Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

CONSULTAZIONE SU INTERNET DELLE COSE (Internet of Things)

di Valentina Frediani

Il Garante per la protezione dei dati personali, con decisione del 26 marzo 2015 pubblicata sul sito web dell’Autorità, ha deliberato l’avvio di una procedura di consultazione pubblica sul tema “Internet delle cose”, con l’obiettivo di acquisire osservazioni e proposte rispetto gli aspetti di protezione dei dati personali illustrati nel provvedimento connessi alle nuove tecnologie classificabili come Internet of Things, con specifico riguardo ai risvolti implementativi dei principi ivi enunciati nonché alle criticità riscontrabili o anche già sperimentate nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali e dei consumatori ove presenti, nonché del mondo universitario e della ricerca scientifica.
I contributi, così individuati, dovranno pervenire, entro 180 giorni dalla pubblicazione del presente avviso sulla Gazzetta Ufficiale, all’indirizzo dell’Autorità di Piazza Monte Citorio n. 121, 00186 – Roma, ovvero all’indirizzo di posta elettronica iot@gpdp.it, indicando nell’oggetto il tema di riferimento.


 

 

1. Premessa
Il termine “Internet of Things”, come definito nel parere n. 8/20l4 del WP art. 291, descrive una infrastruttura costituita da molteplici sensori incorporati tra loro su dispositivi di uso quotidiano – es. orologi, sensori di rilevamento, elettrodomestici, occhiali – collegati ad individui predeterminati ed in grado di raccoglierne dati personali, elaborarli e trasferirli interagendo in rete con altri dispositivi, sistemi o oggetti.
Utilizzato per la prima volta nel 1999 da Kevin Ashton, un brand manager Procter & Gamble, per illustrare i possibili utilizzi della tecnologia RFID e di internet al fine di implementare la catena di approvvigionamento P&G, il concetto sta diventando sempre più di uso comune.
Il settore è infatti in costante crescita: lo studio “Definition of a Research and Innovation Policy leveraging Cloud Computing and IoT combination”2  voluto dalla Commissione Europea e pubblicato lo scorso maggio mostra come il numero di connessioni IoT all’interno dell’Unione aumenterà dalle circa 1,8 miliardi del 2013 alle quasi 6 miliardi nel 2020. Conseguentemente, secondo il modello sviluppato dai ricercatori, si prevede che i ricavi del mercato dell’IoT aumenteranno da 307 miliardi di Euro nel 2013 a più di 1.181 miliardi di Euro nel 2020.
L’ostacolo maggiore al concretizzarsi dello scenario prospettato dallo studio è il rischio che l’Europa non colga appieno questa rivoluzione per vari fattori: incapacità delle industrie (soprattutto piccole e medie imprese) di adottare innovazioni IoT su larga scala per mancanza di investimenti; preoccupazioni sulla privacy e protezione dei dati; cattiva gestione dei nuovi rischi per la sicurezza; mancanza di interoperabilità tra i mercati europei che impedisce lo sviluppo di economie di scala e di scopo.
Sussiste quindi la necessità di un’azione politica comunitaria volta a supportare gli investimenti richiesti, stimolando lo sviluppo di una forte industria di approvvigionamento e la creazione di un quadro normativo e strutturale ottimale per lo sviluppo del mercato dell’IoT.

2. Il parere del WP art. 29 e la Consultazione del Garante
In quest’ottica si inserisce la consultazione pubblica avviata dal Garante Privacy sull’Internet delle cose e pubblicata sulla Gazzetta Ufficiale n. 101 del 4 maggio 2015, in scadenza il prossimo autunno.
Partendo dalla consapevolezza dei rischi che dispositivi atti alla raccolta e gestione di dati relativi a comportamenti, abitudini, preferenze e stato di salute degli utenti possono comportare, l’Autorità Garante intende successivamente emanare un provvedimento ad hoc in grado di dare specifiche indicazioni ai titolari del trattamento, valutando casi specifici rispetto agli obblighi generali  imposti dal Codice Privacy. I dispositivi IoT infatti, sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro, con l’effetto di consentire l’identificazione, diretta o indiretta, degli interessati (spesso inconsapevoli) mediante la creazione di profili anche dettagliati.
Nelle premesse dell’avviso pubblico emanato, il Garante richiama esplicitamente quanto emerso dal Parere WP art. 29 n. 08/2014 del 16 Settembre 2014 sull’Internet of Things. Il Gruppo di lavoro ha delineato una serie di linee guida che, in assenza di una specifica ed auspicata normativa comunitaria, sarebbe opportuno fossero adottate per limitare i rischi che dispositivi IoT sollevano in relazione alla tutela dei dati personali trattati.
è infatti pacifico che l’IoT comporti attività di trattamento di dati tale da integrare la definizione di trattamento di dati personali ai sensi dell’articolo 2 della Direttiva 95/46 [nonché art. 4, comma 1, lett. b) del nostro Codice Privacy]. Trattamento di dati che si affida all’intervento coordinato di una molteplicità di soggetti coinvolti in ragione delle proprie competenze (produttori di dispositivi e sistemi operativi che agiscono, anche, come piattaforme di dati; sviluppatori di applicazioni; aggregatori di dati o intermediari; piattaforme sociali; società che affittano i dispositivi), i quali si qualificano come titolari di un trattamento di dati personali nella misura in cui grazie al dispositivo raccolgono e processano informazioni personali per scopi predeterminati.

 

 

…continua su EDICOLeA e sull’APP gratuita (iOSAndroid)

 


 

Altri articoli di Valentina Frediani

polizze-cyber CYBER INSURANCE: STRUMENTI DI PROTEZIONE DEL PATRIMONIO INFORMATIVO AZIENDALE -
di Valentina Frediani (N. II_MMXVI)
Il 2015 ha registrato una crescita esponenziale di numero e varietà di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber. Ma andiamo con ordine.
gdpr Editoriale: Quali conseguenze della GDPR su produttori/fornitori ICT? -
di Valentina Frediani (N. II_MMXVI)
I temi introdotti dall’emanazione della General Data Protection Regulation (GDPR) sono molteplici ed a partire da adesso fino al maggio del 2018 è opportuno analizzarli secondo un criterio prioritario. Scorrendo il testo normativo emerge in modo molto chiaro il principio della cosiddetta accountability quindi l’onere del titolare di dimostrare di aver adottato quanto di sua competenza.
trasferimento_dati_usa NUOVA INTESA CON GLI USA SUL TRASFERIMENTO DEI DATI -
di Valentina Frediani (N. I_MMXVI)
Il 2 febbraio scorso è stato finalmente raggiunto l’accordo politico tra la Commissione UE e il Governo degli USA sulla privacy ed il trasferimento dei dati verso quest’ultimo paese. Il 31 gennaio 2016 era infatti il termine ultimo che le autorità privacy UE ed il Gruppo di lavoro ex articolo 29 avevano dato alla Commissione europea per arrivare ad un “Safe Harbor 2.0” che tuteli davvero la privacy dei cittadini europei rispetto alle imprese che trasferiscono i dati verso l’USA e che, fino a quel momento, rispettavano solo principi del vecchio Safe Harbor.
data_privacy_officer_small Editoriale – Il “nuovo” DPO nella versione 2016 del Regolamento Europeo -
di Valentina Frediani (N. I_MMXVI)
È attesa prima dell’estate l’emanazione del Regolamento Europeo in materia di protezione dati personali. È interessante osservare “l’evoluzione legislativa” di questa figura, in quanto l’adozione della stessa impatta non poco sui soggetti giuridici europei destinatari del Regolamento. Dando una lettura d’insieme dei compiti attualmente attribuiti al DPO, sembra emergere più una figura di auditor rispetto al compito di proattività evidenziato nella versione originaria.
eu-safe-harbor SAFE HARBOR: COSA È ACCADUTO E COME CAMBIERÀ L’ATTUALE SCENARIO -
di Valentina Frediani (N. IV_MMXV)
Corte di giustizia dell’Unione europea - Sentenza della Corte (Grande Sezione) del 6 ottobre 2015 - Causa C-362/14. Un cittadino austriaco, che utilizzava Facebook dal 2008, ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti, il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. La sentenza della Corte di giustizia europea invalida la decisione del 26 luglio 2000 della Commissione e pertanto chiede all’autorità irlandese di riesaminare la denuncia e di decidere se, in forza della direttiva 95/46/CE, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti
ocse Editoriale – Raccomandazione dell’OCSE sulla Digital Security -
di Valentina Frediani (N. IV_MMXV)
L’intervento dell’OCSE ha individuato alcuni principi generali che dovranno aiutare le imprese e le istituzioni coinvolte ad implementare un modello di sicurezza digitale in grado di tutelare in primis i diritti degli interessati, ma anche gli interessi economici rilevanti. Lo sviluppo del mercato digitale rappresenta una parte fondamentale ed essenziale nel funzionamento delle economie globali e del progresso sociale, in grado di generare nuove opportunità di fare impresa.
bcr APPLICAZIONE DELLE BCR: DAL WORKING PARTY ART.29 LE INDICAZIONI -
di Valentina Frediani (N. III_MMXV)
Art. 26 Direttiva 95/46/CE. Per le aziende italiane ed europee che intendano allocare fuori dai confine europei I propri dati, occorre adottare una serie di prescrizioni inerenti la gestione dei dati dislocati, attuando un piano di gestione infragruppo o destinato a grandi fornitori che gestiscono i dati in Paesi Terzi. L’WP 29 ha dettato i principi di attuazione destinati ai Controllers ed ai Processors.
job_Act Editoriale – Jobs Act e controlli a distanza: tutto chiaro? -
di Valentina Frediani (N. III_MMXV)
Lo scorso 23 settembre sono stati pubblicati in GU i decreti legislativi in attuazione del Jobs Act, dopo l’approvazione del Consiglio dei Ministri del 4 Settembre. Tra i passaggi divenuti oggetto di maggior confronto c’è sicuramente quello relativo alle misure in materia di controllo a distanza dei lavoratori. L’originario articolo 4 è stato integrato. Spicca nel primo comma la possibilità di impiego di impianti audiovisivi e di altri strumenti con finalità di tutela del patrimonio aziendale.
job_Act Editoriale – Jobs Act: rivoluzione nel controllo dei lavoratori -
di Valentina Frediani (N. II_MMXV)
Grande rivoluzione sul fronte dell’uso dei dispositivi tecnologici di controllo a distanza? Il tema ruota intorno al controllo del lavoratore come “rivoluzionato” nell’ambito del Jobs Act. L’articolo 23 del decreto attuativo si pone l’obiettivo di modificare l’articolo 4 generato in seno allo Statuto dei Lavoratori nel 1970. Tale testo di legge è ad oggi certamente poco allineato rispetto all’evoluzione tecnologica attuata ed in atto.
mobile-payment LE NUOVE REGOLE DEL GARANTE DELLA PRIVACY PER I PAGAMENTI CON SMARTPHONE E TABLET -
di Valentina Frediani (N. I_MMXV)
Il Garante privacy ha adottato il provvedimento (doc. web n. 3161560) che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.

 

 

 

 

 

Translate »