Internet delle cose, tutto cambia con il Regolamento Europeo

Il GDPR impatta sul tema IoT perlomeno sotto due profili: l’analisi dei rischi e la valutazione di impatto. L’IoT risentirà moltissimo delle novità normative in quanto oggi non è più possibile parlare di IoT ma solo IoT sicuro, non è possibile parlare di cloud, ma solo di cloud sicuro

Pubblicato il 27 Feb 2017

Gabriele Faggioli

CEO Gruppo Digital360, presidente Clusit, Responsabile Scientifico Osservatorio Cybersecurity and Data Protection Politecnico di Milano

internet-delle-cose-140729145506

L’internet of things è una realtà inarrestabile e milioni sono ormai gli oggetti interconnessi. Ognuno di noi quotidianamente, consapevolmente o meno, utilizza apparecchiature collegate alla rete.

Se da un lato l’IoT rappresenta una occasione imperdibile di avanzamento tecnologico e della qualità della vita delle persone dall’altro il tema della sicurezza degli oggetti in sé e dei dati personali che tramite le apparecchiature possono essere raccolti e/o trattati rappresentano argomento di grandissima attualità anche alla luce delle nuove previsioni di legge che diventeranno applicabili il 25 maggio 2018 sulla base del Regolamento Europeo n° 679/2016 (GDPR).

Il GDPR, infatti, contiene una serie di prescrizioni che chi affronta il tema dell’IoT non può non considerare in quanto viene previsto che il trattamento dei dati personali venga posto in essere dalle pubbliche amministrazioni e dalle aziende sulla base di principi che non si risolvono in una mera check list di adempimenti quanto invece in un sistema di gestione dei dati personali che inizia ben prima della loro raccolta ed in particolare quando l’oggetto o il servizio che permette il trattamento dei dati viene progettato.

Il GDPR prevede che, tenuto conto della tecnologia disponibile e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate all’attività di trattamento in corso e ai suoi obiettivi, quali la minimizzazione e la pseudonimizzazione dei dati.

In pratica, chi progetta apparecchiature che saranno interconnesse deve necessariamente fare una serie di valutazioni preliminari al fine di far sì che ciò che viene ideato, progettato, sviluppato, commercializzato e utilizzato risponda a criteri di sicurezza e privacy intrinseci.

A ciò si aggiunge che, sempre in base al GDPR, il titolare del trattamento deve mettere in atto opportune misure per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale principio vale sia per la quantità dei dati raccolti, che per l’estensione del trattamento, il periodo di conservazione e la loro accessibilità.

Oltre a tali principi di base essenziali l’IoT viene toccato dal GDPR anche sotto una serie di altri aspetti di grande rilevanza.

Uno dei temi più sentiti in questo momento storico è sicuramente il tema della sicurezza.

Sotto questo profilo il GDPR impatta sul tema IoT perlomeno sotto due profili: l’analisi dei rischi e la valutazione di impatto.

Ebbene, l’analisi dei rischi deve sempre essere fatta in quanto il GDPR stabilisce che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

In pratica quindi, occorre sempre effettuare una analisi dei rischi al fine di valutare se le misure di sicurezza ipotizzate durante la fase di progettazione della apparecchiatura che sarà interconnessa risultino adeguate. Ma questo non basta posto che il GDPR, pur non imponendo misure minime di sicurezza, impone di avere un processo per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, per garantire la sicurezza del trattamento.

In pratica quindi in caso di IoT l’apparecchiatura dovrà essere progettata sicura ma poi dovrà essere costantemente monitorato nel tempo che il livello di sicurezza sia sempre adeguato rispetto al rischio.

Per quanto riguarda la valutazione di impatto questa rileva ai sensi di legge quando la tipologia di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto delle operazioni di trattamento previste sulla protezione dei dati personali. Poiché la valutazione d’impatto sulla protezione dei dati è richiesta in particolare quando si abbia una valutazione sistematica e globale di aspetti della personalità degli interessati, basata sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati non chè quando il trattamento  di dati personali viene effettuato su larga scala ed in relazione a categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza, è evidente che la valutazione di impatto è adempimento che in moltissimi casi di apparecchiature interconnesse sarà obbligatoria.

Infine, si sottolinea come in caso di trattamento effettuato tramite apparecchiature interconnesse che possa presentare un rischio elevato e le misure per attenuarlo risultino tecnologicamente o economicamente impraticabili, sarà necessario effettuare la consultazione preventiva all’Autorità di Controllo (oggi Garante per la protezione dei dati personali).

Dalla veloce analisi delle disposizioni contenute nel GDPR sopra effettuata risulta chiaro come l’IoT risentirà moltissimo delle novità normative in quanto oggi non è più possibile parlare di IoT ma solo IoT sicuro, non è possibile parlare di cloud, ma solo di cloud sicuro e non è possibile parlare di mobile ma solo di mobile sicuro.

Si tratta in tutta evidenza di un cambio di prospettiva rilevantissimo che permetterà solo chi sarà in grado di coglierlo e declinarlo di restare sul mercato.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2