L’Internet of Things (IoT) porta nella sfera digitale oggetti di uso comune. Resi “intelligenti” dagli avanzamenti tecnologici, migliorano l’esperienza utente con servizi personalizzati sulla base delle preferenze e abitudini dell’utente. Le aziende che stanno rivoluzionando e arricchendo la propria offerta in una logica IoT si muovono però su un terreno minato. Essendo connessi e intelligenti i dispositivi IoT movimentano dati personali e come tali devono essere protetti e inviolabili. Esiste quindi un duplice tema: la privacy e la cybersecurity. Tutto ciò implica: da una parte la ridefinizione della progettazione del prodotto e dall’altra una responsabilità sociale dei produttori, che sono tenuti a preservare la riservatezza dei dati acquisiti.
Ri-progettare la sicurezza di prodotto
Riassumendo, un oggetto intelligente, che interagisce con l’ambiente circostante, presenta potenzialità senza precedenti in termini di miglioramento continuo del prodotto e dell’esperienza utente. Al contempo, però, espone a nuovi rischi sulla gestione dei dati che garantiscono la sua piena operatività. Come riuscire quindi a prevenire una gestione illecita e fraudolenta dei dati IoT?
Prendiamo come esempio una dimensione IoT come quella della domotica, in cui gli elettrodomestici - costantemente connessi alla rete wifi - parlano tra loro e interagiscono con l’utente attraverso comandi vocali, sms o app orchestrando i consumi energetici con i sistemi di smart metering. Ebbene, qualunque oggetto connesso è nativamente progettato per rivelare pattern comportamentali e abitudini d’uso e di vita quotidiana delle persone che lo utilizzano (utenti primari) o che stanno loro intorno (utenti secondari).
Ecco, quindi, che per coloro che sono coinvolti nella progettazione di un prodotto IoT – come ricordato da Eleonora Fiore, ricercatrice presso il Politecnico di Torino e relatrice al Privacy Day su Privacy e IoT - diventa fondamentale garantire la sicurezza dell’oggetto. Che non significa più soltanto la sicurezza fisica - non nocività e non tossicità dell’oggetto - ma sicurezza digitale ovvero privacy e protezione dei dati personali.
Chiamato a progettare un oggetto, il designer, meglio se affiancato da un team multidisciplinare, deve pertanto valutare da subito quali dati saranno raccolti, con quale frequenza, come saranno gestiti e per quanto tempo saranno conservati. Un compito non semplice, ma ormai ineludibile.
Garantire la confidenzialità delle comunicazioni - anche nell’IoT
A questo proposito è utile ricordare la notizia del mandato del Consiglio dell’UE1 che sollecita a iniziare a negoziare con il Parlamento europeo i termini del testo definitivo del Regolamento ePrivacy2, proposto dalla Commissione Europea nel (lontano) 2017 per sostituire la vigente Direttiva ePrivacy3 del 2002. La normativa è volta alla tutela della riservatezza delle comunicazioni elettroniche, riguarda sia il contenuto delle comunicazioni sia i metadati relativi (per es., ora e luogo della comunicazione) e definisce i casi in cui i fornitori di servizi sono autorizzati a trattare questi dati o ad accedere ai dati conservati sui dispositivi degli utenti finali. Quest’ultimo, rappresenta quindi un altro tassello normativo da considerare nel design dei prodotti data-driven: oltre al GDPR, che protegge i dati personali, le disposizioni del Regolamento ePrivacy si applicheranno infatti anche ai servizi di comunicazioni machine-to-machine (M2M communications) e all’IoT quando i dati sono trasmessi attraverso reti pubbliche.
Ecosistemi aperti e densamente popolati
Il quadro è ulteriormente complicato dalla numerosità di soggetti che compongono la supply chain dell’IoT: produttori di dispositivi, fornitori di servizi (come servizi di cloud storage e trasferimento dati), sviluppatori di applicazioni mobile e rivenditori sono tutti coinvolti a vario titolo nella produzione e distribuzione degli oggetti smart nonché nella fornitura di quella costellazione di “servizi associati” resi possibili dal trattamento di quantità enormi di dati e flussi informativi.
Governare la complessità: una mossa strategica
Per le aziende che operano nell’IoT, assicurarsi che ciascuno dei soggetti che in vario modo ne fanno parte si conformi ai principi della privacy by design e security first è, e sarà sempre più, un elemento costitutivo della propria responsabilità sociale.
Responsabilità sociale che si costruisce a partire dal ruolo dell’azienda nell’ecosistema e in generale nel mercato, dalla scelta dei fornitori, dall’operato dei propri team di ricerca e sviluppo prodotto nonché dalle regole da definire e impartire perché l’organizzazione nel suo complesso, dal board alla prima linea, sia consapevole di quanto è in gioco.
In quest’ottica, la data governance non è una questione tattica, quanto piuttosto un aspetto fondamentale della strategia aziendale.
2. Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications).
3. Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche
Photo by Kelly Sikkema on Unsplash