Digitaliani

L’Internet of Things sotto la lente delle autorità Ue per la privacy

Wearable device

Ho già trattato in questo articolo delle problematiche in materia di e trattamento dei dati personali collegato all’utilizzo dei dispositivi dell’Internet of Things anche con riferimento al settore della telemedicina e dell’ehealth. Ma il parere del Gruppo europeo di Lavoro di cui all’Articolo 29, un organo consultivo in materia di privacy, in relazione all’Internet of Things rappresenta la prima posizione ufficiale sull’argomento.

Il parere del Gruppo di Lavoro si riferisce unicamente alle wearable technologies, ai cosiddetti “quantified self“, e cioè le tecnologie che tramite sensori raccolgono informazioni sulle condizioni corporee dei utenti, e i dispositivi della cosiddetta smart home o domotica in quanto tali tecnologie comportano l’interazione con gli utenti e la raccolta di dati personali relativi agli stessi.

Quali problematiche in materia di privacy?

wearableI dispositivi dell’Internet of Things comportano la raccolta di dati personali degli utenti a volte a totale insaputa degli stessi. Ciò è dovuto all’automatico trasferimento di dati da parte dei dispositivi, ma anche dalle scarse informazioni fornite agli utenti circa le finalità di utilizzo dei dati che spesso vengono riutilizzati per finalità diverse da quelle per le quali sono stati raccolti. Inoltre, la grande mole di dati raccolti presenta dei rischi in materia di cybercrime che avevo già trattato in questo precedente articolo.

Quale legge applicabile?

Il Gruppo di Lavoro ha confermato la propria posizione circa l’applicabilità della legge in materia di privacy del luogo in cui il dispositivo si trova in caso di applicazioni o dispositivi gestiti da società che non sono stabilite nello Spazio economico europeo. Allo stesso modo, il Gruppo di Lavoro ha stressato la necessità di distinguere i ruoli dei diversi attori dell’ambiente enfatizzando che il produttore del dispositivo, lo sviluppatore dell’applicazione e le società che gestiscono piattaforme devono tutti considerarsi come titolari del trattamento e quindi soggetti agli obblighi in materia di compliance privacy.

Accesso ai dati sul dispositivo

L’accesso ai dati conservati sul dispositivo deve essere soggetto al previo consenso dell’utente e tale consenso deve essere riferito a specifiche finalità del trattamento comunicate previamente all’utente, mentre di solito viene richiesto un generico consenso Tramite le applicazioni. Inoltre, gli utenti devono essere in grado di negare successivamente il proprio consenso e di limitare tale decisione a specifiche finalità del trattamento. In ogni caso i dati trattati non devono eccedere i dati necessari per soddisfare le finalità per le quali il consenso è stato richiesto e detti dati non devono essere conservati per un periodo di tempo eccedente quanto necessario per il perseguimento di tali finalità.

Raccomandazioni

Alla luce di quanto illustrato in precedenza il Gruppo di Lavoro ha fornito, tra gli altri, le seguenti raccomandazioni:

  • un privacy test pari a quello previsto per i RFID deve essere compiuto per i dispositivi dell’Internet of Things,
  • i principi del c.d. privacy by design e privacy by default devono essere seguiti nella realizzazione della piattaforma,
  • gli utenti devono essere in grado di esercitare un totale controllo sui dati trattati in termini di consenso al trattamento, sua revocabilità, possibilità di limitarlo a specifiche finalità e di verificare e revisionare i dati condivisi,
  • obblighi di informazione e nello sviluppo di dispositivi e applicazioni sono a carico sia dei produttori di dispositivi e degli sviluppatori di applicazioni,
  • le piattaforme social sulle quali i dati raccolti tramite i dispositivi IoT devono essere preimpostati per evitare la condivisione pubblica dei dati e richiedere la revisione delle modalità di condivisione da parte degli utenti e
  • i soggetti che negano il proprio consenso alla condivisione dei dati raccolti tramite i dispositivi IoT  non devono essere penalizzati circa le funzionalità a loro offerte.

 Le raccomandazioni del Gruppo di Lavoro non sono di per se vincolanti, ma visto che i garanti privacy europei sono membri dello stesso questo parere fornisce una chiara indicazione della posizione in merito delle autorità privacy. Vedremo le implementazioni di tali principi nelle tecnologie dell’IoT, ma sarà anche interessante verificare se il Garante italiano deciderà di prendere una posizione ufficiale in merito.

Giulio Coraggio

Giulio Coraggio

Avvocato in Italia ed Inghilterra specializzato in diritto delle nuove tecnologie, privacy, giochi e diritto commerciale, lavora nel dipartimento di Proprietà Intellettuale e Tecnologie dello studio legale internazionale DLA Piper. Riconosciuto da alcune delle più importanti directory legali internazionali è spesso relatore a conferenze e webinar sulle nuove tecnologie e i giochi. Ha il grande privilegio di lavorare nel settore delle tecnologie che sono la sua passione (insieme al Napoli…) e trasmette questa passione ai propri clienti immedesimandosi nel loro business.

Facebook Twitter LinkedIn Google+ 

6 commenti

Commenti e reazioni su:

Loading Facebook Comments ...

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This