La sfida lanciata al diritto alla protezione dei dati dai nuovi servizi offerti dalla Rete

SEZIONE III: Le difficoltà nel garantire il diritto alla protezione dei dati a seguito dell’affermazione delle più recenti innovazioni tecnologiche ed informatiche

3) La sfida lanciata al diritto alla protezione dei dati dai nuovi servizi offerti dalla Rete

3.1) Il Cloud Computing

Il cloud computing, ossia quell’insieme di tecnologie informatiche che consente l’impiego di risorse e di servizi hardware e software residenti prevalentemente nei server web, piuttosto che essere sparsi sui singoli computers connessi in Rete100_{, consente}

all’utente, che dispone di un qualunque ‘device’ (come ad es. un palmare, un pc o uno smartphone), di un browser e di una connessione a Internet, di accedere alla ‘nuvola giusta’ che gli può fornire i servizi e/o i dati che gli necessitano101_.

Modello ibrido di sfruttamento delle risorse offerte dalle Reti di computer, in primis Internet, che superando il vecchio modello cliente/server, che lo ha da sempre caratterizzato e dominato, è oggi impiegato in differenti contesti quali: il SaaS – Software as a Service, applicazioni erogate da un remoto provider esterno all’azienda utente; il PaaS – Platform as a Service, simile al SaaS costituito da più programmi, consistente in una piattaforma software, della quale fanno parte diversi servizi e programmi e l’IaaS – Infrastructures a Service, ossia nell’utilizzo di risorse hardware.

L’idea e la relativa filosofia del Cloud Computing nasce dalla difficoltà di trovare le giuste soluzioni di fronte ad un improvviso upgrade o downgrade di un sistema informativo: con questa funzione, invece, non ci si trova di fronte ad un unico fornitore di servizi e ad un solo committente, così come viene ad essere modificato il paradigma

99_{Approvazione del protocollo di verifica che disciplina le attività di controllo da parte del Garante sulle} prescrizioni impartite a Google il 10 luglio 2014 - 22 gennaio 2015, Doc. Web n. 3738244.

100_{A tale riguardo è opportuno ricordare che l’utilità propria di ogni computer è quella di eseguire} programmi o applicazioni; le parti immateriali del computer, che consentono l’esecuzione dei programmi sono definite software e si contrappongono a quella che è la parte cosiddetta fisica o elettronica degli elaboratori di programmi, ossia l’hardware.

101_{Questi servizi potranno essere composti a piacimento dall’utente nel contesto dei suoi bisogni. In questo} modo l’utente potrà creare uno strumento personalizzato composto da un moltitudine di funzionalità derivanti dalla somma dei singoli servizi web.

dei soggetti attori, che sono essenzialmente tre, il fornitore di servizi, ossia i server virtuali, il cliente amministratore, colui che sceglie e configura i servizi messi a disposizione dal fornitore e il cliente finale, colui che utilizza i servizi configurati dal cliente amministratore102_.

L’aspetto decisamente innovativo del sistema, per l’utente finale, è dato dalla possibilità di spostare i dati dal proprio device su una ‘nuvola’, con il risultato di ottenere tutto ciò che serve all’utilizzatore in ogni posto e in qualunque momento, così che, ovunque l’utente acceda ad Internet, disponga dei dati, dei software e dei relativi servizi, come se si trovasse in casa propria o nel suo ufficio, realizzando una vera e propria delocalizzazione delle proprie risorse.

Se oggi il ‘cloud computing’ consente di gestire archivi, foto e video, posta elettronica e agenda appuntamenti, testi e documenti vari, l’offerta dei servizi è in progressiva e costante crescita, favorita anche da ragioni economiche, quali la possibilità di riduzione degli investimenti in hardware, da parte dell’azienda che, grazie a quel sistema, può affidare, al solo fornitore di cloud, l’erogazione dei servizi d’informatica.

Le applicazioni aziendali tradizionali, infatti, sono sempre state molto complicate e costose: la quantità molto elevata di hardware e software necessari per la loro esecuzione richiedeva un intero team di esperti per istallarle, configurarle, testarle, eseguirle, proteggerle e aggiornarle; moltiplicando tutto questo per decine e centinaia di applicazioni, è facile intuire perché anche le più grandi aziende, con i migliori reparti IT, non siano riuscite ad ottenere tutte le applicazioni di cui avrebbero avuto bisogno, mentre le piccole e medie sono andate letteralmente fuori dal mercato.

Il Cloud computing ha permesso di eliminare, o comunque di ridurre al minimo, tutti questi problemi non richiedendo al cliente la gestione di hardware e software, dal momento che ad occuparsene è un fornitore esperto: è sufficiente aprire un browser, personalizzare l’applicazione ed iniziare ad usarla, usufruendo di una serie di servizi, dalla gestione delle relazioni con i clienti, a quella delle risorse umane, ai servizi di contabilità e molto altro ancora. L’infrastruttura offre un funzionamento simile a quello di servizi pubblici: l’utente paga solo le funzionalità necessarie, gli aggiornamenti sono automatici e i costi abbastanza contenuti.

102_{Da sottolineare come in determinate circostanze, il cliente amministratore e il cliente finale possano} coincidere. Così un cliente può utilizzare un servizio di ‘storage’ per effettuare il ‘backup’ dei propri dati. In questo caso il cliente provvede sia a configurare che ad utilizzare il servizio.

I maggiori player di questa nuova sfida tecnologica sono grandi ed importanti società come Microsoft, Google, Oracle, IBM ed Amazon. Anche la NATO ha recentemente messo in funzione un proprio sistema privato di server remoti, utile a consolidare i vari flussi d’informazioni e facilitare il compito di comando negli scenari operativi. Così come Telecom Italia ha deciso di lanciarsi nel cloud computing, consentendo alle grandi imprese e alla Pubblica Amministrazione di usufruire d’infrastrutture e servizi costantemente aggiornati, ottimizzandone i costi e le prestazioni e proponendosi come principale player nazionale nel settore103_.

3.1.1) Vantaggi e criticità del Cloud Computing in materia di protezione dei dati personali

Evidenti sono i vantaggi apportati dal Cloud Computing, primo fra tutti quello di ridurre al minimo, grazie al suo potenziale, il tempo necessario per recuperare danni cagionati da guasti o da calamità naturali, senza dimenticare il beneficio, consistente nella possibilità che le infrastrutture Cloud possano gestire efficacemente gli eventuali picchi di domanda da parte di singoli clienti, dal momento che le risorse vengono condivise tra più servizi e clienti.

Considerato che il crescente potenziale di queste nuove tecnologie favorirà lo sviluppo di una mole impressionante di dati di vario genere, accessibili nelle varie ‘nuvole’ ed i rispettivi gestori saranno depositari di una quantità sterminata d’informazioni, sorge spontaneo il timore, che coloro che accederanno a questo servizio, potranno essere fortemente penalizzati nella loro sfera privata e nella possibilità di poter tutelare e proteggere i loro dati.

Il Garante per la Privacy nel 2012104_{si è espresso con una serie di indicazioni, rivolte ad}

imprese private e pubblica amministrazione, nelle quali ha avuto modo di sottolineare che

103_{I servizi previsti sono: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a} Service (SaaS), quest’ultimo in collaborazione con i partner di Telecomitalia, attivi nel settore IT. Nei segmenti IaaS e PaaS saranno disponibili soluzioni di storage, desktop virtuali e soluzioni di collaboration, oltre al servizio già siaponibile di hosting evoluto, che consente l’utilizzo da remoto di risorse hardware, distribuite e di videocomunicazione in alta definizione, erogabile su apparati eterogenei e tra aziende diverse. All’interno del segmento SaaS sono comprese soluzioni di infomobilità, gestione documentale ed Enterprise resource planning (Erp), dedicati alle imprese e soluzioni indirizzate alla PA, come l’Energy Management o gli Smart Service per la gestione intelligente del territorio, l’informatizzazione della scuola, l’inclusione sociale negli ospedali.

104_{Garante per la Protezione dei dati personali, Cloud Computing, Proteggere i dati per non cadere dalle}

“Chi è titolare del trattamento dei dati personali, che trasferisce, del tutto o in parte, il trattamento sulle ‘nuvole’, deve designare il fornitore dei servizi cloud, ‘responsabile del trattamento”. Questo significa che il cliente dovrà comunque prestare attenzione a come saranno utilizzati e conservati i dati caricati sulla ‘nuvola: in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito. In tal caso anche le piccole aziende, quelle con minore capacità di contrattazione con i Cloud Provider, saranno in ogni modo chiamate a chiedere clausole contrattuali o modalità di controllo più stringenti.

I rischi derivanti dall’utilizzo di un sistema di Cloud Computing attengono, infatti, in primo luogo, agli aspetti legati alla sicurezza e alla continuità del servizio: l’utilizzo del servizio di Cloud Computing, nel memorizzare dati personali, espone l’utente a seri rischi di violazione della sua privacy. I suoi dati, che risultano in possesso dell’azienda, qualora quest’ultima volesse tenere un comportamento scorretto, o comunque dare priorità a forme d’investimento economico piuttosto che di tutela della privacy, potrebbero essere resi, da quella, facilmente accessibili per indagini di mercato o di profilazione dell’utente. Rischi che potrebbero essere in parte neutralizzati crittografando le informazioni sul server, al fine d’impedire alla società l’accesso alle stesse. La soluzione, tuttavia, non risolve del tutto il problema, dal momento che il servizio Cloud Computing potrebbe passare a monitorare le attività degli utenti ed effettuare comunque una loro profilazione per fini pubblicitari.

Il controllo sui dati, quindi, è ancora decisamente molto scarso, anche considerato che questi risiedono in server di cui l’utente finale non conosce nemmeno la dislocazione o il numero delle replicazioni, così come sussiste il problema che lega il trasferimento dei dati on-line con la possibile violazione del diritto alla riservatezza. E’, pertanto, indispensabile che il titolare del trattamento debba assicurarsi che siano adottate misure tecniche ed organizzative, volte a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole, così come il cliente dovrebbe poter, in ogni momento, accertarsi che i dati siano sempre per lui disponibili e ‘riservati’, nel senso che ne sia consentito l’accesso solo a chi ne abbia il diritto.

Per garantire, tuttavia, la sicurezza delle informazioni non è importante solo il modo in cui il dato sia conservato, ma anche quello in cui venga trasmesso, se ad esempio siano utilizzate tecniche di cifratura delle informazioni.

Il Codice nazionale della Privacy, così come il Regolamento 2016/679 UE, che ha abrogato la Direttiva 95/46 CE, attribuiscono agli interessati, titolari dei dati, una serie di diritti, (conoscere quali e quanti dei suoi dati siano in possesso dell’Amministrazione pubblica o delle imprese private, chiederne copie, aggiornamenti, rettifiche o integrazioni) la cui violazione potrebbe anche portare al blocco, alla cancellazione e alla trasformazione in forma anonima delle informazioni. Da parte sua il cliente del servizio Cloud, in qualità del titolare del trattamento dati, per soddisfare queste richieste, deve poter mantenere un adeguato controllo, non solo sulle attività del fornitore, ma anche su quelle degli eventuali subfornitori dei quali il Cloud Provider potrebbe avvalersi.

Se il Cloud Computing105_{, pertanto, permette l’accesso agevole a documenti,}

informazioni, e-mail e contatti, anche quando si è lontani dalla postazione abituale, è, tuttavia, necessario adottare delle precauzioni nel momento in cui si decide di appoggiarsi a siffatte risorse esterne sulle quali, inevitabilmente, il controllo dell’utente finale è vicino allo zero.

Tale accortezza è tanto più necessaria se, come è opinione largamente diffusa, il Cloud Computing, e in particolare la tipologia IaaS, che consente alle aziende di innovare con maggiore facilità, a rischi e costi sempre minori, nei prossimi anni è destinata a giocare un ruolo determinante nelle attività IT Aziendali.

Le promesse dei Cloud Computing sono, infatti, palesemente allettanti: pagare quanto si consuma, trasformare i costi fissi in costi variabili, eliminare i grandi investimenti, sostituendoli con costi operativi diluiti nel tempo. Sull’altro piatto della bilancia va messo tuttavia, il rischio di perdite in termini di controllo sui propri dati e di sicurezza degli stessi, rischi a tal punto fondati che una serie di applicazioni, in particolare nei settori finanziario e sanitario, non possono e non devono fare ricorso al Cloud computing proprio per ragioni normative e rischi per la privacy.

3.2) L’IOT: Internet of Things

105_{Con riferimento alle aziende, il ricorso al Cloud Computing permette alle banche dati aziendali di poter} lasciare i locali dell’impresa, per essere ospitate presso reti di ‘data center’ gestite da soggetti terzi.

L’IOT106_{, l’Internet degli oggetti, neologismo riferito all’estensione di Internet al mondo}

degli oggetti e dei luoghi concreti, è utilizzato, da ormai qualche anno, per definire la rete delle apparecchiature e dei dispositivi, diversi dai computer, connessi a Internet, quali sensori per il fitness, automobili, radio, impianti di climatizzazione, ma anche elettrodomestici, lampadine, telecamere, container per il trasporto delle merci, qualunque dispositivo elettronico dotato di un indirizzo IP, che ne consenta l’identificazione univoca sulla Rete e la capacità di scambiare dati attraverso la Rete, senza necessità dell’intervento umano.

Obiettivo degli ‘oggetti connessi’ è quello di semplificare la vita, automatizzando i processi, come, ad esempio, per i ‘termostati intelligenti’, che essendo in grado di imparare orari ed esigenze e di scegliere la temperatura adatta ad ogni momento, consentono risparmi, anche in termini di energia, non solo di tempo, potendo essere azionati a distanza attraverso smartphone.

Secondo un rapporto del 2015 della Commissione europea107_{, nel 2020 saranno più di sei}

miliardi gli oggetti intelligenti interconnessi su piattaforme ‘Internet of Things’, mentre la protezione delle informazioni, derivate dall’uso degli oggetti interconnessi, è ancor lontana dall’essere garantita.

L’IoT, infatti, fa parte del nostro quotidiano: i dispositivi connessi entrano nelle nostre case, alberghi e uffici e non è fantascienza immaginare uno scenario in cui malintenzionati, o anche solo individui spinti da interessi economici, possano tenere in scacco strutture sensibili.

Il problema relativo ai rischi connessi all’uso di quella piattaforma è stato sollevato dal Garante nazionale nel marzo del 2015108_{e, nel settembre dello stesso anno, anche l’FBI}

ha diramato bollettini di sensibilizzazione alle criticità in materia di protezione dei dati personali.

106_{Neologismo introdotto da Kevin Ashton, ricercatore presso il Mit, nel 1999. Anche K A}_SHTON_{, That}

‘Internet of Things’, in RFID Journal, 22 luglio 2009.

107_{Commissione europea,}_{Definition of a Research and Innovation Policy Leveraging Cloud Computing}

and IoT Combination, Framework Programme for Research and Innovation 2014-2020.

108_{Il Garante per la protezione dei dati personali,}_{con il Documento n. 3898704 del 26 marzo 2015, ha dato} l’avvio ad una consultazione pubblica sull’IoT, volta all’acquisizione di osservazioni e proposte riguardo gli aspetti di protezione dei dati personali connessi alle nuove tecnologie classificabili come Internet of Things, con specifico riguardo ai risvolti implementativi delle criticità riscontrabili o già riscontrate nel settore di riferimento)

A dare ulteriore spessore al dibattito è intervenuta anche l’Azienda di analisi e consulenza Gartner, sempre nel 2015, con l’affermazione secondo cui “L’IoT ridisegna il concetto di sicurezza, ampliandone i campi di applicazione e aggiungendo responsabilità che derivano dalle nuove piattaforme, dai nuovi servizi e dalle strategie future. Le imprese devono rimodellare i propri reparti IT e la sicurezza informatica109_.”

L’attenzione al problema e le preoccupazioni derivano proprio dalla facilità con cui la Rete viene scandagliata alla ricerca di dispositivi, non solo da parte di malintenzionati ma anche da marketer, aziende ed esperti di profilazione, per sferrare attacchi mirati e, ancor prima, dalla semplicità con cui le informazioni che produciamo e rilasciamo, possano essere intercettate e utilizzate da varie categorie di persone e classi professionali.

Secondo Jay Coley, Global Enterprise Sercurity architects di Akamay, i “Cloud sono importanti; diventa altrettanto importante mettere in sicurezza piattaforme e dispositivi, perché le botnet non sono il solo problema che può minarne lo sviluppo e la diffusione110_”,

per cui, secondo la sua esperienza, la tutela e la protezione dei dati tendenzialmente si potrebbe avere prima di tutto minimizzandone l’acquisizione: gli sviluppatori dovrebbero raccogliere i dati limitatamente a quelli strettamente necessari e con una frequenza giustificata. Il prelievo di informazioni non influenti e con eccessiva ciclicità aumenterebbe, infatti, il rischio di violazioni e la possibilità d’intercettare anche quelle sensibili. Il secondo e conseguenziale paletto sarebbe rappresentato dalla riduzione dei tempi di conservazione degli stessi: i dati, una volta analizzati, andrebbero distrutti, evitando il rischio del deposito degli stessi su server che potrebbero essere esposti a infiltrazioni e violazioni. Archiviare le informazioni permetterebbe, tra l’altro, in caso di violazioni, la ricostruzione di una situazione storica inutile e dannosa. Per lo stesso motivo sarebbe opportuno che le informazioni raccolte fossero sempre crittografate.

I rischi di aggressione alla sfera privata potrebbero essere contenuti anche attraverso la riduzione della granularità delle informazioni raccolte. I dispositivi e le applicazioni, infatti, dovrebbero richiedere dati molto aggregati, così da renderli difficilmente decifrabili e, come tali, potenzialmente meno lesivi della sfera intima personale. A parte il diritto al controllo sugli stessi, che il global Enterprise Sercurity Architects di Akamay

109_R._M_ERCANTALLI_{, Gartner Trends 2017: un’analisi di dettaglio su IA, Things e App Intelligenti, in}

http://www.zerounoweb.it, 18 aprile 2017.

110_{Affermazione resa durante l’Akamay Edge, a Las Vegas nel 2017. L’apporto di Coley è particolarmente} interessante perché, oltre ad una carriera ventennale nella sicurezza IT, ha trascorso beni undici anni nelle fila dell’esercito americano ed ha un approccio globale ai temi della prevenzione e della riservatezza.

riconosce ai titolari dei dati stessi, un ruolo fondamentale, in termini di tutela, è anche quello svolto da Organismi di supervisione indipendenti che andrebbero assolutamente creati, affinché, con verifiche mirate, possano opportunamente intervenire.

Anche per l’IoT vale quanto detto a proposito di tutti gli altri sistemi idonei a mettere in sicurezza i dati relativi al singolo e cioè che, al di là delle soluzioni tecniche e normative, sono in definitiva gli utenti a dover fare la loro parte, dimostrando un’elevata sensibilità e attenzione quando acquistano i prodotti, così da indirizzare la scelta verso quelli che più di altri soddisfino i canoni della sicurezza, pur presentando costi più elevati, ed operando uno sforzo di fantasia ulteriore quando impostano password per l’accesso a portali, dispositivi e applicazioni.

3.3) La smart grid e la tutela dei dati personali

Con la locuzione ‘smart grid’ – Rete intelligente - si fa riferimento ad una progettazione, sempre più diffusa in tutta Europa, che mira a sfruttare al meglio la rete di distribuzione dell’energia elettrica, in modo da migliorare le condizioni di trasferimento dell’energia, dalle unità di produzione al consumatore finale, per la cui realizzazione è necessaria la raccolta di una moltitudine d’informazioni, sia dal lato della produzione, che da quello dell’utilizzo.

La disponibilità di un sistema intelligente finalizzato ad ottimizzare la distribuzione dell’energia elettrica, evitando sovraccarichi di rete ed individuando percorsi alternativi ove si verifichi un’interruzione nelle linee principali di trasmissione, presenta un prezzo da pagare in termini di dati ed informazioni sulle abitudini e comportamenti che, dagli utenti, trasmigrano verso le società energetiche per essere archiviati e immagazzinati, nella più totale inconsapevolezza dei titolari dei dati stessi.

Per questa ragione, a livello europeo, è stato fondato un gruppo di lavoro, cui è stato affidato l’incarico di analizzare in dettaglio i risvolti della nuova attività di raccolta ed utilizzo dei dati, in relazione ai principi di cui alla Convenzione dei diritti dell’uomo ed alla nuova normativa europea sulla protezione dei dati personali, a tutela degli stessi. Dagli studi condotti dal Gruppo di lavoro circa la conformità della rete intelligente alle disposizioni normative richieste in materia di protezione dei dati, è emersa la carenza della legislazione, nazionale ed europea, nella regolamentazione del nuovo fenomeno, per cui i lavori si sono chiusi con una precisa raccomandazione da parte del Gruppo,

strettamente legata all’insufficienza della normativa in atto, rivolta agli organismi legislativi dell’Unione Europea affinchè producessero documenti a livello europeo (perché il problema è europeo, non solo nazionale), che regolamentassero la nuova frontiera di trattamento e di protezione dei dati legati alla realizzazione di reti intelligenti. Quindi, in nome della sicurezza delle informazioni, sarebbe auspicabile l’introduzione di nuove normative, a livello europeo, ivi compresi eventuali sistemi di sicurezza, come la possibilità di applicare eventuali algoritmi criptografici per trasferire i dati dal contatore intelligente al gestore della rete, applicabili a tutti i progetti di reti intelligenti.

Modello di protezione criptografica che ovviamente dev’essere omogeneo a livello europeo, dal momento che le reti intelligenti hanno dimensione europea.

3.4) I contatori intelligenti

L’art.13 della Direttiva 2006/32 CE, sull’uso efficiente dell’energia, ha obbligato gli Stati europei ad installare progressivamente contatori intelligenti, in modo da raggiungere gli

Nel documento Il diritto all’oblio e i suoi confini: quando il dovere del ricordo annebbia l’ombra del tempo (pagine 81-107)