L’Internet of Things (IoT) si va affermando in maniera sempre più incisiva nella vita di ciascuno di noi: si stima che entro il 2020 saranno connessi in Rete e tra di loro oltre 25 miliardi di oggetti intelligenti – orologi, bracciali, giocattoli, elettrodomestici, televisori, automobili, praticamente la maggior parte degli oggetti che fanno parte della nostra quotidianità – con forti impatti sulla sicurezza e la privacy dei cittadini.
Perché è necessario un DPIA dell’IoT
Tale impatto non è sfuggito all’attenzione dell’European Data Protection Board e dell’Autorità Garante per la protezione dei dati personali italiana (comunemente noto come Garante della Privacy) che, nell’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto (DPIA), come prescritto dal GDPR, individuano esplicitamente l’ambito dell’IoT come caso di trattamento effettuato attraverso l’uso di tecnologie innovative.
Il Regolamento europeo 679/2016 (General Data Protection Regulation – GDPR) prevede infatti all’art. 35 che il titolare del trattamento dei dati personali debba effettuare un DPIA (Data Protection Impact Assessment), prima di procedere a tale trattamento, quando esso preveda in particolare l’uso di nuove tecnologie, e possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Who's Who
Francesco Curtarelli
Senior Legal Consultant di P4I-Partners4Innovation
A supporto dei titolari che debbano effettuare valutazioni di questo genere, l’autorità Garante francese (Commission Nationale de l’Informatique et des Libertés – CNIL) ha messo a disposizione, all’interno della versione 2.0 del tool sviluppato dalla stessa CNIL, un template di DPIA applicato proprio agli oggetti connessi IoT.
Viene preso come esempio un trattamento di dati effettuato attraverso un giocattolo dotato di microfono e videocamera e connesso in Rete grazie ad un collegamento Wi-Fi, che permette all’utente di comunicare attraverso una mobile app scaricabile su smartphone, tablet oppure direttamente tramite un servizio online.
DPIA dell’IoT, le fasi: panoramica del trattamento
La DPIA si apre con una panoramica del trattamento, descrivendone le caratteristiche e le finalità che sono molteplici: interagire col bambino attraverso il giocattolo, dialogando con lui; consentire al bambino di comunicare online con altri bambini o con i genitori nonché permettere ai genitori di monitorare ciò che accade nella stanza del figlio, utilizzando quindi il giocattolo come dispositivo di sorveglianza. Vengono quindi individuati i soggetti che trattano i dati personali: chi offre il servizio, elaborando algoritmi e garantendo l’interattività, chi analizza i dati derivanti dall’uso del giocattolo e chi si preoccupa di inviare gli advertising attraverso l’app mobile.
In seguito, il CNIL entra nel dettaglio del trattamento, andando ad analizzare puntualmente quali tipologie di dati vengono trattati e in quali contesti. Così vengono distinti i “dati comuni” riguardanti l’utente, forniti al momento della registrazione (nome, data di nascita, sesso, e-mail, numero di telefono…), dai dati registrati dal dispositivo durante il suo utilizzo che rilevano le abitudini di vita dell’utente (messaggi di testo, suoni, immagini, file di log del device abbinato…), dai dati frutto di elaborazioni svolte dal titolare del trattamento (risposte alle domande fatte dal bambino, analisi dell’uso del giocattolo, advertising mirato…). Viene evidenziato come la maggior parte di questi dati siano riferiti ai minori, circostanza che rende il trattamento più critico in base a quanto espressamente previsto dal GDPR nell’art. 8.
DPIA dell’IoT, le fasi: ciclo di vita dei dati e risorse a supporto
Si passa dunque a descrivere il “ciclo di vita” dei dati, partendo dalla creazione dell’account, passando per la registrazione e la collezione dei dati derivanti dall’utilizzo del giocattolo nonché il loro trasferimento all’app mobile, la loro memorizzazione in app e sui server e il loro eventuale invio ad altri dispositivi, concludendo con l’analisi dei dati e la loro potenziale condivisione con terze parti.
La valutazione d’impatto si sposta poi sulle risorse a supporto dell’intero ciclo di vita del trattamento dei dati: gli strumenti integrati nel giocattolo stesso (microfono, videocamera, altoparlanti, sensori…), i device con cui il giocattolo si interfaccia (smartphone, tablet, pc…), le applicazioni o i browser necessari per permettere tali comunicazioni, eventuali cloud server, la rete Wi-Fi e la connessione a Internet.
DPIA dell’IoT, le fasi: principi del GDPR da garantire
L’attenzione si focalizza quindi sui principi fondamentali del GDPR da rispettare e garantire nelle operazioni di trattamento dei dati. Vengono prese in considerazione la proporzionalità e la necessità del trattamento, verificando che le finalità dello stesso siano specifiche, esplicite e legittime; ci si domanda quali siano le basi legali che rendono lecito il trattamento, distinguendo chiaramente tra le operazioni di trattamento derivanti dagli obblighi contrattuali (rispondenti alle finalità primarie) e le ulteriori basi di liceità (solitamente riconducibili al consenso dell’interessato) che sorreggono finalità secondarie, quali ad esempio quelle legate al miglioramento del servizio o al marketing.
Un’approfondita analisi è dunque svolta in merito all’adeguatezza, pertinenza e limitazione dei dati in relazione alle varie finalità prima evidenziate (principio di minimizzazione). Per ciascuna tipologia di dato personale ci si chiede se esista realmente la necessità di raccoglierlo e trattarlo per fornire il servizio, esplicitando volta per volta la giustificazione che sorregge tale trattamento nonché le misure di minimizzazione che potrebbero essere applicate per ottenere un medesimo risultato attraverso trattamenti meno invasivi. Segue poi una puntuale disamina del periodo di conservazione dei dati personali trattati, comprendenti anche metadati e file di log. Per ciascun tipo di dato è individuato il relativo periodo di conservazione, la motivazione a supporto di tale decisione e il meccanismo automatizzato di cancellazione attraverso cui si eliminano, allo scadere del predeterminato periodo di conservazione, i dati personali.
DPIA dell’IoT, le fasi: misure per tutelare i diritti
Infine, vengono riportate tutte le misure adottate per tutelare i diritti degli interessati: come e quando l’utente viene informato circa il trattamento dei dati; in che modo gli interessati possono esercitare i loro diritti ex artt. 15 e ss. del GDPR; le modalità con cui viene raccolto un eventuale consenso (laddove necessario), se tale consenso è realmente facoltativo, specifico, revocabile in qualsiasi momento e liberamente prestato, nonché le modalità con cui l’utente può modificarlo. Merita particolare attenzione la previsione di una richiesta di conferma del consenso in seguito ad un lungo periodo di non utilizzo dell’applicazione.
Il template di DPIA sull’IoT non prosegue nell’analisi dei rischi (parte altrettanto necessaria e indispensabile per ottenere una valutazione d’impatto completa). In merito a tale analisi dei rischi, oltre ad affidarsi alle comunque esaurienti misure di sicurezza previste dal tool del CNIL, è opportuno fare riferimento anche alle indicazioni dell’Agenzia Europea ENISA nei suoi lavori “Baseline Security Recommendations for IoT” e “Good Practices for Security of Internet of Things”.