Temi

Shape 5 Live Search

logo

Internet of things (IoT), cioè Internet delle cose o, meglio, Internet degli oggetti, è un neologismo per indicare l'estensione di Internet al mondo degli oggetti, coniato da Kevin Ashton nel 1999. 

L'IoT è l'infrastruttura costituita dall'interconnessione dei sensori degli oggetti e dispositivi di uso quotidiano (es. orologi, sensori di fumo, sensori di rilevamento, automobili, elettrodomestici, occhiali, ecc...) in grado di raccogliere dati personali degli individui che li utilizzano, elaborarli e trasferirli in rete così interagendo con altri dispositivi od oggetti.  

 

Rischi

Attraverso la catena degli oggetti e dispositivi connessi, sia i soggetti che possono accedere ai dati che i dati stessi si moltiplicano a dismisura determinando un aumento esponenziale dei rischi per i dati degli utenti, e quindi per i loro diritti. 
I rischi dell'IoT possono essere: 
- furto o uso illecito dei dati acquisiti; 
- hackeraggio dei sistemi che trattano i dati con conseguenze di alterazione e manipolazione dei dati stessi; 
- hackeraggio dei sistemi con conseguente manipolazione del funzionamento degli stessi e rischi anche fisici per le persone coinvolte; 
- rischi relativi alla qualità dei dati derivanti dal gradi di affidabilità dei dispositivi (es. dati sanitari); 
- monitoraggio invasivo degli utenti con possibili discriminazioni o limitazioni della capacità di autodeterminazione; 
- rischi relativi alla sicurezza della comunicazione dei dati. 

 

Norme

Il Gruppo di lavoro articolo 29 ha analizzato le problematiche relative all'IoT nel parere n. del 2014 (Recent Developments on the Internet of Things), fornendo una serie di raccomandazioni, anche pratiche, per gli operatori del settore. L'intento è quello di contribuire all'applicazione uniforme della normativa in materia di protezione dei dati personali nell'ambito dell'IoT. E' di fondamentale importanza identificare i ruoli (titolare, responsabile, autorizzato) dei vari soggetti che operano nell'ambito dell'IoT al fine di applicare correttamente la normativa in materia. 

Il Regolamento europeo per la protezione dei dati personali contiene una serie di prescrizioni relative all'IoT (art. 25 GDPR), prevedendo una tutela dei dati personali degli individui che deve iniziare già nella fase della progettazione dell'oggetto o del servizio (in base al principio privacy by design). Infatti, è a carico del progettista valutare il rischio intrinseco al servizio o all'oggetto e progettarlo, tenendo conto dello stato delll'arte e dei costi di attuazione, in modo da minimizzare le problematiche di sicurezza dei dati. In sostanza fin dalla progettazione si dovrà tenere conto del funzionamento dell'oggetto e dell'interconnessione con altri oggetti, minimizzando i dati che l'oggetto dovrà trattate, e massimizzando la tutela dei diritti degli individui. Il GDPR non impone delle misure minime di sicurezza, ma prevede un controllo continuo dell'oggetto o servizio per verificare e valutare l'efficacia delle misure tecniche ed organizzative, al fine di garantire la sicurezza del trattamento. Quindi il livello di sicurezza deve essere sempre adeguato costantemente, col progredire della tecnologia. 

In caso di vendita dei dispostivi IoT occorre osservare il principio di trasparenza, e quindi informare (tramite informativa) correttamente e compiutamente l'utente dei trattamenti che verranno operati dal dispositivo e dell'eventuale trasferimento dei dati a terze parti. L'utente deve poter dare un consenso libero e specifico, che può essere conferito anche tramite la selezione di una casella su una pagina web. 
Nel caso in cui i dati siano utilizzati anche a fini promozionali, occorre un consenso separato. 

Nel caso in cui l'oggetto o il servizio ponga in essere un trattamento di dati che può presentare rischi elevati per i diritti e le libertà degli individui, il titolare del trattamento deve anche predisporre, prima di iniziare il trattamento, la valutazione di impatto del trattamento. La DPIA va necessariamente predisposta in tutti i casi di valutazione sistematica e globale di aspetti della personalità degli individui, basata sulla profilazione, e da cui derivano decisioni con effetti giuridici sugli individui, nonché nel caso di trattamento su larga scala di dati sensibili, giudiziari o biometrici


Video Placeholder

Video - How It Works Internet of Things