IoT e GDPR rappresentano un binomio indissolubile, considerando che la Internet of Things abbraccia i più disparati ambiti applicativi coinvolgendo cose e persone. Le smart technologies, infatti, sempre più giocano un ruolo da protagoniste della comunicazione e delle relazioni, generando e incrociando sempre nuovi flussi di dati in cui rientrano quelli personali.
Con Internet of Things, lo ricordiamo, si intende l’insieme di connessioni internet operate da oggetti e da luoghi, senza l’intervento di operatori umani. In questo contesto gli oggetti possono collegarsi alla rete, comunicare il proprio status e dati sul proprio operato, come statistiche e altro, e accedere a informazioni utili per il proprio funzionamento, in modo del tutto automatico.
Le applicazioni nel campo dell’Internet of Things sono molteplici: oggetti che si connettono a Internet in modo indipendente possono essere sfruttati per sviluppare i settori della domotica, dei trasporti, della logistica, della medicina e moltissimi altri ambiti.
Sensori di fitness intelligenti e tracker possono trasformare l’assistenza sanitaria e migliorare la forma fisica e la salute personale. Sensori integrati possono misurare autonomamente umidità, aria e acqua livelli di inquinamento consentendo un monitoraggio più stretto di problemi ambientali.
Tali proprietà dovrebbero tradursi in opportunità, ma anche in rischi che implicano la sicurezza.
Indice degli argomenti
Come e perché IoT e GDPR sono correlati
La tutela delle persone fisiche, con riguardo al trattamento dei dati personali, costituisce un diritto fondamentale e inviolabile, riconosciuto dall’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (cd. Carta di Nizza).
Il GDPR porta uniformità alla tutela dei dati personali in tutta l’Unione Europea. Internet of Things, la cui architettura tecnologica imperniata sull’uso della Rete per sua natura esula da un concetto di confine nazionale, comporta come diretta conseguenza che il trattamento dei dati personali abbia un carattere transnazionale.
Questo significa che, se si vuole assicurare una tutela veramente efficace, è necessario tener conto dei nuovi modelli di gestione e controllo, avendo ben presente chi ha in “pancia” i dati personali nell’erogazione dei servizi e in che modo li utilizza.
IoT e GDPR: la tutela dei dati personali
La “connessione perenne” tra oggetti e il trattamento massivo di dati connesso all’IoT genera interrogativi sul trattamento dei dati personali e sulla tutela dei diritti e delle libertà delle persone fisiche coinvolte nel trattamento.
Nel corso degli anni 2016-2017 si sono svolti diversi studi sui profili dell’IoT in grado di avere impatti sul trattamento dei dati personali.
Nel maggio del 2017 il network delle autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GpEN), ha svolto un’indagine su base internazionale, a cui ha aderito anche il Garante italiano, per verificare il rispetto della privacy nella Internet delle cose.
Su oltre trecento dispositivi elettronici connessi a Internet, più del 60% non ha superato l’esame dei Garanti della privacy di 26 paesi, facendo emergere, a livello globale, gravi carenze nella tutela della privacy degli utenti.
È emerso in particolare che:
- il 59% degli apparecchi non offre informazioni adeguate su come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi;
- il 68% non fornisce appropriate informazioni sulle modalità di conservazione dei dati;
- il 72% non spiega agli utenti come cancellare i dati dal dispositivo;
- il 38% non garantisce semplici modalità di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy.
L’equazione è semplice: aumentando il numero di dispositivi connessi alla rete aumenta anche il numero delle vulnerabilità e dei possibili punti di accesso per un eventuale attacco al sistema informativo aziendale.
Il fatto stesso di essere oggetti connessi alla rete, rende i dispositivi IoT vulnerabili alle minacce cyber, come dimostrano anche i numerosi attacchi hacker subiti da imprese e privati negli ultimi anni.
Conciliare innovazione e sicurezza degli utenti
La normativa europea si sta evolvendo in tal senso, con l’obiettivo di tutelare sempre di più i dati di imprese e consumatori e far sì che sul mercato vengano emessi soltanto prodotti conformi agli standard comunitari.
Iniziamo dalla cyber security: non si tratta di un tema legato solo ai dati raccolti, che potrebbero essere intercettati o manomessi da terze parti, ma anche della sicurezza “fisica”, legata alla possibilità che malintenzionati possano riuscire a impartire comandi agli oggetti da remoto (ad esempio l’apertura della porta di casa o la disattivazione del sistema di allarme).
Per far fronte ai rischi della sicurezza informatica in Europa, il 27 giugno 2019 è entrato in vigore il Cybersecurity Act, ossia il regolamento che assegna all’Agenzia comunitaria per la sicurezza informatica (ENISA) nuovi compiti e risorse per proteggere gli utenti dagli attacchi hacker, anche grazie ad una certificazione per gli oggetti connessi.
Inoltre, il comitato tecnico per la cyber security (ETSI) ha rilasciato lo standard per la sicurezza informatica da applicare al mercato IoT, con 13 regole per garantire la sicurezza nei dispositivi connessi, renderli conformi al GDPR e fornire linee guida per certificazioni future nel settore.
IoT e privacy
L’altro aspetto chiave, dicevamo, è quello della privacy. Se fino a tre anni fa solo il 27% dei consumatori era restio a condividere i propri dati personali, negli ultimi anni tale percentuale è aumentata in modo considerevole, raggiungendo il 44% nel 2017 e il 51% a inizio 2018.
Ci si chiede quali siano i risvolti legati alla gestione dei dati raccolti dai dispositivi IoT: il Regolamento europeo UE 2016/679 in materia di protezione dei dati personali ha un impatto rilevante nello scenario dell’Internet of Things.
Per poter comprendere la portata dei cambiamenti introdotti dalla normativa è necessario sottolineare il cambio di filosofia, con il passaggio a un approccio di “responsabilizzazione” del titolare (principio di accountability). Potremo chiaramente affermare che la “security by design” applicata all’IoT rispetta il principio enunciato all’art. 25 del GDPR.
Il GDPR, infatti, prevede che il titolare del trattamento, già dalle fasi preliminari del trattamento, assuma un ruolo proattivo nella scelta e nell’adozione delle misure tecniche e organizzative e nella definizione delle modalità di adeguamento; inoltre, egli deve essere sempre in grado di dimostrare il principio e il fondamento che sta alla base delle scelte effettuate e la propria compliance al GDPR.
I dati trattati devono essere, inoltre, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, realizzandosi, così, il principio della minimizzazione dei dati (considerando 39 – art. 5, lett. c).
Le vulnerabilità dei dispositivi IoT e dei servizi associati possono essere sfruttate per accedere, danneggiare e distruggere hardware e dati o causare altri danni materiali o immateriali.
I dispositivi IoT con un basso livello di sicurezza presentano dei rischi che rientrano in due grandi gruppi:
- diventare una minaccia per la sicurezza informatica e la privacy degli utenti;
- diventare oggetto di attacchi su larga scala.
I rischi dei dispositivi IoT per la sicurezza e la privacy appartengono a tre classi di mitigazione:
- proteggere la sicurezza del dispositivo: significa impedire che i dispositivi siano utilizzati per condurre attacchi (intercettazione in rete, compromissione di altri dispositivi sullo stesso segmento di rete);
- proteggere la sicurezza delle informazioni: significa proteggere la confidenzialità, integrità e disponibilità delle informazioni, incluse quelle personali, acquisite, memorizzate, elaborate o trasmesse dai dispositivi IoT;
- proteggere i dati personali dei soggetti interessati: significa proteggere i diritti e le libertà degli individui i cui dati personali sono trattati, al di là dei rischi legati al dispositivo e ai dati in generale.
Come ha osservato proprio il Presidente dell’Autorità garante per la protezione di dati personali, Antonello Soro: “Il GDPR prevede l’incorporazione delle misure di protezione dati negli stessi sistemi e dispositivi, in modo che essi siano progettati e configurati in maniera da minimizzare l’uso di dati personali e proteggerli adeguatamente. Queste misure compensano quel deficit di consapevolezza nell’utilizzo di dispositivi intelligenti di uso quotidiano, la cui apparente innocuità ci induce a sottovalutarne la potenziale esposizione ad attacchi informatici o comunque la capacità di rivelare, tramite i dati raccolti, stili e tenore di vita, persino patologie o dipendenze. Inoltre, rispetto alla profilazione e al microtargeting che questi dispositivi possono incentivare, risultano determinanti il diritto di opposizione e quello di contestare la decisione automatizzata, nonché di ottenere l’intervento umano nel processo decisionale”.
Conclusioni
Tutto ciò che è connesso è facilmente attaccabile. È quindi necessario elevare la nostra consapevolezza dei pericoli connaturati negli oggetti connessi. Per innalzare l’asticella della sicurezza è opportuno avvalersi di metodologie che ci possano supportare durante il percorso.
Al di là di quelli che saranno gli esiti concreti dell’applicazione del GDPR un primo risultato positivo dell’introduzione di questo Regolamento europeo riguarda certamente la crescente attenzione da parte dell’opinione pubblica per una maggiore consapevolezza a riguardo dell’importanza di proteggere i propri dati personali in un mondo sempre più digitale per il quale l’educazione al corretto uso degli strumenti digitali si fa sempre più necessaria, quale azione propedeutica da operarsi “ad ampio spettro”, in maniera sistematica e non sporadica, sfruttando importantissimi canali di comunicazione mediatica quali la televisione pubblica e il Web.