Il regolamento ePrivacy, attualmente al vaglio dell’Unione europea, ha in serbo numerose novità che potrebbero avere impatti significativi nel settore dell’Internet delle Cose con potenziali ricadute sui futuri modelli di business.
Alla luce delle perplessità sollevate da diversi Stati membri sul testo, che doveva originariamente accompagnare il GDPRe mira a garantire la tutela della riservatezza dei dati – non solo personali – ad ogni interazione online, la presidenza del Consiglio dell’Unione europea ha introdotto una serie di modifiche, accolte positivamente dal mercato degli operatori IoT.
Di seguito, prima di entrare nel merito delle novità riguardanti il regolamento ePrivacy e l’impatto sul mercato anche del Gdpr, ripercorriamo la genesi dell’internet delle cose, con una panoramica sugli scenari di sviluppo.
L’avvento dell’Internet di tutte le cose
Sono trascorsi circa 30 anni dalla prima «cosa connessa», il leggendario internet toaster di John Romkey e Simon Hackett, e nel frattempo siamo passati da una realtà di scambio di dati ad una in cui viviamo totalmente immersi nei dati, che vengono prodotti e scambiati in rete attraverso una molteplicità crescente di oggetti sempre più smart, permeando a tutto tondo la nostra vita quotidiana.
L’Internet of Things, (o Internet of Everything, come ad alcuni piace definirlo) vede oggi applicazioni praticamente infinite che passano dalle tecnologie prettamente B2C, come i gadget wearable che monitorano le nostre condizioni di salute e i frigoriferi che segnalano la data di scadenza degli alimenti, alle soluzioni a supporto del business, come i sensori che controllano le condizioni microclimatiche per massimizzare la capacità produttiva delle coltivazioni o i macchinari che autodiagnosticano lo stato di usura delle componenti ed ordinano i pezzi di ricambio necessari.
Questo universo di oggetti connessi e comunicanti, che permette di aumentare l’efficienza, ridurre gli sprechi e velocizzare i processi, è in forte ascesa: secondo le stime di Gartner, nel 2021 i dispositivi connessi sul pianeta saliranno a 25 miliardi, mentre per il McKinsey Global Institute il mercato registrerà una crescita del 14% annuo fino al 2025, data in cui l’IoT dovrebbe arrivare a corrispondere all’11% dell’economia globale. L’Europa sta intervenendo in maniera preponderante nella regolamentazione della data economy e queste stime di crescita potrebbero essere confermate o smentite anche per via delle norme introdotte con il GDPR ed il nuovo Regolamento ePrivacy.
Flussi di dati tra dispositivi: quale titolare secondo il Gdpr?
Gli incalzanti sviluppi tecnologici, l’internazionalizzazione dei flussi di informazioni e il vertiginoso aumento della condivisione e raccolta di dati hanno aumentato significativamente il rischio per gli individui di diminuire o perdere il controllo sui propri dati. Con l’introduzione del GDPR il legislatore europeo ha inteso instaurare un quadro giuridico più coerente e solido, rafforzando la certezza operativa e giuridica in materia di protezione dei dati.
In particolare, con riferimento alla disciplina applicabile all’IoT, il mercato ha visto emergere e proliferare modelli di business in cui le parti interessate hanno lo scopo di offrire nuovi servizi ed applicazioni attraverso la raccolta, l’analisi e l’ulteriore combinazione dei dati – e metadati – raccolti dai dispositivi, ad esempio quelli relativi all’utilizzo dei wearable.
In questo specifico modello di business, se i dispositivi IoT raccolgono, usano o analizzano dati riferiti a persone fisiche identificate o identificabili (ad esempio attraverso l’arricchimento, l’interconnessione e la combinazione) tali operazioni possono qualificarsi come trattamento dei dati personali ai sensi del GDPR.
Ruolo e responsabilità dei soggetti coinvolti nel trattamento
Oltretutto nel contesto dell’Internet delle Cose, progettato per raccogliere e trasferire dati in continuazione, il trattamento di dati viene ad essere affidato all’intervento coordinato di una lunga serie di soggetti che possono agire in qualità di Titolari, Contitolari o Responsabili del trattamento, con differenza significative quanto al profilo della responsabilità e degli oneri in caso di data breach. Il grado di coinvolgimento nella catena di azioni e di interazioni, intrinseche alle dinamiche di funzionamento dell’IoT, permette ai suoi attori principali ed ai loro partner (commerciali) di avere e dare accesso a profili molto dettagliati degli utenti; è pertanto essenziale in tale contesto individuare con esattezza il ruolo e le conseguenti responsabilità dei soggetti coinvolti.
In tal senso il Gruppo di lavoro dei Garanti Europei nell’Opinion relativa agli sviluppi in materia di Internet delle cose, seppur prendendo in esame solo alcune delle possibili applicazioni dell’IoT (Wearable Computing, Quantified Self e domotica) ha rilevato alcune criticità relative alla privacy e individuato delle linee guida, che possono essere applicate anche ad altre tipologie di dispositivi IoT (clicca qui per approfondire). I principi fondamentali elencati dal Working Party, sono stati esaustivamente implementati nel nuovo GDPR, e la progettazione di device ed ecosistemi IoT deve pertanto tenerne conto.
Potenziali impatti del Regolamento ePrivacy sull’IoT
Per gli stakeholder dell’IoT il Regolamento ePrivacy è importante tanto quanto il GDPR, di cui complementerà le disposizioni, recependone i principi, ma estendendo l’ambito di applicazione.
In particolare il Regolamento mira a tutelare la riservatezza delle comunicazioni e dei dati, non solo personali, nel settore delle comunicazioni elettroniche.
Per quanto riguarda le comunicazioni da macchina a macchina (comunicazioni M2M), la proposta originariamente presentata della Commissione europea il 10 gennaio 2017 include una previsione secondo cui tutti i dati trasmessi da una macchina all’altra sono da considerare come un servizio di comunicazioni elettroniche, qualificando di conseguenza tutti i produttori di dispositivi IoT come fornitori di servizi di comunicazione elettronica nell’ambito dell’applicazione del Regolamento.
Nella maggior parte dei casi pertanto i produttori di device potrebbero contare solo sul consenso dell’utente finale per trasmettere i dati da un dispositivo ad un altro dispositivo collegato, non potendo fondare il trattamento sull’esecuzione del rispettivo contratto con l’utente finale.
Tale approccio, fortemente incentrato sul consenso dell’interessato, si discosta dall’impostazione seguita nel GDPR, e oltre a comportare un carico di lavoro maggiore, aumenta l’incertezza giuridica per le imprese in quanto gli interessati potrebbero in ogni momento revocare il consenso prestato.
Durante le discussioni sulla proposta, tali previsioni hanno destato preoccupazioni in seno alle istituzioni europee e tra i vari stakeholder per gli effetti negativi che potrebbero avere, soprattutto in termini di ricerca e sviluppo.
Le modifiche introdotte dalla Presidenza del Consiglio Ue
Alla luce di ciò, l’ultima bozza prodotta dalla Presidenza del Consiglio dell’UE ha introdotto:
- una differenziazione tra comunicazioni M2M a livello di applicazione (application layer) d i relativi servizi di trasmissione, considerando solo i secondi servizi di comunicazione elettronica;
- delle ipotesi di trattamento non basate sul consenso nei casi in cui l’accesso e l’archiviazione dei dati è legittima e proporzionata in base allo scopo, ad esempio nel caso dei termostati IoT;
- trattamenti ulteriori dei metadati (essenziali per il progresso dell’IoT) ispirandosi al GDPR e introducendo delle garanzie: ad esempio il trattamento deve essere compatibile con la finalità per la quale i metadati sono stati inizialmente raccolti, prima di condividere l’analisi con terzi i dati devono essere completamente anonimizzati e deve essere svolta una valutazione d’impatto da parte del titolare, consultando ove necessario l’autorità di controllo.
Gli operatori del mercato dell’IoT hanno accolto con favore le modifiche della bozza, ma tali novità sono ancora limitate in relazione alla portata del Regolamento e, come riportato nell’ultimo progress report del Consiglio dell’Unione Europea dello scorso 20 maggio, le delegazioni di vari Stati membri hanno sottolineato più volte le proprie preoccupazioni in relazione agli impatti che il Regolamento potrebbe avere in relazione alle nuove tecnologie, nello specifico M2M, IoT e Intelligenza Artificiale.
Occorre tuttavia considerare che il testo definitivo è ancora in gestazione nel grembo del legislatore europeo e considerate anche le recentissime elezioni europee queste modifiche potrebbero non essere le ultime.
