La privacy ai tempi di app, wearable device e internet of things non è materia semplice da affrontare: la sempre maggiore quantità di dati personali che queste nuove tecnologie sono in grado di rilevare e trasmettere telematicamente, comporta inevitabilmente un aumento dei rischi quali ad esempio il furto degli stessi da parte cyber criminali o la manomissione intenzionale e dolosa dei dispositivi. Come affrontare un panorama che cambia così velocemente e quali tutele adottare? Ne abbiamo parlato con Franco Cardin, Membro del Consiglio Direttivo di ANORC e Coordinatore nazionale di ABIRT (Advisory Board Italiano dei Responsabili del Trattamento dei dati personali), a pochi giorni dall’apertura di Il Dig.Eat l’evento promosso da ANORC che si terrà il 14 ottobre a Roma.
“L’Internet of things” spiega “è una rivoluzione che promette di cambiare l’intero modo con cui interagiamo con il reale. Attorno ad esso, dicono le previsioni, si genererà un enorme valore economico che farà bene alla collettività tutta. Ben vengano, quindi, app e wearable device, elettrodomestici e vetture intelligenti, ma ad una condizione: che l’utilizzatore, dopo essere stato adeguatamente informato in merito ai soggetti che tratteranno i suoi dati personali e alle finalità perseguite mediente l’utilizzo degli stessi, possa non solo esprimere un libero consenso, ma anche mantenere un controllo sui propri dati personali con particolare riferimento a quelli sensibili.”
Il problema, quindi, chiarisce Cardin, è che troppo spesso – come hanno dimostrato i risultati dell’indagine condotta l’anno scorso dal Garante per la protezione dei dati personali nell’ambito dell’iniziativa internazionale “Privacy Sweep 2014” – questi nuovi dispositivi raccolgono dati personali relativi allo stato di salute, all’attività fisica, alle preferenze alimentari ecc. degli utilizzatori senza che gli stessi abbiano la giusta consapevolezza di dove vadano a finire tutte queste informazioni, chi le usi e per quali finalità.
A questo proposito Cardin ricorda che anche la Commissione Europea, nell’evidenziare che tra gli ostacoli allo sviluppo della Mobile Health e delle applicazioni di wellness, vi è ancora la diffusa percezione che le operazioni on line comportino notevoli rischi, ritiene necessario che siano definite maggiori garanzie per il controllo dei dati personali da parte dei cittadini interessati. Tra questi ostacoli, particolare importanza deve essere attribuita alla necessità di garantire la massima protezione dei dati personali dei cittadini/utilizzatori in modo da ridurre al minimo i rischi dovuti alla mancanza di trasparenza, alle inadeguate misure di sicurezza, ai meccanismi di acquisizione del consenso spesso privi di validità, nonché alla tendenza di raccogliere dati eccedenti e non pertinenti rispetto ai servizi offerti e di trattarli per finalità spesso sconosciute dagli interessati.
Va dato atto, sottolinea Cardin, che il Garante per la protezione dei dati personali ha prestato, fin dal suo insediamento, una particolare attenzione all’aumento dei rischi per la protezione dei dati personali connessi al processo di innovazione digitale. Con riferimento al settore sanitario, nell’ambito del quale si trattano dati personali particolarmente sensibili, l’Autorità Garante, ad esempio, a fronte del moltiplicarsi di progetti finalizzati a consentire la condivisione informatica tra più organismi e/o professionisti sanitari di dati e documenti relativi ai diversi eventi clinici occorsi ad uno stesso cittadino/paziente, ha adottato già nel 2009 le “Linee guida in materia di Fascicolo Sanitario Elettronico e di Dossier Sanitario”, con le quali ha definito una serie di regole, accorgimenti e cautele, finalizzate a ridurre al minimo i rischi per i dati personali dei pazienti.
Purtroppo negli ultimi due anni il Garante è dovuto intervenire con provvedimenti prescrittivi in ben quattro grandi aziende sanitarie pubbliche dove è stato istituito il Dossier Sanitario dei pazienti senza aver fornito l’informativa, acquisito lo specifico consenso e aver adottato le necessarie misure di sicurezza. Ciò dimostra che qualsiasi progetto di digitalizzazione deve necessariamente essere accompagnato non solo da una seria analisi del suo impatto sulla protezione dei dati personali, ma anche da adeguati e specifici interventi formativi per tutto il personale coinvolto.
La velocità con cui si sono evolute nell’ultimo decennio le tecnologie informatiche e telematiche hanno determinato la necessità di adeguare il quadro normativo europeo in materia di protezione dei dati personali. E’ auspicabile, quindi, che la proposta del nuovo regolamento europeo, in discussione da oramai quasi tre anni, venga prima possibile approvata in modo che l’applicazione dei nuovi principi della “privacy by design” e “privacy by default” consenta ai produttori di immettere nel mercato dispositivi IoT rispettosi del diritto dei cittadini alla protezione dei loro dati personali.
Al Dig.Eat si parlerà di questo e molto altro: per una intera giornata cercheremo di fare il punto sull’evoluzione del mercato delle nuove tecnologie informatiche e telematiche, sulle opportunità e utilità che ne possono derivare dal loro utilizzo, ma anche sui rischi che le stesse comportano per la protezione dei dati personali e, quindi, sulle misure di sicurezza che bisogna necessariamente adottare.
Facebook Comments