Internet delle Cose, fra privacy e responsabilità legali

di S. Coronese e C. Pascali (Digital&Law Department - www.studiolegalelisi.it) - Il vorticoso sviluppo della Internet of Things, insieme al valore dei dati che recherà con sé, hanno mobilitato le autorità: quali saranno le implicazioni per i cittadini?
di S. Coronese e C. Pascali (Digital&Law Department - www.studiolegalelisi.it) - Il vorticoso sviluppo della Internet of Things, insieme al valore dei dati che recherà con sé, hanno mobilitato le autorità: quali saranno le implicazioni per i cittadini?

La Internet of Things avrà un impatto sulle nostre vite potenzialmente molto superiore a quello che ha avuto il web: le ultime ricerche in materia parlano, infatti, della possibile presenza entro l’anno 2020 di oltre venticinque miliardi di dispositivi intelligenti che saranno connessi tra loro e comunicheranno con banche dati contenenti miliardi di informazioni, analizzate e processate in tempo reale.

Alla base dell’IoT ci sono gli smart object (oggetti intelligenti), che hanno nella loro struttura funzionalità di self-awereness, interagiscono con l’ambiente, elaborano dati, si connettono e comunicano le informazioni che hanno raccolto.
Potremo avere, con gli oggetti che ci circondano, un’interazione finora impensabile. Secondo la recente ricerca condotta dall’Osservatorio Internet of Things della School of Management del Politecnico di Milano, nel 2013 in Italia sono stati 6 milioni gli oggetti interconnessi tramite rete cellulare, il 20 per cento in più rispetto al 2012, con una crescita sul mercato dell’11 per cento. Con l’Internet delle Cose cadranno i confini tra mondo fisico e mondo digitale, le potenzialità applicative saranno pressoché illimitate e porteranno a profondi cambiamenti nel tessuto sociale ed economico di tutti i Paesi. Il futuro che si prefigura è di edifici domotici, con elettrodomestici che dialogano tra loro per ottimizzare i consumi energetici e adeguarsi al meglio alle nostre necessità, auto che interagiscono con la segnaletica stradale prevenendo ingorghi o incidenti, oggetti che segnalano all’industria produttrice malfunzionamenti o potenziali miglioramenti.

La convergenza tra smart object, cloud, dispositivi mobile, big data e social network sta generando un giro d’affari che ha già fruttato 1.900 miliardi di dollari nel 2013 e che arriverà a 4.600 miliardi nel 2018. I big del settore ICT – Cisco, IBM, Microsoft, Apple – sono già scesi in campo per offrire soluzioni e modelli che entreranno inevitabilmente nella nostra vita quotidiana, forse in tempi molto più brevi rispetto a quello che oggi possiamo solo immaginare.
La sfida più grande sarà dunque lavorare su standard tecnologici sicuri e affidabili: i big data saranno l’oro nero del prossimo millennio e come ogni preziosa risorsa vanno tutelati da abusi, sprechi e sfruttamento senza limiti. Le condizioni d’utilizzo dovrebbero essere dettate da una normativa adeguata, che ponga l’attenzione sulla privacy degli utenti, che dia criteri certi e riconosciuti per la gestione in sicurezza di archivi informatici in cloud, che sia in grado di garantire procedure interoperabili e certificate.

Sull’argomento, il 16 settembre 2014 si è riunito il gruppo di lavoro Article 29, istituito in seguito alla Direttiva 95/46/EC e del quale fanno parte i rappresentanti delle autorità nazionali di vigilanza, dell’European Data Protection Supervisor e della Commissione Europea.
Il frutto di tale lavoro è raccolto nel parere n. 8/2014 , atto con il quale si tenta di stilare una prima disciplina delle questioni giuridiche generate dall’utilizzo in crescente diffusione dei prodotti dell’Internet of Things.
Stabilire una disciplina comune in materia di Internet of Things, in effetti, è considerata una questione particolarmente rilevante per i cittadini UE, soprattutto in relazione alla protezione dei loro diritti fondamentali, sia che tali operazioni avvengano nel territorio UE che al di fuori dei confini europei.

Le “things” esaminate nel parere appartengono a tre categorie:
quantified self : sistemi che permettono di monitorare le condizioni e le prestazioni del nostro corpo nel momento in cui si svolgono le più disparate attività quotidiane;
wearable computing : dispositivi che possono essere indossati;
– domotica: dispositivi intelligenti che popoleranno le nostre case.

Nel documento si sottolinea, inoltre, che ai dispositivi non interessati dal parere potrà essere applicata in via analogica la disciplina prevista per le tre categorie suindicate.
Tuttavia, le problematiche che sorgono in seguito all’utilizzo di tali oggetti sono molteplici.

Innanzitutto, occorre considerare i rischi che emergono dall’uso di apparecchiature simili per la privacy degli individui, i dati personali dei quali saranno raccolti dai dispositivi e spesso condivisi con terze parti, nella – il più delle volte – totale inconsapevolezza dell’interessato, comprovata dall’assenza di un consenso informato all’effettuazione di questo trattamento.
A seconda del tipo di dispositivo, infatti, potrebbero essere catturate delle informazioni circa le abitudini, lo stato di salute, la localizzazione e i movimenti di una persona.

I dati raccolti potranno poi avere due destini diversi: rimanere a esclusiva disposizione dell’utente che li utilizzerà per i fini per i quali il dispositivo è stato creato oppure essere trasmessi anche a soggetti terzi, estranei all’utente, che li utilizzeranno per fini secondari. Dati rilevatori delle abitudini di un soggetto, ad esempio, potrebbero essere sfruttati da soggetti terzi per scopi di marketing, proponendo all’utente del materiale affine alle sue abitudini.

Oltre alla privacy, tuttavia, si dovranno affrontare anche le questioni riguardanti le licenze software utilizzate e l’interoperabilità dei dati, questione direttamente connessa al tema delle responsabilità. Sul punto, infatti, viene in rilievo il tema delle responsabilità da danni derivati dall’utilizzo di software sempre più intelligenti e autonomi. Chi risponde di un incidente causato da una manovra di parcheggio supportata dal software sviluppato per una casa automobilistica? E chi risponderà della guida assistita in autostrada?

Le nuove frontiere del diritto, dunque, passeranno da privacy, gestione dei patrimoni informativi e cristallizzazione di prove informatiche relative non solo a contratti, ma anche ad accadimenti informatici che spesso genereranno azioni sempre più slegate dalla volontà di persone fisiche in grado di controllarle direttamente. E, in questo complesso scenario, chi risponderà in caso di danno? Chi ha progettato il sistema? O chi ne sorveglia il mantenimento? O ancora chi ne ha autorizzato l’utilizzo nella sua sfera di azione privata, assumendosi ogni rischio conseguente?

Da ultimo, occorre ricordare quanto previsto dalla Direttiva 95/46/CE recante la normativa comunitaria sulla protezione dei dati personali, la cui applicazione è subordinata sia al caso in cui i dati personali siano sottoposti a trattamento in un territorio appartenente all’UE, sia a tutti i casi in cui il titolare del trattamento sia stabilito in un Paese extra UE ma utilizzi “strumenti” localizzati sul territorio europeo.
Nella pratica ciò si traduce nell’assoggettamento della fattispecie alle leggi nazionali europee, non solo nel caso di società comunitarie coinvolte nel trattamento ma anche in quello di società extraeuropee, con tutte le complicazioni derivanti dall’applicazione non di una disciplina armonizzata ma, al contrario, di differenti normative in materia.

Saveria Coronese e Chiara Pascali

Digital & Law Department – Studio Legale Lisi

Link copiato negli appunti

Ti potrebbe interessare

14 11 2014
Link copiato negli appunti