x

x

INTERNET THINGS: una nuova sfida per il diritto

INTERNET THINGS: una nuova sfida per il diritto
INTERNET THINGS: una nuova sfida per il diritto

[Contributo selezionato da Filodiritto tra quelli ricevuti nell’ambito del concorso promosso da ELSA nel 2016 sul tema: “Internet e le nuove tecnologie”]

 

INDICE

1. Dalla nascita dell’Internet Things al Privacy Sweep

2. Diffusione e sviluppo IoT: i risultati della ricerca

3. Il concetto di big data e i suoi sviluppi

4. Il fenomeno del data mining : principi applicabili e diritti da tutelare

5. Il Gruppo di lavoro ex articolo 29: pareri e raccomandazioni

6. PET : le tecnologie per la protezione dei dati 

7. RFID E NFC: criticità del quadro normativo e profili di rischio

8. Criptografia e programmi pro-privacy

9. Conclusioni

 

1. Dalla nascita dell’Internet Things al Privacy Sweep

Su oltre trecento dispositivi elettronici connessi a Internet - come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione - più del 60% non ha superato l’esame dei Garanti della privacy di 26 Paesi.

Sono questi i dati che emergono dal Privacy Sweep 2016, l’indagine a tappeto a carattere internazionale, avviata lo scorso maggio dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN)[1], di cui fa parte anche il Garante italiano, per verificare il rispetto della privacy nell’Internet delle cose (IoT).

Ma cosa s’intende esattamente per ‘Internet delle cose’?

Partiamo da una citazione di Kevin Ashton[2]:

“…Se avessimo computer in grado di conoscere tutto ciò che c’è da sapere sulle cose, utilizzando dati raccolti senza alcun aiuto da parte nostra, saremmo in grado di monitorare e conteggiare ogni cosa e di ridurre notevolmente sprechi, perdite e costi. Potremmo sapere quando le cose devono essere sostituite, riparate o richiamate, e se sono fresche o hanno superato il loro momento migliore...”

Sono queste le prime parole che hanno portato alla nascita di ciò che oggi possiamo definire come la digitalizzazione online del nostro mondo fisico: l’Internet delle cose.
Nel 1999 il termine Internet of Things viene usato per la prima volta da Kevin Ashton, pioniere della tecnologia inglese e ricercatore presso il MIT (Massachussets Institute of Tecnology), per cercare di descrivere un sistema dove Internet viene connesso al mondo fisico attraverso una serie di sensori. Ci sono voluti molti anni di sperimentazioni e lavori per giungere alla definizione delle tecnologie IoT come un network di oggetti e luoghi reali che possono interagire con la Rete grazie a sensori che trasferiscono dati ed informazioni attraverso un proprio indirizzo IP che ne consente l’identificazione univoca.

2. Diffusione e sviluppo IoT: i risultati della ricerca

Nel 2009, secondo Gartner [3], gli oggetti connessi erano circa 2.5 miliardi e diventeranno almeno 30 entro il 2020.

Alla base dell’IoT ci sono gli smart object, i cosiddetti oggetti intelligenti che possono attivarsi e disattivarsi da soli, a seconda delle necessità.

Vediamo alcuni esempi:

  • La strada intelligente, o smart road, è in grado di dialogare con le auto, con i semafori e con la segnaletica al fine di ottimizzare i flussi di traffico, ridurre l’inquinamento e i tempi di percorrenza;
  • I termostati intelligenti funzionano in base agli orari e alle esigenze, sono in grado di scegliere la temperatura più adatta ad ogni momento, consentendo fino al 20% di risparmio energetico; possono essere controllati a distanza attraverso l’uso dello smartphone;
  • La stampante intelligente identifica quando i componenti consumabili sono al minimo, effettua l’ordine e ne organizza la spedizione predisponendo già il pagamento e la busta per la restituzione della cartuccia esaurita.

Secondo alcuni studi condotti da Cisco[4] nel 2013 sullo sviluppo dell’IoT, si può iniziare a parlare di Internet of Everything (IoE)[5]: una connessione non solo di dispositivi ma anche di persone, dati e processi che utilizza una rete intelligente che opererebbe in ogni settore della vita quotidiana, con una maggiore attenzione al tema della sicurezza.

Date tali premesse capiamo come i campi di applicazione dell’IoT sono evidentemente molteplici e numerose sono le criticità sotto il profilo del trattamento dei dati personali e della sicurezza dei dati, tanto da porre tale tema come argomento centrale del Privacy Sweep 2016.
Il Presidente del Garante per la protezione dei dati personali ha infatti affermato che gli “obiettivi dell’IoT devono essere raggiunti in piena trasparenza, informando chiaramente e le persone sull’utilizzo che viene fatto dei loro dati personali, proteggendo questi dati da violazioni e usi impropri con adeguate misure di sicurezza e rispettando la libertà delle persone”.

I riscontri raccolti dagli esperti delle Autorità, su più di trecento apparecchi delle principali società del settore, hanno fatto emergere, a livello globale, gravi carenze nella tutela della privacy degli utenti:

  • il 59% degli apparecchi non offre informazioni adeguate su come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi;
  • il 68% non fornisce appropriate informazioni sulle modalità di conservazione dei dati;
  • il 72% non spiega agli utenti come cancellare i dati dal dispositivo;
  • il 38% non garantisce semplici modalità di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy.

Spetta dunque al Garante Italiano insieme alle autorità del Global Privacy Enforcement Network monitorare tale situazione a tutela della riservatezza di dati personali, anche sensibili, degli utenti.

 

3. Il concetto di big data e i suoi sviluppi

Secondo le linee guida Ocse del 1980, riviste nel 2013[6], sono da definirsi come dati personali tutte quelle informazioni relative ad un determinato individuo e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, il suo stato di salute, ecc.

Per dati sensibili, secondo il Codice in materia di protezione dei dati personali italiano, si intendono dati che possono rivelare l’origine etnica e razziale di una persona, le sue convinzioni religiose, politiche, l’adesione a partiti politici, lo stato di salute e la natura sessuale[7].

In riferimento all’utilizzo delle tecnologie IoT, il termine dato personale deve essere letto in chiave evolutiva, considerando cioè quelle informazioni che, se connesse ad altri dati sull’individuo, possono produrre effetti su di esso[8]. Questo diventa significativo quando parliamo di metadati ossia un’informazione che descrive un insieme di dati (ad esempio in una libreria digitale è grazie ai metadati che riusciamo a scoprire chi ha creato il dato, quando è stato creato, ecc.).     
I metadati sono una importante risorsa ma, al tempo stesso, possono rivelarsi un problema per la privacy, se non opportunamente regolamentati. Le norme vigenti, riguardanti gli small data[9], non appaiono al passo con il processo di datizzazione[10] in cui ogni dato può trasformarsi in metadato.

Ciò che viene meno parlando di big data è il requisito di “avviso e consenso” alla raccolta dei dati, per cui l’utente deve essere avvisato del fatto che i suoi dati verranno utilizzati: in tal caso la raccolta dei dati può avvenire da più oggetti smart contemporaneamente[11].

4. Il fenomeno del data mining : principi applicabili e diritti da tutelare

L’IoT necessita di dati per alimentarsi e migliorarsi, ma gli stessi, se lasciati incustoditi sono in grado di produrre una sorta di “superpotere” nelle mani di aziende e soggetti pubblici che fanno del data mining il loro pane quotidiano.

Il  data mining consiste nell’estrazione e nell’analisi di grandi quantità di dati, di tipo statistico, matematico, computazionale o simulativo, basata su “macchine intelligenti”, con lo scopo di stabilire connessioni tra questi dati per addivenire a conclusioni ulteriori rispetto i dati di partenza[12].

Molte aziende sono oggi impegnate nel data mining per operazioni come le ricerche di mercato (web marketing), le discipline economiche, le politiche di sicurezza e il controllo del crimine (reati economici, terrorismo, criminalità urbana), l’istruzione, la sanità.

I dati impiegati vengono, in genere, prodotti per fini (commerciali, tecnici, ecc.) diversi da quelli di ricerca, senza riferimento ad un disegno sperimentale o ad una precisa popolazione statistica[13].

Proprio per questo crescente utilizzo di dati si è arrivati allo sviluppo del business analytics, un metodo di analisi strategica che aiuta le aziende ad identificare rapidamente le informazioni importanti e una maggiore condivisione della conoscenza all’interno dell’azienda stessa[14].

Queste ultime sono così in grado di osservare i comportamenti di una massa determinata o indeterminata di utenti, sviluppare soluzioni di business a loro mirate e migliorare così la loro offerta al pubblico. Tali comportamenti rientrano nella nozione di profilazione dell’utente, ossia l’analisi dei suoi comportamenti in rete e delle connessioni stabilite con altri utenti, arrivando ad un vero e proprio microtargeting[15].

Nella Relazione alla proposta di regolamento comunitario – presentata nel Gennaio 2012 dalla Commissione Europea – si ravvisa una piena consapevolezza dell’entità del problema: “Incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso: la tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie non hanno trasformato solo l’economia ma anche le relazioni sociali”.

L’Unione Europea si è resa conto di essere in grado di evidenziare un profondo gap tra diritto e tecnologia che permette ancora una raccolta indiscriminata di dati.
Possiamo notare queste lacune andando ad analizzare le linee guida Ocse del 1980, riviste nel 2013, nelle quali al paragrafo 8 si parla dei ‘principi di qualità’, secondo cui i dati raccolti dovrebbero essere rilevanti rispetto ai fini per i quali vanno usati ed aggiornati[16]. Un’altra lacuna riguarda il criterio della ‘trasparenza’ nell’utilizzo dei dati raccolti che comporterebbe, come ha ricordato il Garante europeo della protezione dei dati nel parere dello scorso novembre, l’adozione da parte delle aziende di privacy policies a tutela del singolo individuo[17].

È necessario che  alla maggiore attenzione da parte della giurisprudenza sul tema si unisca il realizzarsi di nuove politiche di protezione dei dati, senza escludere delle possibili innovazioni, come ad esempio l’accrescimento dell’autorità e dei poteri del Garante della Protezione dei Dati Personali. Questa ipotesi era stata già caldeggiata dai Garanti riunitisi durante la conferenza “Uruguay Declaration on profiling” del 2012, nella quale si era parlato di potenziamento della struttura dell’organo.

Ma il punto nodale della questione è sicuramente ciò che riguarda il ‘consenso’: una responsabilizzazione del titolare del trattamento renderebbe più equilibrato il contesto dell’utilizzo dei dati da parte degli operatori economici, proprio perché il soggetto sarebbe maggiormente informato sulla loro circolazione e cancellazione dopo un dato periodo di tempo.

Ma come sarebbe possibile tutto ciò? Secondo Mayer-Schnonberger e Cukier[18] ci si dovrebbe muovere in direzione di un passaggio dal concetto di privacy su consenso al concetto di privacy tramite responsabilizzazione, una sorta di «privacy differenziale»[19].

Tutto questo ha spinto la Commissione europea ad impegnarsi nella sostituzione della Direttiva 95/46/CE[20] con un’unica normativa applicabile all’intero territorio europeo e, dopo tre anni di lavoro, si è arrivati al Regolamento (UE) 2016/679[21]. Il testo del regolamento ha sì introdotto importanti novità nello sviluppo dei servizi digitali e nel sistema di responsabilità e misure di sicurezza a protezione dei dati personali, ma deve ancora approfondire il tema della regolamentazione del fenomeno di proliferazione dei big data.

5. Il Gruppo di lavoro ex articolo 29: pareri e raccomandazioni

Per cercare di colmare le lacune della Direttiva 95/46 in merito all’ambito della protezione dei dati personali sulla Rete, bisogna ricordare l’importante compito svolto dal ‘Gruppo di lavoro articolo 29’ (Working Party article 29 o WP29), un organismo consultivo indipendente, composto da un rappresentante della autorità nazionali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione. Il suo compito principale è assicurare che le autorità di controllo nazionali seguano le interpretazioni comuni della normativa europea in materia[22].

Nel settembre 2014 ha espresso un parere ufficiale su privacy e sicurezza nell’IoT contenente linee guida che produttori di IoT e piattaforme IoT, sviluppatori e parti terze devono applicare nel rispetto nella normativa vigente nell’Ue (norme sul trattamento dei dati contenute nelle direttive europee 95/46 e 2002/58).

Il Gruppo ravvisa nell’interazione tra gli strumenti IoT la fonte di problemi sul fronte privacy: difficoltà di gestione del flusso dei dati con gli strumenti classici finora utilizzati, perdita di controllo dei dati, inadeguata informazione dei soggetti interessati, uso dei dati per finalità diverse da quelle iniziali, riduzione della possibilità di rimanere anonimi.

Risulta necessario identificare i ruoli assunti dai soggetti coinvolti, per individuare il diritto applicabile e le rispettive responsabilità. In particolare, il provvedimento qualifica come:

  • titolari del trattamento: i produttori dei dispositivi, le piattaforme sociali (quando utilizzano i dati inseriti dagli utenti per scopi diversi), i terzi che sviluppano le applicazioni. Si tratta di una categoria che di volta in volta potrà coinvolgere altri soggetti;
  • interessati del trattamento: gli abbonati, gli utenti e i soggetti a cui si riferiscono i dati che gli strumenti possono raccogliere (anche gli individui ripresi o registrati dai dispositivi).

Il Gruppo ha poi individuato i principi da applicare, richiamando in particolare quelli di equità, necessità e di coerenza rispetto alle finalità della raccolta dei dati ed ha rilevato la necessità di informare gli interessati in merito all’identità del titolare, agli scopi del trattamento, all’esistenza dei propri diritti, nonché alle modalità per disattivare il dispositivo per impedire la rivelazione di ulteriori dati.

Si sofferma inoltre sulle misure di sicurezza da implementare, rilevando l’importanza del rispetto di standard internazionali, delle certificazioni, della scelta scrupolosa di partner affidabili, nonché dell’applicazione di garanzie già nella fase di produzione dei dispositivi intelligenti, secondo i principi di «privacy by design» e di «privacy by default»[23].

Infine il Gruppo ex art.29 ha adottato uno Statement[24] sullo sviluppo del tema big data sulla protezione del trattamento dei dati personali, all’interno del quale garantisce il proprio impegno per sostenere gli sforzi internazionali diretti alla realizzazione dei benefici, individuali e collettivi, che possono derivare dallo sviluppo del fenomeno in analisi.

Il rispetto del quadro giuridico è necessario per mantenere la fiducia degli operatori, al fine di sviluppare un modello di economia stabile e garantire una concorrenza leale ed efficace tra gli operatori economici. Alcune operazioni di trattamento che rientrano nel big data sono ancora poco chiare, ma richiedono particolare attenzione e cura, anche quando non coinvolgono dati personali.

Inoltre la simultanea applicazione dei diversi quadri giuridici (regionali, nazionali e internazionali) richiede maggiore cooperazione tra le autorità preposte alla protezione dei dati, al fine di fornire una guida unitaria e risposte operative per tutti, nonché per implementare l’applicazione congiunta di tali norme. Salvo poche eccezioni di legge, i diritti riconosciuti dalla normativa europea (diritto alla trasparenza, di accesso, di rettifica, di opposizione, all’oblio) sono applicabili anche al fenomeno del big data.

Il rispetto delle raccomandazioni e linee guida proposte dal WP 29 costituisce un insieme di best practices che opportunamente seguite garantiranno con ragionevoli margini di sicurezza il rispetto della normativa in materia di protezione dei dati personali. In ogni caso per garantire la conformità assoluta al quadro normativo applicabile sarà sempre necessario valutare caso per caso le caratteristiche del dispositivo IoT nonché le specifiche modalità e finalità del trattamento dei dati personali.

6. PET : le tecnologie per la protezione dei dati

PET è l’acronimo di ‘Privacy Enhancing Technology’, tecnologie o prodotti software utili per rafforzare o migliorare la protezione della privacy.

L’uso delle PETs può contribuire all’ideazione di sistemi e servizi di informazione e comunicazione che permettono di ridurre al minimo la raccolta e l’uso di dati personali e di favorire il rispetto delle norme sulla protezione dei dati.

La Commissione Europea, nella sua prima relazione sull’attuazione della direttiva relativa alla protezione dei dati, ha affermato che "l’utilizzo di misure tecnologiche appropriate costituisce un compromesso essenziale agli strumenti giuridici e dovrebbe costituire parte integrante di qualunque sforzo volto a conseguire un livello sufficiente di tutela della privacy [...]"[25].

Rientrano nelle PETs, ad esempio, i dispositivi per bloccare i cookies, i sistemi di cifratura, i software che ripristinano automaticamente l’anonimato dopo un certo periodo di tempo, lo standard P3P (Platform for Privacy Preferences) – quest’ultimo, in particolare, è un protocollo che permette di confrontare le impostazioni privacy dell’utente con quelle dei siti web che utilizzano tale protocollo (raccomandato ufficialmente dal World Wide Web Consortium), in modo da decidere durante la navigazione se accettare o meno i possibili rischi.

Inoltre, l’uso delle PETs potrebbe risultare vantaggioso anche ai fini della tutela di importanti interessi pubblici. Il quadro giuridico per la protezione dei dati prevede deroghe che consentono di limitare la portata degli obblighi e dei diritti individuali qualora siano in gioco importanti interessi quali sicurezza e salute pubblica o la lotta contro la criminalità. Le condizioni per l’applicazione di tali deroghe sono stabilite dall’articolo 13 della Direttiva sulla Protezione dei dati e dall’articolo 15 della Direttiva e-Privacy.

Un maggior rispetto delle norme sulla protezione dei dati avrebbe un impatto positivo anche sulla fiducia dei consumatori, in particolare nell’ambito del cyberspazio: i cittadini confiderebbero nella legittimità dei fini per cui sarebbero utilizzati i dati forniti per identificarsi, usufruire di servizi o effettuare pagamenti e sarebbero certi che la loro partecipazione alla comunità digitale non avvenga a scapito dei propri diritti.

Ma quali sono in concreto le azioni della Commissione per sostenere le PETs?
Innanzitutto ha evidenziato i principali progetti che necessitano di sostegno, invitando le autorità nazionali ed il settore privato ad investire nello sviluppo delle stesse.
Alcuni di questi progetti sono: il progetto PRIME, che si occupa dei problemi di gestione dell’identità digitale e di privacy nella società dell’informazione; il progetto OPEN-TC consentirà una protezione della vita privata basata sul trusted computing di tipo open source; il progetto DISCREET sviluppa middleware per il rafforzamento della tutela della privacy in servizi di rete avanzati.

Secondo obiettivo della Commissione è esortare i responsabili del trattamento dati ad utilizzare le PETs disponibili, perché queste possono dare un effettivo vantaggio solo se efficacemente integrate in strumenti e software per il trattamento dati.

Terzo obiettivo è sensibilizzare i consumatori, favorendo la scelta informata degli stessi attraverso una certificazione su un prodotto che garantisce il rispetto delle norme per la protezione dei dati: si parla a tal proposito di privacy seal – marchi di certificazione.

Perché la certificazione sia efficace la Commissione ritiene che debbano essere rispettati i seguenti principi:

  • il numero di sistemi di certificazione dovrebbe essere ridotto al minimo, perché una proliferazione di sistemi potrebbe accrescere la confusione dei consumatori e minare la loro fiducia in tutti i privacy seal;
  • i marchi di certificazione dovrebbero essere concessi soltanto ai prodotti che ottemperano a una serie di norme in materia di protezione dati. Nel territorio dell’UE le norme dovrebbero essere quanto più uniformi possibile;
  • le autorità pubbliche, in particolare le autorità nazionali per la protezione dei dati, dovrebbero svolgere un ruolo importante nel sistema partecipando alla definizione delle norme e delle procedure opportune nonché al monitoraggio del funzionamento del sistema di certificazione.

7. RFID E NFC: criticità del quadro normativo e profili di rischio

Un’applicazione dell’IoT nella vita reale riguarda la tecnologia RFID (Radio-Frequency Identification) ovvero le etichette intelligenti. Gli RFID sono dispositivi tecnologici utilizzati per l’identificazione e/o il tracciamento automatico degli oggetti mediante radiofrequenza. Un reader comunica e/o modifica le informazioni contenute in tag applicate su oggetti, animali o persone. Le sue applicazioni sono già ampiamente diffuse in vari ambiti del mercato, dai supermercati al trasporto di materiali, dalla logistica ai bagagli all’aeroporto.

Una delle sue principale funzioni è quella di garantire il tracciamento dei prodotti assicurando maggiore efficienza grazie alla possibilità di effettuare una lettura multipla di prodotti senza che ci sia necessità di vedere l’etichetta stessa, caratteristica che permette la collezione di dati a distanza.

Le principali preoccupazione per la privacy consistono nel fatto che i tag degli RFID possono essere associati ai dati dell’acquirente, come per esempio carte di credito, pos e carte di fidelizzazione. Il problema è che i tag possono tracciare oltre che il prodotto anche gli spostamenti e le scelte del consumatore. Se ciò dovesse accadere non si monitora più solo il prodotto, ma anche il consumatore, una criticità che merita particolare attenzione. Le informazioni personali contenute nel tag dovrebbero essere cancellate o rese anonime; oppure bisognerebbe garantire un consenso informato. Se ciò non accadesse i rischi potrebbero essere tra più vari, ad esempio la profilazione dei consumatori, ma anche rischi di furto di identità e simili.

A tal proposito il Garante per la Privacy in Italia aveva ribadito già nel 2005 l’importanza di ridurre la raccolta dei dati e lo stretto nesso con la finalità del loro trattamento, e quindi il principio di liceità e finalità dei dati, e l’importanza di fornire al consumatore etichette dettagliate sulle caratteristiche dei RFID[26].

Sul problema si è instradata un’accesa discussione che ha portato all’approvazione da parte del Comitato europeo di normazione (Cen) di un nuovo standard che prevede che siano gli stessi produttori di RFID, già nella fase di costruzione del sensore, a prevedere che impatto questo avrà nella protezione dei dati. Si tratta sostanzialmente di una forma di privacy by design dei RFID, che secondo alcuni verrà disciplinata più approfonditamente dopo il 2018, anno in cui il nuovo Regolamento europeo in materia di protezione dei dati personali diventerà effettivamente applicabile in via diretta in tutti i Paesi Ue.

Il Regolamento, così com’è stato formulato, sembra non occuparsi di un altro elemento, che nell’ultimo anno ha preso sempre più piede grazie alla diffusione degli smartphone, ovvero il NFC (Near Field Communication) meglio conosciuto come ‘comunicazione in prossimità’.
Questa nuova tecnologia consente una comunicazione bidirezionale, cambiando ancora di più il modo di interagire con il mondo circostante. Basti pensare che lo smartphone dotato di NFC potrebbe in autonomia passare in “modalità silenziosa” al nostro ingresso sul posto di lavoro solo attraverso la lettura del tag NFC presente sulla nostra scrivania.

Un documento destinato a divenire punto di riferimento in materia di protezione dei dati personali dell’IoT a livello istituzionale europeo è il parere n. 8 del 16 settembre 2014 del Gruppo europeo dei Garanti privacy, che si focalizza su tre aree di sviluppo dell’Internet delle Cose:

  • “Tecnologia indossabile” (Wearable Computing) ossia informazioni riferibili a vestiti, occhiali, orologi che contengono sensori interconnessi tra loro;
  • “Quantificazione del sé” (Quantified Self) ossia la gestione di informazioni relative al proprio corpo, non solo identificative della res extensa, ma anche e soprattutto dell’identità dell’individuo nella vita quotidiana e nel suo stile di vita (tracciati del sonno, battiti cardiaci, indicatori dell’attività fisica, delle calorie bruciate in riferimento all’attività svolta, del cibo che si è consumato, ecc.).
  • “Domotica” (Home Automation/Domotics). L’Internet delle Cose si sviluppa anche nelle abitazioni o negli uffici, dai frigoriferi che avvisano tramite uno smartphone delle scadenze o che sta terminando un alimento, dalla temperatura ambientale regolabile a distanza alla rilevazione continuata e in remoto della presenza di un individuo in un certo luogo e ed eventuali suoi movimenti.

Alla luce di quanto esposto, emerge sempre più la necessità di garantire una maggiore tutela del dato e talvolta anche l’anonimato, andando a bilanciare interessi contrapposti nelle molteplici situazioni del mondo dell’Internet delle cose.

8. Criptografia e programmi pro-privacy

Avendo in precedenza parlato di PET, occorre ricordare uno dei primi metodi di difesa dei dati personali – considerata dai più ormai superata, ma forse in attesa di miglioramenti da parte della attuale legislazione: la criptografia.

Sono numerosi i programmi di criptazione per le chat (Cryptocat), per la protezione della voce in programmi come Skype (Silent Circle, Blackphone, ecc) e anche il protocollo Tls (Transport Layer Security) che cripta parte della nostra navigazione (appare la scritta “https” al posto di “http”) grazie ad alcuni efficaci plug-in, disponibili nei browser Chrome e Firefox, come HTTPS Everywhere[27].

La criptazione non risolve però i problemi di carattere giuridico legati alla privacy (ad esempio quello del consenso alla diffusione dei dati personali). In primo luogo, infatti, l’utilizzo dei dati criptati non può essere unilaterale, ossia chi riceve un messaggio criptato da un altro utente deve anche accettarlo in questa forma. Dopodiché i dati, una volta de-criptati, sono però destinati a sfuggire nuovamente al controllo di chi li ha inviati, e ciò comporta dei rischi per la privacy del mittente.
Per il momento una risposta a questi problemi è stata data dalla tecnologia con lo sviluppo delle funzioni hash, ovvero la trasformazione di un testo in un codice alfanumerico di varia lunghezza. Ma come è già stato detto, la tecnologia è in continuo divenire, e sicuramente anche quest’ultima funzione sarà destinata a divenire obsoleta a breve, mentre la necessità di una regolamentazione della protezione dei dati è destinata a rimanere attuale per molto tempo.

La tecnologia continua ogni giorno a cercare nuovi modi per migliorare la tutela della privacy e dei dati personali, in linea con le disposizioni del Codice della privacy e il diritto di autore dei programmi installati su pc.

Uno dei programmi pro-privacy più efficaci, come ci racconta Bruce Schneier nel suo libro[28], è Tor (The Onion Router) un software che nasconde la sorgente e la destinazione del traffico e previene qualunque tipo di controllo esterno. Tor protegge gli utenti dall’analisi del traffico attraverso una rete di router, gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti.

 

9. Conclusioni

Alla luce di quanto analizzato in questo breve saggio, si può affermare che l’Internet of Things sta avviando una nuova era economica, pronta a sconvolgere i modi in cui le attività producono e operano nel mondo, forse più velocemente di qualsiasi altra precedente rivoluzione. Come ogni rivoluzione che si rispetti, anche questa comporterà nuove sfide da affrontare in ogni settore, in particolare quello della privacy, della sicurezza informatica, della proprietà e responsabilità dei prodotti.

Abbiamo analizzato vantaggi e rischi della tecnologia IoT, arrivando a comprendere quali siano le importanti opportunità offerte e come queste debbano essere tutelate al meglio, implementando strategie che tengano conto dei diritti da tutelare.

Il diritto è chiamato quindi a dare una risposta innovativa che vada a regolare l’IoT, per poter porre le corrette basi giuridiche (siano esse, inizialmente, di carattere europeo e poi, eventualmente e gradualmente, mondiale) che permetteranno un approccio “smart” al fenomeno in analisi. Inoltre bisogna non dimenticare la regola generale secondo cui un corpus di regole vale nella misura in cui effettivamente è applicato da chi lo deve applicare, attraverso norme che identifichino diritti e doveri dei diversi attori coinvolti nel fenomeno.

[1] Il GPEN (Rete globale per l'applicazione delle norme in materia di privacy) comprende, ad oggi, 57 Autorità in 43 Paesi. E' stato costituito nel 2010 con l'obiettivo di promuovere la cooperazione internazionale fra le Autorità di controllo in materia di privacy alla luce della crescente globalizzazione dei mercati e dell'esigenza di imprese e consumatori di disporre di un flusso di informazioni personali senza soluzioni di continuità, indipendentemente dai confini nazionali.

[2] Intervista del 22 giugno 2009 rilasciata all’RFID JOURNAL.

[3] Società multinazionale leader mondiale nella consulenza strategica, ricerca e analisi nel campo dell'Information Technology.

[4] Azienda leader nella fornitura di apparati di networking ed è stata fondata in California nel 1984 da un gruppo di ricercatori della Standford University.

[5] Cisco Consulting Services, The Internet of Everything - gennaio 2014.

[6] Garante per la protezione dei dati personali, Linee guida Privacy Ocse riviste, 9 settembre 2013.

[7] Articolo 4, comma 1, lettera d del Codice in materia di protezione dei dati personali, Decreto legislativo n. 196 del 30 giugno 2003.

[8] Ocse, The OECD Privacy Framework, cit., p. 50

[9] Dati in un formato altamente strutturato (per esempio la password di un sistema operativo) e in un volume ridotto facilmente gestibile (per esempio gli orari dei treni, i risultati di una partita, ecc.) e tutto ciò che può essere rapidamente disponibile nella vita quotidiana dell’individuo, fornendo una soluzione mirata a domande specifiche. Le caratteristiche di questi dati, quindi sono: volumi ridotti, rapidi tempi di risposta e decentralizzazione dei dati, con la creazione di banche dati autonome, da usare per scopi specifici.

[10] Viktor Mayer-Schönberger and Kenneth Cukier, Big Data. A Revolution That Will Transform How We Live, Work and Think, London, John Murray, 2013, p. 78.

[11] Carlo Focarelli, La privacy, cit., p.70.

[12] Antonio La Spina, Vincenzo Militello, Dinamiche dell’estorsione e risposte di contrasto tra diritto e società, cit., p.160.

[13] Bocci, 2007.

[14] Ecos, Dedagroup e Gartner Group, “Big data: riconoscerli, gestirli, analizzarli”, in Dedagroup Highlights, n. 1 (febbraio 2012).

[15] Per microtargeting s’intende l’utilizzo di tecniche predittive basate sulla combinazione di dati rispetto al singolo, inclusa la relativa ubicazione ed il comportamento personale.

[16] Ocse, The OECD Privacy Framework. cit., p. 56.

[17] Si veda il punto 1.2. European Data Protection Supervisor, Meeting the Challenges of Big Data. cit., p. 8-9.

[18] Mayer-Schönberger Viktor - Cukier Kenneth, Big Data - Una rivoluzione che trasformerà il nostro modo di vivere  e già minaccia la nostra libertà, 2013.

[19] Ad esempio, si possono confondere deliberatamente i dati in modo che la singola query sul motore di ricerca offra in cambio dei risultati approssimativi.

[20] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[21] Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

[22] I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/CE.

[23] Parere 8/2014 Sviluppi recenti sull’Internet delle cose – 16 settembre 2014.

[24] Dichiarazione sulla Dichiarazione del WP29 sull'impatto dello sviluppo di grandi dati sulla tutela delle persone fisiche con riguardo al trattamento dei i loro dati personali nell'Unione europea - Adottato il 16 settembre 2014.

[25] Comunicazione della Commissione al Parlamento Europeo e al Consiglio, Bruxelles , 02/05/2007.

[26] Parlamento Europeo, risposta del president Barrot alla Commissione, 3 aprile 2009.

 

[27] Bruce Schneier, Data and Goliath. cit., p. 215-217.

[28] Bruce Schneier, Data and Goliath. cit., p. 216.

BIBLIOGRAFIA

Carlo Focarelli, La privacy, Bologna, Il Mulino, 2015.

Antonio La Spina, Vincenzo Militello, Dinamiche dell’estorsione e risposte di contrasto tra diritto e società, Torino, Giappichelli, 2016.

European Data Protection Supervisor, Meeting the Challenges of Big Data,.

Mayer-Schönberger Viktor - Cukier Kenneth, Big Data - Una rivoluzione che trasformerà il nostro modo di vivere  e già minaccia la nostra libertà, Milano, Garzanti, 2013, traduzione dall’inglese di Roberto Merlini.

Bruce Schneier, Data and Goliath, W.W. Norton & Company, 2015.

Bruce Schneier, Data and Goliath, W.W. Norton & Company, 2015.

SITOGRAFIA

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5443681

http://www.rfidjournal.com/article/view/4986

http://www.internet4things.it/iot-library/internet-of-things-una-nuova-economia-nel-2020-varra-1900-miliardi-di-dollari/

http://www.cisco.com/web/services/portfolio/consulting-services/documents/consultingservices-capturing-ioe-value-aag.pdf.

http://www.bitmat.it/blog/news/43740/linternet-of-things-in-azione-alcuni-esempi

http://www.cisco.com/web/services/portfolio/consulting-services/documents/consultingservices-capturing-ioe-value-aag.pdf.

http://www.ecos2k.it/allegati/BigData.pdf.

http://www.oecd.org/internet/ ieconomy/privacy-guidelines.htm. 16 Articolo 2a della Direttiva 95/46/CE.

http://www.garanteprivacy.it/garante/doc.jsp?ID=2629667

http://garanteprivacy.it/garante/doc.jsp?ID=1311248.

http://www.ecos2k.it/allegati/BigData.pdf.

http://eur-lex.europa.eu/legal-content/it/TXT/?uri=celex:32016R0679.

http://www.ictlegalconsulting.com/show-g0100doc.php?nome=ICT_Insider_ottobre_2014__Garanti_europei_su_IoT_e_Big_Data__Linee_Guida_MISE_su_Bando_Disegni_.pdf&idgallery=33

http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2014-10-13/internet-of-things-dati-personali-e-garanti-europei-nessuna-novita-clamorosa-ma-utile-riepilogo-104125.php

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4877134

http://eur-lex.europa.eu/legal-content/it/TXT/?uri=CELEX%3A52007DC0228

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp221_en.pdf

https://www.prime-project.eu/

http://www.opentc.net/

http://www.ist-discreet.org/

http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=E-2009-0897&language=EN.