Ho già trattato in questo articolo delle problematiche in materia di privacy e trattamento dei dati personali collegato all’utilizzo dei dispositivi dell’Internet of Things anche con riferimento al settore della telemedicina e dell’ehealth. Ma il parere del Gruppo europeo di Lavoro di cui all’Articolo 29, un organo consultivo in materia di privacy, in relazione all’Internet of Things rappresenta la prima posizione ufficiale sull’argomento.
Il parere del Gruppo di Lavoro si riferisce unicamente alle wearable technologies, ai cosiddetti “quantified self“, e cioè le tecnologie che tramite sensori raccolgono informazioni sulle condizioni corporee dei utenti, e i dispositivi della cosiddetta smart home o domotica in quanto tali tecnologie comportano l’interazione con gli utenti e la raccolta di dati personali relativi agli stessi.
Quali problematiche in materia di privacy?
I dispositivi dell’Internet of Things comportano la raccolta di dati personali degli utenti a volte a totale insaputa degli stessi. Ciò è dovuto all’automatico trasferimento di dati da parte dei dispositivi, ma anche dalle scarse informazioni fornite agli utenti circa le finalità di utilizzo dei dati che spesso vengono riutilizzati per finalità diverse da quelle per le quali sono stati raccolti. Inoltre, la grande mole di dati raccolti presenta dei rischi in materia di cybercrime che avevo già trattato in questo precedente articolo.
Quale legge applicabile?
Il Gruppo di Lavoro ha confermato la propria posizione circa l’applicabilità della legge in materia di privacy del luogo in cui il dispositivo si trova in caso di applicazioni o dispositivi gestiti da società che non sono stabilite nello Spazio economico europeo. Allo stesso modo, il Gruppo di Lavoro ha stressato la necessità di distinguere i ruoli dei diversi attori dell’ambiente IoT enfatizzando che il produttore del dispositivo, lo sviluppatore dell’applicazione e le società che gestiscono piattaforme IoT devono tutti considerarsi come titolari del trattamento e quindi soggetti agli obblighi in materia di compliance privacy.
Accesso ai dati sul dispositivo
L’accesso ai dati conservati sul dispositivo deve essere soggetto al previo consenso dell’utente e tale consenso deve essere riferito a specifiche finalità del trattamento comunicate previamente all’utente, mentre di solito viene richiesto un generico consenso Tramite le applicazioni. Inoltre, gli utenti devono essere in grado di negare successivamente il proprio consenso e di limitare tale decisione a specifiche finalità del trattamento. In ogni caso i dati trattati non devono eccedere i dati necessari per soddisfare le finalità per le quali il consenso è stato richiesto e detti dati non devono essere conservati per un periodo di tempo eccedente quanto necessario per il perseguimento di tali finalità.
Raccomandazioni
Alla luce di quanto illustrato in precedenza il Gruppo di Lavoro ha fornito, tra gli altri, le seguenti raccomandazioni:
- un privacy test pari a quello previsto per i RFID deve essere compiuto per i dispositivi dell’Internet of Things,
- i principi del c.d. privacy by design e privacy by default devono essere seguiti nella realizzazione della piattaforma,
- gli utenti devono essere in grado di esercitare un totale controllo sui dati trattati in termini di consenso al trattamento, sua revocabilità, possibilità di limitarlo a specifiche finalità e di verificare e revisionare i dati condivisi,
- obblighi di informazione e nello sviluppo di dispositivi e applicazioni sono a carico sia dei produttori di dispositivi e degli sviluppatori di applicazioni,
- le piattaforme social sulle quali i dati raccolti tramite i dispositivi IoT devono essere preimpostati per evitare la condivisione pubblica dei dati e richiedere la revisione delle modalità di condivisione da parte degli utenti e
- i soggetti che negano il proprio consenso alla condivisione dei dati raccolti tramite i dispositivi IoT non devono essere penalizzati circa le funzionalità a loro offerte.
Le raccomandazioni del Gruppo di Lavoro non sono di per se vincolanti, ma visto che i garanti privacy europei sono membri dello stesso questo parere fornisce una chiara indicazione della posizione in merito delle autorità privacy. Vedremo le implementazioni di tali principi nelle tecnologie dell’IoT, ma sarà anche interessante verificare se il Garante italiano deciderà di prendere una posizione ufficiale in merito.
Facebook Comments