Internet of Things, sicurezza e privacy: qualche riflessione sugli aspetti giuridici.

Quali implicazioni giuridiche più rilevanti possono discendere dallo sviluppo dell’IoT, soprattutto nell’ambito dei dati personali? A quali profili occorre prestare attenzione nel loro sviluppo?

Questa rivista, nel recente passato, ci ha descritto l’Internet of Things nella rubrica “La parola del giorno” e proprio nello scorso numero ha dedicato un articolo all’argomento della protezione dei dispositivi IoT.
L’interesse prestato all’argomento può dirsi ben motivato: da uno studio realizzato nel recente passato da Aruba, “The Internet of Things: Today and Tomorrow”, emerge che i vantaggi economici di business derivanti dall’IoT paiono superare di gran lunga le aspettative e, quindi, è presumibile che vi sarà nell’immediato futuro un boom del suo sviluppo, soprattutto nei settori delle aziende che creano uno “smart workplace”, nel settore industriale, nella sanità, nel settore retail o nella “wearable computing” (ovvero la tecnologia indossabile, vestiti, occhiali, orologi che contengono informazioni interconnesse), nella Pubblica Amministrazione e nella domotica. Conseguentemente, soprattutto per la varietà dei settori di diffusione e, dunque, l’interesse generalizzato all’argomento, vi possono essere varie implicazioni e problematiche, per quanto ci interessa in questa sede giuridiche, discendenti dall’utilizzo dei dispositivi IoT.

Quali sono, in via generale, alcune delle principali problematiche giuridiche connesse all’uso di dispositivi IoT?

Innanzitutto, proprio la sicurezza dalle violazioni informatiche e, dunque, le misure di sicurezza da adottare preventivamente per proteggere i device da virus e attacchi informatici.
Strettamente connesso è il problema della tutela della Privacy: proprio per poter funzionare, i dispositivi raccolgono, infatti, una quantità rilevante di dati personali, talora anche sensibili. Come aveva dichiarato il Garante della Privacy in relazione al Privacy Sweep 2016 (ovvero un’indagine a tappeto a carattere internazionale, dedicata ogni anno ad un argomento diverso, e volta lo scorso anno proprio a verificare il rispetto della privacy nell’IoT) "L'Internet delle Cose è carico di promesse, che vanno da una migliore assistenza sanitaria ad un sempre maggiore efficientamento delle nostre abitazioni. Ma questi obiettivi devono essere raggiunti in piena trasparenza, informando chiaramente le persone sull'utilizzo che viene fatto dei loro dati personali, proteggendo questi dati da violazioni e usi impropri con adeguate misure di sicurezza e rispettando la libertà delle persone. E' essenziale adottare un approccio internazionale alla questione IoT: un'azienda se opera in modo non corretto nei confronti degli utenti può violare, ovunque essa si trovi, le norme sulla protezione dei dati e minare la fiducia nei nuovi oggetti intelligenti che dialogano e interagiscono tra loro".

Risultato dell’indagine Privacy Sweep 2016?

Su oltre trecento dispositivi elettronici connessi a Internet - come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione - più del 60% non ha superato l'esame dei Garanti della privacy di 26 Paesi.
Le questioni aperte e problematiche più rilevanti emerse andavano dalle informazioni fornite in merito a come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi, a come sono conservati, a come cancellare i dati dal dispositivo, alle modalità di contatto con il fornitore del cliente che voglia informazioni riguardo alla propria privacy.
La mancanza di una disciplina specifica rivolta all’argomento – che è anche uno dei maggiori problemi del settore, sia sotto il profilo dello sviluppo per le aziende sia dal lato della tutela degli utenti – è stato in parte superato dall’adozione del Regolamento europeo dei dati personali (GDPR) n.679/2016, di cui abbiamo già parlato nello scorso articolo in relazione agli obblighi a carico di un’azienda, conseguenti ad un Data Breach.

Oltre agli obblighi connessi al Data Breach, quali altre previsioni del Regolamento Europeo possono, in via principale, interessare un operatore economico nel mondo IoT?

Innanzitutto, in via generale, il GDPR prevede alcuni principi generali (art.5): “liceità, correttezza e trasparenza” del trattamento; i dati personali devono essere raccolti per finalità determinate, esplicite e legittime; i dati personali trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (“minimizzazione dei dati”); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (“limitazione della conservazione”); trattati in maniera da garantire un'adeguata sicurezza.
Inoltre, viene introdotto il concetto di privacy by design: l’attenzione alla tutela della privacy deve essere sviluppata dalle aziende sin dalla fase di progettazione dell’oggetto.
Ancora, la previsione di un Privacy Impact Assessment, disciplinato dall’art.35 del Regolamento n. 2016/679/UE, ovvero la necessità per i titolari di trattamenti di dati personali “allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, di predisporre preventivamente un documento che contenga almeno una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
Infine, merita un accenno la figura del Data Protection Officer (DPO), prevista nelle ipotesi indicate dall’art.37 del Regolamento UE, con compiti di informazione e sorveglianza nell’assolvimento di tutti gli adempimenti necessari e previsti – pena pesanti sanzioni – dalla nuova normativa privacy.
Sempre nuove sfide aspettano sicuramente in questo settore anche il mondo del diritto.

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor