internet of things e privacy
adv

Internet of Things e smart objects sono la rivoluzione tecnologica degli ultimi anni. Dopo qualche tentativo a vuoto da parte dei governi dei singoli paesi, è stato il GDPR a intervenire per regolamentare il loro utilizzo, rispetto a un tema che riscuote sempre più attenzione, come la privacy.

Internet delle cose, o degli oggetti. Una definizione che esiste da meno di venti anni, ma che è diventata fondamentale per capire gli sviluppi del mondo della tecnologia e delle nuove economie mondiali. Null’altro che una evoluzione nell’uso di Internet: gli oggetti evolvono la loro natura grazie alla possibilità – acquisita per mezzo del collegamento in rete – di comunicare dati su sè stessi e di usufruire di informazioni esterne. L’esempio più classico è quello di una sveglia che suona in anticipo sull’orario previsto avendo percepito un livello di traffico sopra la norma; o contenitori di medicinali che lanciano un allarme se ci si dimentica di prendere il farmaco. Si chiamano “smart objects”, gli oggetti intelligenti, e la loro produzione sta già occupando una fetta di mercato enorme.

Logistica, mobilità, informazione, ma anche efficienza energetica e tutela dell’ambiente. Sono tantissimi gli ambiti in cui le aziende stanno lavorando per rendere l’Internet delle cose una rivoluzione non solo tecnologica ma anche del mercato. Si pone tuttavia la necessità di una regolamentazione rispetto al suo utilizzo, a cominciare dalla questione privacy, anche alla luce dell’entrata in vigore del GDPR, il nuovo regolamento europeo sulla protezione dei dati.

L’IoT e la privacy

Il numero di questi dispositivi infatti, già enormemente diffusi in tutto il pianeta, ha portato all’apertura di un dibattito rispetto al loro utilizzo. Si tratta di dispositivi con un forte impatto nella vita quotidiana degli utenti, e che soprattutto sono capaci di estrapolare una serie di dati (riguardanti i consumi, le abitudini, i percorsi geografici e urbani) che consentono alle aziende di tracciare un preciso identikit del proprio cliente, utilizzabile a livello commerciale. A fronte di tutto ciò, si è avvertita la necessità di una regolamentazione specifica che disciplini il rapporto tra Internet of Things e privacy.

Ciò che è mancato, fino a questo momento, è stata l’opera di sensibilizzazione nei confronti del cliente rispetto a queste implicazioni, anche a causa di una poca efficienza, da questo punto di vista, dei governi nazionali, che avrebbero facilmente potuto elaborare regole più rigide collegate alla produzione, l’acquisto e l’utilizzo dei dispositivi.

L’intervento del Garante e l’arrivo del GDPR

Su queste questioni non poteva naturalmente esimersi dall’esprimersi il Garante per la privacy, che già nel 2015, nel nostro paese, aveva avviato un percorso per definire regolamenti e norme ad hoc rispetto all’Internet delle cose.

Un primo intervento da parte del Garante risale ad aprile 2015, quando venne avviata una consultazione per definire regole e tutele in materia di IoT. Si comincia a lavorare così all’imposizione, nei confronti delle aziende, di tecniche di “minimizzazione” nell’acquisizione dei dati (ovvero il trattamento dei soli dati necessari), così come alla definizione di un termine per la conservazione degli stessi, tutti elementi intersecatisi poi con quelli stabiliti dalla recente norma internazionale per la protezione dei dati.

Il regolamento, infatti, interviene in alcuni punti chiave riguardanti la disciplina dell’IoT. In termini generali, il GDPR dispone che i dati vengano trattati in quanto “adeguati, pertinenti e limitati” rispetto a ciò che è necessario per le finalità perseguite (principio, appunto, della minimizzazione). Nel caso specifico dell’IoT, viene richiesta l’elaborazione di un sistema di gestione della privacy che venga sviluppato fin dalla fase di progettazione del prodotto: non qualcosa di posteriore, quindi, ma di integrato all’oggetto stesso.

Il considerando nr. 90 stabilisce così l’obbligo per il responsabile di effettuare una valutazione d’impatto  antecedente al trattamento, per valutare la gravità del rischio soprattutto in caso di trattamenti su larga scala (cioè sui prodotti il cui utilizzo coinvolgerebbe un vasto numero di interessati). Più precisamente, gli articoli 35 e 36 della normativa impongono, a questo proposito, una tutela rafforzata in caso di rischio elevato: sarà necessario, in quel caso, interpellare l’autorità di controllo (che per l’Italia è proprio il Garante per la protezione dei dati personali), la quale, entro otto settimane dalla richiesta, dovrà fornire il proprio parere positivo, o in caso contrario intervenire ammonendo e addirittura inibendo i produttori.