network-782707_1280
L”Internet of things” è un fenomeno destinato a modificare le abitudini di vita di ogni individuo.

Per comprenderne meglio la portata del fenomeno basti pensare che si stima che entro il 2020 i dispositivi interconnessi (per il tramite di tecnologie a radio frequenza o una rete di comunicazione  elettronica) e in grado di raccogliere, immagazzinare, processare e condividere dati, saranno 50 miliardi  [1].

La capacità degli oggetti di interagire tra di loro arreca numerosi vantaggi e, senza dubbio, contribuisce a semplificare le attività quotidiane [2] ma presenta, al contempo, alcuni rischi da non sottovalutare. L’aumento del numero di dispositivi interconnessi, infatti, moltiplica i punti di accesso alle nostre informazioni personali favorendo la vulnerabilità ad ingressi non autorizzati o permette ai fornitori di servizi e tecnologie di tracciare con facilità le nostre abitudini di vita [3].

Di seguito alcuni esempi che, anche se oggi potrebbero rappresentare scenari difficilmente futuribili, mettono in luce le problematiche di sicurezza e privacy derivanti da un’espansione incontrollata del fenomeno:

abbiamo una cimice in salotto: le smart tv, per il tramite del riconoscimento vocale utilizzato al posto del telecomando, registrano tutto ciò che viene pronunciato in prossimità delle stesse. Questi dati, che potrebbero contenere informazioni personali, vengono raccolti e trasmessi, in alcuni casi, a terze parti. È chiaro che lo scopo della raccolta dei dati da parte dei produttori sia quello di migliorare il servizio per il consumatore, ma si tratta in ogni caso di informazioni che, inevitabilmente, sfuggono al controllo dell’interessato e, nella catena di cessioni e trasferimenti dei dati, potrebbero finire nelle mani sbagliate [4];

l’assicurazione conosce il tuo stato di salute: si immagini che i dati raccolti dal braccialetto per fare running rilevino un’anomalia cardiaca. I dati, archiviati in un sistema cloud per essere utilizzati come raffronto da altri runners, potrebbero essere ceduti, legalmente o illegalmente, ad altre parti, compresa l’azienda presso la quale è stata stipulata un’assicurazione sanitaria;

appostamenti virtuali tramite la lavatrice smart: acquisendo i dati sull’utilizzo della lavatrice si possono ricavare informazioni interessanti sui suoi utilizzatori, come sapere da quante persone è composto il nucleo familiare, quali tessuti vengono utilizzati più di frequente ma, anche, se e in che periodo, la casa non è abitata. Quest’ultima informazione, ad esempio, potrebbe essere sfruttata da chi intenda perpetrare un furto all’interno di un’abitazione. Si supponga che i dati rilevino che la lavatrice venga messa in funzione prevalentemente nei week-end tranne il primo fine settimana di ogni mese e che questa prassi si protragga per un periodo di tempo rilevante: ecco un’informazione preziosa per un malintenzionato che intenda introdursi in casa, il quale non avrà più la necessità di effettuare rischiosi pedinamenti o appostamenti;

smart car, sicurezza a rischio: è stato dimostrato come sia possibile alterare, mediante comandi a distanza, l’impianto frenante di una smart car o, più semplicemente, aprirne la portiera o controllare l’impianto d’illuminazione della stessa [5]. Si tratta di una vulnerabilità di non poco conto, sfruttabile da cyber criminali senza scrupoli.

Privacy

Al di là di questi scenari estremi, il nodo principale della questione consiste nella compatibilità di questa moltitudine di oggetti sensorizzati e interconnessi con i principi della tutela dei dati personali dei suoi utilizzatori.

Che si tratti di una questione di privacy non è in dubbio, dal momento che queste operazioni di raccolta e combinazione di dati riferiti a persone fisiche identificate o identificabili sono chiaramente da ricondurre all’interno della definizione di trattamento di dati personali ai sensi dell’art. 2 della Direttiva europea 95/46 e dell’art. 4, coma 1, lett. b) del Codice della Privacy nostrano.

Il problema si acuisce a causa della capacità di alcuni di questi device di immagazzinare dati anche molto intimi, rilevatori dello stato di salute, delle abitudini sessuali o, più in generale, delle abitudini quotidiane dei loro utenti.

Se questi dati potrebbero essere “semplicemente” utilizzati per fini di profilazione dell’utente (e, a riguardo, la sensibilità dei consumatori è molto variegata), potrebbero tuttavia finire nelle mani di malintenzionati che li utilizzerebbero per scopi illeciti.

Il problema principale è che i dati personali, molto spesso, sono raccolti, processati e condivisi con terze parti (sviluppatori di software, gestori di social network, fornitori di capacità di calcolo, analisti, cloud providers, ecc.) senza che l’interessato abbia prestato un effettivo consenso informato o, addirittura, senza che ne sia a conoscenza.

La normativa europea in materia di protezione dei dati personali è stata strutturata, fin dalla sua nascita, in modo da bilanciare la tutela dei diritti fondamentali con la non limitazione dell’iniziativa commerciale e del progresso scientifico. Su questa scia il legislatore europeo ha introdotto i concetti di Privacy by Design e Privacy by Default, ossia un insieme di principi, prassi e tecnologie per progettare un sistema con caratteristiche native di sicurezza e protezione del dato personale.

Il riconoscimento normativo è avvenuto con la proposta di Regolamento Europeo sulla protezione dei dati personali (si noti, quindi, che il provvedimento è ancora in fase di approvazione) [6]. L’art 23 della proposta di Regolamento prospetta la messa in atto di «meccanismi per garantire che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone». Questo principio viene rafforzato nell’ art. 30 c. 3 (dedicato alla sicurezza dei dati) nel quale si conferisce alla Commissione europea il «potere di adottare atti delegati […] al fine di precisare i criteri e le condizioni concernenti le misure tecniche e organizzative […], compresa la determinazione di ciò che costituisce evoluzione tecnica, per settori specifici e in specifiche situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici e delle soluzioni per la protezione fin dalla progettazione e per la protezione di default […]» [7].

La Privacy by Design e Privacy by Default [8] possono risolvere il principale impatto dell’I.o.T. sulla riservatezza dei dati, ossia la perdita di controllo degli stessi da parte del soggetto interessato, che avviene a causa di un’evidente asimmetria informativa: da una parte la catena dei produttori come parte informata e dunque forte del contratto e dall’ altra il consumatore, come parte debole dal punto di vista informativo dal momento che acquista un dispositivo di cui non conosce a fondo il funzionamento e di conseguenza le modalità di trattamento dei dati immessi al suo interno.

L’idea di fondo è che la tutela dei dati debba essere garantita già nella fase di progettazione e sviluppo (Privacy by Design) e che tali principi debbano operare anche nelle fasi successive di utilizzo del dispositivo mediante un corretto meccanismo di gestione del consenso e revoca al trattamento (Privacy by Default) [9].

Interventi delle Authorities

I Garanti della Privacy europei, riuniti nel gruppo di lavoro denominato Article 29 [10], si sono occupati della questione elaborando una bozza di disciplina sulle questioni legate alla diffusione dell’I.o.T. [11]. Il documento indica, tra le criticità del fenomeno, l’asimmetria informativa e la mancanza di controllo sui propri dati personali. La principale problematica rilevata dal gruppo di lavoro afferisce tuttavia al trattamento dei dati effettuato per finalità diverse (c.d. uso secondario) rispetto a quelle direttamente associate a un certo dispositivo (c.d. uso primario). Ad esempio un device conta-calorie basato sulla rilevazione dei movimenti di un individuo potrebbe raccogliere informazioni che saranno successivamente trattate, da un soggetto terzo, per finalità diverse da quelle per cui è stato prestato il consenso (es. per monitorare le condizioni fisiche e gli  spostamenti, profilare le abitudini di consumo).

Il gruppo di lavoro ha dettato una serie di linee guida sul tema:

– la necessità di ottenere il consenso preventivo ed informato del soggetto cui si riferiscono i dati personali salvo che il trattamento non sia oggettivamente necessario per l’esecuzione di un contratto di cui detta persona è parte;

– la necessità di raccogliere e trattare i dati nei limiti del consenso prestato, per il tempo strettamente necessario e per le finalità indicate chiaramente dal titolare del trattamento;

-la necessità di informare l’interessato del suo diritto di ottenere, in qualsiasi momento, informazioni circa il trattamento dei dati, l’identità dei soggetti coinvolti nel trattamento nonché il diritto di revocare il consenso in qualsiasi momento;

– la necessità di garantire adeguati livelli di sicurezza, ed in particolare di commisurare le misure di sicurezza alle caratteristiche tecniche dei dispositivi I.o.T.

Infine, il gruppo di lavoro auspica che prima della messa in commercio di un device o di un’ applicazione venga effettuato un Privacy Impact Assessment [12].

Anche il Garante italiano della Privacy ha deciso di interessarsi al fenomeno indicendo, nel mese di marzo 2015, una consultazione pubblica sul tema. Secondo il Garante, risulta necessario avviare un percorso di studi che definisca le idonee misure per la tutela dei dati personali nell’era di Internet delle cose. Questi dati – a parere del Garante –  «consentono non solo di costruire profili dettagliati delle persone, basati sui loro comportamenti, sulle loro abitudini, sui loro gusti, perfino sul loro stato di salute, ma di effettuare anche un monitoraggio particolarmente invasivo sulla loro vita privata e di mettere in atto potenziali condizionamenti della loro libertà». La consultazione, aperta a tutti gli stakeholders (mondo dell’imprenditoria, ricercatori  scientifici,  consumatori, ecc.), terminerà a inizio novembre.

Conclusioni

Il successo del mercato dell’internet delle cose dipenderà anche dal modo in cui verrà affrontata la questione della privacy e della sicurezza dei dati trattati.

Se un perfetto bilanciamento tra tutela degli utenti e crescita del mercato è difficilmente realizzabile, occorrerebbe in ogni caso intervenire con provvedimenti regolatori immediati e puntuali. La soluzione che prevede la tutela della privacy come nativa nei sistemi è senza dubbio la più auspicabile, ma le norme incastonate nel futuro regolamento europeo rischiano di essere tardive ed obsolete: il regolamento è infatti ancora in fase di approvazione (benché si stimi che la stesura definitiva si avrà entro la fine del 2015, gli Stati europei avranno due anni di tempo per adeguarsi) e si rischia il consueto e dannoso gap temporale tra interventi regolatori ed avanzamenti tecnologici.

Ad ogni modo, è necessario che i principi di privacy by design e by default non diventino dei meri enunciati normativi ma si atteggino a vero e proprio approccio metodologico per gestire le problematiche relative alla protezione dei dati personali. Il che costituirebbe peraltro un’opportunità per i produttori di aumentare la fiducia del cliente nei confronti di strumenti che ad oggi appaiono eccessivamente futuristici, e, di conseguenza, le vendite degli stessi.

Nel frattempo, l’unica difesa contro le degenerazioni dell’I.o.T. sembra essere quella di promuovere, in ambito europeo, lo sviluppo di una solida coscienza sociale digitale. Occorre, infatti, che vi sia una maggiore consapevolezza da parte degli utilizzatori di questi dispositivi, al fine di ridurre l’asimmetria informativa, attualmente segnalata come una costante negativa del fenomeno [13].

 

Biagio Francesco Rizzo

 

NOTE

 

[1] fonte: Cisco Systems

[2] Grazie alle enormi potenzialità di questi oggetti, in un futuro neanche troppo lontano: il frigorifero ci segnalerà i cibi in scadenza e sarà in grado di effettuare automaticamente un ordine di acquisto per le vivande mancanti; sarà possibile accedere alla nostra stanza d’hotel – in cui risuonerà la nostra musica preferita, scoperta attraverso l’accesso alle informazioni contenute nello smartphone dal quale si è effettuata la prenotazione­ – tramite un codice che andrà a sostituire l’obsoleta chiave; sarà possibile acquistare una lavatrice che, oltre a segnalare l’esaurimento del detersivo ed a effettuare l’acquisto on-line dello stesso, sarà in grado, in base al  programma di lavaggio utilizzato, di dedurre e comunicare a terze parti le tipologie di indumenti utilizzati più di frequente, al fine di consentire l’invio di pubblicità mirate.

[3] In una ricerca del 2014, l’azienda Hp ha scoperto che 7 su 10 tra i più popolari dispositivi smart home era vulnerabile ad attacchi (in media con 25 vulnerabilità). http://www.corrierecomunicazioni.it/tlc/35205_riflettori-sulla-privacy-come-gestirla.htm

[4] Nell’informativa relative alle Smart tv di Samsung, ad esempio, è indicato: «Attenzione: se le parole che pronunciate includono informazioni personali o sensibili, siate consapevoli del fatto che queste informazioni saranno fra i dati raccolti e trasmessi a terze parti attraverso il nostro sistema di riconoscimento vocale». Ad ogni modo la ditta produttrice ha spiegato che la funzione di riconoscimento vocale può essere disabilitata e che adotta la cifratura dei dati, per «prevenire la raccolta e gli usi non autorizzati dei dati personali dei clienti».

[5]http://www.itware.com/download/item/1135-connected-cars-c%C3%A8-da-fidarsi?-ancora-problemi-di-sicurezza=

[6] Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) n. 2012/0011.

[7] Un riferimento è contenuto anche nel Considerando n. 61 del Regolamento di cui sopra: «La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del presente regolamento[…]».

[8] Tali concetti vennero sviluppati da Ann Cavoukian (Information & Privacy Commissioner Ontario, Canada) la quale pubblicò, nel 2009,  “The 7 Foundational Principles”, una sorta di manifesto della privacy by design, contenente i principi fondanti della teoria. Si basa su 7 assiomi fondamentali: prevenire, non correggere; privacy come impostazione di default; privacy incorporata nella progettazione; massima funzionalità; sicurezza fino alla fine; visibilità e trasparenza; rispetto per la privacy dell’utente; centralità dell’utente.

[9] Prima dell’affermarsi del concetto di privacy by design già si discuteva della necessità di implementare tecnologie (crittografa, controllo degli accessi e delle autorizzazioni, anonimato) in grado di migliorare la protezione dei dati personali (le c.d. PET, Privacy Enhancing Technologies). Il riferimento normativo si trova nel codice della privacy (art. 3) laddove si specifica che «I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità». La prima applicazione basata su PET era un gestionale in ambito sanitario mediante l’utilizzo di pseudo-identità: il paziente di un reparto viene inserito in un database con uno pseudonimo, in modo da garantirne l’anonimato nei confronti degli addetti al reparto non autorizzati al trattamento i quali, non avendo accesso all’applicazione (riservata solo ai receptionists per compiere semplici operazioni di associazione identità-pseudonimo) non potevano accedere ai dati personali e non necessari per la loro attività. Attualmente molte tecnologie implementano i principi delle PET: i protocolli di cifratura (es. SSL, Secure Socket Layer), i protocolli di anonimato (gli anonymizers che permettono la non rintracciabilità in rete). I PETs , però, sono degli strumenti di sicurezza e non sono capaci di creare meccanismi realmente efficaci riguardo la protezione dei dati personali.

[10] Organo di studio e consultivo, espressione dei Garanti della privacy europei e della Commissione Europea.

[11] Parere n. 8/2014 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf

[12]http://www.consulting4business.it/approfondimenti/pia/

[13] Il tema della riservatezza dei dati personali è molto caldo in ambito europeo. Il caso emblematico è il caso “Google Spain” in relazione all’affermazione del diritto all’oblio sul web. Un approfondimento qui: http://poloinnovazione.cc-ict-sud.it/2015/06/09/il-ruolo-dei-search-engines-nellaffermazione-del-diritto-alloblio/

 

Comments are closed.

%d bloggers like this: