L’espressione “Internet of Things” (IoT) o “Internet delle cose” è stata coniata ormai da qualche anno per definire la rete delle apparecchiature e dei dispositivi, diversi dai computer, connessi a Internet: dagli impianti di climatizzazione che si accendono da remoto con lo smartphone, ai frigoriferi che segnalano la scadenza dei cibi, ai sensori per il fitness o gli orologi intelligenti che segnalano al nostro medico eventuali anomalie corporee, ai sistemi di geolocalizzazione delle automobili, ai sistemi di trasporto in grado di aumentare automaticamente il numero delle corse sulla base degli accessi registrati ai tornelli; insomma, qualunque dispositivo elettronico munito di un software che gli consente di scambiare dati con altri oggetti connessi.

Questi oggetti, spesso di uso quotidiano, sono in grado di dialogare tra loro, scambiandosi informazioni su come vengono utilizzati, sulle nostre abitudini, sui nostri gusti e persino sul nostro stato di salute.

L’acquisizione, la registrazione e l’elaborazione di questo tipo di dati consentono di costruire dei profili dettagliati degli utenti ma –come evidenziato dal Garante della Privacy- vi è anche il rischio di invasivi monitoraggi dei comportamenti degli utenti, spesso inconsapevoli, o di potenziali condizionamenti che potrebbero limitare anche significativamente la libertà e la capacità di autodeterminazione.

Lo scorso anno, per esempio, le autorità tedesche hanno bloccato la commercializzazione di una bambola che era facilmente hackerabile e poteva essere usata per spiare i bambini, come una sorta di cavallo di Troia.

Nei mesi scorsi, l’European Consumer Organisation ha avvertito che gli smartwatch per bambini, insieme ai giocattoli intelligenti che contengono microfoni, fotocamere e dispositivi GPS, mettono a rischio la privacy e la sicurezza fisica dei più piccoli; il Consiglio Norvegese del consumatore ha segnalato come alcuni orologi per bambini consentivano la trasmissione e memorizzazione di dati senza crittografia, consentendo così anche ad estranei  -attraverso banali tecniche di hacking- di rintracciare i bambini o di fare sembrare che essi si trovassero in una posizione completamente diversa.

Una recente indagine di un quotidiano online americano ha rivelato che Google è in grado di conoscere esattamente la posizione e i movimenti di ogni utente android anche se i servizi di localizzazione sono spenti ma anche se la connessione alla rete dati non è attiva o addirittura quando la SIM non è inserita ma c’è una connessione wifi attiva.

Google avrebbe confermato tale pratica, spiegando che la geolocalizzazione servirebbe a velocizzare la gestione di notifiche e recapito di messaggi: Google ha minimizzato l’accaduto, dichiarando di non aver utilizzato né conservato tali dati e di voler comunque prendere provvedimenti per cessare tale pratica. Bisogna comunque ricordare che gli inserzionisti di Google si rivolgono ai consumatori utilizzando anche i dati sulla loro posizione, dati che hanno quindi un notevole valore commerciale.

Un’indagine internazionale (Privacy Sweep 2016), avviata nel maggio 2016 dalle autorità garanti del GPEN (Global Privacy Enforcement Network o Rete Globale per l’applicazione delle norme a tutela della privacy, rete che comprende una quarantina di Paesi, tra i quali l’Italia), ha rivelato che più del 60% degli oltre trecento apparecchi esaminati non ha superato l’esame: le principali carenze riguardano la mancanza di informazioni adeguate su come i dati vengono raccolti, utilizzati e comunicati a terzi e sulle modalità di conservazione dei dati; la maggior parte di quegli apparecchi non spiega agli utenti come cancellare i dati dal dispositivo e una parte significativa non garantisce semplici modalità di contatto ai clienti che desiderano chiarimenti in merito al rispetto della loro privacy.

L’indagine ha evidenziato come le stesse aziende produttrici non siano realmente consapevoli dei rischi connessi ai dati raccolti e trattati.

L’ormai prossima entrata in vigore del nuovo regolamento europeo (il GDPR), invece, impone agli operatori di adottare, fin dalla fase di progettazione dei servizi e dei prodotti, delle adeguate soluzioni tecnologiche a garanzia della privacy degli utenti (la c.d. “privacy by design”), introducendo –per esempio- tecniche di cifratura e anonimizzazione delle informazioni, minimizzando il numero dei dati trattati e limitando le finalità del loro trattamento (per la c.d. privacy by default)

Interessante, in questo senso, è il parere approvato nell’ottobre scorso dai Garanti europei della privacy con riferimento al progetto C-ITS della Commissione UE per migliorare la sicurezza stradale degli automobilisti, l’efficienza del traffico, il comfort della guida, le immissioni inquinanti: dal 2019, le automobili in circolazione nell’UE potrebbero comunicare tra loro e con infrastrutture, scambiandosi informazioni utili sugli spostamenti, gli stili di guida, ecc..

Il parere (il cui relatore è il Garante italiano) ha proprio la funzione di tutelare, fin dalla fase di progettazione, i dati trattati da questa nuova applicazione.

I Garanti hanno sottolineato il rischio che venga realizzata una forma di monitoraggio comportamentale permanente e diffuso che potrebbe generare un acuto senso di disagio negli automobilisti: gli utenti devono essere in grado di selezionare le opzioni che preferiscono (tempi, frequenza, posizione), compresa quella di disattivare completamente il sistema.

È indispensabile che gli automobilisti siano consapevoli delle caratteristiche del trattamento operato dalla piattaforma e di come i dati vengono utilizzati dagli altri soggetti con i quali scambiano dati, garantendo trasparenza e evitando asimmetrie informative tra “mittenti” e “ricevitori” dei dati (le informazioni sugli stili di guida e sulla posizione, per esempio, possono essere molto appetibili per produttori di automobili, compagnie di assicurazione, società di marketing).

Secondo i Garanti, occorre indicare chiaramente i tempi di conservazione dei dati e vietare la creazione di un database centralizzato, adottando anche una normativa a livello comunitario.