Il Tavolo IOT, durante i lavori, si è focalizzato sui rischi legati alla gestione ed alla raccolta dei dati derivanti dall’Internet of Things ma anche sulle opportunità legate ad un uso corretto di informazioni acquisite in maniera coerente con norme e buone pratiche. In tale contesto ha tracciato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Tre problemi e punti di vista sui problemi dell’Internet delle Cose

The Hidden Powers of IOT

Una delle sfide uniche che l’utilizzo delle tecnologie IoT pone in essere è la pervasività e la ubiquità delle applicazioni e degli utilizzi, che la rendono – potenzialmente – estremamente impattante nella raccolta e catalogazione di informazioni.

Alcune delle problematiche da tenere presenti valutando l’IoT:

• Una tecnologia ad alto rischio, poiché in grado di non essere percepita, integrante e silente nella vita delle persone;
• Le potenzialità di ascolto e osservazione passiva e la possibilità di desumere comportamenti e pattern, spesso non conosciuti dal soggetto stesso analizzato;
• Le problematiche di “Inventory attack”, con device presenti su reti private che possono arrivare a conoscere una molteplicità di informazioni sull’ambiente locale.

NECESSITÀ: Rendere sempre più trasparenti i dati collezionati, rendendoli COMPLETAMENTE visibili, e non solo parzialmente in base alle volontà delle piattaforme, creando visualizzazioni di dashboard e di profili che rendano ogni informazione collezionata visibile, modificabile, ed eliminabile. La disponibilità di repository di dati affidabili e ottenuti correttamente, pratica comune nella comunità accademica su altri temi, potrebbe essere una soluzione/incentivo.

• Sottoproblema: Il Trend sempre più diffuso di offrire servizi di accesso e/o di osservazione a Law Enforcement;
• Sottoproblema: Sempre più spesso i dati vengono utilizzati per il training di sistemi di AI, ascritti a training dataset di cui quasi mai il proprietario dei dati è a conoscenza.

Privacy by Design in limited power devices

Quando si discute di IoT si discute spesso – anche se non sempre – di dispositivi affetti da endemica resource limitation: le potenze di calcolo, di storage, di elaborazione sono obbligatoriamente limitate da vincoli costruttivi ed economici, condizioni che spesso incentivano scorciatoie elaborazionali, che sempre più spesso si muovono nella direzione di spostare le operazioni in Cloud tramite Cloud Computing.

Per evitare breach della confidenzialità del dato in movimento e/o at rest è necessario che la Resource limitation venga mitigata con una fortissima adesione ai principi di Privacy by design.

NECESSITÀ: Diventa necessario registrare e gestire i singoli dispositivi utilizzando strong authentication per evitare rogue nodes nella infrastruttura, ed è necessario forzare data storage policies e cifratura del dato in movimento e a riposo per evitare attacchi multi stakeholder sui data lake o in movimento sui dispositivi. Sarebbe utile ipotizzare un marchio “P-EC” Privacy-Tested in EC per verificare la conformità di tali device alla normativa EU e incentivare la creazione di sandbox per sperimentare soluzioni soprattutto in settori sensibili come quello sanitario.

• Sottoproblema: Il rilevamento dei dispositivi deve essere possibile in qualunque condizione, per evitare installazioni occulte, ed è quindi necessario prevedere un meccanismo obbligatorio di “announce” dei device, che sia audiovisivo o tramite annunciazione di rete.

Selling and Sellers (Business Model)

Il mondo dell’IoT, soprattutto domestico, si basa sulla acquisizione di servizi innovativi con scambio di dati che nella grande parte dei casi vengono utilizzati per la creazione di profili di marketing sempre più sofisticati.

L’intero sistema è ben ricapitolato nell’opinione 8/2014 “Recent Developments on the Internet of Thing” del WP29 in cui la condizione viene definita “Lack of control and information asymmetry” (Mancanza di controllo e asimmetria informativa), una mancanza di controllo ed una asimmetria che abilitano atteggiamenti virtuosi o meno – a secondo del player – nella vasta prateria della Vendita dei dati.

NECESSITÀ: Necessario è analizzare la qualità del consenso dell’utente, le modalità di rilevamento invasivo di modelli di comportamento e profilazione e soprattutto comprendere una volta per tutte se la “vendita di dati per ottenere un bene o servizio” rappresenta o no un modello di business lecito e da incentivare.

• Sottoproblema: Comprendere se la vendita dati alle Forze dell’Ordine rappresenta o meno, e in che modalità, un modello di business lecito e da incentivare

FONTI

Guidelines for Securing the Internet of Things (Novembre 2020)
https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things

EDPS: Parere 4/2015 Verso una nuova etica digitale Dati, dignità e tecnologia
https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_it.pdf

Opinion 8/2014 on the on Recent Developments on the Internet of Things (ARTICLE 29 DATA PROTECTION WORKING PARTY)
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf