DATA PROTECTION

Radio analitica: impatti e conseguenze in ambito GDPR delle tecnologie di analisi del Wi-Fi

Lo sviluppo di tecnologie di analisi delle onde radio (Wi-Fi tracking, wireless positioning, wireless sensing) potrebbe sfociare nell’analisi di dati biometrici e addirittura delle emozioni degli interessati, anche a loro insaputa e riducendone ulteriormente la sfera di riservatezza. Ecco gli impatti privacy della radio analitica

08 Apr 2020
Z
Alfredo Zallone

Avvocato, Consulente Privacy


La radio analitica, ossia l’analisi di onde radio, in particolare Wi-Fi, al fine di interpretare e “decifrare” la realtà che ci circonda[1], è un’attività che già da qualche anno ha richiamato l’attenzione delle Autorità di controllo della protezione dei dati di molti paesi europei, soprattutto con riguardo all’attività di analisi dei dati Wi-Fi[2] ed in particolare il Wi-Fi tracking[3].

Il perché è presto detto. Attualmente si stima vi siano tra i 25 e i 30 miliardi di dispositivi[4] connessi, tra cellulari, sistemi di scurezza, televisori, frigoriferi, sensori ambientali, veicoli e molti altri oggetti che possono trasmettere dati e comunicare tra loro o con persone. Con la proliferazione di applicazioni di IoT (Internet of Things) sarà possibile misurare, raccogliere e registrare virtualmente qualsiasi informazione che possa essere captata con tali dispositivi.

Lo sviluppo di queste tecnologie porta dunque con sé conseguenze rilevanti anche in materia di protezione dei dati personali. Oltre ai dati forniti volontariamente e consapevolmente da parte degli interessati, vi sono molte informazioni che vengono comunicate costantemente da parte di questi dispositivi di cui gli interessati non hanno piena contezza o, nel peggiore dei casi, non conoscono l’esistenza.

Come vedremo tra poco, tuttavia, queste tecnologie sono oramai in via di obsolescenza e la ricerca sta spingendo molto su nuove forme di analisi dei dati che potranno essere effettuate anche quando non si è connessi ad una rete Wi-Fi, o addirittura quando non si portano addosso dispositivi Wi-Fi. Cercheremo di dipingere una panoramica delle attuali tecnologie disponibili e delle sfide derivanti da esse.

Radio analitica: il Wi-Fi tracking

Il Wi-Fi tracking è una tecnologia oramai già radicata e diffusamente utilizzata a livello commerciale di tracciamento della posizione di una persona mediante analisi del segnale Wi-Fi emesso da dispositivi in suo possesso.

Una delle tecniche più comuni prevede che il tracciamento avvenga grazie al fatto che ogni dispositivo dotato di connessione Wi-Fi ha una scheda di rete identificata univocamente da un indirizzo chiamato MAC Address (Media Access Control).

Quando viene tenuto acceso il Wi-Fi su un dispositivo, questo invia delle richieste, dette probe requests (letteralmente “richieste sonda”), per verificare quali reti disponibili ci siano nelle vicinanze (alle quali poi l’utente si potrà eventualmente connettere). Nel fare ciò, l’utente invia anche il proprio MAC Address, che può venire captato, memorizzato e analizzato.

Le principali applicazioni di questa tecnologia sono relative alle analisi statistiche di passaggio in una certa zona, dei tempi di permanenza e ritorno, specie in luoghi quali centri commerciali e negozi.

Radio analitica: il wireless positioning

Il wireless positioning è una tecnologia analoga al Wi-Fi tracking che permette di calcolare la posizione di un oggetto o persona anche e soprattutto in ambienti indoor, analizzando il segnale trasmesso da un dispositivo con Wi-Fi attivo.

Trattasi di una tecnica di calcolo della posizione indoor mediante l’analisi dati trasmessi via Wi-Fi. Le modalità per raggiungere questo risultato sono varie, una delle più classiche è il fingerprinting, che necessita di uno strumento di invio dei segnali (tipicamente lo smartphone di una persona) e di uno dispositivo di ricezione del segnale.

A seconda del RSSI (Received Signal Strength Indication) e del MAC Address è possibile calcolare la posizione del primo dispositivo comparandola con un database preesistente con cui comparare i dati ricevuti. Va detto che questo servizio funziona in modo efficiente soprattutto quando il client è connesso al Wi-Fi, e comporta a tutti gli effetti un trattamento analogo alla geolocalizzazione.

Questa tecnica può essere utilizzata per mappare l’utilizzo degli spazi di un ufficio, al fine meglio organizzarli, o per analizzare i flussi di visitatori, ad esempio in stadi ed altri luoghi affollati, per determinare percorsi seguiti, durata della permanenza, frequenza di visita.

Possono poi essere svolte attività di vero e proprio asset tracking, ossia di calcolo della posizione di persone, veicoli, animali e oggetti utilizzando un Wi-Fi tag.

Infine, l’analisi dei profili di movimento permette di effettuare calcoli e previsioni riguardanti l’utilizzo dello spazio e lo sfruttamento della capienza massima di un luogo.

Radio analitica: il wireless sensing

Le due tecnologie sopra menzionate, ad ogni modo, sono strettamente legate alla presenza di due dispositivi: uno che invii un segnale da tracciare, l’altro che lo riceva a lo analizzi. Questo ostacolo fondamentale è oramai stato oltrepassato dal wireless sensing.

Sappiamo che eventi e attività umane e la presenza di oggetti influenzano la propagazione dei segnali wireless. Pensiamo ad esempio all’intensità del segnale Wi-Fi: più si è vicini al router, migliore sarà il segnale ricevuto dal dispositivo; più ci si allontana e si frappongono oggetti e pareti tra il dispositivo ed il router, più il segnale sarà più debole.

Allo stesso modo, la presenza di oggetti o di persona, nel raggio di propagazione del segnale ne modifica l’intensità del segnale e permette di analizzare eventi e comportamenti umani attraverso l’interpretazione della variazione delle onde radio. L’analisi di tali variazioni è detta wireless sensing.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

La efficacia del wireless sensing dipende in larga parte sulla ricchezza delle informazioni che possono essere estrapolate dai segnali radio, mentre la qualità delle informazioni dipende dalla banda attraverso la quale i segnali sono trasmessi. L’aumento della banda disponibile permette di effettuare migliori analisi sugli oggetti presenti in una determinata area, specie se “indoor”, con tecniche per permettono di utilizzare tali oggetti come “antenne virtuali” invece che come elementi di interferenza[5].

Questa tecnologia, particolarmente utile per la mappatura di ambienti indoor, permette di analizzare dei comportamenti mediante l’interpretazione delle micro-modifiche del segnale dovute a movimenti, gesti, nonché segni vitali quali il battito cardiaco, che potranno essere “catturate” senza che le persone indossino alcun tipo di dispositivo.

Il tutto, con accuratezza al centimetro in ambienti indoor, al punto da poter offrire una funzionalità di tracciamento indoor umano o di qualsiasi oggetto, senza necessità di alcun tipo di infrastruttura, con la sola necessità di una rete Wi-Fi o di una rete LTE[6].

Visto il livello di dettaglio e precisione delle informazioni che possono essere trattate, le possibili applicazioni di questa tecnologia includono il monitoraggio dell’attenzione e rilevamento del sonno (attraverso il calcolo dei battiti di ciglia), il rilevamento attraverso i muri, la geolocalizzazione indoor, la rilevazione di eventi, nonché il monitoraggio e l’analisi a distanza di segnali biometrici e vitali, detta “Radio biometrics[7].

Problemi più rilevanti dell’analisi di onde radio

Com’è facilmente immaginabile, queste tecnologie potrebbero essere particolarmente invasive per la riservatezza delle persone fisiche coinvolte.

Partendo dall’esempio del Wi-Fi tracking, infatti, si sfrutta un semplice fenomeno al fine di raccogliere dati, ossia il fatto che quasi nessuno si ricorda di disattivare il Wi-Fi quando termina di utilizzare una rete. Quasi tutti noi infatti, uscendo di casa, non abbiamo la premura di disattivare il Wi-Fi del nostro cellulare. Ciò comporta che il nostro cellulare continui ad inviare probe requests e, dunque, qualsiasi dispositivo in grado di captare tali segnali può raccogliere i dati del MAC Address e analizzarli. Analogo discorso vale per la localizzazione del cellulare mediante Wi-Fi positioning.

Inutile soffermarsi sulla qualificazione del MAC Address quale dato personale ai sensi del Regolamento (UE) 2018/679 (“GDPR”): essendo un identificativo univoco del dispositivo, se questo è personale in linea di massima il MAC Address andrà considerato a sua volta quale dato personale.

Questo vale anche qualora venga utilizzata la tecnica di MAC randomization, con la quale il dispositivo genera casualmente un MAC Address diverso ogni volta che invia una probe request[8].

Nel caso del Wi-Fi sensing, invece, subentra un tema ulteriore: in tal caso la raccolta di dati può avvenire a prescindere dalla presenza di un dispositivo con Wi-Fi acceso. Il Wi-Fi tracking, il Wi-Fi positioning (e quando vi saranno applicazioni commerciali, il Wi-Fi sensing), dunque, sono sicuramente da considerarsi quali “tecnologie innovative” su cui svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR.

In tutti questi casi risulta infatti gradualmente sempre più complesso garantire il rispetto dei principi di trasparenza, correttezza e liceità del trattamento.

Alcune Autorità di controllo si sono espresse in materia di Wi-Fi tracking in alcuni casi emblematici, in particolare l’Autoriteit Persoonsgegevens Olandese, con il caso Bluetrace del 2015, ed il CNIL francese con il caso JCDecaux del luglio 2015.

Wi-Fi tracking: il caso Bluetrace

La società Bluetrace offriva servizi di Wi-Fi tracking in concomitanza di negozi, stadi ed altri centri affollati. Tale trattamento permetteva ai negozianti di accedere ad informazioni economico-commerciali in relazione al loro punto di vendita: quanti soggetti entrano ed escono dal negozio, quanto tempo rimangono, sapere se ritornano eccetera.

Questa raccolta ed analisi di dati avveniva nonostante i clienti e passanti fossero totalmente ignari di tale trattamento. Per l’Autorità olandese il trattamento svolto con tali strumenti era ad alto rischio di discriminazione per gli interessati, specie se effettuato segretamente e sulla via pubblica.

Le informazioni, raccolte segretamente e senza alcun tipo di valutazione sulla base di liceità del trattamento, potevano rivelare dettagli sulla posizione degli interessati, nonché sulle loro abitudini di acquisto. Il trattamento, dunque, veniva effettuato in violazione dei principi di trasparenza e liceità. Inoltre, la raccolta dei dati avveniva su base costante, 24h al giorno, 7 giorni su 7. Questa impostazione era già illecita secondo la normativa previgente; in più a posteriori, applicando i principi fondamentali del GDPR, è in chiara violazione dei principi di minimizzazione dei dati, della limitazione della conservazione, nonché dei principi di privacy by design e by default.

L’Autorità olandese ha indicato che in questi casi il titolare dovrebbe individuare la base di liceità a fondamento del trattamento stesso, come ad esempio la richiesta di un consenso agli interessati, o la necessità di offrire propri servizi, ma sempre limitandosi a conservare i dati solo per il tempo necessario, al massimo per 24 ore, e raccogliendoli solo dalla minima area possibile, fornendo adeguata informativa.

Per il rispetto del principio di trasparenza, il titolare dovrebbe fornire adeguata informativa in sede di registrazione.

Tutto ciò vale per la raccolta dei dati in un esercizio privato, come un negozio. Per la raccolta dei dati in strada, invece, il tema è molto più delicato, in quanto le tutele per gli interessati devono necessariamente essere maggiori. Deve essere infatti garantito il diritto delle persone di muoversi liberamente senza essere letteralmente spiati.

Wi-Fi tracking: il caso JCDecaux

Proprio sulla scia di quest’ultimo punto, il caso JCDecaux affronta il tema della raccolta dei dati personali presso una zona pedonale della Défense di Parigi, proposta dalla società JCDecaux e sottoposta a domanda di autorizzazione (l’equivalente della Verifica preliminare prevista dal nostro vecchio Codice Privacy).

La società, che si occupa della gestione di cartelli pubblicitari di vario tipo richiedeva l’autorizzazione all’installazione di dispositivi di Wi-Fi tracking sulla base dell’interesse legittimo di ottenere dati quantitativi sul flusso pedonale nella zona in questione, per verificare i volumi di frequenza, il tasso di ritorno e gli schemi di mobilità.

La società sosteneva che, in virtù di un particolare sistema di anonimizzazione delle informazioni raccolte, queste fossero adeguatamente protette, che i diritti e le libertà fondamentali degli interessati fossero rispettati e, soprattutto, che potesse essere evitata la consegna preventiva della informativa (in forza di una specifica eccezione prevista dalla normativa francese pre-GDPR).

In particolare, la tecnica avrebbe previsto la trasmissione ogni 2 minuti dei dati troncati delle ultime otto cifre del MAC Address, prima di essere prima di essere elaborato con l’uso di una “salted-hash function” (una funzione di hash nella quale, a grandi linee, viene aggiunto un valore all’oggetto hashato, detto salt), il cui valore di salt era conosciuto o conoscibile a JCDecaux.

Il CNIL ha ritenuto che tale tecnica, invece, costituisse una forma di pseudonimizzazione, e non di anonimizzazione. Per tale motivo, JCDecaux avrebbe dovuto rispettare tutti i principi di protezione dei dati personali, in primis quello della trasparenza.

La proposta della società in tal senso di esporre su fogli in formato A4 delle informative sui cartelloni pubblicitari, tuttavia, è stata ritenuta non idonea a tal fine. Il raggio di raccolta dei dati, infatti, era di 25 metri, e la semplice esposizione di tali cartelli non avrebbe potuto assicurare agli interessati il diritto di decidere se conferire i dati in questione o meno.

Per questi motivi, il CNIL ha vietato il trattamento.

Radio biometrics ed emotion recognition: spunti di riflessione

Cercando di declinare gli schemi interpretativi sopra individuati, risulta particolarmente arduo capire come le nuove tecniche di wireless sensing potranno in futuro trovare sbocchi applicativi sul mercato, in particolare per analisi di radio biometrics.

Come visto sopra, si tratta di attività di analisi dei dati dei segnali radio che “rimbalzano” e sono distorti dalla presenza di persone.

La capacità di calcolo di tali distorsioni è talmente alta da permettere di rilevare il battito cardiaco con precisione analoga a quella di un elettrocardiogramma e, da ciò, ne deriva la possibilità di rilevare le emozioni della persona[9] detta wireless emotion recognition[10], definita come “una tecnologia capace di riconoscere le emozioni di una persona utilizzando i segnali wireless riflessi dal suo corpo[11].

Benché come per ogni tecnologia vi possano essere molti sviluppi applicativi utili alla società, come ad esempio il rilevamento di stress sul luogo di lavoro, varrebbe anche la pena domandarsi fino a che punto valga la pena introdurre queste analisi nelle nostre case e nei nostri luoghi di lavoro senza gli opportuni controlli o garanzie sia per l’uso che ne viene fatto che per la riservatezza delle persone.

Sorgono in particolare molti dubbi sulla trasparenza, che come visto nel caso JCDecaux è un aspetto fondamentale da tenere in considerazione al fine di permettere agli interessati di non conferire i propri dati, qualora non vogliano farlo.

In secondo luogo, su che base di liceità fondare trattamenti di questo tipo? Laddove il consenso ovviamente sarebbe la situazione ottimale, come si potrebbe garantire di non trattare dati di chi non lo ha fornito?

Inoltre, sono molti gli interrogativi in materia di minimizzazione dei dati personali, di accesso e garanzia della possibilità di esercitare i diritti del GDPR, di tutele in materia di conservazione dei dati e di come tali dati possano essere incrociati, soprattutto in relazione a dati di assicurazione, o finanziari.

I possibili rischi sono dunque moltissimi: vale la pena, per una volta, parlarne prima che questi si presentino a noi come cosa fatta.

NOTE

  1. “[V]arious types of analytics, referred to as radio analytics, that can decipher the radio waves to reveal the activities around us, based on the wireless channel state information (CSI), can be developed to enable many cutting-edge IoT applications envisioned for a long time but never achieved.” The Promise of Radio Analytics: A Future Paradigm of Wireless Positioning, Tracking, and Sensing, IEEE Signal Processing Magazine, Maggio 2018, B. Wang, C. Chen, Q. Xu, F. Zhang.
  2. Wi-Fi location analytics, Information Commissioner’s Office, 16/02/2016.
  3. L’Autorità Garante per la protezione dei dati personali, già nella propria relazione annuale del 2017, segnalava il Wi-Fi tracking tra gli aspetti di maggior rilievo da tenere in considerazione in relazione alla proposta di Regolamento europeo sulla vita privata e le comunicazioni elettroniche volta a rivedere la direttiva 2002/58 (Relazione 2017, Autorità Garante per la protezione dei dati personali, 10/07/2018). Sulla stessa linea la “Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC)” dell’Article 29 Data Protection Working Party, 4 aprile 2017.
  4. Tratterebbe di 26 miliardi nel 2019 che dovrebbero arrivare a oltre 30 nel 2020, secondo questa statistica.
  5. Beibei Wang, Qinyi Xu, Chen Chen, Feng Zhang, K.J. Ray Liu, The Promise of Radio Analytics: A Future Paradigm of Wireless Positioning, Tracking, and Sensing, IEEE Signal Processing Magazine, 2018, nel quale si spiega chiaramente questo fenomeno da un punto di vista fisico “[t]his is because, when the bandwidth increases, one can see many more multipaths in a rich-scattering environment, such as indoors or in metropolitan areas, that can be treated as hundreds of virtual antennas and/or sensors”, p. 59.
  6. Beibei Wang, Qinyi Xu, Chen Chen, Feng Zhang, K.J. Ray Liu, infra, “we discuss how to achieve centimeter accuracy in wireless indoor positioning systems (IPSs) that can offer an indoor Global Positioning System (GPS)-like capability to track human or any indoor objects without any infrastructure, as long as Wi-Fi or long-term evolution (LTE) is available”, p. 60.
  7. In questo senso sia Beibei Wang, Qinyi Xu, Chen Chen, Feng Zhang, K.J. Ray Liu, infra, “In this section, we discuss a novel concept of radio biometrics utilizing the multipath CSI, based on which accurate human identification and verification can be implemented with commercial Wi-Fi devices, even in a through-the-wall setting”, p.72, sia WBA Wi-Fi Sensing Group, Wireless Broadband Alliance, Wi-Fi Sensing A New Technology Emerges, Ottobre 2019, “High-resolution sensing can be utilized to measure physiological and behavioral data for security and medical applications. Biometric data measurements include heartbeat and respiration rates. This information can be used for monitoring patients in a noninvasive and passive manner, […] Additionally, high-resolution sensing has security applications, such as in the case of polygraphs”, p. 15.
  8. Già con la decisione del 19 ottobre 2016 del Caso 582/14 – Patrick Breyer v Germany, la Corte di Giustizia dell’Unione Europea ha chiarito che l’IP dinamico sia da considerarsi quale dato personale. A fortiori, dunque, si può ritenere che anche il MAC Address lo sia.
  9. Le prospettive in relazione all’applicazione di questa tecnologia sono, da un punto di vista della protezione dei dati personali e della privacy, preoccupanti, specie se si pensa ai possibili abusi ed usi impropri che potrebbero derivarne. In questo senso A. M. Khalili, Abdel-Hamid Soliman, Md Asaduzzaman, Alison Griffiths, Wi-Fi Sensing: Applications and Challenges, Cornell University, arXiv:1901.00715 [cs.HC], 28 maggio 2019, “[t]he system transmits a wireless signal and analyses the reflections from the user body to recognise his emotions such as happiness, sadness, etc. The key building block of the system is a new algorithm that extracts the heartbeats from the wireless signal at an accuracy close to Electrocardiogram (ECG) monitors. The extracted heartbeats are then used to extract features related to emotions, then these features are used in a machine learning emotion classifier. The researchers demonstrated that the emotion recognition accuracy is comparable with the state of the art emotion recognition systems based on ECG monitors. The accuracy of emotion classification is 87% in the proposed system and 88.2% in the ECG based systems”.
  10. Ovviamente non si tratta di fantascienza: esistono già algoritmi che analizzano le emozioni e le classificano attraverso il machine learning. Inter alia.
  11. Mingmin Zhao, Fadel Adib, Dina Katabi, Emotion Recognition using Wireless Signals, MIT, ottobre 2016, “This paper presents a technology capable of recognizing a person’s emotions by relying on wireless signals reflected off her/his body” p. 11.
WEBINAR
DataOps, Cloud e AI: un approfondimento con gli esperti
Cloud
Hybrid cloud

@RIPRODUZIONE RISERVATA

Articolo 1 di 5