Case History: un esempio di Privacy Impact Assessment per Smart Vending Machines

Branded | One Seal

L’organizzazione degli spazi, in azienda, è cambiata radicalmente negli ultimi vent’anni. La digital transformation, riducendo la forza lavoro umana e consentendo lo smart working, ma anche riducendo gli spazi e gli arredamenti necessari al supporto per il singolo lavoratore umano, ha liberato non pochi metri quadrati nei locali aziendali. Non solo, con la rivoluzione “smart” dei processi e delle attività lavorative, hanno assunto sempre più centralità luoghi che, prima, erano puramente accessori. Spazi di co-working, meeting rooms, aree relax e socializzazione, hanno assunto un’importanza un tempo impensabile. Così, le aziende investono sempre di più in soluzioni atte a rendere questi spazi più confortevoli, attraenti e attrezzati.

L’azienda del nostro case study, del tutto immersa nella trasformazione appena descritta, ha dunque deciso di dotare le proprie aree relax di “smart” vending machines, equipaggiate cioè con soluzioni IoT hardware e software, le quali consentono di monitorare in real-time e da remoto variabili di ogni genere – dalla temperatura interna, agli incassi, all’inventario – così da minimizzare le inefficienze nella gestione delle stesse ed, anzi, ottimizzarne gli utili, magari grazie ad algoritmi predittivi che anticipino inceppamenti o ritardi rendendole sempre disponibili ed operative. Non solo, come il promotore commerciale dell’azienda fornitrice non ha mancato di sottolineare con entusiasmo, le smart vending machines in questione sono dotate di sensori di prossimità, di webcam e di display che consentono di fare rapidi screening degli avventori, coglierne alcuni aspetti qualificanti e mostrare, in real-time, proposte di prodotti differenti targettizzati. L’offerta è completata, grazie sempre all’integrazione con i sensori NFC degli smartphone, dalla possibilità di pagare attraverso questi ultimi (eliminando la classica carenza di spiccioli e consentendo pagamenti sicuri e igienici).

L’idea appare magnifica e, pur richiedendo un discreto investimento iniziale, promette un forte abbattimento dei costi di gestione, dovuti all’efficientamento dei processi e magari anche a convenzioni con i produttori di vivande sponsorizzate. Consente inoltre di conferire un aspetto futuristico ai locali aziendali che non guasta nei rapporti con clienti e candidati. Sembra tutto perfetto. Già, ma la privacy?

Il GDPR si pone come ostacolo all’adozione di simili iniziative? La risposta è no.

Il Regolamento UE del 2016 in materia di Data Protection, proponendosi di salvaguardare le libertà e i diritti fondamentali delle persone fisiche nell’era dell’infosfera digitale, pretende che questo genere di soluzioni siano progettate ed implementate in modo tale da non essere foriere di pregiudizi per le persone, nel nostro caso fornitori, avventori e, soprattutto, lavoratori.

Cosa deve fare, dunque, la nostra azienda per poter installare le sue ipertecnologiche vending machines senza rischiare di incappare in sanzioni anche salatissime (fino a 20 milioni di Euro o al 4% del fatturato annuo nei casi più gravi)?

Oltre ad aver adeguato tutti i propri processi alla normativa, adottando magari un modello organizzativo che arricchisca di un processo privacy le proprie attività ordinarie (aspetto propedeutico fondamentale), dovrà effettuare un Privacy Impact Assessment (PIA).

L’articolo 35 del GDPR, infatti, dispone che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

Il Garante Privacy, inoltre, al punto 7 del proprio elenco delle tipologie di trattamenti da sottoporre a valutazione di impatto, ha indicato i “trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01”.

Posto ciò, le vending machines dell’esempio trattano dati personali? Certo, nel momento in cui acquisiscono le immagini degli avventori o l’identificativo dei devices mediante i quali è effettuato il pagamento.

Ma chi è il titolare? Chi deve, dunque, “fare la PIA”? L’azienda che le vuole installare nei propri locali, certamente. Ma il produttore? Quest’ultimo non è titolare del trattamento di questi dati. Nulla vieta al produttore di far effettuare una valutazione tecnica propedeutica strutturata come una PIA, valutazione che, peraltro, dovrà per forza effettuare in fase di progettazione del prodotto, al fine di poter garantire che lo stesso risponda ai criteri di privacy by design e by default richiesti dall’art. 25 del GDPR, minimizzando quindi i trattamenti e limitandosi a quelli strettamente necessari al conseguimento delle finalità (servizi offerti dalle machines). Per approfondire questo aspetto, si veda il case study proposto. Tuttavia, una simile e opportuna accortezza del produttore/venditore (necessaria a evitare che il proprio smart devices venga sanzionato dal Garante con enormi danni d’immagine per il proprio brand), non esime il titolare dall’effettuare una vera e propria PIA sulla propria specifica attività di trattamento, poiché in essa dovranno essere prese in considerazione le caratteristiche contingenti di quello specifico trattamento, le quali includono, ad esempio, la specifica customizzazione nel setup dei dispositivi da lui prescelta, le categorie di interessati a cui si rivolge ed altre variabili impossibili da prevedere per ogni caso di applicazione del device. Vediamo, dunque, più nel dettaglio, quali valutazioni dovranno essere fatte dal titolare (l’azienda acquirente delle vending machines) con l’ausilio imprescindibile di un consulente ferrato in data protection law e cybersecurity.

Bisognerà in primo luogo stabilire le responsabilità connesse al trattamento. Laddove, infatti, i dati trattati dovessero essere condivisi con soggetti esterni (ad esempio monitorati esternamente dal fornitore per assistenza o gestione da remoto) occorrerà formalizzare correttamente i rapporti con questi ai sensi dell’art. 28 GDPR. Bisognerà poi mappare con attenzione i dati trattati (immagini, identificativi del device, identificativi personali nel caso, eventuale, di lavoratori ai quali vengano praticate condizioni particolari per l’erogazione di vivande). Dovremo poi identificare con attenzione le categorie di soggetti dei quali tratteremo i dati. Si tratterà solo di avventori o, ad esempio, anche di lavoratori? Si tenga a mente che i lavoratori sono considerati soggetti vulnerabili e che, in caso di utilizzo di devices idonei a dar luogo anche potenzialmente a monitoraggio remoto delle attività lavorative, occorrerà prestare attenzione anche alle previsioni di cui all’art. 4 della L. 300/1970. Occorrerà poi, con l’aiuto del produttore, vagliare il ciclo di vita dei dati: una volta acquisiti vengono immediatamente cancellati o registrati su supporto? Se si, tale conservazione avviene in locale o in cloud? Chi ha accesso a questi dati? Quali misure di sicurezza tecniche ed organizzative garantiscono che a tali dati non possa accedere nessun terzo non autorizzato? Bisognerà chiedersi se, in relazione alle finalità lecite e dichiarate del titolare, i dati trattati siano adeguati, pertinenti e limitati. Ad esempio, in presenza di lavoratori non dovrebbe esser ritenuto lecito acquisire immagini degli stessi a fini di marketing (real-time target advertising) a meno di non dimostrare che vi sia assoluta certezza che tali immagini non vengano conservate, visualizzate e vengano immediatamente cancellate. Bisognerebbe poi vagliare le adeguate misure di sicurezza implementate valutando, ad esempio, se agli interessati vengano fornite, prima del trattamento, le opportune informazioni in merito allo stesso e quali garanzie offra il sistema (hardware e software) contro eventuali data breach. Occorrerebbe, dunque, valutare le caratteristiche tecniche del prodotto contestualizzandole e, conseguentemente, valutare i rischi specifici eventualmente riscontrati indicando, poi, quali misure ulteriori si intendono adottare per neutralizzarli.

Ogni passaggio proposto dovrà essere compiuto con la massima attenzione e la valutazione dovrà essere soppesata con cautela al fine di colmare ogni lacuna riscontrata. Infatti, laddove a seguito di tale processo di valutazione sia impossibile ridurre i rischi ad un livello tollerabile (che possa, cioè, essere ritenuto tollerabile anche dall’Autorità Garante), il trattamento di dati e, ovviamente, le attività che lo necessitano (ossia, nel caso specifico, l’installazione delle vending machines) sarà vietato. Se il titolare, poi, dovesse scegliere di procedere al trattamento ugualmente senza investire adeguate risorse nella neutralizzazione dei rischi emersi, andrà incontro, in caso di controlli, alle già citate e salatissime sanzioni previste per i contravventori senza nemmeno poter provare a far leva su un’attenuazione dell’importo ai sensi dei criteri di commisurazione della sanzione previsti dall’art. 83 del Regolamento UE 2016/679.