GDPR e IoT, l’impatto della normativa europea sulle tecnologie connesse

La diffusione dei sistemi IoT porta a una riflessione sull’impatto del regolamento GDPR su questi strumenti, relativamente alla protezione dei dati. Anche perché queste tecnologie includono sempre più ambiti del quotidiano e del lavoro. Utile dunque approfondire l’influenza che opera la normativa.

La diffusione dell’IoT

La possibilità di connessione in rete dei device ha comportato, concretamente, il mutamento della natura di un numero talmente elevato di oggetti che ora a far pare dell’IoT sono non solamente i computer, gli smartphone o i tablet, ma anche tutto ciò che sia integrato o che presenti una interazione con le “cose” di tutti i giorni, con oggetti del nostro quotidiano.

Si pensi alla domotica, a Siri, ad Alexa, alla geolocalizzazione, alla profilazione, agli wearable devices, ai droni, alle etichette con tecnologie RFID, ai dispositivi medici e chi più ne ha più ne metta.

La capacità di connettere in rete oggetti concreti, materiali, comporta per altri versi la registrazione, la raccolta, il trattamento di una mole enorme di dati, anche personali e particolari, a cui spesso non si pensa con la dovuta attenzione.

Ciò significa, in poche parole, analisi sempre più precise, intelligenti e predittive. Il che si tramuta in profili, preferenze e potenziale controllo sistematico. Database estremamente potenti in grado di generare ingenti valori, nel bene e nel male.

Semplici oggetti da sempre percepiti come inerti diventano oggi dispositivi intelligenti capaci di comunicare in modalità wireless.

GDPR, IoT e Digital Single Market

Se da un lato il Regolamento sulla protezione dei dati personali (GDPR) si è posto da subito in stretta correlazione con l’ambito IoT, nel tentativo di tutelare al meglio i dati personali e la loro intrinseca delicatezza dall’onda anomala degli smart devices, dall’altro, nel più ampio quadro del progetto del Mercato Unico Digitale (o Digital Single Market), il 18 dicembre del 2018 è entrato in vigore il Regolamento sulla libera circolazione dei dati non personali n. 2018/1807/UE.

Il primo ha portato prepotentemente alla ribalta, ex multis, i principi di accountability, limitazione della finalità e della conservazione, minimizzazione, integrità e riservatezza, privacy by design e by default, la previsione di un Data Protection Impact Assessment (DPIA) e di misure di sicurezza adeguate, i diritti di accesso, di opposizione e al non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati, così cercando di assicurare all’interessato ampie sponde entro cui arginare i rischi connessi al trattamento dei dati raccolti.

Il secondo, invece, intende spostare il focus sul potenziale delle New Tech – tra cui il cloud computing, l’AI e l’IoT – in tema di ottimizzazione dell’efficienza e di capacità di realizzare economie di scala.

Le nuove tecnologie dell’informatica offrono enormi vantaggi in tema di flessibilità, produttività, autonomia e rapidità di esecuzione, ma per poter sfruttare tale potenziale bisogna permettere una più facile e fluida mobilità dei dati non personali a livello transfrontaliero ed una fruizione semplificata dei servizi di cambio fornitore e portabilità dei dati, pur sempre garantendo la sicurezza delle informazioni unitamente alla facoltà di accesso e controllo da parte delle Autorità a ciò preposte[1].

Difatti, se “a norma del regolamento (UE) 2016/679, gli Stati membri non possono limitare o vietare la libera circolazione dei dati personali all’interno dell’Unione per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di dati personali”, il regolamento 2018/1807/UE “sancisce il medesimo principio di libera circolazione all’interno dell’Unione per i dati non personali, tranne nei casi in cui una limitazione o un divieto siano giustificati per motivi di sicurezza”[2].

Quali impatti, dunque, sul mondo dell’IoT?

Gli impatti sull’IoT

Anzitutto, individuando quali ostacoli alla mobilità dei dati e del mercato interno gli obblighi in materia di localizzazione dei dati e le pratiche di “vendor lock-in[3]”, il Regolamento 1807/2018 si autodefinisce inteso unicamente a salvaguardare la libertà delle imprese di stipulare contratti, garantendo che il luogo di localizzazione dei dati possa trovarsi ovunque nell’Unione[4]. In altre parole, è la lotta alla localizzazione come sostituto della sicurezza dei dati.

Difatti, all’articolo 4, comma 1 si legge: “Gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità”[5].

Sul punto e con riguardo alla legge applicabile alla contrattualistica, il contratto di prestazione di servizi, in linea di principio, sarà disciplinato dalla legge del paese in cui il prestatore di servizi ha la residenza abituale, laddove non sia stata scelta diversamente a norma del Regolamento[6].

Quest’ultimo, inoltre, con riferimento alla portabilità dei dati, al Considerando 30 rileva quanto sia opportuno che “gli utenti professionali siano in grado di compiere scelte informate e di confrontare facilmente i singoli elementi dei servizi di trattamento di dati offerti nel mercato interno, anche sotto il profilo delle clausole e condizioni contrattuali di portabilità dei dati al termine del contratto.

Per mantenere il passo con la potenziale innovazione del mercato e tener conto dell’esperienza e delle competenze dei fornitori di servizi e degli utenti professionali di servizi di trattamento di dati, le informazioni dettagliate e i requisiti operativi per la portabilità dei dati dovrebbero essere definiti dagli operatori del mercato mediante autoregolamentazione, incoraggiati, agevolati e controllati dalla Commissione, in forma di codici di condotta dell’Unione che potrebbero contemplare clausole e condizioni contrattuali tipo”.

Assumerebbero, dunque, rilevanza strategica nella redazione dei codici di condotta le procedure per e il luogo in cui è effettuato il backup dei dati, i formati e i supporti dei dati disponibili, la configurazione informatica e la larghezza minima di banda della rete richieste, il tempo necessario per avviare la procedura di trasferimento dei dati e il periodo in cui i dati saranno disponibili per il trasferimento, nonché le garanzie di accesso ai dati in caso di fallimento del fornitore di servizi.

GDPR e IoT: l’applicazione delle norme

Come più volte accennato, il Regolamento si applica[7] al trattamento di dati elettronici diversi dai dati personali nell’ambito di un servizio offerto ad utenti residenti o stabiliti nell’Unione, indipendentemente dal fatto che il fornitore di servizi sia o non sia stabilito nell’Unione, o al trattamento effettuato da una persona fisica o giuridica residente o stabilita nell’Unione per le proprie esigenze.

Il tutto nel pieno rispetto dei diritti fondamentali riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea.

Le norme contenute nello stesso non si applicheranno, invece, alle attività che non rientrino nell’ambito di attuazione del diritto dell’Unione.

Si badi bene, qualora vi fosse un insieme di dati composto sia da dati personali che da dati non personali, il regolamento si applicherebbe solo ai dati non personali, mentre laddove i due sottoinsiemi non fossero distinguibili, l’applicazione del GDPR rimarrebbe impregiudicata[8].

In tale ottica, il regolamento 2016/679 e il 2018/1807 forniscono, quindi, un insieme coerente di norme che disciplinano la libera circolazione di diversi tipi di dati, tanto più che il secondo non impone alcun obbligo di archiviazione separata dei diversi tipi di dati[9].

Pseudonimizzazione, dato anonimo e anonimizzazione

Come si diceva, dunque, il regolamento n. 1807 si applica esclusivamente ai dati non personali, facendo salve le disposizioni tutte contenute nel GDPR. Distinzione, questa, che potrebbe sembrare, prima facie, piuttosto banale da operare.

Fra gli esempi specifici di dati non personali a cui si applica il citato Regolamento rientrano gli insiemi di dati aggregati e anonimizzati utilizzati per l’analisi dei megadati, i dati sull’agricoltura di precisione per monitorare e ottimizzare l’uso di pesticidi e acqua, o i dati sulle esigenze di manutenzione delle macchine industriali[10].

Ma soffermandosi, per esempio, sui concetti di pseudonimizzazione, dato anonimo e anonimizzazione si può ben comprendere quali possano essere prime complessità concrete.

Con riferimento alla prima misura di sicurezza, il GDPR viene in aiuto inquadrandola come quel trattamento che permette che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.

Perciò, fintanto che la conservazione (separata e soggetta a determinate misure tecniche e organizzative) di tali informazioni sia in grado di garantire che i dati non siano attribuiti a una persona fisica identificata o identificabile, nell’alveo di quale Regolamento andrà fatta ricadere?

Dipenderà dal grado di sicurezza e di difficoltà di riconduzione delle informazioni alla persona fisica, anche se sembra più verosimile l’applicazione del GDPR, che al Considerando 26 recita: “I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”.

La pseudonimizzazione, infatti, continua a permettere una identificazione dell’individuo persona fisica, anche se in maniera indiretta.

Dal concetto di cui sopra discende che “i principi di protezione dei dati non dovrebbero (…) applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”.

Ecco che quindi alle informazioni anonime – anche per finalità di statistiche o ricerca – non si applicherà il GDPR, mentre le stesse potranno rientrare nell’ambito del Regolamento 1807/2018.

L’anonimizzazione, invece, basandosi sulla rimozione di elementi che permettano di risalire alla persona fisica specifica, rende di norma quasi impossibile la reversibilità del dato e pertanto sembrerebbe pacifica l’applicazione del Regolamento 1807.

Ma tale misura può essere realizzata secondo differenti tecniche, due su tutte l’aggregazione e la de-identificazione.

Nel primo caso, trattandosi di dati aggregati e dunque di una sommatoria di dati di molti individui, la possibilità di una re-identificazione è decisamente remota.

Nella seconda, invece, i dati personali sono mantenuti intatti, ma specifiche informazioni di identificazione[11] vengono sostituite con identificatori anonimi.

Tale pratica presenta, quindi, dei profili di rischio in termini di identificabilità dell’interessato. Si pensi, per ipotesi, alla banca dati di una prigione che conservi i precedenti penali di un detenuto unitamente alla sua storia medica. Il detenuto, mediante i dati relativi alla fedina penale, potrebbe essere identificato anche senza il nome, e di conseguenza si potrebbe facilmente avere accesso non autorizzato anche alla sua storia medica.

Sul punto è il GDPR stesso a chiarire che qualora i progressi tecnologici consentano di trasformare dati anonimizzati in dati personali, tali dati verranno ovviamente interpretati e trattati come dati personali, con conseguente applicazione delle norme contenute nel GDPR.

Da ultimo, con riguardo alle tipologie di trattamenti soggetti al Regolamento 1807/2018, questi saranno da intendersi nell’accezione più ampia possibile, dovendo pertanto ricomprendere diversi livelli quali IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) o SaaS (Software-as-a-Service).

Non avrà dunque rilevanza se le operazioni di trattamento saranno effettuate internamente oppure esternalizzate, né inciderà il tipo di sistema della tecnologia dell’informazione utilizzato.

———-

[1] Si veda l’articolo 5, comma 1 del Regolamento 2018/1807/UE.

[2] Si veda considerando 10 della proposta di Regolamento.

[3] E’ così denominato il rapporto di dipendenza che si instaura tra un cliente ed un suo fornitore di beni o servizi, tale da impedire al cliente stesso di acquistare analoghi beni o servizi da un fornitore alternativo senza dover sostenere rilevanti costi e rischi.

[4] Si veda il Considerando 3 del Regolamento.

[5] Per dovere di completezza, “Il primo comma del presente paragrafo fa salvo il paragrafo 3 e gli obblighi di localizzazione dei dati stabiliti sulla base del diritto vigente dell’Unione”.

[6] Considerando 16 del Regolamento.

[7] Articolo 1, comma 1 del Regolamento.

[8] Articolo 2, comma 2 del Regolamento.

[9] Considerando 10 del Regolamento.

[10] Considerando 9 del Regolamento.

[11] Ad esempio il nominativo.