Industrial IoT e privacy by design: come applicare correttamente il GDPR ai dispositivi

Articolo Pubblicato da IOTtoday il 30 Ottobre 2020

La compliance in materia di privacy riguarda anche l’Industrial IoT e le sue linee di produzione. Sistemi e macchinari connessi, in caso raccolgano e trattino dati (anche personali) poi condivisi in rete, devono rispettare il principio di privacy by design contenuto nell’art. 25 Regolamento Europeo per la protezione dei dati personali (General Data Protection Regulation – GDPR).

Ricordiamo che per “dati personali” si intendono “dati atti a identificare un soggetto fisico anche nelle proprie attività di business”. Ad esempio: credenziali di autenticazione univoche (assegnate ad un unico soggetto); codici atti a identificare; indirizzi mail nominativi e tutto ciò che – in modo diretto o indiretto -consenta di risalire al soggetto interessato. Appare evidente che, nell’IoT, la massa dati personali coinvolta risulti particolarmente alta.

Torniamo dunque all’obbligo normativo. Cosa impone il legislatore europeo e come applicarlo?

Letteralmente l’art. 25 del GDPR dispone che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate. Le misure tecniche sono intese come parametri di protezione che possono ritenersi adeguati quando sono atti a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. Il legislatore non specifica in modo tassativo quali strumenti e provvedimenti adottare, proprio nell’ottica di consentirne la variazione a seconda della tecnologia utilizzata, dei dati trattati, delle finalità e di tutte quelle variabili che possono ruotare intorno a un dispositivo IoT. Nell’articolo sono richiamate alcune misure che vogliono essere indicatori di confronto per chi sviluppa, implementa o deve attuare una valutazione post-sviluppo su quanto realizzato. Si tratta di pseudonimizzazione e minimizzazione. In generale, quindi, le scelte attuate dovranno essere il risultato di conoscenze ed “esigenze” tecnologiche del dispositivo.

Allo stesso tempo vige l’obbligo di adozione di misure organizzative già in fase di ideazione del dispositivo. Per questo incidono sotto forma di processo o procedura su tutte le fasi di ideazione, sviluppo, implementazione e successivi interventi sul dispositivo. Fanno parte delle misure organizzative, ad esempio, quelle atte a disciplinare le modalità di creazione dei profili di autorizzazione; quelle relative alla gestione dei profili degli amministratori di sistema o alla modalità di verifica dell’individuazione delle misure di sicurezza da applicare in caso di implementazione.

Quindi come occorre muoversi dal punto di vista di chi sviluppa il dispositivo o di chi acquista?

Nel primo scenario occorre ideare la soluzione IoT tenendo presenti le tematiche privacy sin dalla progettazione. In caso contrario si rischia di vanificare gli investimenti, perdere tempo e avere un dispositivo potenzialmente esposto a sanzioni. Altra conseguenza spiacevole sarebbe l’inutilizzabilità dei dati.

Tale modus operandi non riguarda solo i dispositivi IoT sviluppati dopo l’entrata in vigore del GDPR (25 maggio 2018), ma anche quelli immessi sul mercato dopo il 25 maggio e utilizzati a decorrere da tale data.

Pertanto, le aziende che hanno venduto, distribuito o acquistato dispositivi IoT, dovranno essere in grado di dimostrare – secondo il principio dell’accountability (responsabilità) – la conformità al GDPR degli stessi. Questo avviene attraverso documentazione finalizzata a comprovare scelte operate, previa analisi, anche lato tecnico (penetration-test ad esempio), della vulnerabilità dei dispositivi oppure argomentare il motivo di adozione di una misura tecnica e cosa abbia motivato la scelta di determinate misure organizzative.

Quello che apparentemente può sembrare un ulteriore fardello a carico del mondo industriale è, di fatto, un logico riepilogo della necessità di garantire diritti verso coloro i cui dati vengono raccolti e potrebbero costituire oggetto di studio comportamentale, profilazione, controllo dell’operato senza alcuna garanzia effettiva verso i diritti di coloro a cui i dati fanno riferimento. Intervenire già in fase progettuale, o in caso di dispositivo già sul mercato, con uno pseudo-processo di “reverse engineering” applicato sul fronte della valutazione normativa, significa garantire credibilità al dispositivo e, sui fronti organizzativo e di sicurezza, seguire come “driver” la logica del legislatore. Razionalizzare, ad esempio, l’utilizzo dei dati consente di applicare un principio di minimizzazione e, al tempo stesso, focalizzare in modo più stringente quali dati realmente possono essere funzionali agli obiettivi, ottimizzandone l’utilizzo. Adottare una procedura che consenta, in caso di modifiche normative, di intervenire prontamente sul dispositivo e “attualizzarlo” alle misure di legge, consente di prevenire rischi correlati a violazioni e di conferire maggior credibilità commerciale al dispositivo stesso.

Riepilogando: chi sviluppa Industrial IoT deve applicare il principio del privacy by design sin dalla fase di ideazione accompagnandone l’evoluzione con la “visione” normativa. Chi già detiene un dispositivo IoT deve verificarne la conformità ed essere in grado di dimostrarla in caso di controllo.

Le sanzioni, in caso di violazione, variano dal 2% al 4% del fatturato aziendale annuo, e da 10.000.000 a 20.000.000 di euro. Il tema della brand reputation, inoltre, non è da ignorare: dispositivi che violano i dati dei loro utilizzatori conduce inevitabilmente a un calo di credibilità sul mercato e rispetto a utenti/operatori. Un danno che si rivela, quasi sempre, di pari portata negativa rispetto a quello sanzionatorio.