Al via oggi l’indagine conoscitiva Privacy Sweep 2019, sulla gestione dei data breach perché la connessione in rete di oggetti, e quindi persone, pone sfide crescenti in termini di privacy e cybersecurity. Già nel 2016 l’Unione Europea aveva adottato il primo Regolamento volto a proteggere la privacy: ricordiamo i punti salienti.
Sono molte le startup che lavorano su tematiche di IoT, ovvero “Internet of Things”.
Ma cos’è il cosiddetto internet delle cose? Cosa significa e quanto questo fenomeno sta incidendo nella vita di tutti noi? E ancora quanto sta cambiando il paradigma legale in funzione di questo fenomeno?
Gli ultimi 15 anni saranno certamente ricordati dalla storia come l’epoca in cui la gente si è connessa. È esplosa l’esigenza di essere legati attraverso i social, attraverso forme di comunicazione digitali e rapide, attraverso internet. Sempre di più, questa società connessa e veloce chiede la presenza di internet in ogni azione e in ogni cosa. Con l’internet delle cose ogni oggetto sarà connesso e, sulla base delle informazioni che riceverà, interagirà con noi.
Avremo, dunque, la sveglia capace di suonare prima se rileva traffico sul nostro tragitto per l’ufficio, avremo i contenitori dei medicinali che ci avviseranno quando dobbiamo prenderle, avremo la televisione che si spegnerà quando abbiamo trascorso troppo tempo in sua compagnia, avremo la poltrona capace di rivelarci che qualcosa non va nel nostro peso corporeo.
LA RIVOLUZIONE DELLE TECNOLOGIE IoT
Molti oggetti saranno connessi, ci conosceranno bene e ci aiuteranno nella vita quotidiana, interagendo costantemente con noi.
Una rivoluzione che coinvolgerà tutti, perché è ormai chiaro che lo scambio di informazioni online in tempo reale genera nuovo valore: è la quarta rivoluzione industriale, dove sarà fondamentale la capacità di raccogliere e utilizzare informazioni e dati per creare profitti.
In questo contesto le tecnologie Iot sono in forte, fortissima, espansione nel mondo e anche nel nostro Paese, il quale vede sempre più aziende puntare verso lo sviluppo di tecnologie di IoT.
Grandi gruppi industriali hanno virato bruscamente verso questi sistemi di innovazione, sviluppandoli per settori verticali, quali connected industry, healthcare, automotive, domotica…
Il mercato italiano che genera l’IoT a fine 2016 ha raggiunto il valore di 18 miliardi di dollari: un trend di crescita nei prossimi 4 anni del 19%, quindi, destinato a raggiungere un valore di 37 miliardi di dollari nel 2020.
LE SFIDE DELLE TECNOLOGIE IoT
Lo IoT apre molte opportunità, ma impone ai produttori di questa tecnologie grandi sfide, soprattutto legate alla sicurezza e alla privacy, che diventano il tema centrale.
I rischi tangibili sono strettamente legati alla sfera individuale del singolo soggetto, poiché è inevitabile che gli oggetti dovranno raccogliere una infinità di dati, il più delle volte si tratterà dei cosiddetti dati sensibili, ovvero quei dati che appartengono alla nostra sfera personale e non è bene divulgare.
Ci si potrebbe, pertanto, trovare, nell’incresciosa situazione per cui, soggetti terzi, in assenza di qualsivoglia autorizzazione e per finalità sconosciute, facciano uso distorto dei nostri dati, dei quali sono venuti a conoscenza tramite la rete.
Il primo tema con cui i legal, esperti di nuove tecnologie e innovazione, sono chiamati a confrontarsi è come tutelare il singolo da un possibile attacco dei dati, e quindi, come garantire la protezione dei dati stessi.
Se sino al 2018 in Italia, con le norme sulle privacy, si è inteso disciplinare la raccolta dei dati, ora necessita disciplinare la protezione dei dati stessi.
IL REGOLAMENTO UE 679/2016
In questo scenario, si colloca il Regolamento UE n. 679/2016 adottato dal Parlamento Europeo e dal Consiglio nel mese di aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Detto Regolamento mira a garantire una disciplina uniforme e omogenea in tutta l’Unione Europea e ha trovato automatica e diretta applicazione in ogni Stato Membro a partire dal 25 maggio 2018, con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso. In Italia, quindi, ha sostituito il “Codice Privacy”, in vigore dal 1 gennaio 2014. Il suddetto Regolamento, insieme alla Direttiva che regola i trattamenti dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini, costituiscono il nuovo “Pacchetto Protezione Dati”.
Questo impianto normativo, lungamente atteso, è atto a sostituire una regolamentazione europea obsoleta, risalente agli anni 90, ovvero in un tempo dove molte tecnologie erano inesistenti e dove internet era praticamente agli albori.
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Tra le peculiarità del Regolamento c’è il rafforzamento degli obblighi di sicurezza, l’introduzione della figura del responsabile della protezione dati e la previsione dei principi di privacy by design e di privacy by default. Questi principi definiscono una nuova dimensione della privacy, una dimensione che trae origine proprio dall’innovazione tecnologica.
- Il principio della privacy by design, infatti, prevede che la protezione dei dati sensibili sia integrata nell’intero ciclo di vita della tecnologia del prodotto, ovvero sin dalla fase di progettazione sino alla distribuzione, all’utilizzo e alla eliminazione finale.
- Il principio della privacy by default prevede invece che le impostazione di protezione dei dati e di limitazione ai dati strettamente necessari siano impostati di default nel processo di realizzazione del prodotto stesso e, quindi, il titolare del trattamento garantisce che siano raccolti e trattenuti di default solo i dati personali necessari per la finalità dell’oggetto, e che la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per conseguirne le finalità (principio della minimizzazione dei dati).
Dunque, con questo regolamento i produttori di queste tecnologie dovranno avere ben chiaro sin dalla fase della progettazione di un prodotto il tema della protezione dei dati sensibili necessari per la funzionalità del prodotto stesso.
Di conseguenza dovranno adottare misure adeguate e procedure tecniche idonee a dimostrare che il prodotto è progettato e costruito secondo i principi della privacy by design e della privacy by default come sopra declinati, ed è idoneo, quindi, ad assicurare la tutela dei diritti dell’utilizzatore, riguardo alla protezione dei propri dati personali.
RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI
Per garantire l’attuazione di questo nuovo paradigma della privacy, il Regolamento UE suddetto, prevede l’introduzione di una nuova figura professionale, ovvero il Responsabile della Protezione dei Dati Personali.
Le aziende produttrici di tecnologie IoT, dovranno adeguarsi e, di conseguenza, dotarsi di questa figura deputata a garantire che gli oggetti che si connettono con noi siano stati progettati e creati in modo idoneo a proteggere i dati sensibili e siano capaci di cancellare completamente i dati quando l’oggetto terminerà il suo funzionamento.
Una rivoluzione, dunque, che sta a testimoniare come la tematica dei dati che vengono immessi nella rete sia tutt’altro che un problema banale. Ma, anzi, il tema della security è centrale e gli Stati sono chiamati a far fronte, anche in considerazione dell’analisi svolta dall’attività dei Garanti della Privacy di 26 Paesi – in occasione dello scorso “Privacy Sweep 2019” – i cui risultati non sono affatto incoraggianti. Ma ne parleremo in un altro post.
