Web 3.0: L’Internet delle cose. Here we Go!

consulenza legale internet delle cose

Internet delle Cose: implicazioni legali

 

Smart watch, smart phone, smart tv, smart cars, smart home, smart cities, ecc… gli oggetti nel mondo sono sempre più connessi e interconnessi. Si pensava che con il tempo, molti supporti fisici sparissero, a favore di bit e byte, che il digitale avrebbe portato all’eliminazione di molti oggetti e, invece, sta accadendo qualcosa di più sofisticato: l’oggetto fisico si collega, in modo sempre più stringente, all’immateriale digitale e, in qualità di “mezzo di trasporto”, sposta dati e informazioni da un oggetto all’altro, da un luogo all’altro, da un soggetto ad un altro, spesso senza la partecipazione consapevole e attiva dell’individuo. E quindi si viene a creare quasi una forma di scambio: l’azienda che produce e/o distribuisce quel prodotto che contiene quel servizio “smart” che ci semplifica la vita, ci permette di fruire di quel servizio, a patto che possa raccogliere dati su di noi.

Ma chi sarà poi, di fatto, che raccoglierà tali informazioni, chi tratterà i dati secondari di un soggetto che deriveranno dall’aggregazione di altri dati provenienti da più fonti interconnesse (data mining), come si potrà permettere all’utente di controllarne i percorsi e, se già oggi quasi nessuno legge le informative privacy e le privacy policy, preso dal servizio offerto, in che modo si potrà semplificare per l’utente la gestione della riservatezza ?

Scambio di informazioni tra oggetti

 

L’ IoT (Internet of Things) o Internet delle Cose è stato sperimentato per la prima volta alla fine degli ’90, ma solo oggi queste sperimentazioni stanno diventando realtà, apparendo concretamente nei mercati del mondo. Non esiste una definizione univoca di IoT (Internet of Things), si tratta, in sostanza, dell’applicazione e dell’estensione di Internet agli oggetti fisici che sono sempre più interconnessi tra loro e alla rete Internet. Si potrebbe pensarlo come una rete che collega dispositivi e persone, mediante sensori e tecnologia incorporata in oggetti fisici che vengono collegati alla rete internet. Senza sapere dove, in verità, finisce realmente l’operatività di uno e inizia quella dell’altro. In sostanza, si tratta della raccolta, della combinazione e dello scambio di informazioni e dati tra oggetti che, in questo modo, possono rivolvere problemi quotidiani o fornire servizi agli utenti. Le applicazioni di questi sistemi possono essere infinite: si va dalle auto “smart”, che parcheggiano da sole o con cui si può interagire, ai carrelli intelligenti che incentivano il consumatore ad acquistare i suoi prodotti preferiti, da software che, applicati a strumenti sanitari, riescono a monitorare i pazienti a distanza, ad abiti che calcolano il consumo personale di calorie, fino ad elettrodomestici che possono essere accesi o spenti a distanza o a porte e cancelli che si chiudono automaticamente, cogliendo, attraverso sensori, che tutta la famiglia è fuori.

 

Privacy by design e progettazione consapevole

 

Queste evoluzioni legate agli oggetti interconnessi, che irrompono con forza sempre maggiore nella nostra vita quotidiana (Cisco stima che entro il 2020 più di venti milioni di dispositivi saranno interconnessi alla rete internet nel mondo), oltre a semplificare e migliorare la fruizione dei servizi di natura pubblica e privata, aprono molte sfide in ambito legale che le imprese che producono e distribuiscono questi oggetti dovranno affrontare, sfide forse più complicate di quelle affrontate da coloro che tecnicamente sono all’opera per sviluppare le nuove tecnologie dell’Internet delle Cose.

I principali dubbi di natura legale dell’IoT abbracciano tematiche quali la sicurezza nel trasferimento delle informazioni, la privacy, la proprietà intellettuale e industriale, vicende legate a concorrenza e posizioni dominanti sul mercato, responsabilità delle imprese in relazione ad eventuali danni provocati dai prodotti “smart”.

Queste, in realtà, sono alcune delle tematiche legali che le imprese dell’IoT possono incontrare e che non sono state ancora trattate direttamente dai governi in maniera unitaria. Intorno all’argomento, infatti, si discute attraverso pareri, linee guida, autoregolamentazioni di organismi e delle imprese, che, in realtà abbracciano le questioni legate alla privacy, alla sicurezza informatica ecc, ma sempre in modo frammentario e comunque sempre slegato da un programma legale specifico e complessivo sull’IoT. Ad ogni modo, con particolare attenzione sui dubbi aperti dall’IoT in merito alla Privacy, in Europa è intervenuto il Gruppo Article29 con un parere pubblicato nel Settembre 2014. Le questioni affrontate nel parere sono relative sono ad alcuni campi in cui si sta sviluppando l’IoT, nello specifico il Gruppo esprime le sue preoccupazioni in merito al trattamento dei dati personali, in tre aree specifiche: la domotica, l’ambito sanitario, gli oggetti smart indossabili.

Il Gruppo afferma che questi oggetti sono progettati per registrare, elaborare, archiviare e trasferire dati e che possono essere molto invasivi nella vita di ciascuno, in quanto, essendo in grado di interagire con altri dispositivi o sistemi che utilizzano funzionalità di rete, possono comunicare, attraverso dei sensori, con i produttori stessi degli oggetti, senza che l’utente se ne accorga, comunicando anche dati secondari, diversi rispetto a quelli che l’utente intende effettivamente condividere e comunicando, alle imprese, modelli di comportamento degli individui ancora più dettagliati e completi. Ed invero, ad esempio, uno smart watch che calcola il dispendio energetico quotidiano di un individuo, può rivelare anche altre sue abitudini, se interconnesso con altri dispositivi dall’individuo (il peso, il posizionamento, i momenti in cui fa sport, le abitudini, il suo battito cardiaco, le sue condizioni fisiche, ecc), tali dati possono essere condivisi con altri soggetti attraverso sensori e magari comunicati al produttore del dispositivo che, potrà estrapolarli, confrontarli con altri e dedurre così il profilo della salute di un individuo, usando tali informazioni secondarie per altri scopi. Così anche i dispositivi di monitoraggio dei pazienti a distanza, possono essere usati per estrarre informazioni secondarie sensibili, usate per finalità differenti rispetto allo scopo dell’oggetto smart. Ma chi possiede cosa, quando i dispositivi interagiscono tra loro e raccolgono grandi quantità di dati? Occorrerà permettere agli utenti di individuare chiaramente gli effettivi titolari delle tecnologie usate, definendo un quadro chiaro perché i consumatori possano, in modo semplice, acconsentire al trattamento dei dati e gestire le modalità in cui i dati raccolti dai dispositivi vengono utilizzati e condivisi da altri. “Pertanto”, dice il Gruppo Art. 29, “è importante che, ad ogni livello, le parti interessate all’internet delle cose si assicurino che i dati siano utilizzati esclusivamente per quegli scopi compatibili con la finalità iniziali del trattamento e che questi scopi siano resi noti all’utente”.

L’IoT potrebbe svilupparsi, andando verso forme di sorveglianza degli individui che potrebbero essere considerate illegittime rispetto alle leggi dell’UE!” , infatti sarà sempre più difficile riuscire a restare anonimi o inosservati, considerando peraltro anche l’uso delle identità elettroniche. Sarà complesso individuare la titolarità sui dati, tenere traccia e controllare quali dati vengono condivisi, quando e con chi, dove sono conservati e per quale scopo. Per questi motivi, occorre far convergere le sinergie per indirizzare questo nuovo mondo verso il rispetto della sicurezza e della privacy degli individui. Già le aziende, progettando i dispositivi nel rispetto della privacy dei cittadini, secondo un approccio privacy oriented e mettendo appunto regolamenti interni e policy chiare, semplici, ma adeguate, faranno molto. Ecco perché già il Gruppo Articolo 29 Invita gli stakeholders che operano nel settore dell’IoT a creare protocolli di crittografia e autenticazione sicuri e specifici per l’IoT, garantendo la riservatezza, l’integrità, l’autenticazione, l’accesso e il controllo dei dati, consentendo agli utenti di conoscere e autorizzare chiaramente e con facilità le finalità e le modalità dei trattamenti, dando loro la possibilità di cancellare facilmente e per sempre i loro dati, soprattutto quando decidono di cedere a terzi questi oggetti.

internet delle cose questioni legali

Nel parere, il gruppo di lavoro ha sottolineato l’importanza della scelta dell’utente, chiarendo che “gli utenti devono mantenere il controllo completo dei propri dati personali per tutto il ciclo di vita del prodotto e quando le organizzazioni utilizzano il consenso come base per l’elaborazione, il consenso deve essere pienamente informato , libero e specifico”. In futuro, il concetto di “privacy by design” dovrebbe diventare uno standard di sicurezza e gli sviluppatori dovranno garantire un elevato livello di efficienza e sicurezza e che i dati raccolti, mediante questi dispositivi, potranno essere usati solo ed esclusivamente per gli scopi previsti!

Gli organismi che operano nel settore stanno lavorando a standard, best practice e linee guida, per effettuare l’analisi dei rischi e per garantire la sicurezza sin dalle fasi della progettazione e dello sviluppo di tali dispositivi (privacy by design), sino alla garanzia delle effettiva cancellazione dei dati quando si dismette o si cede il prodotto. La  questione ha dimensioni internazionali, anche perchè, può accadere che, i dati acquisiti in un paese possono essere trasformati o conservati in un altro e paesi diversi possono avere differenti regimi  di protezione dei dati. Anche per questo, si rende necessario un quadro comune.

Negli Usa, nel maggio 2014, la Casa Bianca ha pubblicato un rapporto Big Data (“White House Big Data Report”) in merito all’impatto sulla privacy dell’IoT, un altro rapporto è stato pubblicato dal Consiglio dei Consulenti in materia di scienza e tecnologia del Presidente degli Stati Uniti(“Relazione PCAST”). In queste relazioni si chiarisce che le forme di preavviso e consenso attuali rischiano di essere superate, perché sarà sempre più difficile per gli utenti capire se, in determinati casi, è bene fornire o è meglio impedire l’accesso ai propri dati, pertanto, l’approccio deve focalizzarsi sulle responsabilità dei produttori di tali oggetti e sull’uso responsabile dei dati da parte delle aziende.

 

Assegnare correttamente oneri e responsabilita’

 

Quando questi oggetti “smart” fanno degli errori di chi è la colpa? Ad esempio, le auto senza conducente pongono reali problemi di sicurezza. Se una delle auto automatizzate si blocca o i sensori del parcheggio non funzionano e l’auto impatta con un altro veicolo vicino, chi è l’effettivo responsabile del sinistro causato, il conducente, il produttore dell’auto o il produttore del software? Oppure, se il sensore di un’auto che misura l’efficenza del motore, sbaglia nel monitorare le prestazioni e per tale causa  si provoca un danno al proprietario dell’auto, chi ne risponde? Occorrerà prevedere apposite forme assicurative adatte agli oggetti intelligenti, soprattutto in casi particolari.

Nel caso dei dispositivi medici che, ad orari prestabiliti, erogano automaticamente una medicina vitale per un paziente ospedalizzato, se quel dispositivo salta e la sostanza medica non viene erogata, chi è responsabile della salute del paziente?

Si rende necessario assegnare, in questi casi, correttamente le giuste responsabilità, redigendo contratti ad hoc. Se produco e distribuisco un oggetto intelligente completo di software, è bene far sottoscrivere delle clausole di licenza specificamente dedicate al componente dell’oggetto? O meglio prevedere un contratto a parte, specifico, relativo all’uso del componente e alle responsabilità relative ad un suo cattivo utilizzo o ad un suo malfunzionamento?

Software e componenti meccaniche brevettabili dell’IoT

 

La giurisprudenza europea ormai è concorde nel ritenere il software non brevettabile, ma protetto come opera letteraria dal diritto d’autore e, anche la giurisprudenza americana, dopo una prima apertura, attualmente sta restringendo le possibilita’ di concessione del brevetto sui software. Tuttavia, i software nell’IoT sono spesso connessi a componenti meccaniche che si inquadrano nel ramo delle invenzioni perchè hanno un effetto tecnico (e se soddisfano gli altri determinati requisiti richiesti per ottenere un brevetto), pertanto, se tali componenti sono state brevettate, per la realizzazione dell’oggetto finale, le aziende dovranno acquisire ogni licenza d’uso della tecnologia brevettata. Inoltre, parlando dei software protetti dal diritto d’autore, si può ben dire che l’atto di distribuzione esaurisce i diritti del titolare e, probabilmente, in relazione al consumatore si può parlare, anche in questi casi, di “vendita delle copie di un programma” .

Nel mondo dell’IoT vi sono elementi provenienti da fonti diverse che messi insieme danno vita al prodotto finale, in alcuni casi, interessante sarà capire quale degli elementi potrà considerarsi parte accessoria e quale parte principale, anche in vista di eventuali garanzie sul prodotto e/o sulle possibili parti sostituibili (i vari software, le componenti materiali accessorie, ecc).

 

Adattare le regole e sensibilizzare gli utenti

 

Molti dei principi e delle regole presenti nella normativa sulla privacy, in quella sulla proprietà industriale e intellettuale e sulla sicurezza informatica possono essere adattabili all’IoT, ad ogni modo occorre analizzare i rischi, le responsabilita’, valutare concretamente in che misura la normativa esistente può applicarsi all’IoT ecc, oltre a buone prassi, standard di qualità e policy aziendali, si renderà necessaria, nel prossimo futuro, una disciplina condivisa che chiarisca le questioni e i dubbi posti dall’Internet delle Cose e si dovranno pianificare anche percorsi formativi, di natura pubblica, ma anche privata, oltre che prevedere idonee campagne di comunicazione per i consumatori e gli utenti dell’IoT, in modo da permettere loro di prendere decisioni informate sul trattamento dei loro dati nell’IoT, informandoli delle possibilità di personalizzare le loro scelte, in merito a permessi e condivisioni dei dati. Le implicazioni dell’IoT sono molte e abbracciano quasi tutti i settori, dalla sanita’, al commercio, dalla pubblicità, alle smart cities e agli edifici intelligenti, i dati trattati nell’IoT sono di natura personale e spesso anche sensibile, perchè il settore abbia successo, le imprese del mercato dell’ Internet delle Cose devono sensibilizzare i cittadini, portandoli a fidarsi.

 

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy