Benvenuti su GURU advisor

Recensioni professionali per il mercato IT

GURU advisor è il punto di riferimento per gli IT Manager, i System Integrator, i Managed Service Provider e per tutti i sistemisti o le aziende che offrono consulenza nell'ambito dell'Information Technology e cercano informazioni su tecnologie, modalità di vendita e hardware.

Portatile

Quali implicazioni giuridiche più rilevanti possono discendere dallo sviluppo dell’IoT, soprattutto nell’ambito dei dati personali? A quali profili occorre prestare attenzione nel loro sviluppo?

Questa rivista, nel recente passato, ci ha descritto l’Internet of Things nella rubrica “La parola del giorno” e proprio nello scorso numero ha dedicato un articolo all’argomento della protezione dei dispositivi IoT.
L’interesse prestato all’argomento può dirsi ben motivato: da uno studio realizzato nel recente passato da Aruba, “The Internet of Things: Today and Tomorrow”, emerge che i vantaggi economici di business derivanti dall’IoT paiono superare di gran lunga le aspettative e, quindi, è presumibile che vi sarà nell’immediato futuro un boom del suo sviluppo, soprattutto nei settori delle aziende che creano uno “smart workplace”, nel settore industriale, nella sanità, nel settore retail o nella “wearable computing” (ovvero la tecnologia indossabile, vestiti, occhiali, orologi che contengono informazioni interconnesse), nella Pubblica Amministrazione e nella domotica. Conseguentemente, soprattutto per la varietà dei settori di diffusione e, dunque, l’interesse generalizzato all’argomento, vi possono essere varie implicazioni e problematiche, per quanto ci interessa in questa sede giuridiche, discendenti dall’utilizzo dei dispositivi IoT.

Quali sono, in via generale, alcune delle principali problematiche giuridiche connesse all’uso di dispositivi IoT?

Innanzitutto, proprio la sicurezza dalle violazioni informatiche e, dunque, le misure di sicurezza da adottare preventivamente per proteggere i device da virus e attacchi informatici.
Strettamente connesso è il problema della tutela della Privacy: proprio per poter funzionare, i dispositivi raccolgono, infatti, una quantità rilevante di dati personali, talora anche sensibili. Come aveva dichiarato il Garante della Privacy in relazione al Privacy Sweep 2016 (ovvero un’indagine a tappeto a carattere internazionale, dedicata ogni anno ad un argomento diverso, e volta lo scorso anno proprio a verificare il rispetto della privacy nell’IoT) "L'Internet delle Cose è carico di promesse, che vanno da una migliore assistenza sanitaria ad un sempre maggiore efficientamento delle nostre abitazioni. Ma questi obiettivi devono essere raggiunti in piena trasparenza, informando chiaramente le persone sull'utilizzo che viene fatto dei loro dati personali, proteggendo questi dati da violazioni e usi impropri con adeguate misure di sicurezza e rispettando la libertà delle persone. E' essenziale adottare un approccio internazionale alla questione IoT: un'azienda se opera in modo non corretto nei confronti degli utenti può violare, ovunque essa si trovi, le norme sulla protezione dei dati e minare la fiducia nei nuovi oggetti intelligenti che dialogano e interagiscono tra loro".

Risultato dell’indagine Privacy Sweep 2016?

Su oltre trecento dispositivi elettronici connessi a Internet - come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione - più del 60% non ha superato l'esame dei Garanti della privacy di 26 Paesi.
Le questioni aperte e problematiche più rilevanti emerse andavano dalle informazioni fornite in merito a come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi, a come sono conservati, a come cancellare i dati dal dispositivo, alle modalità di contatto con il fornitore del cliente che voglia informazioni riguardo alla propria privacy.
La mancanza di una disciplina specifica rivolta all’argomento – che è anche uno dei maggiori problemi del settore, sia sotto il profilo dello sviluppo per le aziende sia dal lato della tutela degli utenti – è stato in parte superato dall’adozione del Regolamento europeo dei dati personali (GDPR) n.679/2016, di cui abbiamo già parlato nello scorso articolo in relazione agli obblighi a carico di un’azienda, conseguenti ad un Data Breach.

Oltre agli obblighi connessi al Data Breach, quali altre previsioni del Regolamento Europeo possono, in via principale, interessare un operatore economico nel mondo IoT?

Innanzitutto, in via generale, il GDPR prevede alcuni principi generali (art.5): “liceità, correttezza e trasparenza” del trattamento; i dati personali devono essere raccolti per finalità determinate, esplicite e legittime; i dati personali trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (“minimizzazione dei dati”); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (“limitazione della conservazione”); trattati in maniera da garantire un'adeguata sicurezza.
Inoltre, viene introdotto il concetto di privacy by design: l’attenzione alla tutela della privacy deve essere sviluppata dalle aziende sin dalla fase di progettazione dell’oggetto.
Ancora, la previsione di un Privacy Impact Assessment, disciplinato dall’art.35 del Regolamento n. 2016/679/UE, ovvero la necessità per i titolari di trattamenti di dati personali “allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, di predisporre preventivamente un documento che contenga almeno una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
Infine, merita un accenno la figura del Data Protection Officer (DPO), prevista nelle ipotesi indicate dall’art.37 del Regolamento UE, con compiti di informazione e sorveglianza nell’assolvimento di tutti gli adempimenti necessari e previsti – pena pesanti sanzioni – dalla nuova normativa privacy.
Sempre nuove sfide aspettano sicuramente in questo settore anche il mondo del diritto.

L'autore

Veronica Morlacchi

Laureata a pieni voti, è iscritta all’Albo degli Avvocati di Busto Arsizio dal 12.11.2004. Si occupa principalmente, nell’interesse di Privati, Professionisti e Aziende, di diritto civile, in particolare responsabilità civile (anche nell’ambito delle nuove tecnologie), persone e famiglia, contratti e immobili. Ha maturato consolidata esperienza in tali materie, in cui ha conseguito master e corsi di perfezionamento. Pubblica mensilmente un Magazine di aggiornamento giurisprudenziale sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor.

banner5

fb icon evo twitter icon evo

Parola del giorno

Don't be Evil è uno slogan interno di Google, ideato da due dipendenti Paul Buccheit e Amit Patel, nell'ottica di...

>

ZOPE è l'acronimo di Z Object Publishing Environment e indica un Web Server open source sviluppato in Python, che permette agli...

>

Il termine Bezel descrive l'involucro esterno (o scocca) di un computer, monitor o di un qualsiasi dispositivo di calcolo. La valutazione...

>

Il termine Random Forest è un costrutto utilizzato nell'ambito della Intelligenza Artificiale e al machine learning. Nello specifico si tratta di...

>

La cifratura (o crittografia) RSA è una tecnica di cifratura dati detta "a chiave pubblica" e sviluppata dalla RSA Data...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1