L'enorme quantità di dati che generano i tanti dispositivi connessi, spesso anche in modo autonomo, desta molte preoccupazioni in termini di privacy e sicurezza. Temi quali mancanza di controllo delle informazioni, carenza o indecifrabilità di informativa sul trattamento dei dati personali, inferenze derivanti dai dati, intrusioni su emergenti modelli comportamentali e quindi profilazione, difficoltà di rimanere anonimi, rischi di sicurezza in termini di riservatezza, integrità, e di accessibilità dei dati, sono solo alcune delle sfide da affrontare nel nuovo contesto tecnologico.48
Data la freschezza dell'argomento soprattutto in termini giuridici, un quadro chiaro e unico che riguarda Internet delle cose non esiste. Le direzioni da seguire, per cercare quantomeno uno sforzo nel regolamentare il nuovo contesto, sono quelle indicate da direttive e regolamenti già esistenti - a cui vanno comunque aggiunte raccomandazioni, interventi di tipo interattivo, opinioni, comunicazioni, proposte - fondamentali nel delineare in futuro un framework riservato al nuovo contesto. Il quadro giuridico di riferimento per valutare i problemi sorti dall'IoT in termini di privacy e data protection è composto essenzialmente dalla direttiva 95/46/CE del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati, dalla direttiva 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; e dalla direttiva 2009/136/CE che ha modificato la precedente del 2002.
Per applicare la direttiva 95/46/CE, il trattamento dei dati personali deve essere effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro, o che se anche non stabilito nel territorio della Comunità ricorra, ai fini del trattamento di dati personali, a strumenti automatizzati o non, situati nel territorio dello Stato membro salvo non siano
48 Article 29 Data Protection Working Party, Opinion 8/2014 on the on Recent Developments on the Internet of Things, 16 september 2014
utilizzati a fini di transito. 49 Ne deriva che tutti gli oggetti usati per raccogliere e
processare i dati individuali nella fornitura di servizi in IoT (contapassi, termostati, frigoriferi, ma anche smartphone e tablet) sono qualificati come strumenti nel significato della direttiva.
Un problema già può porsi al riguardo relativamente all’individuazione del titolare del trattamento50. Un contesto così eterogeneo come quello dell'IoT presenta un
combinazione di interventi da parte di più stakeholders51, come produttori di
devices, piattaforme sociali, applicazioni di terze parti, prestatori o affittuari di device, data brokers52 o piattaforme di dati. 53
La complessa "rete" di stakeholder coinvolta implica la necessità di una precisa allocazione di responsabilità legale per quanto riguarda il trattamento dei dati personali, basate sulle specificità dei loro rispettivi interventi. I produttori dei device oltre a vendere oggetti ai loro clienti o prodotti ad altre organizzazioni, sviluppano o modificano anche i sistemi operativi delle "cose" o installano software che determinano la loro funzionalità, compreso la frequenza di raccolta dei dati, e la trasmissione dei dati (quando? e a chi? ad esempio, una azienda potrebbe fissare il premio per l'assicurazione dei loro dipendenti basandosi sui dati riportati dai "trackers" che loro indossano). La maggior parte di essi raccolgono e trattano dati personali, che sono generati dai device, per fini e mezzi che hanno determinato, perciò vanno qualificati come responsabili del trattamento per questa direttiva. A volte, la persona interessata al trattamento dei dati, è propensa a condividere i dati provenienti dalle "cose connesse" pubblicamente o con altri utenti. Tale condivisione di dati raccolti e aggregati da "cose" su social networks spesso avviene automaticamente, una volta che l'utente ha configurato l'applicazione in tal senso. La capacità di condivisione appartiene alle impostazioni standard predefinite delle
49 Art.4-1(a,c) Direttiva 95/46/CE 50 Art. 4 Codice Privacy
51 Stakeholders possono riferirsi al concetto di "controller" e "processor", analizzato nel WP29 Opinion 1/2010. Riprende e analizza le definizioni di responsabile e incaricato del trattamento dell'art.2 (d) (e) della Direttiva 95/46/CE
52 Data brokers acquistano dati da aziende al fine di stabilire liste di individui appartenenti ad una stessa categoria o gruppo. Queste categorie e gruppi sono stabilite dai data broker ma possono riflettere attributi demografici, redditi, o interessi per un particolare prodotto.
53 Article 29 Data Protection Working Party- "Opinion 8/2014 on the Recent Developments on the Internet of Things", adopted on 16 September 2014
applicazioni fornite dai produttori. L'aggregazione di questi dati sui social determina specifiche responsabilità su protezione di dati che saranno applicate su di essi. Molti sensori offrono i cosiddetti "APIs" (Application Programming Interface), ovvero un'interfaccia di programmazione di un'applicazione, per facilitare lo sviluppo di un'app. Per usare queste applicazioni, gli interessati devono installare delle applicazioni di terze parti che li permettono di accedere ai loro dati, come memorizzati dal produttore del device. L'installazione di queste applicazioni spesso permette allo sviluppatore di app di accedere ai dati attraverso API. A meno che questi dati siano propriamente resi anonimi, tali accessi costituiscono un trattamento54. Allora lo sviluppatore di app che ha organizzato questo accesso ai dati
deve essere considerato responsabile del trattamento.
Altro problema da affrontare è quello del consenso (che analizzeremo meglio in seguito). Queste apps infatti sono tradizionalmente installate su base "opt-in", di conseguenza tali accessi sono soggetti al requisito non solo di un previo consenso, ma anche di un consenso chiaro, specifico e informato. Il punto è che spesso la richiesta di autorizzazione da parte degli sviluppatori delle app non presenta sufficienti informazioni per un conseguente consenso specifico e informato.
Oltre a produttori e sviluppatori di app, ci possono anche essere altre terze parti che usano device per raccogliere e trattare informazioni su individui. A differenza dei produttori di device, queste terze parti non hanno alcun controllo sul tipo di dati raccolti dalle cose. Tuttavia, si qualificano come responsabili del trattamento in quanto raccolgono e memorizzano dati generati dai device per specifici scopi che essi stessi hanno determinato.
Infine, rimangono da analizzare le piattaforme di dati IoT. A causa della mancanza di standardizzazione e interoperabilità, Internet of Things è a volte visto come "Intranet of Things", in cui ogni produttore ha definito una propria serie di interfacce e formato di dati. I dati poi vengono ospitati in "un ambiente murato", che
54 Art.2 (b) Direttiva 95/46/CE "trattamento dei dati personali: qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonchè il congelamento, la cancellazione o la distrazione."
impedisce efficacemente agli utenti di trasferire (o combinare) i loro dati da un dispositivo all'altro. Eppure smartphone e tablet sono diventati i gateway naturali di dati raccolti attraverso molti device IoT, per connetterli ad Internet. Di conseguenza, i produttori hanno progressivamente sviluppato piattaforme che mirano ad ospitare i dati raccolti attraverso tali dispositivi diversi, al fine di centralizzare e semplificare la loro gestione. Anche tali piattaforme possono qualificarsi come responsabili del trattamento, quando lo sviluppo di tali servizi implica una raccolta di dati personali per propri scopi.
Spostandoci invece dalla parte dell'interessato (persona fisica cui si riferiscono i dati personali), si pone subito il profilo dell’esclusione dal campo di applicazione di tale direttiva, che riguarda i dati raccolti e memorizzati usati esclusivamente per l'esercizio di attività a carattere esclusivamente personale o domestico.55 Tuttavia, in
pratica, i dati degli utenti sono sistematicamente trasferiti ai produttori dei device, sviluppatori di app e ad altre terze parti e quindi l'esenzione sarà di limitata applicazione nel contesto dell'IoT.
Inoltre, può accadere che i soggetti interessati al trattamento dei dati personali non siano utenti di IoT. Ad esempio un dispositivo indossabile, come gli occhiali intelligenti, può raccogliere dati riguardanti altri interessati rispetto al possessore del device. Ne deriva che il possesso di un device non è il requisito essenziale per essere parte interessata al trattamento dei dati, ma è proprio quest'ultimo a prevalere.
Per concludere l'inquadramento di questo nuovo tema all'interno della normativa su Data Protection, rimane da analizzare proprio la nozione di "dato personale"56.
Secondo la direttiva per dato personale si intende "qualsiasi informazione concernente una persona fisica identificata o identificabile", e si considera identificabile "la persona che può essere identificata, direttamente o indirettamente,
55 Art. 3 (2), direttiva 95/46/CE
56 WP Opinion 4/2007, fornisce guide sull'interpretazione di questa nozione; in questo contesto meritano un cenno particolare i dati biometrici (pp. 8-9);
Nel quadro delle discussioni sulla protezione dei dati in relazione alle etichette RFID, il Gruppo ha osservato che "i dati concernono una persona se si riferiscono all'identità, alle caratteristiche o al comportamento di questa persona, o se tali informazioni vengono impiegate per stabilire o influenzare il modo in cui quella persona viene trattata o valutata" (Documento del Gruppo n. WP 105: Working document on data protection issues related to RFID technology, adottato il 19.1.2005, pp. 8. )
in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale".57 Il considerando 26 presta particolare attenzione
sul termine "identificabile". Il criterio dell"insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri deve in particolare tenere conto di tutti i fattori in gioco. Il costo dell’identificazione è uno di questi fattori ma non l'unico. La finalità, il modo in cui viene strutturato il trattamento, il vantaggio atteso dal responsabile del trattamento, gli interessi dei singoli, come pure il rischio di disfunzioni organizzative (es. violazioni degli obblighi di riservatezza) e tecniche sono tutti elementi da prendere in considerazione. Per altro verso, questo test è dinamico, quindi bisognerebbe considerare lo stato dell'arte della tecnologia al momento del trattamento e le possibilità di sviluppo nel periodo per il quale saranno trattati i dati.
Nell'ordinamento italiano (codice della privacy) si assiste ad un ampliamento dell'ambito di applicazione rispetto al quadro comunitario. Secondo la direttiva i dati personali oggetto di applicazione della stessa riguardavano esclusivamente le persone fisiche, al contrario del nuovo Codice italiano che nell'art.1 del Codice della Privacy dispone che chiunque ha diritto alla protezione di dati personali che lo riguardano. Nell' art.4, infatti afferma che con dato personale si intende 'qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale'; quest'articolo è stato poi modificato con l'art.40 deL D.L. 6 Dicembre 2011, n.201.