Quali implicazioni giuridiche più rilevanti possono discendere dallo sviluppo dell’IoT, soprattutto nell’ambito dei dati personali? A quali profili occorre prestare attenzione nel loro sviluppo?

Questa rivista, nel recente passato, ci ha descritto l’Internet of Things nella rubrica “La parola del giorno” e proprio nello scorso numero ha dedicato un articolo all’argomento della protezione dei dispositivi IoT.
L’interesse prestato all’argomento può dirsi ben motivato: da uno studio realizzato nel recente passato da Aruba, “The Internet of Things: Today and Tomorrow”, emerge che i vantaggi economici di business derivanti dall’IoT paiono superare di gran lunga le aspettative e, quindi, è presumibile che vi sarà nell’immediato futuro un boom del suo sviluppo, soprattutto nei settori delle aziende che creano uno “smart workplace”, nel settore industriale, nella sanità, nel settore retail o nella “wearable computing” (ovvero la tecnologia indossabile, vestiti, occhiali, orologi che contengono informazioni interconnesse), nella Pubblica Amministrazione e nella domotica. Conseguentemente, soprattutto per la varietà dei settori di diffusione e, dunque, l’interesse generalizzato all’argomento, vi possono essere varie implicazioni e problematiche, per quanto ci interessa in questa sede giuridiche, discendenti dall’utilizzo dei dispositivi IoT.

Quali sono, in via generale, alcune delle principali problematiche giuridiche connesse all’uso di dispositivi IoT?

Innanzitutto, proprio la sicurezza dalle violazioni informatiche e, dunque, le misure di sicurezza da adottare preventivamente per proteggere i device da virus e attacchi informatici.
Strettamente connesso è il problema della tutela della Privacy: proprio per poter funzionare, i dispositivi raccolgono, infatti, una quantità rilevante di dati personali, talora anche sensibili. Come aveva dichiarato il Garante della Privacy in relazione al Privacy Sweep 2016 (ovvero un’indagine a tappeto a carattere internazionale, dedicata ogni anno ad un argomento diverso, e volta lo scorso anno proprio a verificare il rispetto della privacy nell’IoT) "L'Internet delle Cose è carico di promesse, che vanno da una migliore assistenza sanitaria ad un sempre maggiore efficientamento delle nostre abitazioni. Ma questi obiettivi devono essere raggiunti in piena trasparenza, informando chiaramente le persone sull'utilizzo che viene fatto dei loro dati personali, proteggendo questi dati da violazioni e usi impropri con adeguate misure di sicurezza e rispettando la libertà delle persone. E' essenziale adottare un approccio internazionale alla questione IoT: un'azienda se opera in modo non corretto nei confronti degli utenti può violare, ovunque essa si trovi, le norme sulla protezione dei dati e minare la fiducia nei nuovi oggetti intelligenti che dialogano e interagiscono tra loro".

Risultato dell’indagine Privacy Sweep 2016?

Su oltre trecento dispositivi elettronici connessi a Internet - come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione - più del 60% non ha superato l'esame dei Garanti della privacy di 26 Paesi.
Le questioni aperte e problematiche più rilevanti emerse andavano dalle informazioni fornite in merito a come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi, a come sono conservati, a come cancellare i dati dal dispositivo, alle modalità di contatto con il fornitore del cliente che voglia informazioni riguardo alla propria privacy.
La mancanza di una disciplina specifica rivolta all’argomento – che è anche uno dei maggiori problemi del settore, sia sotto il profilo dello sviluppo per le aziende sia dal lato della tutela degli utenti – è stato in parte superato dall’adozione del Regolamento europeo dei dati personali (GDPR) n.679/2016, di cui abbiamo già parlato nello scorso articolo in relazione agli obblighi a carico di un’azienda, conseguenti ad un Data Breach.

Oltre agli obblighi connessi al Data Breach, quali altre previsioni del Regolamento Europeo possono, in via principale, interessare un operatore economico nel mondo IoT?

Innanzitutto, in via generale, il GDPR prevede alcuni principi generali (art.5): “liceità, correttezza e trasparenza” del trattamento; i dati personali devono essere raccolti per finalità determinate, esplicite e legittime; i dati personali trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (“minimizzazione dei dati”); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (“limitazione della conservazione”); trattati in maniera da garantire un'adeguata sicurezza.
Inoltre, viene introdotto il concetto di privacy by design: l’attenzione alla tutela della privacy deve essere sviluppata dalle aziende sin dalla fase di progettazione dell’oggetto.
Ancora, la previsione di un Privacy Impact Assessment, disciplinato dall’art.35 del Regolamento n. 2016/679/UE, ovvero la necessità per i titolari di trattamenti di dati personali “allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, di predisporre preventivamente un documento che contenga almeno una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
Infine, merita un accenno la figura del Data Protection Officer (DPO), prevista nelle ipotesi indicate dall’art.37 del Regolamento UE, con compiti di informazione e sorveglianza nell’assolvimento di tutti gli adempimenti necessari e previsti – pena pesanti sanzioni – dalla nuova normativa privacy.
Sempre nuove sfide aspettano sicuramente in questo settore anche il mondo del diritto.

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1