Smart Building e data-protection: la governance (e le responsabilità) nella gestione dei dati personali

3 Giugno 2019 Smart Building Italia


Guardiamo le soluzioni di gestione degli ambienti domestici, della mobilità, delle risorse idriche ed energetiche e dell’industria. Immaginiamo il futuro e lo scopriamo presente. La ragione della fortuna dei sistemi evoluti di gestione degli ambienti si deve ricercare nella combinazione di alcuni fattori:

  • La capacità di acquisire informazioni sull’ambiente circostante
  • L’interconnessione tra strumenti e persone
  • La capacità di compiere azioni in risposta a comandi diretti o a eventi esterni
  • L’elaborazione dei dati raccolti, incrociati con quelli di milioni di utenti

Il risultato è la nascita di un florido mercato di servizi collegati all’implementazione di soluzioni evolute, un mercato talmente ricettivo che ha spinto CISCO a prevedere 50 miliardi di dispositivi attivi e connessi nel 2020. Ad oggi, le soluzioni smart home prodotte da Amazon, dando credito alle dichiarazioni di Dave Limp (Senior Vice President of Devices and Services at Amazon) hanno raggiunto più di 100 milioni di utenti nel mondo. A questo boom commerciale deve necessariamente corrispondere una accresciuta attenzione alla tutela dei dati personali, indispensabile per conquistare la fiducia del cliente e per garantire trasparenza e sicurezza.

Bisogna sapere che i dispositivi IOT sono diventati il principale bersaglio degli attacchi informatici. Gli insufficienti livelli di sicurezza offrono facilmente il fianco a pratiche di sorveglianza attiva sulle abitudini degli utilizzatori siano essi privati cittadini o aziende che, spesso inconsapevolmente, introducono nelle proprie reti sistemi imperfetti che espongono al rischio di perdita o compromissione di dati strategici o comunque indispensabili a garantire i diritti delle persone. In nostro aiuto interviene il Regolamento Generale sulla Protezione dei Dati Personali (GDPR 2016/679/EU) e il Codice Privacy (D.lgs. 196/2003 così come novellato da D.lgs. 101/2018).

Ruoli e funzioni previsti dal GDPR

Quando parliamo di trattamento di dati personali è indispensabile individuare correttamente il proprio ruolo e quindi possiamo essere:

  • L’interessato: la persona fisica a cui appartengono i dati che ci si trova a gestire, non necessariamente il cliente ma pure i famigliari, i collaboratori, i parenti, gli ospiti e così via.
  • Il Titolare del Trattamento dei dati personali: la persona fisica o giuridica che ha l’onere di garantire la sicurezza dei dati personali trattati per conto dell’interessato nell’erogazione dei servizi richiesti da quest’ultimo, determinando le finalità e le modalità della gestione dei dati personali.
  • Il Responsabile del trattamento di dati personali: la persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento, stabilendo le modalità di trattamento in base alle indicazioni ricevute dal titolare e sotto la sua diretta responsabilità.
  • Il Co-Titolare del Trattamento di dati personali: la persona o la personalità giuridica che tratta dati personali assieme ad altro soggetto differenziando finalità e modalità del trattamento.

L’interessato ha diritto ad essere pienamente consapevole di come vengono gestiti i suoi dati personali e da chi. In questo contesto assume particolare importanza la gestione di informative facilmente comprensibili, la modulazione di contratti chiari e dettagliati che diano libertà di scelta per i trattamenti non strettamente collegati ai servizi offerti.

E quindi?

Per affrontare al meglio le sfide che questo mercato porta con sé è necessario cominciare a farsi le giuste domande e pertanto se:

Sei un cliente:

  • Hai piena consapevolezza di quali siano i dati raccolti dai dispositivi?
  • Sei in grado di sapere chi li gestisce? E in che modo?
  • Sai se vengono archiviati? E dove?

Sei un produttore:

  • Ti sei chiesto quali dati servano a garantire la funzionalità dei dispositivi? Se ve ne sono alcuni raccolti ma non necessari, puoi farne a meno?
  • Hai considerato, fin dalla progettazione, la tutela dei dati personali?
  • Se decidi di appoggiarti a un soggetto esterno (ad es. per il cloud, per l’assistenza, per la gestione dei software o per l’integrazione con altri sistemi), sei sicuro che adotti a sua volta misure di sicurezza adeguate? Quali strumenti hai disposizione per verificarne l’operato?
  • Hai predisposto un piano di interventi in caso di perdita, violazione o compromissione dei dati (Data Breach)?
  • Hai creato un’informativa chiara e trasparente?
  • Ti sei preoccupato di dare la possibilità all’utente finale di esercitare i propri diritti?
  • Sei consapevole delle tue responsabilità verso il cliente?
  • Se svolgi un’attività di assistenza o manutenzione successiva, pensi che sia indifferente se ti rivolgi a un privato o a un’azienda?
  • Hai individuato i possibili rischi per le persone? Quali sono le contromisure che hai previsto a tutela delle stesse?

Sei un rivenditore o integratore di sistemi:

  • Sei consapevole delle tue responsabilità verso l’utente finale?
  • Indipendentemente dalle attività di trattamento svolte dai dispositivi prodotti da altri, sei in grado di accedere alle informazioni che su di essi transitano anche successivamente all’implementazione?
  • Il tuo cliente lo sa? L’hai informato correttamente?
  • Hai previsto misure di sicurezza adeguate a evitare accessi non autorizzati?

Ripartiamo dai fondamentali:

Ricordate che per poter gestire dati personali altrui è indispensabile strutturare un sistema rispondente ai seguenti principi

  • Liceità dei dati in possesso, ovvero i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • Limitazione della finalità, quindi i dati sono raccolti per finalità determinate, esplicite e legittime;
  • Minimizzazione, i dati raccolti devono essere pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • Esattezza, ossia, i dati personali raccolti saranno esatti e, se necessario, aggiornati;
  • Limitazione della conservazione, quindi i dati dovranno essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • Integrità e riservatezza, cioè trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, tutelandoli così da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

In conclusione

Le opportunità del mercato delle soluzioni smart crescono di pari passo con le innovazioni tecnologiche. È evidente che solo chi sarà in grado di affrontare le sfide legate alla costruzione di sistemi sicuri e rispettosi della riservatezza delle persone, riuscirà a trarne appieno i benefici. Vi saluto con un consiglio: restate curiosi, le domande valgono più delle risposte.

Autore: Fabio Trevisanato @REGGIANI CONSULTING #PRIVACY EXPERT

 

F5 LABS THREAT ANALYSIS REPORT;   OWASP Internet of Things (IoT) Top 10 2018