IoT e Privacy: il principio “Privacy by design” come chiave di lettura per affrontare il costante sviluppo tecnologico
In contrasto con le tendenze normative precedenti il GDPR (General Data Protection Regulation) rappresenta uno strumento agile e flessibile per adattare la compliance aziendale all’innovazione.
Con l’espressione IoT (Internet of Things, letteralmente Internet delle cose) si intende quel complesso di dispositivi (specialmente sensori) che permettono, con il collegamento a Internet, ad un semplice frigorifero di ordinare un determinato alimento quando non più presente, o di controllare la produttività di uno specifico macchinario costantemente.
Il neologismo è stato utilizzato per la prima volta da Kevin Ashton ricercatore presso il M.I.T. (Massachussets Institute of Technology) dove è stato trovato lo standard per il RFID (Radio-frequency identification): tecnologia di riconoscimento univoco e automatico sempre più utilizzata nella logistica, nella distribuzione, ma anche per la gestione degli asset che risolve inventari e sistemi di archiviazione attraverso processi di tracciabilità e rintracciabilità.
In questo articolo cercheremo di spiegare, brevemente, quali sono i requisiti richiesti dalla nuova normativa privacy (GDPR ma anche Codice Privacy) in materia di utilizzo di dispositivi che permettono un controllo costante del loro utilizzatore, sia esso un consumatore o un dipendente.
Esemplificando, Alexa®, il nuovo assistente di Amazon, permette di rispondere alle domande più comuni, fissare appuntamenti, impostare sveglie, timer e promemoria, riprodurre musica, controllare gli elettrodomestici e addirittura fare ordinazioni on-line.
Questi strumenti consentono di acquisire una grandissima mole di dati personali i quali, se non protetti in maniera efficace, potrebbero danneggiare i possessori: i sensori vengono inseriti in qualsiasi oggetto della vita quotidiana e lavorativa, dalla macchinetta per il caffè al complesso macchinario industriale.
In materia di compliance e conformità al GDPR l’art. 25, al primo comma, precisa che il Titolare del trattamento debba: Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
A differenza della legislazione precedente (specialmente il Codice Privacy antecedente al GDPR) le misure che dovrà adottare il Titolare del trattamento non sono più “minime” (una check list da spuntare della corrispondenza tra quanto adottato e le misure obbligatorie) ma dovrà necessariamente essere adeguata a quanto sia realmente l’impatto di una determinata attività in materia di privacy.
Concretamente, se il Titolare del trattamento non compie alcuna attività di trattamento dati non dovrà compiere nessun adempimento con riferimento alla normativa privacy; al contrario, se l’impatto del trattamento sui diritti e le libertà degli interessati è elevato dovranno essere adottate misure tecniche e organizzative adeguate.
La differenza con il passato è evidente: la “misura” non è più minima, ma adeguata.
Il primo scoglio da affrontare con riferimento ai nuovi dispositivi IoT è un’efficace e completa informativa da comunicare agli Utenti. In conformità all’art. 13 GDPR, infatti, il Titolare del trattamento del trattamento dovrà fornire una serie di informazioni riguardanti il trattamento posto in essere, tra le quali spiccano per importanza: gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali e l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale, nonché se i dati personali saranno trattati per una finalità diversa da quella per cui essi sono stati raccolti.
Non sempre i nuovi devices forniscono un’informativa completa in tal senso, anzi, molto spesso non è semplice, e soprattutto facile, comprendere se i dati degli Utenti saranno trattati per finalità ulteriori o saranno comunicati ad altri soggetti. Pertanto, il primo step da affrontare per il Titolare del trattamento sarà fornire agli Utenti un’informativa completa che faccia efficacemente comprendere al Consumatore quali dati saranno trattati e a chi verranno comunicati.
A livello di sicurezza, invece, le misure da adottare dovranno in ogni caso essere adeguate ai rischi derivanti dal trattamento. In ambito IoT risulta tuttora semplice la manomissione, tramite internet, di un sensore o di una videocamera con i conseguenti risvolti negativi.
In materia di sicurezza delle attività di trattamento risulta molto utile quanto recentemente introdotto con il nuovo standard ISO/IEC 27701 in materia di protezione dei dati personali. La norma permette di assicurare la sicurezza del patrimonio informativo aziendale con specifici requisiti da soddisfare, controlli, misure di mitigazione del rischio, e specifiche linee guida per l’implementazione.
L’IoT ha trovato molteplici applicazioni soprattutto con riferimento a soluzioni informatiche evolute per la programmazione e razionalizzazione della filiera produttiva. Ad esempio, Amazon ha recentemente sviluppato un gilet che permette agli scaffali di mantenere sempre una distanza di sicurezza dal lavoratore.
L’utilizzo di sensori in ambito lavorativo e produttivo rendere, così, astrattamente possibile un controllo a distanza dell’attività lavorativa capillare dei dipendenti (ad esempio il numero di pezzi prodotti o di scarti). In questi casi è sempre necessario un bilanciamento tra il diritto alla privacy del lavoratore ed il potere direttivo del datore di lavoro.
Ove sia attuato un monitoraggio regolare e sistematico delle attività dei lavoratori sarà sempre necessario fornire ai dipendenti una completa informativa sui trattamenti effettuati, nonché ottenere la necessaria autorizzazione dall’Ispettorato Territoriale del Lavoro (o apposito accordo con le Rappresentanze sindacali aziendali).
Ricordiamo, infatti, che il controllo a distanza dei lavoratori è vietato (art. 4. Stat. Lav.) e sanzionato con ammenda da € 154 a € 1.549 o arresto da 15 giorni ad un anno (art. 38 della Stat. Lav.).
Concludendo, le misure da adottare dovranno sempre essere adeguate, pertanto, gli adempimenti ed i costi saranno strettamente correlati alla tipologia di attività svolta. Il GDPR, infatti, non pone sullo stesso piano una PMI con realtà organizzate e strutturate. Nella realtà dei fatti, se la privacy è sempre stata presa in considerazione in azienda, gli adempimenti potrebbero essere veramente minimi.