Consultazione su Internet of Things: si avvicina il termine per presentare i contributi
L’Avv. Valentina Ferdiani commenta su Il Documento Digitale – II/MMXV la con.sultazione pubblica sul tema Internet of Things
Premessa
Il termine “Internet of Things”, come definito nel parere n. 8/20l4 del WP art. 29[1], descrive una infrastruttura costituita da molteplici sensori incorporati tra loro su dispositivi di uso quotidiano – es. orologi, sensori di rilevamento, elettrodomestici, occhiali – collegati ad individui predeterminati ed in grado di raccoglierne dati personali, elaborarli e trasferirli interagendo in rete con altri dispositivi, sistemi o oggetti.
Utilizzato per la prima volta nel 1999 da Kevin Ashton, un brand manager Procter & Gamble, per illustrare i possibili utilizzi della tecnologia RFID e di internet al fine di implementare la catena di approvvigionamento P&G, il concetto sta diventando sempre più di uso comune.
Il settore è infatti in costante crescita: lo studio “Definition of a Research and Innovation Policy leveraging Cloud Computing and IoT combination”[2] voluto dalla Commissione Europea e pubblicato lo scorso Maggio mostra come il numero di connessioni IoT all’interno dell’Unione aumenterà dalle circa 1,8 miliardi del 2013 alle quasi 6 miliardi nel 2020. Conseguentemente, secondo il modello sviluppato dai ricercatori, si prevede che i ricavi del mercato dell’IoT aumenteranno da 307 miliardi di Euro nel 2013 a più di 1.181 miliardi di Euro nel 2020.
L’ostacolo maggiore al concretizzarsi dello scenario prospettato dallo studio è il rischio che l’Europa non colga appieno questa rivoluzione per vari fattori: incapacità delle industrie (soprattutto piccole e medie imprese) di adottare innovazioni IoT su larga scala per mancanza di investimenti; preoccupazioni sulla privacy e protezione dei dati; cattiva gestione dei nuovi rischi per la sicurezza; mancanza di interoperabilità tra i mercati europei che impedisce lo sviluppo di economie di scala e di scopo.
Sussiste quindi la necessità di un’azione politica comunitaria volta a supportare gli investimenti richiesti, stimolando lo sviluppo di una forte industria di approvvigionamento e la creazione di un quadro normativo e strutturale ottimale per lo sviluppo del mercato dell’IoT.
Il parere del WP art. 29 e la Consultazione del Garante
In quest’ottica si inserisce la consultazione pubblica avviata dal Garante Privacy sull’Internet delle cose e pubblicata sulla Gazzetta Ufficiale n. 101 del 4 maggio 2015, in scadenza il prossimo 31 ottobre.
Partendo dalla consapevolezza dei rischi che dispositivi atti alla raccolta e gestione di dati relativi a comportamenti, abitudini, preferenze e stato di salute degli utenti possono comportare, l’Autorità Garante intende successivamente emanare un provvedimento ad hoc in grado di dare specifiche indicazioni ai titolari del trattamento, valutando casi specifici rispetto agli obblighi generali imposti dal Codice Privacy. I dispositivi IoT infatti, sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro, con l’effetto di consentire l’identificazione, diretta o indiretta, degli interessati (spesso inconsapevoli) mediante la creazione di profili anche dettagliati.
Nelle premesse dell’avviso pubblico emanato, il Garante richiama esplicitamente quanto emerso dal Parere WP art. 29 n. 08/2014 del 16 Settembre 2014 sull’Internet of Things. Il Gruppo di lavoro ha delineato una serie di linee guida che, in assenza di una specifica ed auspicata normativa comunitaria, sarebbe opportuno fossero adottate per limitare i rischi che dispositivi IoT sollevano in relazione alla tutela dei dati personali trattati.
E’ infatti pacifico che l’IoT comporti attività di trattamento di dati tale da integrare la definizione di trattamento di dati personali ai sensi dell’articolo 2 della Direttiva 95/46 [nonché art. 4, coma 1, lett.b) del nostro Codice Privacy]. Trattamento di dati che si affida all’intervento coordinato di una molteplicità di soggetti coinvolti in ragione delle proprie competenze (produttori di dispositivi e sistemi operativi che agiscono, anche, come piattaforme di dati; Sviluppatori di applicazioni; Aggregatori di dati o intermediari; Piattaforme sociali; Società che affittano i dispositivi), i quali si qualificano come titolari di un trattamento di dati personali nella misura in cui grazie al dispositivo raccolgono e processano informazioni personali per scopi predeterminati.
E’ indubbio quindi che dalla diffusione di questi oggetti derivi un rischio esponenziale d’intrusione nella sfera privata degli individui. In particolare, viene segnalata la possibilità, mediante tecniche d’inferenza, analisi incrociata e combinazione di dati provenienti da diversi sensori e/o diversi dispositivi, di estrarre informazioni significative da dati grezzi, e il rischio di utilizzo dei dati estratti per scopi o da parte di soggetti del tutto diversi da quelli dichiarati.
In questo quadro, il Gruppo di lavoro ha pertanto delineato le best practices che dovrebbero essere adottate per garantire il rispetto delle disposizioni in materia di privacy, quali:
- applicabilità della legge in materia di privacy del luogo in cui il dispositivo si trova in caso di applicazioni o dispositivi gestiti da società che non sono stabilite nello Spazio Economico Europeo;
- il produttore del dispositivo, lo sviluppatore dell’applicazione e le società che gestiscono piattaforme IoT devono tutti considerarsi come titolari del trattamento e quindi soggetti agli obblighi in materia di compliance privacy;
- l’accesso ai dati conservati sul dispositivo deve essere soggetto al previo consenso dell’utente e tale consenso deve essere riferito a specifiche finalità del trattamento comunicate previamente all’utente. Gli utenti devono essere in grado di negare successivamente il proprio consenso e di limitare tale decisione a specifiche finalità del trattamento. In ogni caso i dati trattati non devono eccedere i dati necessari per soddisfare le finalità per le quali il consenso è stato richiesto e detti dati non devono essere conservati per un periodo di tempo eccedente quanto necessario per il perseguimento di tali finalità;
- opportuno un privacy test in grado di misurare la conformità dei dispositivi/applicazioni dell’IoT rispetto alla normativa privacy, al fine di garantire la conformità della tecnologia di volta in volta utilizzata con la normativa in materia di trattamento dei dati personali applicabile;
- gli utenti devono essere in grado di esercitare un totale controllo sui dati trattati in termini di consenso al trattamento, sua revocabilità, possibilità di limitarlo a specifiche finalità e di verificare e revisionare i dati condivisi;
- obblighi di informazione, che sia nelle ipotesi di sviluppo di dispositivi e applicazioni sono a carico sia dei produttori che degli sviluppatori;
- le piattaforme social sulle quali i dati raccolti tramite i dispositivi IoT devono essere preimpostati per evitare la condivisione pubblica dei dati e richiedere la revisione delle modalità di condivisione da parte degli utenti;
- i soggetti che negano il proprio consenso alla condivisione dei dati raccolti tramite i dispositivi IoT non devono essere penalizzati circa le funzionalità a loro offerte;
- i titolari del trattamento devono adottare misure tecniche ed organizzative idonee a garantire la protezione dei dati personali. Viene pertanto suggerito di limitare per quanto possibile la quantità di dati raccolti dai dispositivi in modo da dedicare maggiori risorse alla sicurezza dei dati, nonché di prevedere per la stessa finalità degli aggiornamenti automatici dei dispositivi IoT. Viene evidenziata l’importanza del rispetto di standard internazionali; delle certificazioni; della scelta scrupolosa di partner affidabili; dell’applicazione di garanzie già nella fase di produzione dei dispositivi intelligenti secondo i principi di privacy by design e di privacy by default (vd. ENISA Privacy and data protection by design);
- è auspicata una armonizzazione delle normative nazionali in materia privacy-IoT.
Tenuto conto delle criticità evidenziate dal WP art. 29, alla luce degli indubbi vantaggi che le nuove tecnologie classificabili come Internet of Things offrono e che verosimilmente ne comporteranno un’esponenziale e rapida diffusione anche in Italia, la consultazione di ampio respiro avviata dal Garante si prefigge l’obiettivo di acquisire osservazioni e proposte riguardo gli aspetti di protezione dei dati personali che sollevano maggiori dubbi. Aperta a tutti i soggetti interessati (mondo dell’imprenditoria, settore universitario e della ricerca scientifica e consumatori, anche attraverso associazioni di categoria), mira a rilevare elementi conoscitivi con particolare riguardo alle tematiche relative a:
- possibili attività di profilazione di utenti anche inconsapevoli;
- necessità di fornire un’informazione trasparente anche al fine dell’eventuale acquisizione del consenso al trattamento dei dati;
- rischi relativi innanzitutto alla qualità dei dati nonché a possibili monitoraggi o condizionamenti dei comportamenti degli interessati, così come a quelli connessi ad aspetti di sicurezza ed alle relative misure;
- applicabilità di paradigmi di privacy and data protection by design;
- possibile ricorso a tecniche di cifratura e di anonimizzazione dei dati;
- modelli di business utilizzati;
- aspetti di standardizzazione;
- possibile adozione di strumenti di certificazione ovvero di autenticazione tesa al mutuo riconoscimento diretto ovvero intermediato.
Da evidenziare come il Garante, in questa fase, non abbia espresso la propria opinione in merito agli obblighi da osservare, ma si sia limitato esclusivamente a sollevare le predette problematiche, premurandosi esclusivamente di precisare che “I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante”.
I contributi dovranno pervenire al Garante entro il 31 ottobre 2015.
Ci si aspetta che non solo gli operatori specifici dell’ambito IT, ma soprattutto tra chi opera nel settore domotico piuttosto che nel pubblico, nell’ambito turistico ed ancora in quello sanitario, ci sia interesse a manifestare aspetti che possano essere recepiti dall’Autorità Garante in modo costruttivo e proattivo rispetto all’avanzare delle tecnologie.
[1] “ARTICLE 29 DATA PROTECTION WORKING PARTY” è il gruppo di lavoro che a livello europeo studia e indica le varie questioni di approfondimento rispetto alla Direttiva su cui si basa il nostro Codice inviando ai Garanti europei le varie precisazioni
[2] https://ec.europa.eu/digital-agenda/en/news/definition-research-and-innovation-policy-leveraging-cloud-computing-and-iot-combination