IoT e GDPR

IOT e GDPR: una guida alle nuove normative e i punti di attenzione

IoT e GDPR sono un binomio indissolubile, considerando come la Internet of Things abbracci i più disparati ambiti applicativi, coinvolgendo cose e persone. Le smart technologies, infatti, sempre più giocano un ruolo da protagoniste della comunicazione e della relazione, generando e incrociando sempre nuovi flussi di dati in cui rientrano quelli personali. Il fondamento delle smart city, infatti, è quello di offrire a tutti gli utenti servizi utili, personalizzati ed efficienti e questo è possibile utilizzando meccanismi di interazione basati sulla geolocalizzazione, la profilazione e un big data management evoluto, innestato su analitiche sempre più intelligenti e predittive.

IOT e GDPR

Ecco perché il nuovo regolamento generale sulla protezione dei dati UE 2016/679 (ovvero GDPR – General Data Protection Regulation), in vigore e pienamente applicabile dal 25 maggio 2018, ha portato a un vero e proprio cambio di filosofia rispetto alla gestione dei dati.

IOT e GDPR: ecco cosa cambia dal punto di vista normativo

bottone-iot-tenengaIl GDPR, infatti, abbandona un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (ad esempio, l’elenco delle misure minime di sicurezza da adottare), per passare a un approccio che responsabilizza maggiormente il Titolare del Trattamento. Il principio, dunque, è di dare una maggiore libertà decisionale al titolare, chiamato a prendere una serie di decisioni in merito al proprio modello di protezione dei dati personali seppur nel rispetto dei principi definiti dal nuovo regolamento. Che cosa mette in relazione IoT e GDPR? Il fatto che le decisioni prese dal titolare del trattamento ricadono in modo significativo sull’operatività dell’organizzazione, che si tratti dello sviluppo di un nuovo prodotto o servizio, della selezione di un fornitore, della gestione delle richieste degli interessati e via dicendo. Tali decisioni, infatti, saranno utili a dimostrare la conformità al GDPR del modello di data protection nell’ottica del principio della cosiddetta accountability (responsabilizzazione).

Come e perché Internet of Things e GDPR sono strettamente in relazione

La tutela delle persone fisiche, con riguardo al trattamento dei dati personali, costituisce un diritto fondamentale e inviolabile, riconosciuto dall’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (cd. Carta di Nizza). Il GDPR porta uniformità alla tutela dei dati personali in tutta l’Unione Europea, quantomeno in termini di standard minimi non derogabili. La Internet of Things, la cui architettura tecnologica imperniata sull’uso della Rete e delle TLC, per sua natura esuli da un concetto di confine nazionale, comporta come diretta conseguenza che il trattamento dei dati personali abbia un carattere transnazionale o, quanto meno, plurinazionale. Questo significa che, se si vuole assicurare una tutela veramente efficace, è necessario tener conto dei nuovi paradigmi di gestione e controllo, avendo ben presente chi ha in pancia i dati personali nell’erogazione dei servizi e in che modo li utilizza.

Che cos’è un dato personale?

Il punto di partenza, per fare un po’ di chiarezza, è che cosa è un dato personale. Il Garante della Privacy offre una spiegazione molto chiara: “S’intende come dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») attraverso dati quali il nome, il cognome, un codice identificativo on line, dati relativi all’ubicazione nonché tutti i dati indicanti le sue caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali”.

In quest’ottica, pensando alla relazione IoT e GDPR, il ricorso a particolari dispositivi che, sfruttando le possibilità organizzative e di comando/offerte della Rete, consentono di semplificare o ottimizzare il compimento di determinate attività, come accade, ad esempio, con i sistemi di domotica, genera non poche criticità in termini di tutela della privacy. Per assicurare la fruizione dei servizi offerti dalla IoT, infatti, dispositivi fissi e mobili raccolgono una mole significativa di dati personali, non di rado anche sensibili. Ebbene, proprio prendendo atto di questa problematica, il GDPR detta per la prima volta in sede comunitaria una disciplina di tutela imperniata sul principio di prevenzione.

A questo proposito un ruolo determinate della definizione di un progetto che coniughi IOT e GDPR è l’assessment. Si tratta di un processo di valutazione finalizzato a definire un efficace modello di protezione dei dati personali, rilevando i disallineamenti rispetto alle numerose novità introdotte dal GDPR (ad esempio Data Protection Officer, Registro dei trattamenti, Data Protection Impact Assessment) e studiando opportune contromisure da inserire all’interno di un piano di adeguamento completo e sostenibile.

I 6 punti di attenzione dell’assessment

Analizziamo ciascun asse del modello di protezione dei dati personali, mettendo in evidenza i principali collegamenti al GDPR.

1) ORGANIZZAZIONE E RUOLI

Comprende le strutture, i comitati e i ruoli adottati dall’organizzazione per indirizzare e governare, eseguire e controllare il modello di protezione dei dati personali. In particolare, il GDPR introduce il Data Protection Officer (DPO), figura avente compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziali (dare pareri), alcuni interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo). Anche nella definizione di un progetto IoT quando sono coinvolti dati personali è importante definire chi sono gli interlocutori che si occuperanno del presidio e del controllo.

2) PERSONE, CULTURA E COMPETENZE

Comprende il personale individuato dall’organizzazione (interno ed esterno) per ricoprire i ruoli previsti dal modello, ma anche le azioni messe in campo dalla stessa per sensibilizzare e formare opportunamente il personale. Nello specifico, il GDPR pone particolare attenzione ai requisiti che deve soddisfare la persona che ricoprirà il ruolo di DPO, tra cui assenza di conflitto di interessi e conoscenza specialistica di normativa e prassi in materia di protezione dei dati.

3) PROCESSI E REGOLE

Comprende le norme di autoregolamentazione e le disposizioni interne di cui si è dotata l’organizzazione per essere conforme alla normativa. In particolare, il GDPR richiede di rivedere radicalmente il sistema di processi e regole dell’organizzazione, introducendo una serie di elementi che hanno impatti significativi sull’operatività della stessa, tra cui Data Protection by Design / Data Protection By Default, Data Protection Impact Assessment e violazioni di dati personali (data breach).

4) DOCUMENTAZIONE

Comprende policy e procedure che formalizzano le norme di autoregolamentazione e le disposizioni interne di cui si è dotata l’organizzazione ma anche la documentazione utilizzata per l’implementazione delle stesse, quale ad esempio informative e consensi, contratti e lettere di nomina. In particolare, il GDPR introduce il registro dei trattamenti dei dati personali, la cui tenuta è in carico al Titolare del Trattamento e, se nominato, al Responsabile del trattamento, che consente di tenere traccia delle operazioni di trattamento effettuate all’interno dell’organizzazione.

5) TECNOLOGIA E STRUMENTI

Comprende i sistemi informativi adottati per il trattamento dei dati personali, sia lato applicativi sia lato infrastrutture, e le relative misure di sicurezza predisposte dall’organizzazione. In particolare, considerando IoT e GDPR, è prevista l’adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (es. la pseudonimizzazione e la cifratura dei dati personali), tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

6) SISTEMA DI CONTROLLO

Comprende le azioni e gli strumenti messi in campo dall’organizzazione per verificare l’esistenza, l’adeguatezza e l’effettiva applicazione del modello di protezione dei dati personali, con riferimento a tutte le componenti sopra indicate. In particolare, anche il binomio IOT e GDPR sottolinea l’importanza di dimostrare le scelte effettuate dall’organizzazione (la cosiddetta accountability), motivo per il quale diventa fondamentale dimostrare l’effettuazione di controlli periodici, opportunamente documentati, e l’esistenza di piani di remediation a fronte di eventuali non conformità rilevate.