TUTTI GLI ARTICOLI  >  Internet of Things

La gestione della Privacy nell'era della Smart Home

21 marzo 2018 / Di Andrea Reghelin / Nessun commento

Il 25 maggio 2018 sarà una data importante per le aziende operanti in ambito Smart Home (e non solo). A partire da questa data, infatti, dovranno dimostrare di essersi conformate al nuovo Regolamento europeo UE 2016/679 (GDPR), che prevede l’adozione di misure specifiche per tutelare la privacy dei consumatori.

Il Regolamento europeo UE 679/2016 in materia di protezione dei dati personali (GDPR - General Data Protection Regulation), entrato in vigore il 24 maggio 2016 ma pienamente applicabile a partire dal 25 maggio 2018, è la normativa di riferimento a cui tutte le organizzazioni dovranno necessariamente adeguarsi e che ha un impatto rilevante anche nel vasto panorama dell’Internet of Things e della Smart Home.

Per poter comprendere la portata dei cambiamenti introdotti dalla normativa è necessario sottolineare il cambio di filosofia, con il passaggio a un approccio di “responsabilizzazione” del Titolare[1] (la cosiddetta accountability). Il GDPR, infatti, prevede che il Titolare, già dalle fasi preliminari del trattamento, assuma un ruolo proattivo nella scelta e nell’adozione delle misure tecniche e organizzative, e in generale nella definizione delle modalità di adeguamento; al contempo, egli deve essere sempre in grado di dimostrare la ratio alla base delle scelte effettuate e la propria compliance al Regolamento europeo.

Nell’era della casa connessa i dati generati dagli oggetti smart sono un elemento chiave: se da un lato abilitano nuove fonti di ricavo per le aziende e contribuiscono a fornire servizi di valore per i consumatori, dall’altro obbligano l’impresa Titolare del trattamento a seguire delle procedure per garantire i diritti delle persone interessate.  

Grazie alla crescente diffusione di soluzioni Smart Home, le imprese hanno sempre più accesso a flussi di dati in grado di ridurre la distanza fra mondo fisico e mondo digitale. Le molteplici fonti da cui raccoglierli, elaborarli e archiviarli e le diverse strade percorribili per una loro valorizzazione giustificano la grande attenzione posta sul tema (leggi il report per approfondire).  

Videocamere, termostati, bambole, lavatrici connesse sono tutti dispositivi presenti in casa in grado di interagire con le persone e con l'ambiente circostante, registrare suoni, girare video e collegarsi a Internet. Questi oggetti sono quindi in grado di raccogliere, elaborare e comunicare dati e informazioni di diverso genere - dalla voce alle password, fino ai gusti, alle preferenze e alle abitudini della famiglia - e presentano quindi possibili rischi per la protezione dei dati del consumatore.

Tutto ciò non fa altro che evidenziare quanto le prescrizioni previste dal GDPR in capo al Titolare del trattamento impattino in maniera notevole in questo ambito, comportando di fatto alcune procedure che il Titolare del trattamento dovrà garantire a partire dal 25 maggio 2018:

  • l’utilizzo corretto, trasparente e lecito dei dati personali, in base ai principi previsti dal GDPR;
  • la tutela dei dati fin dalla fase della progettazione (“data protection by design”). Questo principio porta a un cambio di prospettiva radicale rispetto a quanto tradizionalmente fatto da molte aziende, perché richiede di anticipare già in fase di progettazione delle soluzioni Smart Home il tema del trattamento dei dati;
  • il trattamento “di default” solo dei dati necessari per ogni specifica finalità, secondo il principio di “minimizzazione” degli stessi ("privacy by default”). Ciò implica che non sia possibile raccogliere e memorizzare dati per un generico “uso futuro”, ma diventa fondamentale individuare e dichiarare sin da subito la finalità per cui essi sono utilizzati;
  • la valutazione di impatto del trattamento, quando esso comporta un rischio elevato per i diritti e le libertà delle persone interessate, soprattutto se effettuato mediante nuove tecnologie (“Data Protection Impact Assessment – DPIA”);
  • misure tecniche e organizzative adeguate, per garantire un livello di sicurezza adeguato al rischio emerso in fase di valutazione;
  • la garanzia dell’esercizio dei diritti degli interessati (persone fisiche a cui i dati personali si riferiscono), ivi compreso il diritto alla portabilità dei dati, ai sensi dell’art. 20 del GDPR.

[1]  Si definisce Titolare il soggetto che ha la responsabilità del trattamento.


Andrea Reghelin, Senior Advisor dell’Osservatorio Internet of Things

Andrea Reghelin

Andrea Reghelin

Legale, associate partner di Partners4Innovation, svolge dal 2004 l’attività di consulenza direzionale in progetti di compliance, con particolare riferimento ai settori della data protection e della responsabilità amministrativa degli enti dipendente da reato, occupandosi di aspetti normativi, organizzativi e tecnologici. Ha coadiuvato numerose aziende nella gestione di progetti complessi legati all’applicazione della normativa sulla protezione dei dati personali e delle tematiche ad essa correlate (sicurezza informatica, investigazioni informatiche, dematerializzazione) e attualmente supporta e affianca numerose aziende nel percorso di adeguamento al GDPR.