Domotica e Privacy: due mondi interconnessi

La definizione di domotica, deriva dall´unione delle parole domus (“casa”) e robotica, si tratta dunque della scienza interdisciplinare che studia quelle tecnologie atte a migliorare la qualità della vita nella casa e più in generale negli ambienti antropizzati.

La creazione della “casa intelligente” è quindi l’obiettivo della domotica, ergo la domotica offre possibilità quasi infinite di acquisizione dati. I risvolti legati al trattamento dei dati personali sono quindi molteplici anche perché connessi agli aspetti quotidiani e ricorrenti della vita nella propria abitazione. Dal controllo remoto, centralizzato degli elettrodomestici, passando per la regolamentazione degli accessi all’abitazione attraverso device, fino alla videosorveglianza interna ed esterna.

Tali sistemi, e le tecnologie che li supportano, esistono già e la loro diffusione è in forte aumento. Prodotti di ogni tipo possono divenire oggetti intelligenti che nel loro insieme vanno a comporre, appunto, la “casa intelligente”. Qualche esempio pratico: un frigorifero connesso ad una rete che ne permette la gestione del contenuto e delle perfomance può rivelare perlomeno le abitudini alimentari del proprietario (cosa si mangia, la quantità del prodotto preferito, solo per citar alcuni dati); ma anche senza connessione diretta dell’elettrodomestico alla rete, ed esclusivamente con la gestione dei consumi di energia si possono ricavare informazioni relative alle abitudini alimentari. Quindi dati personali, la cui sola raccolta costituisce un trattamento.

Se di trattamento si parla, l’applicabilità del D. Lgs. 196/2003 non è in discussione ed anzi insorge l’obbligo di rispettare tutti i principi ed  adempimenti in esso stabiliti. Senza ovviamente escludere tutte le protezioni che ai dati personali devono esser garantite (Articolo 31 De. Lgs 196/2003, Obblighi di sicurezza). E’appena il caso di accennare quale esempio gli impianti di videosorveglianza interna, connessi ad un sistema che ne permetta il controllo remoto, i quali immediatamente palesano le possibili implicazioni relative alla gestione dei dati personali.

Le telecamere interne riprendono e rivelano ogni più intimo aspetto della vita privata degli abitanti, in modo diretto ed essenzialmente inequivocabile; un loro controllo da parte del terzo gestore del servizio comporta, potenzialmente, una intrusione nei luoghi ed aspetti forse più intimi dell’individuo. Si pensi poi ai c.d. “whereabouts clocks” già sviluppati e di futuro utilizzo. Si tratta essenzialmente di software che mostrano (attraverso touch screen presenti nell’abitazione) il luogo in cui le persone selezionate si trovano; schermi indicanti il luogo in cui i familiari sono, rispetto a delle opzioni pre-impostate, ad esempio “CASA”, “LAVORO”, “FUORI”, “SCUOLA”. Le informazioni non indicano con precisione la posizione, ma tramite l’individuazione della cella alla quale i telefoni mobili dei soggetti sono connessi, permettono di “tracciare” gli spostamenti (scuola-fuori-casa).

Per quanto il sistema cerchi di mantenere riservata la posizione delle persone interessate, si ha di fatto la tracciatura dei cellulari di coloro che siano stati inseriti nel database. In breve, anche se non si geolocalizza il soggetto con precisione, lo si monitora nei suoi spostamenti su richiesta del componente del nucleo di famiglia, ma permettendo allo stesso tempo anche a terzi, gestori del servizio, di sapere perlomeno le tendenze dell’interessato nei suoi spostamenti o permanenze nei luoghi.

Appare dunque lecito intravedere un legame tra quanto appena detto e la possibilità, peraltro in almeno un caso già avveratesi (acquisizione di Nest da parte di GOOGLE), di un possibile ingresso nel mondo dei servizi di domotica da parte di compagnie già in possesso di grandi banche dati.

Il passaggio successivo del cross-checking tra dati acquisiti e dati già in possesso sarebbe operazione di facile e quasi certa realizzazione, con risultati di stupefacente precisione nella creazione di profili degli utenti. Tutti quanto sopra necessita però di una inderogabile premessa: la garanzia di misure di sicurezza per la protezione dei dati che siano realmente “idonee” e vadano ben oltre le misure minime. Infatti i dati da proteggere nel caso della domotica realmente applicata alla gestione di una abitazione sono tali e tanti, che il livello di protezione deve necessariamente essere elevato.

L’eventualità che qualcuno s’introduca, non autorizzato, nel database contente i dati o, peggio, nel sistema di gestione degli impianti, configurerebbe non solo un trattamento non lecito di dati personali, ma anche (soprattutto) un reale pericolo per chi l’abitazione la vive (come nel caso delle serrature controllate da remoto, tramite device). Ovviamente al momento si tratta di rischi solo potenziali, ma la diffusione della tecnologia comporta necessariamente anche un incremento del rischio che la tecnologia stessa venga deviata o utilizzata per scopi non leciti.

Ma ancora, si pensi all’ulteriore definizione e specializzazione dei servizi legati alla domotica nel campo della gestione di dati sanitari. Si pensi, specificamente, a impianti che nell’abitazione monitorano anche lo stato di salute degli abitanti (magari anziani).

L’utilizzo di tali dati, non solo personali ma anche sensibili, avrebbe indubbia utilità per chi è deputato all’assistenza e cura di quei soggetti, per il personale medico incaricato. Allo stesso tempo si intuisce la necessità di un’elevata e persistente protezione di tali soggetti sia dal punto di vista della protezione dei dati personali, sia dal punto di vista della salvaguardia della vita stessa. Il pericolo più grande, anche qui, viene dall’accesso non autorizzato di qualsivoglia entità o soggetto che avrebbe in pratica il controllo di aspetti letteralmente vitali dell’individuo: il dosaggio o la necessità di assumere eventuali medicinali o la mancata segnalazione al personale preposto alle emergenze.

Da qui la necessità di stabilire sì idonee e rafforzate misure di sicurezza, ma anche l’esigenza di considerare come l’approccio stesso alla creazione delle tecnologie di controllo debba essere differente. Dovendo proteggere (potenzialmente) un elevatissimo numero di dati anche sensibili è necessario che già nella fase di progettazione si considerino le esigenze derivanti dalla protezione dei dati personali.

Ciò si traduce in un principio, di prossima applicazione e di già nota portata: il principio di “privacy by design”. Grazie all’applicazione di questo principio i prodotti, fin già nella fase di design, potranno esser progettati per il minor utilizzo possibile di dati personali, riducendo il trattamento ai soli casi indispensabili per il funzionamento del sistema e trattando in pratica dati anonimi. Mancando l’associabilità di tutte le informazioni raccolte a persone fisiche (gli interessati) si dovrebbe ridurre veramente al minimo la possibilità che un accesso non autorizzato possa avere conseguenze, di qualsiasi tipo esse siano.

Ovviamente in tal senso sarà necessario un intervento del legislatore che imponga regole e limiti, anche se vista la potenziale diffusione di questi sistemi, l’intervento stesso potrebbe rimanere intrappolato nelle ben definite demarcazioni delle leggi nazionali applicabili, soprattutto nel caso in cui il produttore sia oltreoceano. Infatti tale aspetto deve essere ben tenuto in considerazione in quanto un’eccessiva eterogeneità di norme sulla protezione dei dati personali ( la situazione attuale, più o meno) porterebbe non solo ad oggettive difficoltà nel rispetto delle stesse, ma anche a un forte reticenza all’investimento e sviluppo  di tali attività in un contesto come quello europeo.

Le speranze di una rapida approvazione del Regolamento europeo sulla protezione dei dati personali, si fanno ancor più cariche di attese.