Approfondimento: Privacy by Design e by Default nelle soluzioni IoT

Branded | One Seal

Approfondimento

L’articolo 25 del regolamento UE 2016/679 prescrive ai titolari del trattamento di dati personali – ossia alle persone fisiche o, più spesso, giuridiche – che decidono finalità e mezzi del trattamento, di adottare nelle proprie attività il principio della protezione dei dati personali “by design” e “by default”.

Ciò significa che il soggetto che decide di procedere ad un trattamento (ad esempio una azienda che tratta dati di prospect per finalità di marketing) dovrà assicurarsi che la privacy entri nei propri processi fin dalla progettazione e per impostazione predefinita. L’obbligo riguarda sia gli aspetti organizzativi che le soluzioni tecniche (hardware e software, ma anche nella realtà analogica) che saranno implicate nel processo aziendale che implica il trattamento.

Ma cosa significa considerare la privacy “fin dalla progettazione” e per “impostazione predefinita”? In particolare, cosa significa farlo con riguardo a processi che che coinvolgano l’utilizzo di soluzioni IoT?

Sul tema generale è infatti possibile reperire, online o in librerie specializzate, numerosissimi approfondimenti e qui ci si propone semplicemente di soddisfare chi volesse sapere qualcosa in più, con riferimento specifico all’implementazione di soluzioni ad alto tasso tecnologico, quali sono quelle basate sull’Internet of Things.

Ciò che ogni azienda deve tenere saldamente in mente è che i dati (personali e non) sono ormai il fulcro strategico dell’economia e della politica, tanto su piccola quanto su larga scala. Non vi è vantaggio competitivo rispetto alla concorrenza, ormai, che non dipenda in larga parte dall’acquisizione di un adeguato know-how e di un arsenale efficiente in fatto di raccolta, gestione e analisi dei dati.

I trattamenti di dati personali, tuttavia, in ragione degli importanti rischi che possono implicare per la libertà e per i diritti delle persone fisiche a cui si riferiscono, sono oggetto della disciplina già citata volta a proteggere la “parte debole” delle dinamiche di mercato, di amministrazione della cosa pubblica e di molti rapporti contrattuali: gli individui persona fisica (nelle vesti di consumatori, lavoratori, contribuenti, pazienti…).

Così, proteggere i loro dati fin dalla progettazione e per impostazione predefinita, significa operare in modo da rendere strutturale e fisiologica la GDPR compliance. In altre parole, significa inscrivere materialmente nei propri processi la necessità di trattare solo i dati necessari in misura e tempo minore possibile e di condividerli con meno soggetti possibile (soggetti che dovranno essere tutti formati, istruiti e formalmente individuati). Non solo, occorrerà integrare nei propri processi (e strumenti) la condizione per cui il trattamento poggi su valide basi legali, ossia che avvenga solo al ricorrere delle condizioni che la norma (artt. 6, 9 e 10) indica come propedeutiche alla accettabilità dei trattamenti. Ad esempio, occorrerà rendere impossibile il trattamento di dati “particolari” (ex dati sensibili) di consumatori per finalità di marketing in assenza di un consenso esplicito ed espresso reso dagli stessi.

Rispettare il principio della privacy by design e by default implica, dunque, organizzarsi in modo tale che, compatibilmente con quanto ragionevole alla luce dello stato dell’arte, dei costi di attuazione, della natura e dei rischi dei trattamenti, i principi di correttezza del trattamento contenuti nel GDPR vengano automaticamente applicati, a prescindere dalla volontà degli “attori” del trattamento. Non solo, il principio in discussione implica che, sempre in modo fisiologico ed a prescindere dagli operatori, gli interessati siano quanto più possibile liberi, non indotti in errore e consapevoli circa i trattamenti di dati a loro relativi che una determinata operazione implicherà.

Tale principio assume particolare importanza in settore IoT dal momento che i dati, spesso personali, ne costituiscono il vero e proprio carburante e che, molto spesso, non è possibile per i fruitori intervenire a posteriori sulle impostazioni dei devices con immediatezza e facilità o, né per utenti e fruitori, comprenderne agevolmente il funzionamento. A ciò consegue il ragionevole rischio che l’interessato non possa nemmeno intuire che avvenga una raccolta di dati personali a lui relativi, così come che l’operatore (o il titolare stesso) possa addurre l’immodificabilità del software o dell’hardware come motivazione per il mancato rispetto delle volontà dell’interessato.

Esemplificando, ipotizzando che si decida di impiegare, in un centro commerciale, un sistema di totem che, dotati di sensori di prossimità, propongano pubblicità targettizzata ai passanti dopo averli rapidamente profilati in base a specifiche caratteristiche recepite tramite sensori video, tali totem dovranno essere progettati dal produttore e settati, da fornitore (il produttore dei totem) e titolare (il centro commerciale o il punto vendita interno), in modo tale, ad esempio, da:

  • Se possibile, non raccogliere vere e proprie immagini dell’intera persona, ma solo gli aspetti necessari alla profilazione (es. marca e usura delle scarpe);
  • In ogni caso, non conservare le immagini non necessarie e non inviarle a nessuna memoria remota o cloud, ma eliminarle immediatamente dopo che il software avrà profilato il target ed anonimizzare i profili ottenuti, laddove debbano essere conservati per finalità di business intelligence;
  • Non inviare, se possibile, nemmeno i profili ottenuti a memorie remote. Se necessario, in quanto risulti impossibile elaborare i dati in locale, predisporre forti garanzie riguardo la sicurezza del trasferimento dei dati e del successivo trattamento, con riguardo sia a misure tecniche di cybersecurity (es. cifratura) che organizzative (formalizzazione e richiesta di adeguate garanzie al soggetto deputato ad elaborare i dati in remoto);
  • Predisporre i percorsi e disporre i totem in modo che un avventore possa agevolmente raggiungere le aree desiderate senza essere obbligato a sottoporsi a profilazione e, comunque, informare lo stesso, prima che si trovi nell’area sottoposta a monitoraggio, del trattamento al quale verrà sottoposto.

Dovranno, naturalmente, essere preventivamente esaminati ulteriori aspetti inerenti al funzionamento dei totem, alla loro collocazione, alla trasparenza nei confronti degli avventori, impossibili da riassumere tutti in un’analisi generica come la presente e, ragionevolmente, sarà opportuno effettuare un Privacy Impact Assessment da parte del titolare, prima di prendere la decisione definitiva.

Ciò che, tuttavia, deve essere compreso con chiarezza è che, al fine di rispettare il principio dell’accountability posto a fondamento del GDPR, non basterà acquistare il prodotto, installarlo e “fare il possibile”, a posteriori, per limitarne l’invasività e la sicurezza in riferimento alla privacy degli interessati. La GDPR compliance richiede, al fine di superare un controllo senza pregiudizi pecuniari o d’immagine, di aver valutato che le caratteristiche tecniche intrinseche degli strumenti (così come, a livello organizzativo, le caratteristiche intrinseche dei processi) siano idonee a garantire un adeguato livello di data protection.