"Internet degli oggetti", come già visto precedentemente, contribuirà a risolvere determinati problemi, ma ne solleverà altri con ripercussioni dirette sui singoli. Affidare interamente lo sviluppo dell'IoT al settore privato, pertanto, non è ragionevole dati i profondi mutamenti a livello sociale che questo nuovo paradigma comporterà. Questi cambiamenti necessitano di essere affrontati anche da responsabili politici europei e da autorità pubbliche per garantire che le tecnologie e le applicazioni dell'Internet degli oggetti stimolino la crescita economica, migliorino il benessere dei singoli e consentano di affrontare alcuni dei problemi riguardanti l'intera società.
Lo sviluppo di una nuova struttura informativa, quindi, solleva la questione della sua governance. La gestione internazionale di Internet deve essere multilaterale, trasparente e democratica, con il pieno coinvolgimento dei governi, del settore privato, della società civile e delle organizzazioni internazionali. Essa dovrebbe garantire una distribuzione equa delle risorse, facilitare l'accesso a tutti e garantire un funzionamento stabile e sicuro di Internet, tenendo conto del multilinguismo.41
Il "Gruppo Lavoro", nominato dalla Commissione Europea, dà una sua definizione di Internet Governance:
"Internet governance is the development and application by Governments, the private sector and civil society, in their respective roles, of shared principles, norms, rules, decision-making procedures, and programmes that shape the evolution and use of the Internet."
La Commissione Europea è stato il primo organismo sovranazionale che ha cercato di dare un quadro su IoT governance, nominando un largo gruppo di esperti per studiare gli aspetti di un possibile regime di questa governance.
La connessione degli oggetti avviene assegnando loro un identificatore e un mezzo di connessione a altri oggetti o alla rete. Le informazioni presenti sull'oggetto sono di solito limitate, in quanto la maggior parte si trova altrove nella rete. Questo vuol
dire che per accedere alle informazioni sull'oggetto è necessario stabilire una connessione in rete. In conseguenza di quanto detto, si sollevano i seguenti interrogativi: come è strutturata tale identificazione? (denominazione dell'oggetto); chi attribuisce l'identificatore? (autorità di assegnazione); in che modo possono essere ricavate informazioni supplementari sull'oggetto (meccanismo di indirizzamento e archivio delle informazioni); come è garantita la sicurezza delle informazioni?; quali soggetti sono tenuti a rispondere per ciascuno degli aspetti di cui sopra?; quale quadro etico e normativo si applica ai differenti soggetti?
La Commissione, pertanto, intende avviare e promuovere, discussioni e decisioni relativamente:42
–alla definizione di una serie di principi per la governance degli Internet degli oggetti;
–alla creazione di un'"architettura" con una struttura di gestione sufficientemente decentralizzata, in modo che le autorità pubbliche in tutto il mondo possano esercitare le proprie responsabilità in materia di trasparenza, concorrenza e rendicontazione.
Il gruppo di esperti su Internet delle cose, ha analizzato in sotto gruppi, diversi problemi connessi ad esso, vale a dire: architettura, identificazione, privacy e sicurezza, standards, etica.
A tal proposito la Commissione Europea avviò una consultazione pubblica tra Aprile e Luglio 2012.43 Circa 600 persone tra associazioni e vari gruppi -di
accademici, società industriale e civile- risposero alla consultazione. Tale questionario aveva l'obiettivo di identificare le aree in cui era necessario l'intervento pubblico, per permettere la materializzazione dei benefici, mantenendo al contempo un sufficiente controllo e una protezione dei consumatori e della società in generale.
La consultazione pubblica ha mostrato risultati divergenti sui problemi riguardanti privacy e data protection. L'industria era dell'opinione che il framework, presente 42 Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni: "L' Internet degli oggetti- Un piano d'azione per l'Europa"; COM(2009) 278 definitivo, 2009
all'epoca, sulla protezione dei dati, era sufficiente per sopperire ai problemi nuovi dell'IoT. Dall'altra parte, cittadini e organizzazioni di consumatori, prevedevano il bisogno di una maggiore attenzione su privacy e data protection nel nuovo contesto industriale. Il 77% degli intervistati supportarono nuovi strumenti come PIA (data protection impact assessment). Maggiore enfasi è stata data al mantenimento del controllo dei propri dati da parte degli interessati. In particolare si sosteneva:
–il consenso dell'utente: esso dovrebbe essere in grado di scegliere se essere o non essere parte del sistema IoT, dovrebbe avere il diritto di verificare e rettificare dati personali, così come il diritto di cancellare i dati e di essere dimenticati;
–i dati personali non dovevano essere utilizzati per fini che andavano oltre quelli menzionati dall'applicazione, senza il consenso esplicito degli utenti; in tal senso un'associazione poneva attenzione sulla comunicazione autonoma che poteva portare alla costruzione di ampi profili personali senza il consenso della persona interessata;
–anonimizzazione dei dati, considerata importante per facilitare la condivisione dei dati;
–dovrebbe essere garantita la trasparenza: gli utenti dovrebbero essere informati circa la natura e lo scopo della raccolta dei dati e sul modo in cui potevano accedere e modificare i dati personali;
–dovrebbe essere attuata la cosiddetta "privacy by design" e "privacy by default"; –sistemi di sicurezza (inclusa la crittografia), dovrebbero essere una priorità, per evitare accessi illegali;
–la conservazione dei dati dovrebbe essere limitata nel tempo, anche se alcuni partecipanti erano contrari ad una totalizzazione di questo principio;
–veniva data importanza anche a principi di equità e legittimità, così come di accountability;
–i controlli sulla protezione dei dati, secondo molti partecipanti doveva essere effettuata da autorità indipendente.
La maggioranza dei partecipanti era d'accordo sulla necessità di linee guida specifiche e standards per garantire la sicurezza e l'incolumità personale in IoT. Alla luce di quanto detto, si deve comunque aggiungere che qualora dovessero esserci, queste linee guida dovrebbero essere specifiche sul problema in questione, e si dovrebbe fare attenzione a non caricare eccessivamente di norme tale campo, dal momento che questo potrebbe creare degli inutili oneri regolamentari oltre che minare la competitività dell'industria europea.
La necessità di linee guida e standards nacque dal bisogno di garantire la riservatezza, l'integrità e accessibilità dei dati, nel contesto IoT. Per molti partecipanti queste linee devono essere sviluppate con un "multi-stakeholder framework", quindi con la partecipazione di consumatori, società civile, autorità di regolamentazione oltre che ad autorità pubbliche e privati stakeholders. In questo quadro, la cooperazione divenne uno strumento per assicurare la sicurezza su basi end-to-end, e inoltre divenne opportuna una politica di notifica di violazioni.
Oltre a temi quali privacy e sicurezza (che saranno trattati più profondamente in seguito), in tale consultazione erano presenti altri contenuti come l'etica e l'interoperabilità. Per quanto riguarda il primo, ci sono stati dibattiti circa l'identità personale, l‘autonomia degli individui, il consenso degli utenti, l‘equità e la giustizia sociale. Per il secondo, la consultazione ha cercato di identificare un insieme minimo di requisiti di interoperabilità applicabile alla denominazione e agli indirizzi degli oggetti, per sostenere la concorrenza e la scelta dei consumatori. L'interoperabilià è vista come una politica importante che, insieme a piattaforme aperte di IoT, promuoverà la concorrenza e l'innovazione dei servizi.