli RFID (Radio-Frequency Identification) ovvero alle etichette intelligenti. Gli RFID sono dispositivi tecnologici utilizzati per l’identificazione e/o il tracciamento automatico degli oggetti mediante radiofrequenza. Un reader/lettore comunica e/o modifica le informazioni contenute in tag/etichette applicate su oggetti, animali o persone. La tecnologia RFID e le sue applicazioni sono già ampiamente diffuse in vari ambiti del mercato, dai supermercati, al trasporto di materiali, alla logistica, ai bagagli all’aeroporto.
Una delle sue principale funzioni è quella di garantire il tracciamento dei prodotti assicurando maggiore efficienza. Si sostituisce così il codice a barre che richiede invece un contatto fisico, maggior dispendio di tempo e di costi. Le principali preoccupazione per la privacy consistono nel fatto che i tag degli RFID possono essere associati ai dati dell’acquirente, come per esempio carte di credito, pos e carte di fidelizzazione; ma il problema è che i tag possono tracciare oltre che il prodotto anche gli spostamenti e le scelte del consumatore.
Sul tema il Garante privacy si è pronunciato già nel 2005, sollevando questioni privacy sottese all’utilizzo di tale tecnologia. In particolare, il provvedimento del Garante privacy del 9 marzo 2005 prescrive un rigoroso rispetto dei principi del trattamento dei dati che emergono dal Codice della Privacy: principio della necessità riducendo al minimo i dati utilizzati e di proporzionalità in riferimento agli scopi perseguito con il trattamento (artt. 3 e 11, lett. d C.d.P.); i principi della liceità, della finalità, della qualità dei dati (art. 11 C.d.P.); inoltre, il consenso del consumatore deve essere sempre informato, fornendo preventivamente all’utente una dettaglia informativa sulle funzionalità specifiche delle etichette intelligenti (art. 13 e 23 del C.d.P.).
Continua a leggere l'articolo
