Riportiamo un articolo della Dott.ssa Gloria Ricci della Società Colin & Partners sulla necessità di porre la Privacy e la sicurezza dei dati al centro dello sviluppo dell’Internet of Things (IoT). In particolare si fa riferimento alle soluzioni dell’ambito Domotica, per le quali è già oggi possibile individuare riferimenti normativi specifici, ad esempio per quanto riguarda:
- la qualificazione dello status giuridico di titolare del trattamento, tra tutti i soggetti coinvolti nell’attuazione dell’IoT (fabbricanti di dispositivi, applicazioni di terzi, titolari o affittuari di dispositivi, intermediari di dati o di piattaforme di dati),
- l’informativa agli interessati o l’acquisizione di consenso informato,
- l’utilizzo di standard minimi di sicurezza.
Internet of Things for Everything
L’affermazione contenuta nell’introduzione all’Opinion n. 8/2014, adottata dal Gruppo di lavoro ex articolo 29 per la protezione dei dati, per cui “l’IoT entrerà a far parte della vita dei cittadini europei” sembra essersi realizzata. Recenti stime hanno, infatti, evidenziato che i comparti relativi alle smart cities e all’Internet delle Cose registreranno i tassi di crescita più elevati da qui al 2018.
La difficoltà, quando parliamo di questo comparto tecnologico, è che tale materia non risulta disciplinata da normative nazionali o europee. Tuttavia, il vuoto normativo, può essere parzialmente bilanciato dallo studio dei pareri e delle raccomandazioni che hanno cercato di definire gli aspetti legali più rilevanti e le problematiche connesse a tale argomento.
Il concetto di Internet of Things si riferisce ad un’infrastruttura nella quale miliardi di sensori incorporati in dispositivi di uso quotidiano sono progettati per registrare, trattare, conservare e trasferire dati; essendo associati a identificativi univoci, interagiscono con altri dispositivi o sistemi che sfruttano le capacità di collegamento in una rete comune. Uno degli sviluppi specifici dell’IoT è rappresentato dalla domotica: basta pensare a sistemi di illuminazione intelligente, frigoriferi che segnalano la data di scadenza dei cibi, impianti di riscaldamento che si accendono da remoto con lo smartphone, termostati, stazioni di fumo o meteorologiche, lavatrici, forni connessi e controllabili a distanza tramite Internet.
Privacy e sicurezza al centro
La specifica configurazione di tali “oggetti intelligenti” solleva non pochi interrogativi relativi alla protezione dei dati personali ed alla sicurezza informatica, in quanto è probabile che un’analisi delle informazioni ottenute in tale contesto permetta di conoscere gli stili di vita, le abitudini nonché le scelte di consumo degli utenti fruitori di tali beni. Gli aspetti problematici della materia possono così sintetizzati:
- Mancanza di controllo e asimmetria dell’informazione;
- Utilizzo dei dati per fini diversi da quelli per i quali sono stati in origine raccolti;
- Qualità del consenso dell’utente;
- Profilazione;
- Limiti all’anonimato;
- Sicurezza informatica.
L’individuazione dei soggetti tenuti ad attuare tecnologie di IoT “a regola d’arte”, ma anche le soluzioni da ponderare, possono trovarsi nell’applicazione di alcune best practices, derivanti dall’applicazione della normativa in materia di protezione del dato personale nonché dagli orientamenti degli organismi europei competenti in materia.
Di dato personale si parla in ragione della struttura dei sistemi di domotica, in grado di raccogliere una gran quantità di informazioni direttamente riconducibili agli utenti dei dispositivi.
La circostanza per cui il trattamento dei dati avvenga principalmente tra le mura domestiche non si traduce, in tale contesto, nell’applicazione dell’esenzione prevista dalla Direttiva 95/46/CE in materia di tutela del dato personale, la cui disciplina non trova applicazione ai trattamenti effettuati per scopi personali o domestici, in quanto il modello operativo dell’IoT comporta che i dati dell’utente, anche se raccolti “in casa”, vengano trasferiti sistematicamente a terzi qualificabili come titolari.
Il diritto applicabile
La premessa obbligata concerne la scelta del diritto applicabile alla valutazione delle questioni inerenti i dati personali raccolti mediante tali sistemi. In base alle norme della Direttiva 95/46/CE, il diritto nazionale dello Stato membro è applicabile a tutti i trattamenti di dati personali effettuati da un titolare stabilito in uno Stato membro, ovvero ai trattamenti effettuati da un titolare mediante strumenti di home automation, utilizzati da utenti situati nell’UE. Da tale considerazione, discende la conseguenza che la normativa sopracitata (e quelle nazionali di attuazione) troverà applicazione anche nei confronti dei provider di servizi allocati fuori dal territorio europeo.
Il presupposto fondamentale nell’individuazione del diritto applicabile è rappresentato dalla qualificazione dello status giuridico di titolare del trattamento, tra tutti i soggetti coinvolti nell’attuazione dell’IoT: fabbricanti di dispositivi, applicazioni di terzi, titolari o affittuari di dispositivi, intermediari di dati o di piattaforme di dati.
Tali soggetti (individualmente o congiuntamente agli altri), se titolari del trattamento, dovranno conformarsi ai differenti obblighi contemplati nella normativa di riferimento, finalizzata ad evitare (o quantomeno ridurre) le problematiche sopra specificate.
Domotica, gli obblighi verso gli interessati: informativa e consenso
Le misure tracciate nell’Opinion e mutuate dalla normativa hanno lo scopo di tutelare i soggetti interessati, ossia coloro che fruiscono dei prodotti e dei servizi di domotica.
I dati personali raccolti mediante tali sistemi non possono essere trattati senza che il diretto interessato ne sia effettivamente al corrente. Ciò tanto più in relazione all’IoT in quanto i sensori sono effettivamente progettati per non essere evidenti, ossia per essere il meno visibili possibile.
Da tale considerazione discende l’obbligo di informare gli interessati circa gli strumenti utilizzati e il flusso di dati di riferimento. Tale dovere, facente capo al titolare del trattamento, si traduce nella predisposizione di un’informativa completa di tutti gli elementi come sanciti dalla normativa europea, tra cui l’indicazione esplicita delle finalità che legittimano la raccolta dei dati. La ratio dovrà essere quella di considerare solo quei dati che siano strettamente necessari al conseguimento della finalità precedentemente determinata dal titolare.
L’informativa non è sufficiente di per sé a legittimare il trattamento. Nel contesto della domotica, l’acquisizione dei dati personali può incidere significativamente sui suoi diritti fondamentali, a maggior ragione qualora il dato sia utilizzato per profilare l’utente, ovvero per definirne un profilo – sulla base di caratteristiche, comportamenti, scelte, abitudini – allo scopo di fornire servizi o promozioni personalizzate. In tale circostanza non è possibile sottrarsi all’attività di acquisizione del consenso informato del diretto interessato, il quale dovrà essere messo nella condizione non solo di revocarlo ma anche di opporsi al trattamento dei dati che lo riguardano, senza “dover uscire dal servizio fornito”. Ciò a significare, che gli strumenti di domotica dovranno permettere all’utente, ad esempio, di disabilitare le funzionalità di connessione dello strumento che consentono la raccolta dei dati, permettendo all’oggetto di funzionare come l’articolo originale non connesso.
Le misure di sicurezza per la Domotica
Infine, di fondamentale importanza sarà, per i titolari del trattamento, adempiere agli obblighi di sicurezza richiesti dalla normativa, con attenzione anche al trasferimento all’estero dei dati personali. Una delle soluzioni sarà dunque quella di implementare soluzioni di domotica sicure, ricorrendo alle certificazioni – ove sussistenti – ed anche a standard di sicurezza riconosciuti a livello internazionale. La sicurezza è limitata – nell’ecosistema IoT – da impedimenti tecnici ed economici. In tale ottica, appare dunque, di fondamentale importanza l’applicazione del cosiddetto principio di riduzione al minimo dei dati: limitando al minimo necessario il loto trattamento, è possibile ottenere una riduzione delle vulnerabilità connesse a detti sistemi.
E’ bene poi evidenziare che in tale scenario, andrà presto ad inserirsi il Regolamento Europeo sulla Data Protection. Questa strumento comporterà una armonizzazione delle differenti normative nazionali (con effetti positivi sull’implementazione e commercializzazione delle soluzioni IoT), ma soprattutto un cambio di prospettiva nella predisposizione di strumenti di tal genere. Tra i principi che verranno introdotti, quello della privacy by design dovrà essere il punto di partenza per le parti coinvolte nello sviluppo di soluzioni di domotica. Tale principio suggerisce una modalità di intervento consistente nella adozione di strumenti, i quali siano, fin dalla loro prima realizzazione, conformi ai principi ed alle norme individuate nel Regolamento, evitando o quantomeno riducendo sensibilmente compressioni pericolose dei diritti riconosciuti all’interessato cui i dati personali afferiscono nonché eventuali perdite o accessi abusivi a contenuti riservati.
A cura di:
Dott.ssa Gloria Ricci
Consultant Colin & Partners