Temi

Shape 5 Live Search

logo

Internet of things (IoT), cioè Internet delle cose o, meglio, Internet degli oggetti, è un neologismo per indicare l'estensione di Internet al mondo degli oggetti, coniato da Kevin Ashton nel 1999. L'IoT è l'infrastruttura costituita dall'interconnessione dei sensori degli oggetti e dispositivi di uso quotidiano (es. orologi, sensori di fumo, sensori di rilevamento, automobili, elettrodomestici, occhiali, ecc...) in grado di raccogliere dati personali degli individui che li utilizzano, elaborarli e trasferirli in rete così interagendo con altri dispositivi od oggetti.  

Attraverso la catena degli oggetti e dispositivi connessi, i soggetti che accedono ai dati si moltiplicano determinando un aumento esponenziale dei rischi per i dati degli utenti. 
Il Gruppo di lavoro articolo 29 ha analizzato le problematiche relative all'IoT nel parere n. del 2014 (Recent Developments on the Internet of Things), fornendo una serie di raccomandazioni, anche pratiche, per gli operatori del settore. L'intento è quello di contribuire all'applicazione uniforme della normativa in materia di protezione dei dati personali nell'ambito dell'IoT. E' di fondamentale importanza identificare i ruoli (titolare, responsabile, incaricato) dei vari soggetti che operano nell'ambito dell'IoT al fine di applicare correttamente la normativa in materia. 

I rischi dell'IoT sono: 
- furto o uso illecito dei dati acquisiti; 
- hackeraggio dei sistemi che trattano i dati con conseguenze di alterazione e manipolazione dei dati stessi; 
- hackeraggio dei sistemi con conseguente manipolazione del funzionamento degli stessi e rischi anche fisici per le persone coinvolte. 

Il Regolamento europeo per la protezione dei dati personali contiene una serie di prescrizioni relative all'IoT (art. 25 GDPR), prevedendo una tutela dei dati personali degli individui che deve iniziare già nella fase della progettazione dell'oggetto o del servizio (in base al principio privacy by design). Infatti, è a carico del progettista valutare il rischio intrinseco al servizio o all'oggetto e progettarlo, tenendo conto dello stato delll'arte e dei costi di attuazione, in modo da minimizzare le problematiche di sicurezza dei dati. In sostanza fin dalla progettazione si dovrà tenere conto del funzionamento dell'oggetto e dell'interconnessione con altri oggetti, minimizzando i dati che l'oggetto dovrà trattate, e massimizzando la tutela dei diritti degli individui. Il GDPR non impone delle misure minime di sicurezza, ma prevede un controllo continuo dell'oggetto o servizio per verificare e valutare l'efficacia delle misure tecniche ed organizzative, al fine di garantire la sicurezza del trattamento. Quindi il livello di sicurezza deve essere sempre adeguato costantemente, col progredire della tecnologia. 

Nel caso in cui l'oggetto o il servizio ponga in essere un trattamento di dati che può presentare rischi elevati per i diritti e le libertà degli individui, il titolare del trattamento deve anche predisporre, prima di iniziare il trattamento, la valutazione di impatto del trattamento. Tale valutazione va necessariamente predisposta in tutti i casi di valutazione sistematica e globale di aspetti della personalità degli individui, basata sulla profilazione, e da cui deriva decisioni con effetti giuridici sugli individui, nonché nel caso di trattamento su larga scala di dati sensibili, giudiziari i biometrici. 

 

Articolo 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.


Video - How It Works Internet of Things

Video Placeholder