Dal sito https://it.wikipedia.org/wiki/ leggiamo che: Internet_delle_coseInternet of things) è un neologismo riferito all'estensione di Internet al mondo degli oggetti e dei luoghi concreti.
L'Internet delle cose è una possibile evoluzione dell'uso della Rete: gli oggetti (le "cose") si rendono riconoscibili e acquisiscono intelligenza grazie al fatto di poter comunicare dati su se stessi e accedere ad informazioni aggregate da parte di altri. Le sveglie suonano prima in caso di traffico, le scarpe da ginnastica trasmettono tempi, velocità e distanza per gareggiare in tempo reale con persone dall'altra parte del globo, i vasetti delle medicine avvisano i familiari se si dimentica di prendere il farmaco. Tutti gli oggetti possono acquisire un ruolo attivo grazie al collegamento alla Rete.
Per "cosa" o "oggetto" si può intendere più precisamente categorie quali: dispositivi, apparecchiature, impianti e sistemi, materiali e prodotti tangibili, opere e beni, macchine e attrezzature.
L'obiettivo dell'internet delle cose è far sì che il mondo elettronico tracci una mappa di quello reale, dando un'identità elettronica alle cose e ai luoghi dell'ambiente fisico. Gli oggetti e i luoghi muniti di etichette di Identificazione a radio frequenza (Rfid) o Codici QR comunicano informazioni in rete o a dispositivi mobili come i telefoni cellulari.
I campi di applicabilità sono molteplici:
L'articolo continua dopo la pubblicità
Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva
Puo interessarti il Pacchetto contenente tre e-book: Tutela della Privacy disponibili anche in vendita singola:
Segui anche il Dossier gratuito dedicato alla Privacy
La enorme diffusione di tali dispositivi, che ad oggi sono presenti in un numero maggiore rispetto agli abitanti del nostro pianeta!, ha indotto i più attenti osservatori a porsi delle domande circa il loro corretto impiego.
Le perplessità hanno origine dalla constatazione che tali dispositivi hanno un impatto fortemente invasivo nella vita quotidiana degli utenti, riuscendo ad estrapolare una serie di dati (consumi, abitudini, ecc.) in grado di consentire alle aziende di ricostruire l’identikit degli utenti stessi.
Ciò che oggi appare evidente è la mancanza di una regolamentazione, o meglio la inadeguatezza delle regole esistenti in materia, dell’IOT riferite ai profili della sicurezza e della privacy.
Un fronte sul quale i Governi sono chiamati ad intervenire riguarda i termini e le condizioni riferite all’utilizzo dei dispositivi in commento in modo da arginare l’azione dei produttori volta alla acquisizione dei dati degli utenti attraverso gli stessi dispositivi.
Si pensi ad esempio alla introduzione nelle case di apparecchi aspirapolvere smart in grado di rilevare la planimetria delle case ove vengono utilizzati e, quindi, di trasferire tutta una serie di dati al produttore senza che l’utente ne sia pienamente consapevole.
Analogo ragionamento investe i dispositivi smart installati sui computer, negli apparecchi televisivi, negli smartphone, ecc. che sono in grado di trasferire una enorme mole di dati al produttore, riguardanti ad es. lo stile di vita dell’utente, il loro stato di salute, le loro abitudini, ecc.
L’installazione di webcam consente, ad es., di acquisire voci, immagini e suoni registrati all’interno di abitazioni private così come in locali aperti al pubblico.
Anche i contatori intelligenti permettono di accertare la presenza o meno di persone all’interno di una abitazione.
Questi dati oltre ad essere utilizzati dalla ditta che fornisce il dispositivo sono, spesso, venduti ad altri soggetti, per i più svariati motivi (marketing, profilazione, ecc.).
La necessità di bruciare i tempi rispetto ai concorrenti ha fatto si che sovente i produttori immettono sul mercato dispositivi smart carenti rispetto alle misure di sicurezza così come sono privi della possibilità – in capo al consumatore – di modificare, annullandola, la possibilità di trasmissione di default dei dati al produttore.
Una soluzione potrebbe essere quella di sensibilizzare più e meglio il pubblico sulle implicazioni connesse alla IOT e tale compito spetta in prima battuta ai Governi, che dovrebbero anche elaborare regole più stringenti a tutela dell’utente andando ad incidere sui seguenti aspetti:
Un primo intervento, da parte del Garante per la protezione dei dati personali, risale ad aprile 2015 quando venne avviata una consultazione per definire regole e tutela in materia di Internet delle cose.
Nel comunicato si precisava che: “L'interconnessione di questi oggetti e sistemi - che non interessa solo smartphone e pc, ma anche dispositivi indossabili, sistemi di automazione domestica e geolocalizzazione - comporta infatti la raccolta, la registrazione e l'elaborazione di dati di utenti spesso inconsapevoli. Questi dati consentono non solo di costruire profili dettagliati delle persone, basati sui loro comportamenti, sulle loro abitudini, sui loro gusti, perfino sul loro stato di salute, ma di effettuare anche un monitoraggio particolarmente invasivo sulla loro vita privata e di mettere in atto potenziali condizionamenti della loro libertà.”
Ai produttori di tali dispositivi dovrebbe essere imposto di adottare tecniche di “minimizzazione” nella acquisizione dei dati, per cui dovrebbero essere trattati solo i dati necessari, scartando quelli ultronei. Per fare un esempio, se l’uso di un dispositivo IoT è quello di rilevare il numero di accessi di persone in un locale pubblico, non ha senso riprendere anche i visi delle persone stesse.
I produttori, inoltre, dovrebbero rispettare un termine per la conservazione dei dati, che non può essere ad libitum, così come andrebbero imposte tecniche di crittografia da applicare alle informazioni raccolte.
Altra regola che i produttori dovrebbero seguire riguarda l’obbligo di trattare dati in maniera aggregata e di informare gli utenti del loro impiego.
Le norme contenute nel Regolamento (UE) n. 679/2016, che impattano maggiormente sull’impiego dei dispositivi IoT sono quelle che introducono i principi della Privacy by Design e by Default, unitamente alla Valutazione di Impatto Privacy.
L’art. 25 impone ai Responsabili del trattamento dei dati obblighi di protezione fin dalla progettazione e di protezione di default (c.d. data protection by design and by default), richiedendo – tenuto conto della tecnologia disponibile e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, così come della probabilità e della gravità del rischio derivante dal trattamento per i diritti e le libertà delle persone fisiche – l’adozione di misure tecniche e organizzative adeguate all’attività del trattamento e dei suoi obiettivi, quali la minimizzazione e la pseudonimizzazione dei dati. Ciò, al fine di tutelare i diritti dell’interessato nonché garantire, inter alia, che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento.
Privacy come impostazione di default significa che vanno trattati i soli dati personali necessari per il raggiungimento della specifica finalità riferita ad un dato trattamento.
L’articolo 25 impone al Titolare una tutela del dato sin dalla progettazione dello strumento (privacy by design) ed una protezione del dato come impostazione predefinita della propria organizzazione aziendale (privacy by default).
La privacy by design, invece, richiede che il Titolare adotti e attui misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati.
Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione. Rappresenta il futuro della privacy in quanto aggiunge un nuovo elemento chiave nella legislazione riguardante la protezione dei dati personali.
Il paradigma della privacy by design si basa sull’assunto che l’utente è al centro della privacy per cui a prescindere dalla tecnologia impiegata deve essere garantita una operatività in grado di coniugare la neutralità con la funzionalità.
Prima della installazione di un dispositivo smart va compiuta una valutazione di impatto sul rischio connesso al trattamento dei dati personali, in questo modo sarà possibile procedere, contestualmente, all’esame della conformità dei sistemi gestionali già in uso oltre che di quelli che si intende acquistare.