La normativa privacy vigente su IoT e Machine Learning
Si stanno sempre più sviluppando soluzioni di Machine Learning applicate all’Internet of Things, in particolare per consentire attività di assistenza alle soluzioni che comportino un taglio dei tempi e risoluzioni sempre più ottimizzanti a favore dei clienti. Per raggiungere questo obiettivo, chi realizza soluzioni IoT deve necessariamente raccogliere in un primo periodo, tutte le necessità manifestate da chi richiede l’assistenza andando così a costituire un patrimonio funzionale all’apprendimento da parte del sistema di Machine Learning.
È evidente che raccogliere queste informazioni spesso collegate al profilo utente richiedente l’assistenza, necessita dell’applicazione in via preliminare, della normativa privacy vigente. Le attività, dunque, comportano un trattamento di dati personali, in quanto dalla registrazione delle chiamate in arrivo possono emergere le informazioni registrate sia del soggetto chiamante, che del soggetto che presta assistenza.
Assodata la natura dei dati trattati, ne deriva automaticamente che per la gestione degli stessi devono applicarsi le prescrizioni previste sia dal Regolamento UE 2016/679 (anche solo “Regolamento”) che quelle del riformato Codice Privacy (196/2003 e s.m.i.). Preventivamente, occorre svolgere una DPIA (Data Protection Impact Assessment) o anche definita Valutazione preventiva dell’impatto, secondo quanto previsto dall’articolo 35 del Regolamento; questo per dimostrare come vengono bilanciati tutela dei diritti degli interessati e perseguimento degli obiettivi da parte del Titolare.
È altresì fondamentale provvedere all’informazione dei soggetti interessati coinvolti nel trattamento; ciò sia attraverso la predisposizione di un documento informativo che soddisfi i requisiti degli art. 13-14 del Regolamento, sia provvedendo alla raccolta del consenso degli interessati al fine di poter identificare una idonea base giuridica. L’informativa dovrà essere fornita agli interessati prima che il trattamento abbia inizio. Il testo della stessa dovrà contenere gli elementi specificamente richiesti dalla normativa e relativi a:
- l’identità e i dati di contatto del titolare del trattamento;
- i dati di contatto del responsabile della protezione dei dati, ove nominato;
- le finalità del trattamento nonché la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo;
- il periodo di conservazione dei dati personali;
- i diritti dell’interessato;
- l’esistenza del diritto di revocare il consenso in qualsiasi momento;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’origine dei dati personali, se non direttamente raccolti presso l’interessato.
È ovvio che gli interessati dovranno essere resi edotti in merito alla durata di conservazione dei dati: su questo aspetto sarà opportuno comprendere la necessità effettiva di conservazione rispetto alle fasi di apprendimento del sistema di Machine Learning.
Occorrerà anche comprendere se nella fase di registrazione e riversamento delle informazioni, i dati dei soggetti coinvolti risiederanno su server allocati su territorio nazionale oppure saranno trasferiti in ex UE: in questo ultimo caso le nuove disposizioni comportano la verifica di una serie di misure a garanzia dei dati necessarie per poterli legittimamente trattare. Per rispondere agli obblighi normativi occorre anche istruire le persone che andranno a trattare i dati su come dovranno essere gli stessi gestiti, e ciò dovrà avvenire attraverso apposite nomine.
Ricordiamo infine che lo strumento di Machine Learning dovrà rispondere ai principi regolamentari: è difatti richiesto che il sistema di raccolta dei dati e delle informazioni sia conforme ai principi del PbDD (Privacy by Design e Default), in base ai quali, fin dalla fase di progettazione, e a maggior ragione nella fase di personalizzazione, un mezzo del trattamento sia effettivamente configurato per poter garantire la piena corrispondenza ai principi e le prescrizioni previste nel Regolamento. Una volta attuate le previsioni, il sistema potrà essere attuato e come di fatto sta già accadendo, conferire ancor maggior valore all’intero sistema di IoT.
Articolo pubblicato su IOTtoday