Internet of Things, per la privacy serve un approccio “by design”

Pubblichiamo di seguito un contributo del Prof. Giovanni Crea (Università Europea di Roma e Istituto italiano per la privacy e la valorizzazione dei dati) apparso il 4 dicembre scorso sul Corriere delle Comunicazioni  Nel 2003 sulla Terra vivevano all’incirca 6,3 miliardi di persone e il numero dei dispositivi connessi a internet si aggirava intorno a 500 milioni; l’internet of things non aveva ancora una propria connotazione in ragione di una modesta diffusione degli elementi connessi alla rete (il numero di oggetti collegati per singola persona era pari a 0,08). Nel 2010, con la diffusione di smartphone e tablet, il numero di dispositivi connessi a internet è salito a 12,5 miliardi, mentre la popolazione mondiale è passata a 6,8 miliardi; in quell’anno, dunque, il numero di dispositivi connessi per persona ha superato, per la prima volta, la soglia unitaria (1,84) (Cfr. D. Evans, Internet of things. Tutto cambierà con la prossima era di Internet, Cisco (Ed.), 2011, p. 4). Stando a queste linee di tendenza che danno il tasso di connessione in crescita (6,58 nel 2020), l’internet of things sembra essere la prossima frontiera della traiettoria evolutiva sociale rappresentata dalla condizione in cui le tecnologie dell’informazione e della comunicazione (Ict) dovrebbero integrarsi in modo pervasivo nello spazio off line, rendendo in qualche misura «intelligenti» anche elementi materiali, esterni ai soggetti pensanti e diversi dai tradizionali device.Gli addetti ai lavori, tra cui le autorità, illustrano e delineano il fenomeno con un’enfasi tale da infondere una percezione temporale piuttosto ravvicinata della sua realizzazione. Invero, malgrado la sua attualità, dovuta ad alcune innovative applicazioni nel settore energetico e all’introduzione di servizi di localizzazione geografica, il capitolo dell’internet degli elementi descrive un ecosistema digitale ancora teorico (ma non utopistico), il cui incardinamento sociale richiede tempi che se pure, auspicabilmente, potrebbero non essere prolungati come quelli della compenetrazione di precedenti tecnologie nel tessuto socioeconomico, si inquadrano verosimilmente nel lungo periodo. D’altro canto, non va nemmeno sottaciuta l’opportunità di valutare i vantaggi e i rischi – e le eventuali ipotesi di regolamentazione – di una situazione in cui l’uso di internet andrebbe oltre le attività economiche, sociali e istituzionali, distribuendosi capillarmente nell’ambiente, (proprio come oggi accade per il consumo energetico su cui si fonda l’operare umano). Le politiche europee volte a incoraggiare il passaggio a un modello di società caratterizzato dall’impiego diffuso e costante delle Ict hanno prospettato l’utilità dell’internet of things, sottolineandone le capacità innovative e i suoi effetti di miglioramento della qualità della vita, di incremento dell’iniziativa economica e, con essa, dell’occupazione. A tal riguardo vanno richiamate le iniziative della Commissione europea di istituzione di “programmi quadro” per incentivare l’adozione di tecnologie atte a creare ambienti intelligenti (cfr. Commissione europea, L’internet degli oggetti – Un piano d’azione per l’Europa, comunicazione n. 278 del 18 giugno 2009). Su questo punto, va osservato come la prospettiva della trasformazione degli elementi dell’ambiente in smart object abbia aperto a sperimentazioni e progetti di gestione e coordinamento di sistemi territoriali complessi (cfr. M. Gaiani, B. Martini, Processi e temi per una smartculturalcity, in Ricerca scientifica e tecnologie dell’informazione, n. 3, 2013, p. 5). Un esempio, in tal senso, se pure pressoché scontato, è quello dell’applicazione dei principi dell’internet of things ai centri urbani. Il modello smart cities è paradigmatico se si pensa che la concentrazione territoriale degli insediamenti umani, originata dalla rivoluzione industriale, ha posto la questione di talune sue esternalità, come l’inquinamento, la congestione del traffico, lo smaltimento dei rifiuti, la sicurezza e altre problematiche sociali (cfr. A. Cappuccio, P. Giacon, Smart communities: opportunità, in Microimpresa, n. 37, 2014, p. 14); questione a cui sembra possibile rimediare con la realizzazione di opportune infrastrutture «cognitive» distribuite. Sotto questo profilo, tali infrastrutture sono un esempio illuminante di evoluzione della specie in cui l’uomo cerca di superare i propri limiti, cognitivi e operativi, affidando alle Ict elaborazioni e attività complesse. Peraltro, l’esperienza della progressiva introduzione delle Ict nel tessuto sociale ci riporta alle ben note questioni riguardanti l’emersione di comportamenti che possono rivelarsi limitativi dei diritti fondamentali, tra cui quello alla protezione dei dati personali, e pregiudizievoli per la sicurezza dei sistemi costruiti sulle stesse Ict; problematiche, queste, che nella prospettiva di pervasività testé tratteggiata – alla luce della quale appare più appropriata la locuzione internet of ‘everythings’ – non possono che ampliarsi. Sotto questo aspetto, non potrà sfuggire come un tale fenomeno introduca elementi di complessità legati alle dinamiche della filiera produttiva sottostante, in cui operano imprese dell’industria delle Ict (produttori e sviluppatori di software, fornitori di servizi di computing, operatori di rete, figure intermedie che raccolgono e aggregano dati) che, in diverso modo, possono ricoprire un ruolo nel trattamento dei dati personali e nelle politiche di sicurezza dei sistemi di Ict. Il “Gruppo di lavoro art. 29”, nella sua opinion 8/2014, ha evidenziato come una simile complessa architettura sia suscettibile di originare un traffico di dati personali di notevoli dimensioni, spesso condivisi tra le imprese interessate e di cui gli utenti quasi certamente non hanno consapevolezza, in tal modo ponendo una questione di legittimità del trattamento; in questa prospettiva, appare opportuno – ancorché non scontato – individuare le responsabilità definite dalla disciplina di protezione dei dati personali. Questa e altre iniziative (in tal senso si veda la Declaration on the Internet of things adottata in occasione della Conferenza internazionale delle Autorità di protezione dei dati personali del 14 ottobre 2014; in ambito nazionale, si veda la deliberazione del 26 marzo 2015 con cui il Garante ha avviato una consultazione pubblica sull’argomento dell’internet of things) mostrano una crescente attenzione dei regolatori per un fenomeno le cui caratteristiche di ramificazione nell’ambiente destano non pochi interrogativi sul controllo che gli interessati possono realmente svolgere con riguardo al trattamento dei propri dati. Sul fronte della sicurezza, l’espansione delle Ict in chiave everythings ripropone, su scala decisamente più ampia, la prospettiva di eventi e comportamenti che potrebbero compromettere i sistemi interessati sotto i profili della disponibilità, dell’integrità e della riservatezza; condizione, questa, che Eugene Kaspersky – il fondatore dell’omonima società di sicurezza – ha etichettato come “internet delle vulnerabilità”. Sul punto, non va sottaciuto come la prospettiva di un aumento del numero di dispositivi connessi e di utenti con propensione a dotarsi di soluzioni smart stia attirando l’interesse degli hacker con tendenze al cyber crime a sviluppare malware specifici per questi dispositivi; sotto questo aspetto, gli esperti di sicurezza delle Ict di “Kaspersky lab” hanno già individuato le prime vulnerabilità di prodotti come Google Glass e Galaxy Gear 2. Lo sviluppo della grande rete nella direzione dell’internet degli elementi ripropone, una volta di più, quel dualismo che vede contrapposti i benefici dell’evoluzione tecnologica ai rischi legati alle vulnerabilità che la stessa racchiude, e dunque a possibili comportamenti di interruzione delle prestazioni attese ovvero di trattamento illegittimo di dati personali. In questa prospettiva, l’approccio data protection by design appare quello più appropriato sia per ridurre i rischi sia per superare la questione economica legata alla realizzazione di investimenti in sicurezza separati dal prodotto informatico. Sotto quest’ultimo profilo, la letteratura tecnica non ha mancato di osservare che i modesti livelli di investimento, registrati con riguardo a soluzioni di sicurezza di tipo stand alone, sono da ascriversi alla percezione, da parte delle imprese, dell’assenza di un ritorno economico, e alla necessità di non sottrarre risorse economiche a progetti di investimento su cui le stesse ripongono maggiori aspettative di reddito.