L’Internet of Things (IoT) porta nella sfera digitale oggetti di uso comune. Resi “intelligenti” dagli avanzamenti tecnologici, migliorano l’esperienza utente con servizi personalizzati sulla base delle preferenze e abitudini dell’utente. Le aziende che stanno rivoluzionando e arricchendo la propria offerta in una logica IoT si muovono però su un terreno minato. Essendo connessi e intelligenti i dispositivi IoT movimentano dati personali e come tali devono essere protetti e inviolabili. Esiste quindi un duplice tema: la privacy e la cybersecurity. Tutto ciò implica: da una parte la ridefinizione della progettazione del prodotto e dall’altra una responsabilità sociale dei produttori, che sono tenuti a preservare la riservatezza dei dati acquisiti.

Ri-progettare la sicurezza di prodotto

Riassumendo, un oggetto intelligente, che interagisce con l’ambiente circostante, presenta potenzialità senza precedenti in termini di miglioramento continuo del prodotto e dell’esperienza utente. Al contempo, però, espone a nuovi rischi sulla gestione dei dati che garantiscono la sua piena operatività. Come riuscire quindi a prevenire una gestione illecita e fraudolenta dei dati IoT?

Prendiamo come esempio una dimensione IoT come quella della domotica, in cui gli elettrodomestici – costantemente connessi alla rete wifi – parlano tra loro e interagiscono con l’utente attraverso comandi vocali, sms o app orchestrando i consumi energetici con i sistemi di smart metering. Ebbene, qualunque oggetto connesso è nativamente progettato per rivelare pattern comportamentali e abitudini d’uso e di vita quotidiana delle persone che lo utilizzano (utenti primari) o che stanno loro intorno (utenti secondari).

Ecco, quindi, che per coloro che sono coinvolti nella progettazione di un prodotto IoT – come ricordato da Eleonora Fiore, ricercatrice presso il Politecnico di Torino e relatrice al Privacy Day su Privacy e IoT – diventa fondamentale garantire la sicurezza dell’oggetto. Che non significa più soltanto la sicurezza fisica – non nocività e non tossicità dell’oggetto – ma sicurezza digitale ovvero privacy e protezione dei dati personali.

Chiamato a progettare un oggetto, il designer, meglio se affiancato da un team multidisciplinare, deve pertanto valutare da subito quali dati saranno raccolti, con quale frequenza, come saranno gestiti e per quanto tempo saranno conservati. Un compito non semplice, ma ormai ineludibile.

Garantire la confidenzialità delle comunicazioni – anche nell’IoT

A questo proposito è utile ricordare la notizia del mandato del Consiglio dell’UE1 che sollecita a iniziare a negoziare con il Parlamento europeo i termini del testo definitivo del Regolamento ePrivacy2, proposto dalla Commissione Europea nel (lontano) 2017 per sostituire la vigente Direttiva ePrivacy3 del 2002. La normativa è volta alla tutela della riservatezza delle comunicazioni elettroniche, riguarda sia il contenuto delle comunicazioni sia i metadati relativi (per es., ora e luogo della comunicazione) e definisce i casi in cui i fornitori di servizi sono autorizzati a trattare questi dati o ad accedere ai dati conservati sui dispositivi degli utenti finali. Quest’ultimo, rappresenta quindi un altro tassello normativo da considerare nel design dei prodotti data-driven: oltre al GDPR, che protegge i dati personali, le disposizioni del Regolamento ePrivacy si applicheranno infatti anche ai servizi di comunicazioni machine-to-machine (M2M communications) e all’IoT quando i dati sono trasmessi attraverso reti pubbliche.

Ecosistemi aperti e densamente popolati

Il quadro è ulteriormente complicato dalla numerosità di soggetti che compongono la supply chain dell’IoT: produttori di dispositivi, fornitori di servizi (come servizi di cloud storage e trasferimento dati), sviluppatori di applicazioni mobile e rivenditori sono tutti coinvolti a vario titolo nella produzione e distribuzione degli oggetti smart nonché nella fornitura di quella costellazione di “servizi associati” resi possibili dal trattamento di quantità enormi di dati e flussi informativi.

Governare la complessità: una mossa strategica

Per le aziende che operano nell’IoT, assicurarsi che ciascuno dei soggetti che in vario modo ne fanno parte si conformi ai principi della privacy by design e security first è, e sarà sempre più, un elemento costitutivo della propria responsabilità sociale.

Responsabilità sociale che si costruisce a partire dal ruolo dell’azienda nell’ecosistema e in generale nel mercato, dalla scelta dei fornitori, dall’operato dei propri team di ricerca e sviluppo prodotto nonché dalle regole da definire e impartire perché l’organizzazione nel suo complesso, dal board alla prima linea, sia consapevole di quanto è in gioco.

In quest’ottica, la data governance non è una questione tattica, quanto piuttosto un aspetto fondamentale della strategia aziendale.

1.https://www.consilium.europa.eu/it/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/

2.  Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications).

3.  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche

Photo by Kelly Sikkema on Unsplash