Industrial IoT e privacy by design: come applicare correttamente il GDPR ai dispositivi

02/11/2020
di Valentina Frediani

Articolo Pubblicato da IOTtoday il 30 Ottobre 2020

La compliance in materia di privacy riguarda anche l’Industrial IoT e le sue linee di produzione. Sistemi e macchinari connessi, in caso raccolgano e trattino dati (anche personali) poi condivisi in rete, devono rispettare il principio di privacy by design contenuto nell’art. 25 Regolamento Europeo per la protezione dei dati personali (General Data Protection Regulation – GDPR).

Ricordiamo che per “dati personali” si intendono “dati atti a identificare un soggetto fisico anche nelle proprie attività di business”. Ad esempio: credenziali di autenticazione univoche (assegnate ad un unico soggetto); codici atti a identificare; indirizzi mail nominativi e tutto ciò che – in modo diretto o indiretto -consenta di risalire al soggetto interessato. Appare evidente che, nell’IoT, la massa dati personali coinvolta risulti particolarmente alta.

Torniamo dunque all’obbligo normativo. Cosa impone il legislatore europeo e come applicarlo?

Letteralmente l’art. 25 del GDPR dispone che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate. Le misure tecniche sono intese come parametri di protezione che possono ritenersi adeguati quando sono atti a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. Il legislatore non specifica in modo tassativo quali strumenti e provvedimenti adottare, proprio nell’ottica di consentirne la variazione a seconda della tecnologia utilizzata, dei dati trattati, delle finalità e di tutte quelle variabili che possono ruotare intorno a un dispositivo IoT. Nell’articolo sono richiamate alcune misure che vogliono essere indicatori di confronto per chi sviluppa, implementa o deve attuare una valutazione post-sviluppo su quanto realizzato. Si tratta di pseudonimizzazione e minimizzazione. In generale, quindi, le scelte attuate dovranno essere il risultato di conoscenze ed “esigenze” tecnologiche del dispositivo.

Allo stesso tempo vige l’obbligo di adozione di misure organizzative già in fase di ideazione del dispositivo. Per questo incidono sotto forma di processo o procedura su tutte le fasi di ideazione, sviluppo, implementazione e successivi interventi sul dispositivo. Fanno parte delle misure organizzative, ad esempio, quelle atte a disciplinare le modalità di creazione dei profili di autorizzazione; quelle relative alla gestione dei profili degli amministratori di sistema o alla modalità di verifica dell’individuazione delle misure di sicurezza da applicare in caso di implementazione.

Quindi come occorre muoversi dal punto di vista di chi sviluppa il dispositivo o di chi acquista?

Nel primo scenario occorre ideare la soluzione IoT tenendo presenti le tematiche privacy sin dalla progettazione. In caso contrario si rischia di vanificare gli investimenti, perdere tempo e avere un dispositivo potenzialmente esposto a sanzioni. Altra conseguenza spiacevole sarebbe l’inutilizzabilità dei dati.

Tale modus operandi non riguarda solo i dispositivi IoT sviluppati dopo l’entrata in vigore del GDPR (25 maggio 2018), ma anche quelli immessi sul mercato dopo il 25 maggio e utilizzati a decorrere da tale data.

Pertanto, le aziende che hanno venduto, distribuito o acquistato dispositivi IoT, dovranno essere in grado di dimostrare – secondo il principio dell’accountability (responsabilità) – la conformità al GDPR degli stessi. Questo avviene attraverso documentazione finalizzata a comprovare scelte operate, previa analisi, anche lato tecnico (penetration-test ad esempio), della vulnerabilità dei dispositivi oppure argomentare il motivo di adozione di una misura tecnica e cosa abbia motivato la scelta di determinate misure organizzative.

Quello che apparentemente può sembrare un ulteriore fardello a carico del mondo industriale è, di fatto, un logico riepilogo della necessità di garantire diritti verso coloro i cui dati vengono raccolti e potrebbero costituire oggetto di studio comportamentale, profilazione, controllo dell’operato senza alcuna garanzia effettiva verso i diritti di coloro a cui i dati fanno riferimento. Intervenire già in fase progettuale, o in caso di dispositivo già sul mercato, con uno pseudo-processo di “reverse engineering” applicato sul fronte della valutazione normativa, significa garantire credibilità al dispositivo e, sui fronti organizzativo e di sicurezza, seguire come “driver” la logica del legislatore. Razionalizzare, ad esempio, l’utilizzo dei dati consente di applicare un principio di minimizzazione e, al tempo stesso, focalizzare in modo più stringente quali dati realmente possono essere funzionali agli obiettivi, ottimizzandone l’utilizzo. Adottare una procedura che consenta, in caso di modifiche normative, di intervenire prontamente sul dispositivo e “attualizzarlo” alle misure di legge, consente di prevenire rischi correlati a violazioni e di conferire maggior credibilità commerciale al dispositivo stesso.

Riepilogando: chi sviluppa Industrial IoT deve applicare il principio del privacy by design sin dalla fase di ideazione accompagnandone l’evoluzione con la “visione” normativa. Chi già detiene un dispositivo IoT deve verificarne la conformità ed essere in grado di dimostrarla in caso di controllo.

Le sanzioni, in caso di violazione, variano dal 2% al 4% del fatturato aziendale annuo, e da 10.000.000 a 20.000.000 di euro. Il tema della brand reputation, inoltre, non è da ignorare: dispositivi che violano i dati dei loro utilizzatori conduce inevitabilmente a un calo di credibilità sul mercato e rispetto a utenti/operatori. Un danno che si rivela, quasi sempre, di pari portata negativa rispetto a quello sanzionatorio.

Riproduzione riservata ©

ALTRE NEWS

App in alternativa al badge, con quali garanzie?

Punto Informatico ospita il commento dell’Avv. Valentina Frediani sulla decisione del Garante Privacy che ammette la possibilità di impiegare applicazioni mobile per verificare la presenza… Leggi Tutto

Intellectual Property nel mondo digitale. Think & Talk con Giulia Rizza

Intellectual Property online: dove inzia la tutela? Insieme all’Avv. Giulia Rizza, Responsabile della Business Unit Intellectual Property di Colin & Partners, abbiamo cercato di indagare… Leggi Tutto

La spinta della GDPR, motore per i protagonisti del settore ICT

Tornano le Round Table mensili di Colin & Partners dedicate al Diritto delle nuove tecnologie, in ottica General Data Protection Regulation. Sono interlocutori privilegiati di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.