Podcast_ IoT e privacy by “designer”: l’alba di una nuova responsabilità sociale?
L’Internet of Things (IoT) porta nella sfera digitale oggetti di uso comune. Resi “intelligenti” dagli avanzamenti tecnologici, migliorano l’esperienza utente con servizi personalizzati sulla base delle preferenze e abitudini dell’utente. Le aziende che stanno rivoluzionando e arricchendo la propria offerta in una logica IoT si muovono però su un terreno minato. Essendo connessi e intelligenti i dispositivi IoT movimentano dati personali e come tali devono essere protetti e inviolabili. Esiste quindi un duplice tema: la privacy e la cybersecurity. Tutto ciò implica: da una parte la ridefinizione della progettazione del prodotto e dall’altra una responsabilità sociale dei produttori, che sono tenuti a preservare la riservatezza dei dati acquisiti.
Ri-progettare la sicurezza di prodotto
Riassumendo, un oggetto intelligente, che interagisce con l’ambiente circostante, presenta potenzialità senza precedenti in termini di miglioramento continuo del prodotto e dell’esperienza utente. Al contempo, però, espone a nuovi rischi sulla gestione dei dati che garantiscono la sua piena operatività. Come riuscire quindi a prevenire una gestione illecita e fraudolenta dei dati IoT?
Prendiamo come esempio una dimensione IoT come quella della domotica, in cui gli elettrodomestici - costantemente connessi alla rete wifi - parlano tra loro e interagiscono con l’utente attraverso comandi vocali, sms o app orchestrando i consumi energetici con i sistemi di smart metering. Ebbene, qualunque oggetto connesso è nativamente progettato per rivelare pattern comportamentali e abitudini d’uso e di vita quotidiana delle persone che lo utilizzano (utenti primari) o che stanno loro intorno (utenti secondari).
Ecco, quindi, che per coloro che sono coinvolti nella progettazione di un prodotto IoT – come ricordato da Eleonora Fiore, ricercatrice presso il Politecnico di Torino e relatrice al Privacy Day su Privacy e IoT - diventa fondamentale garantire la sicurezza dell’oggetto. Che non significa più soltanto la sicurezza fisica - non nocività e non tossicità dell’oggetto - ma sicurezza digitale ovvero privacy e protezione dei dati personali.
Chiamato a progettare un oggetto, il designer, meglio se affiancato da un team multidisciplinare, deve pertanto valutare da subito quali dati saranno raccolti, con quale frequenza, come saranno gestiti e per quanto tempo saranno conservati. Un compito non semplice, ma ormai ineludibile.
Garantire la confidenzialità delle comunicazioni - anche nell’IoT
A questo proposito è utile ricordare la notizia del mandato del Consiglio dell’UE1 che sollecita a iniziare a negoziare con il Parlamento europeo i termini del testo definitivo del Regolamento ePrivacy2, proposto dalla Commissione Europea nel (lontano) 2017 per sostituire la vigente Direttiva ePrivacy3 del 2002. La normativa è volta alla tutela della riservatezza delle comunicazioni elettroniche, riguarda sia il contenuto delle comunicazioni sia i metadati relativi (per es., ora e luogo della comunicazione) e definisce i casi in cui i fornitori di servizi sono autorizzati a trattare questi dati o ad accedere ai dati conservati sui dispositivi degli utenti finali. Quest’ultimo, rappresenta quindi un altro tassello normativo da considerare nel design dei prodotti data-driven: oltre al GDPR, che protegge i dati personali, le disposizioni del Regolamento ePrivacy si applicheranno infatti anche ai servizi di comunicazioni machine-to-machine (M2M communications) e all’IoT quando i dati sono trasmessi attraverso reti pubbliche.
Ecosistemi aperti e densamente popolati
Il quadro è ulteriormente complicato dalla numerosità di soggetti che compongono la supply chain dell’IoT: produttori di dispositivi, fornitori di servizi (come servizi di cloud storage e trasferimento dati), sviluppatori di applicazioni mobile e rivenditori sono tutti coinvolti a vario titolo nella produzione e distribuzione degli oggetti smart nonché nella fornitura di quella costellazione di “servizi associati” resi possibili dal trattamento di quantità enormi di dati e flussi informativi.
Governare la complessità: una mossa strategica
Per le aziende che operano nell’IoT, assicurarsi che ciascuno dei soggetti che in vario modo ne fanno parte si conformi ai principi della privacy by design e security first è, e sarà sempre più, un elemento costitutivo della propria responsabilità sociale.
Responsabilità sociale che si costruisce a partire dal ruolo dell’azienda nell’ecosistema e in generale nel mercato, dalla scelta dei fornitori, dall’operato dei propri team di ricerca e sviluppo prodotto nonché dalle regole da definire e impartire perché l’organizzazione nel suo complesso, dal board alla prima linea, sia consapevole di quanto è in gioco.
In quest’ottica, la data governance non è una questione tattica, quanto piuttosto un aspetto fondamentale della strategia aziendale.
2. Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications).
3. Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche
Photo by Kelly Sikkema on Unsplash