La normativa privacy vigente su IoT e Machine Learning

01/09/2021
di Valentina Frediani

Si stanno sempre più sviluppando soluzioni di Machine Learning applicate all’Internet of Things, in particolare per consentire attività di assistenza alle soluzioni che comportino un taglio dei tempi e risoluzioni sempre più ottimizzanti a favore dei clienti. Per raggiungere questo obiettivo, chi realizza soluzioni IoT deve necessariamente raccogliere in un primo periodo, tutte le necessità manifestate da chi richiede l’assistenza andando così a costituire un patrimonio funzionale all’apprendimento da parte del sistema di Machine Learning.

È evidente che raccogliere queste informazioni spesso collegate al profilo utente richiedente l’assistenza, necessita dell’applicazione in via preliminare, della normativa privacy vigente. Le attività, dunque, comportano un trattamento di dati personali, in quanto dalla registrazione delle chiamate in arrivo possono emergere le informazioni registrate sia del soggetto chiamante, che del soggetto che presta assistenza.

Assodata la natura dei dati trattati, ne deriva automaticamente che per la gestione degli stessi devono applicarsi le prescrizioni previste sia dal Regolamento UE 2016/679 (anche solo “Regolamento”) che quelle del riformato Codice Privacy (196/2003 e s.m.i.). Preventivamente, occorre svolgere  una DPIA (Data Protection Impact Assessment) o anche definita Valutazione preventiva dell’impatto, secondo quanto previsto dall’articolo 35 del Regolamento; questo per dimostrare come vengono bilanciati tutela dei diritti degli interessati e perseguimento degli obiettivi da parte del Titolare.

È altresì fondamentale provvedere all’informazione dei soggetti interessati coinvolti nel trattamento; ciò sia attraverso la predisposizione di un documento informativo che soddisfi i requisiti degli art. 13-14 del Regolamento, sia provvedendo alla raccolta del consenso degli interessati al fine di poter identificare una idonea base giuridica. L’informativa dovrà essere fornita agli interessati prima che il trattamento abbia inizio. Il testo della stessa dovrà contenere gli elementi specificamente richiesti dalla normativa e relativi a:

  • l’identità e i dati di contatto del titolare del trattamento;
  • i dati di contatto del responsabile della protezione dei dati, ove nominato;
  • le finalità del trattamento nonché la base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo;
  • il periodo di conservazione dei dati personali;
  • i diritti dell’interessato;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’origine dei dati personali, se non direttamente raccolti presso l’interessato.

È ovvio che gli interessati dovranno essere resi edotti in merito alla durata di conservazione dei dati: su questo aspetto sarà opportuno comprendere la necessità effettiva di conservazione rispetto alle fasi di apprendimento del sistema di Machine Learning.

Occorrerà anche comprendere se nella fase di registrazione e riversamento delle informazioni, i dati dei soggetti coinvolti risiederanno su server allocati su territorio nazionale oppure saranno trasferiti in ex UE: in questo ultimo caso le nuove disposizioni comportano la verifica di una serie di misure a garanzia dei dati necessarie per poterli legittimamente trattare.  Per rispondere agli obblighi normativi occorre anche istruire le persone che andranno a trattare i dati su come dovranno essere gli stessi gestiti, e ciò dovrà avvenire attraverso apposite nomine.

Ricordiamo infine che lo strumento di Machine Learning dovrà rispondere ai principi regolamentari: è difatti richiesto che il sistema di raccolta dei dati e delle informazioni  sia conforme ai principi del PbDD (Privacy by Design e Default), in base ai quali, fin dalla fase di progettazione, e a maggior ragione nella fase di personalizzazione, un mezzo del trattamento sia effettivamente configurato per poter garantire la piena corrispondenza ai principi e le prescrizioni previste nel Regolamento. Una volta attuate le previsioni, il sistema potrà essere attuato e come di fatto sta già accadendo, conferire ancor maggior valore all’intero sistema di IoT.

Articolo pubblicato su IOTtoday

Riproduzione riservata ©

ALTRE NEWS

Violazione l’accesso alla posta elettronica dell’ex-coniuge

Lo spionaggio coniugale può passare anche dalla visualizzazione della posta elettronica. Ma non rimane impunito. Questo sembra emergere dal provvedimento del Gip di Trento, che… Leggi Tutto

Link ad opere protette da copyright lecito se non c’è fine di lucro

La pubblicazione di link ad opere protette dal diritto d’autore e disponibili su un altro sito web senza l’autorizzazione dell’autore, si presume illegittima quando i… Leggi Tutto

Apple Pay e il futuro dei pagamenti online

Apple Pay, recentemente approdato in Italia, è uno degli esempi che fa capire come il futuro dei pagamenti sia sempre meno legato alle vecchie dinamiche… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form