L'Autorità garante per la protezione dei dati personali interviene con una delibera sul fenomeno di Internet of Things (IoT) che fa riferimento ad infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio, mediante l'utilizzo di tecnologie a radio frequenza (ad es. RFID, bluetooth etc.), sia tramite una rete di comunicazione elettronica. I dispositivi interessati non sono soltanto i tradizionali computer o smartphone, ma anche quelli integrati in oggetti di uso quotidiano ("things"), come dispositivi indossabili (cd. wearable), di automazione domestica (cd. domotica) e di georeferenziazione e navigazione assistita; ciò comporta la raccolta e la gestione di dati relativi a comportamenti, abitudini, preferenze e stato di salute degli utenti spesso inconsapevoli, con l'effetto di consentirne l'identificazione, diretta o indiretta, mediante la creazione di profili anche dettagliati. Se ne induce, quindi, l'importanza di fornire agli utenti un'informazione trasparente, con particolare riguardo ai dati raccolti, agli scopi per i quali ciò avviene e alla durata della conservazione dei dati stessi, anche ai fini dell'eventuale prestazione di un valido consenso al trattamento dei dati. In tale quadro, una attenzione particolare deve essere allora riservata ai rischi relativi alla qualità dei dati che potrebbero derivare dal loro grado di affidabilità, specie considerati gli usi in campo medico-sanitario, nonché ai rischi che vengano realizzati, quali un invasivo monitoraggio dei comportamenti degli utenti, anche a loro insaputa, ovvero un condizionamento degli individui tale da limitarne anche significativamente la libertà e la capacità di autodeterminazione. sempre secondo l'Autorità occorre considerare gli ulteriori rischi relativi alla sicurezza indotti, in particolare, da operazioni di comunicazione a terzi, dall'utilizzo improprio e dalla perdita delle informazioni oggetto di trattamento, soprattutto in ragione del novero dei soggetti coinvolti, dei volumi e dei tipi di dati trattati, nonché dell'estensivo utilizzo di interfacce radio, strutturalmente di particolare vulnerabilità. Le misure di sicurezza da adottare secondo l'Autoriotà devono essere in grado di proteggere i dati trattati dai rischi di interferenze ingiustificate e/o manomissioni e, prima ancora, di minimizzare i rischi, laddove possibile. In tale prospettiva ed allo scopo, altresì, di valutare i possibili rischi del trattamento nel corso dell'intero ciclo vitale del prodotto o della fornitura del servizio, l'Autorità ritiene auspicabile che fin dalla fase della progettazione dei servizi e degli oggetti destinati ad interagire nell'Internet of things gli operatori coinvolti ricerchino soluzioni improntate ad una concreta applicazione dei paradigmi e delle strategie basate sul cd. approccio di privacy and data protection by design. Allo scopo di favorire un generale incremento del livello di fiducia (trust) tra interessati e titolari l'Autorità intende favorire la più ampia partecipazione possibile dei soggetti interessati, sia in adempimento di una logica partecipativa, sia con l'obiettivo di acquisire osservazioni e commenti sul fenomeno oggetto di interesse e sulle relative modalità attuative, nonché eventuali proposte operative e ravvisa l'opportunità di avviare una consultazione pubblica volta ad acquisire elementi conoscitivi in merito alle tematiche sopra delineate, con specifico riguardo agli aspetti implementativi dei principi enunciati nonché alle criticità riscontrabili o anche già sperimentate nel settore di riferimento.
Nessun commento:
Posta un commento