Intervista alla Dott.ssa Lavinia Vizzoni: “Domotica e Diritto. La Smart Home tra regole e responsabilità”

In occasione della pubblicazione del volume Domotica e Diritto. La Smart Home tra regole e responsabilità, la Redazione di DIMT ha intervistato la Dott.ssa Lavinia Vizzoni. La Dottoressa è da Novembre 2020 Assegnista di ricerca in materia di “Commercializzazione dei dati personali fra autonomia privata e diritti fondamentali” presso l’Università di Siena. A gennaio 2021 Assegnataria del ruolo di D.P.O., Data Protection Officer (Responsabile della Protezione dei dati personali), di CISIA, Consorzio Interuniversitario Sistemi Integrati per l’Accesso a Pisa.

 

Dott.ssa Lavinia Vizzoni

 

In relazione all’avvento della tecnologia all’interno delle abitazioni, potrebbe parlarci di cosa si intende oggi per Smart Home?

L’espressione “Smart Home” si riferisce all’abitazione altamente automatizzata, connotata dall’operatività, all’interno di essa, di soluzioni “intelligenti”, ossia impianti e/o dispositivi tra loro collegati e comunicanti che consentono all’utente la gestione, la programmazione e il controllo degli stessi in qualsiasi momento ed anche da remoto.

La relativa fenomenologia è quanto mai vasta: frigoriferi intelligenti che avvertono quando gli alimenti sono in scadenza, lavatrici e altri elettrodomestici che sono in grado di segnalare eventuali guasti e richiedere autonomamente al produttore un ricambio o un intervento manutentivo; termostati smart che regolano le temperature delle nostre case e monitorano i consumi; robottini per le pulizie che realizzano vere e proprie mappature degli spazi interni; chiavi di casa che dialogano via smartphone con app di controllo; lampadine che non si limitano ad accendersi all’ora prestabilita ma adattano anche l’intensità della luce emessa alla qualità del sonno monitorata sull’utente; persino caffettiere intelligenti, che adeguano la quantità di caffeina nel caffè, sempre in base ai bisogni registrati nell’utilizzatore. Per non parlare, poi, degli “ultimi arrivati” in un gran numero di abitazioni, anche grazie al relativo costo, tendenzialmente contenuto: i c.d. smart home speaker, come Alexa e Google Home, ossia assistenti digitali intelligenti che si dimostrano in grado di dialogare con gli esseri umani al fine di soddisfare diversi tipi di richieste o di compiere determinate azioni, che spaziano dal rispondere alle domande più comuni al fissare appuntamenti, all’impostazione di sveglie, timer e promemoria, sino alla riproduzione di musica o notiziari, alla fornitura di previsioni meteo e di traffico, nonché alla somministrazione di traduzioni in varie lingue e persino di barzellette.

Specialmente gli smart home speaker possono essere facilmente interconnessi con altri oggetti e servizi presenti negli spazi domestici, quali elettrodomestici, smart TV, e impianti (elettrici, di sicurezza, di videosorveglianza ecc.). In tal modo, la presenza di un unico prodotto smart agevola lo svolgimento di funzioni domotiche anche da parte di altri dispositivi, rendendo l’intera abitazione coperta dal concreto funzionamento di soluzioni domotiche.

I vantaggi dell’automazione di un ambiente domestico, sul piano empirico, sono molteplici: dall’incremento del livello di sicurezza dell’abitazione, al maggiore risparmio nella gestione degli impianti energetici e dei relativi consumi, sino alla possibilità di rendere l’habitat quotidiano più accogliente e gradevole per chi lo abita.

Non mancano però altrettanti rischi su una molteplicità di versanti, meritevoli di approfondimento attraverso la lente del giurista.

 

Parlando di disciplina di trattamento dei dati personali quali sfide sollevano le Smart Home? La disciplina dei contratti relativa alla vendita di prodotti domotici, in quale misura è rimasta coinvolta da questi processi di innovazione tecnologica?

Quanto al primo profilo, come già accennato, nella smart home l’intera quotidianità dell’uomo si muove in uno spazio che si arricchisce di sensori: è il mondo dell’Internet of things, anzi, dell’Internet of (Every)thing, in cui una moltitudine di dispositivi intelligenti sono collegati e avvolti da una “nuvola di dati” che chi vive nella casa o anche solo chi vi transita rilascia.

È evidente il ruolo di primo piano rivestito, in questo contesto, dalla disciplina in materia di trattamento dei dati personali, in primis dal GDPR; tuttavia diverse soluzioni normative, dinanzi alla concreta operatività dei dispositivi domotici, svelano una particolare debolezza o problematicità.

Già alcuni principi declamati dal Regolamento europeo si attagliano con difficoltà a scenari tecnologicamente evoluti, specialmente laddove — e questo può senz’altro accadere — il trattamento dei dati raccolti dalle applicazioni smart si traduca in un’attività di Big data analytics.  Fra questi, i tre principi tra loro strettamente connessi della minimizzazione dei dati trattati (art. 5, 1° c., lett. c) GDPR), della limitazione della loro conservazione (art. 5, 1° c., lett. e) GDPR) nonché della limitazione delle finalità del trattamento (art. 5, 1° c., lett. b) GDPR): non è infrequente che spesso si assista a raccolte di dati personali in notevoli quantità, sicuramente eccessive rispetto alle finalità del trattamento, con la possibilità che questi vengano, peraltro, conservati oltre il necessario.

Di fronte a siffatto contesto, neppure l’anonimizzazione, anch’essa prevista dal Regolamento, e costituente una misura di protezione dei dati personali, a sua volta coerente con il principio di minimizzazione, dimostra particolare efficacia, poiché proprio rispetto a grandi volumi di dati raccolti da una pluralità di fonti, le pratiche di anonimizzazione risultano particolarmente inadatte, dal momento che l’incrocio di dati consente un’alta possibilità di re-identificazione dell’interessato, vanificando l’anonimato stesso.

Va inoltre tenuta in debita considerazione la circostanza per cui diversi device smart, specie gli speaker intelligenti, sono idonei a raccogliere e trattare non solo dati che costituiscono caratteristiche personali dell’utilizzatore (sesso, età, ecc.), ma anche informazioni che rientrano fra le categorie particolari ex art. 9 GDPR, come i dati sanitari, e soprattutto i dati biometrici. L’attivazione e/o operatività dello speaker stesso dipende infatti dal comando vocale; se poi lo smart assistant è dotato anche di videocamera lo stesso raccoglierà dati quali la conformazione dell’iride e le espressioni del volto, dalle quali ricavare persino stati emozionali, e sarà in ogni caso capace di geolocalizzare l’utente.

Ancora, ove l’obiettivo prioritario degli smart assistant sia la profilazione dell’utente a fini commerciali, per l’invio in particolare di pubblicità comportamentale, il trattamento dei dati sanitari e biometrici apre scenari molto delicati. Il rischio che si prospetta è legato alla presenza di bias, per tale intendendo quelle distorsioni che gravano le decisioni assunte da sistemi informatici automatizzati, le quali discriminano sistematicamente certi individui o gruppi di individui a favore di altri, negando opportunità o generando risultati indesiderati per motivi irragionevoli o inappropriati.

 

Quanto al secondo profilo, il rapporto dell’utente con il fornitore/produttore del prodotto domotico è un rapporto di tipo contrattuale: è infatti attraverso il contratto che si accolgono in casa i prodotti smart. In particolare, l’acquisto di un home speaker può considerarsi un vero e proprio caso paradigmatico che consente di vagliare con attenzione l’intreccio tra data protection e consumer protection, nell’intento di pervenire all’adozione di una soluzione incentrata sulla reciproca e positiva integrazione fra le due aree.

Nelle circostanze considerate, l’interessato al trattamento dei dati è lo stesso contraente partecipante all’operazione economica che implica (anche) il trattamento dei suoi dati. La qualifica di contraente dovrà determinare anche l’accesso, per la parte, alle relative tutele, a maggior ragione quando questi sia anche un consumatore.

La riconduzione al versante contrattuale della vicenda domotica consente in effetti di osservare come nel processo di conclusione del contratto di compravendita, o comunque di fornitura domotica, non di rado si possano individuare delle situazioni di vera e propria asimmetria a danno del contraente-utente, a maggior ragione quando questi sia un consumatore.

In primo luogo, l’utente non riesce a mantenere un adeguato controllo sul funzionamento dei beni stessi, soprattutto laddove si tratti di IoT devices.

Analogamente, il soggetto tende a perdere anche quello che dovrebbe essere un vero e proprio cardine della disciplina in materia di data protection, ossia il controllo sui propri dati, che dovrebbe porre un freno alla commercializzazione illimitata degli stessi. Ciò avviene non solo a causa della complessità dei trattamenti, spesso guidati da algoritmi oscuri, ma anche a causa della tendenza a sottostimare il valore dei propri dati personali.

L’interessato-contraente manifesta dunque difficoltà nel comprendere le peculiarità degli articolati trattamenti che vengono effettuati sui propri dati, e tendenzialmente acconsente a cedere, senza svolgere riflessioni adeguate e ponderate, masse di dati consistenti, ottenendo per effetto di ciò servizi, che sempre più di frequente vengono qualificati in termini di controprestazioni dal valore marginale.

Allo stesso modo, il problema dell’asimmetria si rivela sul piano negoziale: il contraente presta quello che è stato definito un consenso «forzato», finalizzato all’accesso a beni o servizi. Il consenso «illusorio» al trattamento dei dati si accompagna così ad un consenso che non è genuino neppure sul versante contrattuale.

Sul versante patologico della vicenda, ci si è domandati dunque se e come il vizio del contratto si riverberi sul trattamento dei dati personali, nonché, al contrario, quali conseguenze possa produrre sul contratto l’illiceità del trattamento dei dati.

Semplificando, con riferimento al primo interrogativo, si ritiene possibile che le cause di invalidità del contratto si riflettano sulla validità del consenso prestato: così ad esempio viene ritenuto invalido perché non libero il consenso prestato in relazione ad un contratto viziato da dolo o violenza. Con riguardo al secondo aspetto, si reputa che l’invalidità del consenso sia tale da inficiare la validità o quanto meno l’efficacia del contratto. È però incerta la scelta dello strumento attraverso cui armonizzare le sorti del contratto con quelle del consenso al trattamento.

In ogni caso, un ruolo di primo piano nella riflessione in materia è assunto dalla Direttiva UE 770/2019 che, nella prospettiva dell’implementazione del mercato unico digitale, mira all’armonizzazione in materia di contratti di fornitura di contenuto digitale o di servizi digitali, ed allude ad un’ampia valutazione che è da farsi sul regolamento contrattuale nel suo complesso, il quale dovrà risultare in primis conforme ai requisiti fissati dalla direttiva stessa. La valutazione di conformità da operarsi sui contenuti contrattuali non si arresta tuttavia ai requisiti per così dire “interni” alla direttiva, ma si spinge oltre, sino a richiedere la piena corrispondenza anche ai requisiti che scaturiscono da un vero e proprio “corpo normativo esterno”, ossia il GDPR. La difformità del contenuto o del servizio digitale può provenire infatti anche dal mancato allineamento con la normativa in materia di trattamento di dati personali.

 

Quale riflessione esiste oggi in merito alla creazione di un giusto sistema di tutela del soggetto che acquista, utilizza, consuma e produce dati personali nell’ambito della domotica?

La questione di fondo che affiora dalle sopra ricordate difficoltà applicative del GDPR inerisce sostanzialmente alla mancanza di autodeterminazione degli individui rispetto alle complessità che i trattamenti dei loro dati comportano; mancanza spesso non dovuta a precise intenzioni dei soggetti che intervengono in tali trattamenti, quanto piuttosto alla strutturazione dei trattamenti stessi, che risulta di difficile conoscibilità.

La soluzione ricercata dovrà dunque mirare, in primis, a restituire al soggetto autonomia decisionale; il che non potrà (più) avvenire passando dallo strumento tradizionale del consenso.

Solo garantendo un’autodeterminazione effettiva dell’interessato, questi potrà esercitare un controllo concreto sui propri dati e divenire consapevole dei rischi per i propri diritti e le proprie libertà ingenerati dal trattamento dei dati in sistemi complessi, ed assumere le decisioni conseguenti.

Dal momento che spesso né i titolari né i responsabili del trattamento posseggono gli strumenti adeguati per operare quell’analisi del rischio, che rappresenta un vero e proprio caposaldo del GDPR, si prospetta dunque la traslazione di siffatta analisi, tale che i rischi siano necessariamente e previamente valutati ad opera di terzi, in maniera sostanzialmente analoga a quanto già avviene in materia di sicurezza dei prodotti. Tali terzi potrebbero essere, come già suggerito, le Autorità garanti stesse. In questa prospettiva, la valutazione del rischio si sposterebbe, almeno parzialmente e indirettamente, anche a carico del produttore del prodotto smart, che verrebbe ad esempio ad essere gravato dell’obbligo di procurarsi idonea certificazione, una volta che il meccanismo di cui agli artt. 42 ss. GDPR sia pienamente operativo.

La soluzione dovrà dunque essere ricercata a monte, e la vera conformità al GDPR dovrà concretizzarsi nelle scelte di progettazione del dispositivo domotico; esso dovrà essere strutturato ad esempio sulla minimizzazione dei dati raccolti, o sull’uso di tecniche di crittografia e/o pseudonimizzazione, per quanto possibile, nella trasmissione degli stessi all’Internet Service Provider.

Si tratta allora di immettere sul mercato un prodotto che sia già testato non solo come efficiente (ad esempio sul versante energetico) e come sicuro, ma anche come conforme alla normativa, dal punto di vista dei trattamenti dei dati, dando in questo modo piena realizzazione al principio della privacy by design di cui al GDPR stesso (art. 25).

La data protection deve acquisire un ruolo autonomo appunto nel design — inteso come progettazione ma anche come applicazione di opportune business policies o strategie organizzative — del dispositivo, considerato complessivamente nelle sue componenti sia hardware che software.

Da ciò deriverebbe anche un significativo incoraggiamento, in favore dei produttori, verso l’adozione di criteri di tipo proattivo, anziché reattivo, nell’ottica appunto di prevenire potenziali lesioni ai danni degli interessati. Ne risulterebbe ulteriormente agevolata l’analisi sul versante della responsabilità, dal momento che un simile approccio consentirebbe di fondare il relativo regime proprio sull’obbligo dei soggetti coinvolti nell’attività di realizzazione degli impianti e device domotici di prevenire il danno mediante l’adozione di comportamenti in grado di minimizzare i pericoli derivanti dall’utilizzo degli stessi.

In questa direzione, la nozione di sicurezza del prodotto da tenere a riferimento non è più la mera sicurezza informatica o la sicurezza del solo processo di trattamento dei dati, ma, in un’ottica più ampia, la sicurezza che deriva dalla garanzia del rispetto dei diritti e delle libertà fondamentali della persona, che dall’operatività di quel prodotto possono essere compromessi.

 

 

Approfondimenti:

• Domotica e diritto. Problemi giuridici della smart home tra regole e responsabilità.