L’internet of things è una realtà inarrestabile e milioni sono ormai gli oggetti interconnessi. Ognuno di noi quotidianamente, consapevolmente o meno, utilizza apparecchiature collegate alla rete.
Se da un lato l’IoT rappresenta una occasione imperdibile di avanzamento tecnologico e della qualità della vita delle persone dall’altro il tema della sicurezza degli oggetti in sé e dei dati personali che tramite le apparecchiature possono essere raccolti e/o trattati rappresentano argomento di grandissima attualità anche alla luce delle nuove previsioni di legge che diventeranno applicabili il 25 maggio 2018 sulla base del Regolamento Europeo n° 679/2016 (GDPR).
Il GDPR, infatti, contiene una serie di prescrizioni che chi affronta il tema dell’IoT non può non considerare in quanto viene previsto che il trattamento dei dati personali venga posto in essere dalle pubbliche amministrazioni e dalle aziende sulla base di principi che non si risolvono in una mera check list di adempimenti quanto invece in un sistema di gestione dei dati personali che inizia ben prima della loro raccolta ed in particolare quando l’oggetto o il servizio che permette il trattamento dei dati viene progettato.
Il GDPR prevede che, tenuto conto della tecnologia disponibile e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate all’attività di trattamento in corso e ai suoi obiettivi, quali la minimizzazione e la pseudonimizzazione dei dati.
In pratica, chi progetta apparecchiature che saranno interconnesse deve necessariamente fare una serie di valutazioni preliminari al fine di far sì che ciò che viene ideato, progettato, sviluppato, commercializzato e utilizzato risponda a criteri di sicurezza e privacy intrinseci.
A ciò si aggiunge che, sempre in base al GDPR, il titolare del trattamento deve mettere in atto opportune misure per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale principio vale sia per la quantità dei dati raccolti, che per l’estensione del trattamento, il periodo di conservazione e la loro accessibilità.
Oltre a tali principi di base essenziali l’IoT viene toccato dal GDPR anche sotto una serie di altri aspetti di grande rilevanza.
Uno dei temi più sentiti in questo momento storico è sicuramente il tema della sicurezza.
Sotto questo profilo il GDPR impatta sul tema IoT perlomeno sotto due profili: l’analisi dei rischi e la valutazione di impatto.
Ebbene, l’analisi dei rischi deve sempre essere fatta in quanto il GDPR stabilisce che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
In pratica quindi, occorre sempre effettuare una analisi dei rischi al fine di valutare se le misure di sicurezza ipotizzate durante la fase di progettazione della apparecchiatura che sarà interconnessa risultino adeguate. Ma questo non basta posto che il GDPR, pur non imponendo misure minime di sicurezza, impone di avere un processo per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, per garantire la sicurezza del trattamento.
In pratica quindi in caso di IoT l’apparecchiatura dovrà essere progettata sicura ma poi dovrà essere costantemente monitorato nel tempo che il livello di sicurezza sia sempre adeguato rispetto al rischio.
Per quanto riguarda la valutazione di impatto questa rileva ai sensi di legge quando la tipologia di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto delle operazioni di trattamento previste sulla protezione dei dati personali. Poiché la valutazione d’impatto sulla protezione dei dati è richiesta in particolare quando si abbia una valutazione sistematica e globale di aspetti della personalità degli interessati, basata sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati non chè quando il trattamento di dati personali viene effettuato su larga scala ed in relazione a categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza, è evidente che la valutazione di impatto è adempimento che in moltissimi casi di apparecchiature interconnesse sarà obbligatoria.
Infine, si sottolinea come in caso di trattamento effettuato tramite apparecchiature interconnesse che possa presentare un rischio elevato e le misure per attenuarlo risultino tecnologicamente o economicamente impraticabili, sarà necessario effettuare la consultazione preventiva all’Autorità di Controllo (oggi Garante per la protezione dei dati personali).
Dalla veloce analisi delle disposizioni contenute nel GDPR sopra effettuata risulta chiaro come l’IoT risentirà moltissimo delle novità normative in quanto oggi non è più possibile parlare di IoT ma solo IoT sicuro, non è possibile parlare di cloud, ma solo di cloud sicuro e non è possibile parlare di mobile ma solo di mobile sicuro.
Si tratta in tutta evidenza di un cambio di prospettiva rilevantissimo che permetterà solo chi sarà in grado di coglierlo e declinarlo di restare sul mercato.
