Internet of Things, ancora irrisolti i nodi della tutela della privacy
Con il termine Internet of Things (IoT) si fa riferimento ad infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio, mediante l'utilizzo di tecnologie a radio frequenza (ad es. RFID, bluetooth etc.), sia tramite una rete di comunicazione elettronica. I dispositivi interessati non sono soltanto i tradizionali computer o smartphone, ma anche quelli integrati in oggetti di uso quotidiano ("things"), come dispositivi indossabili (cd. wearable), di automazione domestica (cd. domotica) e di georeferenziazione e navigazione assistita.
In altre parole per Internet of things si intende un ulteriore sviluppo di Internet conseguente alla connessione in rete degli oggetti materiali. Oggetti che potrebbero essere dotati di un identificativo univoco (ad esempio, un numero di serie), riconoscibile anche in radiofrequenza. Ma l’identificazione degli oggetti potrebbe avvenire anche senza ricorrere ad etichette radio, ma combinando sensori e riconoscimento automatico (si pensi, ad esempio, al riconoscimento di un codice a barre effettuato con un cellulare collegato ad Internet).
Siamo entrati in una fase storica/economica nella quale per mantenere il vantaggio competitivo le aziende dovranno passare dal processo tradizionale “produco e vendo il prodotto”a un processo più innovativo “produco un prodotto e vendo un prodotto-servizio”.
Ciò è reso possibile grazie, appunto, alla capacità dei dispositivi “Internet of Things” (IoT) di raccogliere, elaborare e interpretare un numero sempre maggiore di dati che, opportunamente inseriti in un contesto di business possono generare vantaggi competitivi per le aziende, dovuti alla possibilità di erogare servizi sempre più innovativi equalitativamente migliori.
Si tratta, quindi, di un’ulteriore evoluzione della rete. In breve tempo siamo passati dalla tradizionale concezione di Internet al c.d. web 2.0 inteso come web riscrivibile i cui contenuti sono determinati dagli utenti che riempiono letteralmente scatole vuote (blog, wikipedia, social network, ecc.). L’avvento del web 2.0 inteso come evoluzione della rete e dei siti internet caratterizzata da una maggiore interattività che pone l’utente al centro della rete ha evidenziato ancora di più un importante concetto e cioè che Internet non è più una semplice "rete di reti", né un agglomerato di siti Web isolati e indipendenti tra loro, bensì la summa delle capacità tecnologiche raggiunte dall’uomo nell’ambito della diffusione dell’informazione e della condivisione del sapere.
Ma l’avvento dello IoT fa capire che ormai ci troviamo di fronte già al web 3.0 e quindi alla possibilità del dialogo con le cose grazie alla Rete. Come è noto l’aspetto della comunicazione fra uomini e macchine e tra macchine era già stato approfondito da un noto studioso, Norbert Wiener, che ha creato una scienza denominata “cibernetica” il cui obiettivo è proprio quello dello “studio scientifico del controllo e della comunicazione nell’animale (uomo) e nella macchina”.
Il termine “cibernetica” viene dal greco κυβερνητική (kybernetiké), che indica appunto l’arte di “governare”, “dirigere” e che deriva a sua volta dal verbo κυβερνάω (kybernáo), riferito all’azione di chi pilota una nave stando al timone.
In un futuro non troppo lontano sarà quindi possibile ipotizzare la comunicazione non solo tra uomini e macchine, ma anche tra macchine con inevitabili conseguenze da un punto di vista giuridico, poiché sarà necessario regolare rapporti che non hanno esseri umani come punto di riferimento.
Ma ovviamente un’evoluzione così rapida del progresso tecnologico può portare anche a delle conseguenze non sempre positive ed a quel fenomeno che lo stesso Wiener definiva “entropia” intesa come disordine.
(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
In questo quadro evolutivo non sempre ideale l’Autorità Garante di fronte allo sviluppo dell’IoT aveva deciso di assumere un atteggiamento rigoroso avviando una pubblica consultazione in data 26 marzo 2015 al fine di acquisire osservazioni e proposte riguardo agli aspetti di protezione dei dati personali connessi alle nuove tecnologie classificabili come Internet of Things, per poi concludere con un nulla di fatto, almeno all’attualità, complice anche l’avvento del Regolamento UE sulla protezione dei dati personali.
Diverse sono le problematiche che la tecnologia IoT pone sul fronte della protezione dei dati personali. Innanzitutto un’attenzione particolare deve essere riservata ai rischi relativi alla qualità dei dati che potrebbero derivare dal loro grado di affidabilità, specie considerati gli usi in campo medico-sanitario, nonché ai rischi che vengano realizzati, quali un invasivo monitoraggio dei comportamenti degli utenti, anche a loro insaputa, ovvero un condizionamento degli individui tale da limitarne anche significativamente la libertà e la capacità di autodeterminazione.
Al pari occorre considerare gli ulteriori rischi relativi alla sicurezza indotti, in particolare, da operazioni di comunicazione a terzi, dall'utilizzo improprio e dalla perdita delle informazioni oggetto di trattamento, soprattutto in ragione del novero dei soggetti coinvolti, dei volumi e dei tipi di dati trattati, nonché dell'estensivo utilizzo di interfacce radio, strutturalmente di particolare vulnerabilità.
Indubbiamente sarebbe opportuno che sin dalla fase di progettazione gli oggetti ed i servizi destinati ad interagire nell'Internet of things si ispirino ai ben noti principi della privacy by design e della privacy by default.
Ma una particolare preoccupazione deve essere rivolta anche alla raccolta e la gestione di dati relativi a comportamenti, abitudini, preferenze e stato di salute degli utenti spesso inconsapevoli, con l'effetto di consentirne l'identificazione, diretta o indiretta, mediante la creazione di profili anche dettagliati. Aspetto questo che dovrà essere risolto attraverso l’individuazione di corrette e chiare informazioni, con particolare riguardo ai dati raccolti, agli scopi per i quali ciò avviene e alla durata della conservazione dei dati stessi ai fini dell'eventuale prestazione di un valido consenso al trattamento dei dati, condizione di liceità imprescindibile. Tali informazioni dovranno soddisfare un altro dei principi fondamentali del GDPR e cioè la trasparenza.
Le stesse misure di sicurezza da adottare dovranno essere in grado di proteggere i dati trattati dai rischi di interferenze ingiustificate e/o manomissioni e, prima ancora, di minimizzare i rischi, laddove possibile, talvolta ricorrendo alla stessa cifratura in presenza di dati particolarmente sensibili.