Internet of Things, dati personali e Garanti Europei: nessuna novità clamorosa, ma un utile riepilogo
(Articolo originariamente pubblicato su Diritto 24)
Ha avuto una certa risonanza l’adozione da parte del Gruppo di Lavoro ex Articolo 29, lo scorso settembre, di un Parere in materia di Internet of Things e protezione dei dati personali dal punto di vista del diritto comunitario. Il documento non contiene novità clamorose (e nemmeno si segnala per la sua tempestività), ma ha il merito di raccogliere e riordinare in un unico testo l’orientamento dei Garanti europei in questa materia; per questo, costituisce un utile riferimento per operatori del settore e consulenti.
Internet of Things è un’espressione che descrive la proliferazione nella società moderna di oggetti d’uso quotidiano “intelligenti” e “connessi”, capaci di raccogliere, elaborare e trasmettere informazioni sull’ambiente e le attività circostanti, ivi compresi dati personali anche sensibili. Il Gruppo ne individua tre categorie: quella dei computer indossabili (si pensi ad occhiali ed orologi smart), quella degli oggetti del “sé quantificato” (contapassi, strumenti di monitoraggio del sonno ecc.) e quella degli oggetti della c.d. domotica (termostati, luci, elettrodomestici, impianti d’allarme ecc. “connessi”). Naturalmente, si tratta di una suddivisione di comodo: la realtà è che diversi dispositivi già presenti sul mercato sono trasversali rispetto a due, o tutte, queste categorie.
E’ indubbio che dalla diffusione di questi oggetti derivi un rischio esponenziale d’intrusione nella sfera privata degli individui. Essi in potenza consentono l’accesso a una quantità impressionante di dati personali relativi ai loro utilizzatori o anche altri terzi, senza una reale consapevolezza o controllo degli interessati sulla loro ulteriore diffusione e sugli scopi per cui vengono utilizzati. Gli oggetti della domotica, ad esempio, possono rivelare informazioni particolareggiate sullo stile di vita degli abitanti della casa in cui sono installati. I dispositivi del “sé quantificato” permettono l’accesso a delicati dati relativi alla salute dell’individuo. Diversi dispositivi possono rivelare la geo-localizzazione dell’utente e i suoi movimenti. Il Gruppo di Lavoro segnala la possibilità, mediante tecniche d’inferenza, analisi incrociata e combinazione di dati provenienti da diversi sensori e/o diversi dispositivi, di estrarre informazioni significative da dati grezzi ovvero di significato apparentemente diverso (ad es., inferire le abitudini di guida dai dati raccolti dall’accelerometro e giroscopio di uno smartphone), e il rischio di utilizzo dei dati estratti per scopi o da parte di soggetti del tutto diversi da quelli dichiarati.
La disciplina europea della privacy, ad ogni modo (se sussistono i presupposti per la sua applicabilità: v. infra) entra in gioco solo nella misura in cui vi sia un trattamento rilevante di dati personali. Di per sé, il fatto che un dispositivo sia atto a raccogliere e comunicare informazioni personali non implica necessariamente che vi sia un trattamento di dati rilevante per la normativa speciale. In astratto, i dati raccolti dal dispositivo potrebbero rimanere nell’esclusiva disponibilità dell’utente o degli utenti, e questi potrebbe utilizzarli solo a scopi personali. Ovvero essi potrebbero essere completamente anonimizzati, recidendo ogni riferimento a un individuo identificabile.
Ma vi è anche un’altra molto concreta possibilità, e cioè che dati riferiti a un soggetto identificato o identificabile siano trasmessi dal dispositivo a un soggetto, diverso dall’utente, che li archivia ed elabora, eventualmente condividendoli con terzi – è anzi questo il modello di business tipico dell’IoT. Il Parere individua diversi operatori del settore (stakeholders) potenzialmente coinvolti nell’elaborazione di dati provenienti dai dispositivi IoT: i fabbricanti; i soggetti che concedono i dispositivi in uso a terzi; gli sviluppatori di applicazioni; i gestori di piattaforme social; i broker di dati. Ciascuno di questi soggetti, se sussistono le condizioni per l’applicazione della normativa europea (v. sotto), si qualifica come titolare di un trattamento di dati personali nella misura in cui grazie al dispositivo raccolga e processi informazioni personali per scopi da esso predeterminati.
Le piattaforme social, ad esempio, possono entrare in gioco a causa della tendenza degli utenti a condividere su tali piattaforme dati raccolti tramite dispositivi intelligenti; laddove i gestori di tali piattaforme utilizzano i dati condivisi per scopi da essi determinati, diventano titolari del trattamento. Per esempio, un social network potrebbe utilizzare le informazioni raccolte da un contapassi per dedurre che un particolare utente è un corridore regolare e mostrargli annunci su scarpe da corsa.
Gli sviluppatori di app installate su un dispositivo connesso (alle app il Gruppo ex art. 29 aveva già dedicato un precedente Parere) diventano titolari del trattamento nel momento in cui accedono ai dati personali tramite di esso raccolti, eventualmente in aggiunta al fabbricante. Ad esempio, una compagnia di assicurazione domestica potrebbe sviluppare un’applicazione per assicurarsi che l’impianto di allarme antincendio dei clienti sia configurato correttamente.
Anche altri terzi possono utilizzare dispositivi connessi per raccogliere ed elaborare informazioni sugli individui; per esempio, un’assicurazione potrebbe fornire ai clienti contapassi prodotti da terzi allo scopo di monitorare quanto spesso essi facciano esercizio fisico, e adeguare di conseguenza i premi assicurativi.
In questo quadro, il Gruppo ricorda che secondo la Direttiva 95/46/CE (Direttiva sulla privacy) la normativa comunitaria sulla protezione dei dati personali – più precisamente, la normativa di attuazione di uno o più Paese/i membro/i – si applica ogni volta che i dati personali siano processati “nel contesto delle attività di uno stabilimento” del titolare del trattamento presente sul territorio di quel/quei Paese/i, ovvero in tutti i casi in cui il titolare del trattamento stabilito fuori dei confini della UE faccia uso di “strumenti” situati su detto territorio.
Ciò equivale a dire che i soggetti coinvolti nella raccolta di dati personali tramite dispositivi connessi dovranno misurarsi con le leggi nazionali europee (con più d’una di esse, in molti casi) molto spesso, anche quando si trattasse di società extraeuropee (nessun dubbio sussiste per le società aventi sede in Europa). Entrambi i criteri di collegamento menzionati, infatti, sono ormai oggetto d’interpretazione estensiva.
Quanto al secondo (gli “strumenti”), senz’altro il più rilevante, il Gruppo di Lavoro ne propugna un’interpretazione che abbraccia sia i dispositivi dedicati, sia gli eventuali terminali (smartphone e tablet) che grazie ad app dedicate raccolgono ed elaborano dati ottenuti interfacciandosi con i primi, ovvero attraverso sensori in essi stessi incorporati: dunque la società interamente extraeuropea che raccolga dati personali mediante oggetti di questo tipo presenti sul suolo europeo non potrà sottrarsi alla disciplina comunitaria della privacy. Quanto al primo criterio, nel recente e famoso caso Google Spain, la CGUE – in un capo della sentenza che non ha ricevuto forse l’attenzione che meritava – ha stabilito il principio che anche l’apertura di una filiale locale dedicata alla promozione e alla vendita di spazi pubblicitari relativi a un certo servizio possa esser sufficiente a determinare l’applicazione della normativa locale sulla privacy.
Se queste condizioni sussistono, la prima regola da osservare per lo stakeholder titolare del trattamento è quella stabilita dall’art. 5 comma terzo della Direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche (la stessa norma che si applica all’uso di cookie, cui in Italia corrisponde l’art. 122 del Codice della privacy): già la sola archiviazione di informazioni o l’accesso a informazioni già archiviate su un dispositivo IoT richiede che l’utente ne sia informato in maniera circostanziata e gli sia data la possibilità di rifiutare (opt out), salvo che si tratti di informazioni tecnicamente necessarie a fornire un servizio da egli richiesto.
Ma non basta: qualsiasi ulteriore operazione di trattamento dei dati da parte del titolare dovrà, per essere legittima, fondarsi su uno dei requisiti di legittimità previsti dall’art. 7 della Direttiva 95/46: per quanto qui rileva, il consenso espresso dell’interessato (requisito che si sovrappone parzialmente a quello appena visto della “possibilità di rifiuto” che dev’essere data all’utente per il solo fatto di accedere a informazioni presenti sul suo dispositivo); oppure la necessità del trattamento ai fini dell’esecuzione di un contratto di cui l’interessato è parte; oppure il perseguimento di un interesse legittimo del titolare, che comunque non potrà mai essere meramente economico. I titolari del trattamento dovranno, raccomanda il Gruppo, offrire la possibilità di esprimere un consenso diversificato: ad esempio, consentire al trattamento di certi dati e non altri.
Nei casi in cui sarà la normativa italiana ad applicarsi, questi requisiti di legittimità dovranno essere declinati in maniera specifica, perché la normativa italiana ha attuato la Direttiva sulla privacy in senso restrittivo. In particolare, l’eventuale trattamento di dati “sensibili”, che comprendono i dati relativi alla salute (tipicamente raccolti tramite i dispositivi e le app del “sé quantificato”) richiede un’autorizzazione del Garante e il consenso scritto (art. 26 Codice della privacy) e non pare esistano altri modi di fornire un consenso scritto nel nostro ordinamento che la firma autografa e la firma digitale. Quanto ai casi di perseguimento di legittimo interesse, nel nostro ordinamento essi devono essere previamente individuati dal Garante con apposito provvedimento.
Resta fermo anche l’obbligo per il titolare del trattamento di informare i soggetti interessati della propria identità e delle caratteristiche e scopi del trattamento stesso prima di iniziarlo (anche qui vi è una parziale sovrapposizione con l’art. 5 comma 3 della Direttiva sulle comunicazioni elettroniche); il Gruppo, peraltro, ritiene che l’informativa dovrebbe essere fornita non solo all’utente, ma a tutti coloro che si trovano nella vicinanza “geografica o digitale” del dispositivo, quando dati a loro relativi sono raccolti, tramite l’interfaccia fisica del dispositivo o la trasmissione di un segnale wireless.
Il Gruppo ricorda anche gli obblighi di processare i dati esclusivamente per scopi compatibili con quelli dichiarati nell’informativa; di raccogliere i soli dati strettamente necessari per il perseguimento di questi scopi; di adottare le misure di sicurezza necessarie a proteggere i dati stessi dal rischio di perdita, distruzione, accesso non autorizzato.
Sul versante dei diritti, invece, i soggetti interessati dal trattamento di dati devono essere messi in grado di esercitare quelli loro riconosciuti dagli artt. 12 e 14 della Direttiva (art. 7 nel Codice della privacy italiano): il diritto di accesso; il diritto di integrazione; il diritto di opposizione al trattamento, che deve poter essere esercitato senza che ciò comporti la rinuncia alle funzionalità che l’oggetto può offrire a prescindere dalla connessione. Il Gruppo raccomanda che gli utenti dei dispositivi dell’IoT possano leggere ed editare localmente i dati raccolti e possano esportarli in un formato comune tramite un’interfaccia user-friendly.
Nei prossimi mesi sarà interessante vedere come i Garanti (o i giudici) dei Paesi membri daranno seguito a questo Parere nell’applicazione della disciplina della privacy all’Internet of Things.