Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Iot e gdpr

Internet of Things: le sfide privacy del 2019

Nel 2019 sarà necessario adottare un’etica digitale che vada oltre l’essere compliant a delle normative: la privacy sarà un fattore abilitante nel guadagnare la fiducia di clienti e consumatori verso i vendor, soprattutto nel settore sempre più pervasivo dell’Internet delle Cose. Ecco le sfide (non banali) da affrontare

21 Gen 2019
Mario Frustaci

IT Security Consultant


Il 2019 forse sarà ricordato come il primo anno in cui l’internet delle cose ha cominciato a conquistarsi un posto nelle case degli italiani, in particolare dopo il successo delle vendite natalizie di Echo di Amazon.

A questo boom commerciale però dovrà corrispondere a breve anche una maturazione dei temi etici e della privacy nel digitale, che con l’internet delle cose incontrano nuove e complicate sfide.

I dati personali degli utenti di questi oggetti sono trattati spesso senza rispettare i principi di privacy.

I principi fondamentali della privacy

A proposito di privacy, in Europa il Regolamento UE 2016/679 (GDPR) [2], applicabile dal 25 maggio del 2018, tutela i cittadini dell’Unione da usi incontrollati dei loro dati personali[1]. Ma quali sono i principi fondamentali della privacy? Tali principi, relativi al trattamento[2] dei dati personali, sono esplicati nel capo II del GDPR (art. 5.1):

  • Liceità dei dati in possesso, ovvero i dati devo essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • Limitatezza delle finalità, quindi i dati sono raccolti per finalità determinate, esplicite e legittime;
  • Minimizzazione, i dati raccolti devono essere pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • Esattezza, ossia, i dati personali raccolti saranno esatti e, se necessario, aggiornati;
  • Limitazione della conservazione, quindi i dati dovranno essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • Integrità e riservatezza, cioè trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Vendor IoT alla sfida della privacy

Nei prossimi anni, la privacy giocherà un ruolo cruciale nel guadagnare la fiducia degli utenti/clienti verso i vendor IoT.

L’espressione “Internet of Things” (IoT) o “Internet delle cose” è stata coniata per definire la rete di oggetti “intelligenti”, diversi dai computer, connessi a Internet: dai frigoriferi che segnalano la scadenza dei cibi (smart home), ai dispositivi wearable per il fitness o ai dispositivi wireless impiantabili (come pacemaker) che segnalano al nostro medico eventuali anomalie corporee (smart healthcare), ai semafori intelligenti che si adattano dinamicamente alle condizioni di traffico per ridurre la possibilità di code o blocchi, e alle situazioni di emergenza (smart city).

Secondo Gartner [1], l’Autonomous Things (Internet of Autonomous Things o anche IoAT) sarà uno dei trend tecnologico per il 2019: stiamo parlando di device IoT che supportati dall’intelligenza artificiale saranno in grado di prendere decisioni autonome senza l’intervento umano (esempio sono le nuove smart car senza conducente).

Pertanto, sarebbe necessario che i produttori di tali dispositivi adottino in futuro delle best practice basate sui concetti di “Privacy by Design” e “Privacy by Default” (art. 25, C75-C79, del GDPR). A tal proposito il considerando 78 spiega meglio questi due concetti precisando alcune misure correlate:

…il titolare del trattamento [3] dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita..Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare[4] i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati…”

IoT e Gdpr: le principali sfide privacy

Di seguito sono presentate le principali sfide privacy per l’IoT, che a seguito dell’operatività del GDPR, dovranno trovare, al più presto, delle soluzioni applicabili.

Il controllo utente sui propri dati personali

In generale nelle interazioni tra dispositivi IoT, tra questi e le persone o altri sistemi back-end sono scambiati dei flussi automatici di dati personali che l’utente ha difficoltà a gestire e quindi a controllare determinando un’eccessiva esposizione dei dati personali del soggetto interessato verso terze parti. A questo punto se l’interessato non ha possibilità di controllare i propri dati personali come può esercitare in modo efficace quei diritti (accesso, limitazione, oblio e portabilità dei dati personali) previsti nel capo III del GDPR? La risposta a questo quesito è strettamente correlata all’adozione da parte dei produttori dei principi di Privacy by Design e by Default di cui abbiamo parlato sopra.

Qualità del consenso dell’utente

I meccanismi classici utilizzati per ottenere il consenso dei soggetti interessati al trattamento dei dati personali potrebbero essere di difficile applicabilità nell’IoT, con conseguente consenso “di bassa qualità” basato sulla mancanza di informazioni o sull’impossibilità effettiva di fornire un consenso in linea con le preferenze espresse dagli interessati. In pratica, oggi la maggior parte dei dispositivi IoT non sono generalmente progettati né per fornire agli utenti un’informativa esauriente al trattamento dei dati personali né a fornire un meccanismo valido per ottenerne il consenso. Chiaramente se all’utente non è data la possibilità di visualizzare un’informativa esauriente potrà non avere consapevolezza, ad esempio: dell’identità del titolare del trattamento, o degli eventuali destinatari dei dati personali, oppure delle finalità del trattamento e/o l’intenzione del titolare del trattamento di trasferire dati personali verso un paese terzo.

Pattern comportamentali e profilazione

L’acquisizione di informazioni isolate, anche anonime, provenienti da differenti dispositivi IoT unita alla capacità di analisi dei big data nel trovare correlazioni e creare collegamenti, può infatti consentire di determinare, analizzare e prevedere aspetti della personalità o del comportamento di un individuo, nonché i suoi interessi e le sue abitudini. Questo comporta la creazione di “profili” sugli individui ed in generale la formulazione di decisioni automatiche che potenzialmente possono incidere in modo significativo sui diritti e sulle libertà delle persone (creando discriminazioni ingiustificate e/o minando la libertà di scelta su prodotti e servizi). Si comprende, quindi, come il legislatore Ue abbia sentito il bisogno di regolamentarne l’ambito, sicché ai sensi dell’art. 22 del GDPR si è stabilito che «l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona».

Rischi per la sicurezza dei dati personali

L’IoT porta in dote diversi problemi di sicurezza dovuti sia alla negligenza dei produttori nel rispettare il principio di “security by design” e sia dovuti alla difficoltà degli stessi di implementare i principi di base della sicurezza informatica (confidenzialità, integrità e disponibilità dei dati) su dispositivi con risorse limitate (di elaborazione, storage e di energia).

Una ricerca degli F5 Labs [3] ha rivelato che i dispositivi IoT sono diventati il principale target colpito dai cyber criminali, superando i web and application services e i server di posta elettronica: questo è dovuto principalmente al fatto che essi sono esposti a diverse vulnerabilità [4] che permettono ai criminali pratiche di sorveglianza, data breach su sistemi aziendali con conseguente compromissione e furto anche di dati personali. Qualche anno fa, per esempio, le autorità tedesche hanno bloccato la commercializzazione di una bambola che era facilmente hackerabile e poteva essere usata per spiare i bambini, come una sorta di cavallo di Troia [5].

I livelli della sicurezza di un sistema IoT

Pensare alla sicurezza di un sistema IoT non è banale poiché deve essere vista secondo un approccio multi & cross layer, che coinvolge principalmente i seguenti 3 livelli [6]:

  • Percettivo: è il livello base, ma anche il più vulnerabile, che permette l’interazione con il mondo fisico attraverso sensori ed attuatori. Tra le tecnologie usate vi sono le WSN (Wireless Sensor Network), RFID (Radio-Frequency IDentification), GPS.
  • di Trasporto: permette il trasferimento delle informazioni verso gli altri livelli, con l’ausilio di access networks quali WiFi, 3G e soprattutto della core network, ossia Internet.
  • Applicativo: fornisce i servizi finali ai clienti (esempio smart city, smart healthcare, smart city, ecc.)

In conclusione

La Digital Ethics & Privacy sarà uno dei trend del 2019 secondo Gartner.  Parliamo della responsabilità morale che organizzazioni e imprese devono avere riguardo la pervasività dell’ICT nella vita delle persone. Da qui necessità di adottare una “etica digitale”, che vada oltre l’essere “compliant” a delle normative, e in tal senso la Privacy diventerà un fattore abilitante nel guadagnare la fiducia dei clienti, e dei consumatori.

SITOGRAFIA

[1]: Gartner Top 10 Strategic Technology Trends for 2019

[2]: GDPR reg. 679/2016

[3]: F5 LABS THREAT ANALYSIS REPORT

[4]: OWASP Internet of Things (IoT) Top 10 2018

[5]: “Le bambole spia”

[6]: M. Frustaci, P. Pace, G. Aloi and G. Fortino, “Evaluating Critical Security Issues of the IoT World: Present and Future Challenges,” in IEEE Internet of Things Journal, vol. 5, no. 4, pp. 2483-2495, Aug. 2018.

____________________________________________________________________

  1. «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  2. «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
  3. «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
  4. «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3