Non possiamo negarlo: viviamo nella App Economy e questa è l’era dell’Internet of Things (IoT). Viviamo connessi alla rete h 24 non solo per lavoro e il nostro quotidiano ruoterà sempre più intorno alla rete, anche nei piccoli gesti che governano le nostre giornate. Qualche esempio? La sveglia che suona venti minuti prima perché il sistema è sul percorso che facciamo ogni giorno per andare a lavorare; le scarpe da jogging che mi dicono non solo i chilometri percorsi, ma anche le calorie consumate e il battito cardiaco sotto sforzo. La domotica all’interno delle abitazioni e la robotica nell’industria e nel settore sanitario sono in costante sviluppo e, in tempi decisamente brevi, sempre più attività saranno eseguite con strumenti elettronici collegati in remoto a computer, smartphone, tablet o centraline che regoleranno il tutto.

E’ chiara e intuitiva la sfida in materia di protezione dati e consenso che questo nuovo modo di vivere, verso cui siamo già indirizzati su una strada senza ritorno, sta già lanciando sia ai produttori sia agli operatori della sicurezza, alla luce della stringente e cogente disciplina del Regolamento Europeo. Ci basti in tal senso ricordare che il Considerata 78 che si reputa opportuno riportare integralmente.

“La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l'altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all'interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell'ambito degli appalti pubblici.”

È di tutta evidenza come il legislatore europeo fosse consapevole, o quantomeno prevedesse, quello che è l’attuale sviluppo dell’intelligenza artificiale e le sue applicazioni. Emerge quindi chiaramente una norma destinata a coloro che creano, sviluppano, implementano terminali e applicazioni che, per il loro effettivo utilizzo e funzionamento, necessitano di accedere a dati personali. È chiaro come, in questa materia, non si faccia soltanto riferimento ai dati di accesso tradizionali per accedere ai sistemi, quali gli identificativi, ma si intende chiaramente richiamare al rispetto della normativa e ad una corretta applicazione del GDPR gli ideatori e produttori di strumenti tecnologici che useranno la rete e le connessioni Wi-Fi per il loro funzionamento. Questi strumenti dovranno quindi uscire dalla fabbrica già predisposti per essere "compliant" con la normativa europea per proteggere i dati non solo dell’utente ultimo, ma anche di coloro la cui opera sarà necessaria per permetterne l’uso. Ricordiamo infatti che, in generale, nelle interazioni tra dispositivi IoT, tra questi e le persone o altri sistemi back-end sono scambiati dei flussi automatici di dati personali che l’utente ha difficoltà a gestire e quindi a controllare, determinando un’eccessiva esposizione dei dati personali del soggetto interessato verso terze parti.

A questo punto se l’interessato non ha possibilità di controllare i propri dati personali come può esercitare in modo efficace i diritti i previsti nel i GDPR?

La risposta a questo quesito è strettamente correlata all’adozione da parte dei produttori dei principi di Privacy by Design e by Default. Allo stesso modo I meccanismi classici utilizzati per ottenere il consenso al trattamento dei dati personali potrebbero essere di difficile applicabilità nell’IoT, con conseguente consenso basato sulla mancanza o insufficienza delle informazioni e conseguente impossibilità effettiva di fornire un consenso come richiesto dalla norma. Oggi la maggior parte dei dispositivi IoT non è pensata per fornire agli utenti un’informativa esauriente al trattamento dei dati personali né a fornire un meccanismo valido per ottenerne il consenso, con la conseguenza che non solo i dati si trovano maggiormente esposti, ma anche che gli operatori intermedi si trovino in difficoltà nel loro lavoro per una lacuna del produttore cui, ricordiamolo, il considerata 78 fa riferimento.

Tutto ciò ricordando che, a quanto pare, ma è anche logico, i dispositivi IoT sono il principale target colpito dai cyber criminali. Ciò è dovuto principalmente alla circostanza che sono esposti a vulnerabilità maggiori. Anche per i produttori, quindi, la necessità di adeguarsi al GDPR ma, considerato che una gran parte di questi dispositivi è di fabbricazione in paesi non EU, in primis la Cina, sembra inevitabile che importatori e distributori dovranno farsi carico del problema.