Internet of Things: sicurezza e privacy

Quali sono le principali problematiche giuridiche connesse all’uso di dispositivi IoT?

Lo sviluppo dell’Internet of things pone alcune implicazioni giuridiche. Innanzitutto, la sicurezza dalle violazioni informatiche e, dunque, le misure di sicurezza da adottare preventivamente per proteggere i device da virus e attacchi informatici. Strettamente connesso è poi il problema della tutela della Privacy: proprio per poter funzionare, i dispositivi raccolgono, infatti, una quantità rilevante di dati personali, talora anche sensibili.
Gli avvocati Fulvio Sarzana di S. Ippolito e Massimiliano Nicotra affrontano il tema attraverso un punto di vista aggiornato e specifico di esperti in materia nel volume “Diritto della blockchain, intelligenza artificiale e IoT”.
Il contenuto di seguito è tratto e rielaborato dal manuale, già disponibile per l’acquisto su Shop.Wki.it.

Clicca il box di seguito per avere un dettaglio sui contenuti.

Con Internet of Things (Iot o Internet delle Cose, in italiano) si intende l’insieme di connessioni internet operate da oggetti e da luoghi, senza l’intervento di operatori umani. In questo contesto gli oggetti possono collegarsi alla rete, comunicare il proprio status e dati sul proprio operato, come statistiche ed altro, ed accedere ad informazioni utili per il proprio funzionamento, in modo del tutto automatico. Le applicazioni nel campo dell’Internet of Things sono molteplici: oggetti che si connettono ad internet in modo indipendente possono essere sfruttati per sviluppare i settori della domotica, dei trasporti, della logistica, della medicina e moltissimi altri ambiti.
Sensori di fitness intelligenti e tracker possono trasformare l’assistenza sanitaria e migliorare la forma fisica e la salute personale. Sensori integrati possono misurare autonomamente umidità, aria e acqua livelli di inquinamento, e livelli di risorse, consentendo un monitoraggio più stretto di problemi ambientali.

Tutela dati personali

La “connessione perenne” tra oggetti e il trattamento massivo di dati connesso all’Iot genera interrogativi sul trattamento dei dati personali e sulla tutela dei diritti e delle libertà civili delle persone fisiche coinvolte nel trattamento.
Nel corso degli anni 2016-2017 si sono svolti diversi studi sui profili dell’Iot in grado di avere impatti sul trattamento dei dati personali.
Nel maggio del 2017 il network delle autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GpEN), ha svolto un’indagine a tappeto (“sweep”) su base internazionale, a cui ha aderito anche il Garante italiano, per verificare il rispetto della privacy nell’Internet delle Cose.
Su oltre trecento dispositivi elettronici connessi a Internet, più del 60% non ha superato l’esame dei Garanti della privacy di 26 paesi, facendo emergere, a livello globale, gravi carenze nella tutela della privacy degli utenti.
È emerso in particolare che:
– il 59% degli apparecchi non offre informazioni adeguate su come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi;
– il 68% non fornisce appropriate informazioni sulle modalità di conservazione dei dati;
– il 72% non spiega agli utenti come cancellare i dati dal dispositivo;
– il 38% non garantisce semplici modalità di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy.

Sicurezza

Vi sono inoltre, non trascurabili rischi in materia di sicurezza allorquando si parli di Internet delle Cose. In particolare i rischi riguardano: furto o uso illecito dei dati acquisiti; hackeraggio dei sistemi che trattano i dati con conseguenze di alterazione e manipolazione dei dati stessi; hackeraggio dei sistemi con conseguente manipolazione del funzionamento degli stessi e rischi anche fisici per le persone coinvolte.

Il Regolamento europeo sulla privacy (GDpR)

La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento europeo in materia di protezione dei dati personali (GDpR).

Al fine di garantire e dimostrare la conformità con il Regolamento europeo, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della “privacy by design” e della “privacy by default”.
Il principio della “privacy by design” prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale, mentre quello della “privacy by default” prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

Inoltre, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Allo stesso tempo, il GDpR non richiede l’uso di metodi specifici per la sicurezza. Di conseguenza, la crittografia, la pseudonimizzazione, l’anonimizzazione, l’autenticazione a più fattori sono tutte opzioni valide. Ogni organizzazione ha la possibilità di scegliere i propri metodi in base ai sistemi che utilizzano, alle loro possibilità finanziarie e al livello di rischio.
Ancora, secondo quanto dispone il GDpR, i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, realizzandosi, così, il principio della minimizzazione dei dati (considerando 39 – art. 5, lett. c).

Quindi per un prodotto Iot al momento di determinare le finalità e i mezzi del trattamento e all’atto del trattamento stesso, il responsabile del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, deve mettere in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti dell’interessato. In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il titolare o responsabile del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.

Questo articolo è tratto da “Diritto della blockchain, intelligenza artificiale e IoT”. Clicca qui per acquistare.

Ti è piaciuto questo contenuto?

Con la newsletter Teknoring resti sempre aggiornato.

In più, uno sconto del 20% su libri ed e-book e l’accesso ai vantaggi riservati agli iscritti.

ISCRIVITI

Potrebbero interessarti