L’Internet delle Cose e la sfida che rappresenta nei confronti della conformità alla direttiva GDPR

article in Englisharticle in French

Prima ancora della sua entrata vigore, la direttiva sulla protezione dei dati (General Data Protection Regulation, GDPR) ha già un impatto significativo sulle aziende in Europa. Le organizzazioni devono prendere fin d’ora le misure necessarie al fine di ottenere, integrare, certificare, pubblicare, verificare e, naturalmente, proteggere i dati in modo tale da rispettare il nuovo regolamento che verrà applicato a maggio 2018.

Di fronte al vertiginoso aumento del numero di violazioni di dati ampiamente pubblicizzate, le aziende, per rispondere alle esigenze formulate dalla direttiva GDPR, si sono fino ad oggi concentrate sulla sicurezza dei dati. Sono tuttavia molto meno organizzate nel loro approccio alle problematiche in materia di privacy sollevate dalla GDPR. E ciò è preoccupante per due ragioni principali.

In primo luogo, la definizione data dalla GDPR al concetto di privacy dei dati è molto estesa. Essa conferisce alle organizzazioni responsabilità di vasta portata al fine di imporre un requisito specifico basato sulla nozione di “privacy by design”. E amplifica la necessità di mettere a punto misure tecniche e organizzative appropriate per accertarsi che la protezione e la privacy dei dati non siano più una riflessione tardiva.

In secondo luogo, la comparsa e la sempre più crescente diffusione dell’Internet delle Cose (IoT) aggrava il panorama. Il concetto sul quale si fonda l’IoT è quello del cliente sempre connesso. Per incrementare il margine competitivo, le aziende cercano di generare e acquisire ingenti volumi di dati sulle preferenze e i comportamenti dei clienti.

Anche se molte di queste informazioni si riferiscono ai prodotti e non agli individui, esse hanno tuttavia una potenziale incidenza sulla privacy. Ad esempio, i dati provenienti da un’auto connessa possono ledere alla sfera privata del proprietario, qualora questi sia conosciuto, anche se non sono di per sé specificatamente relativi a tale individuo. I rivenditori di prodotti connessi sono consapevoli del fatto che, una volta che un articolo si trova in possesso del cliente, tutti i dati trasmessi attraverso di esso possono essere qualificati come dati personali. Ciò significa che i rivenditori devono applicare i principi della “privacy by design” nelle loro relazioni con i fornitori coinvolti nei processi di raccolta, archiviazione e elaborazione dei dati.

La società di prodotti elettronici Vizio ha recentemente subito una sanzione di 2,2 milioni di dollari dopo che l’osservatorio americano per i consumatori ha constatato che utilizzava software per il riconoscimento dei contenuti al fine di tracciare gli utenti, senza la loro previa autorizzazione. In base ai riscontri, la società aveva venduto 11 milioni di televisori collegati a Internet sui quali aveva installato dei programmi per monitorare in modo dettagliato le abitudini dei telespettatori, collegarle poi ai dati demografici relativi alle famiglie e quindi vendere le informazioni ottenute a terzi operatori di mercato. A sua difesa, Vizio ha sostenuto che le sue televisioni “non hanno mai associato i dati concernenti i programmi visionati ad informazioni a carattere personale, quali nome e coordinate di contatto.”   

La pena inflitta a Vizio sembra considerevole. Ma immaginiamo che Vizio (che fa ormai parte di LeEco, una società cinese con ricavi pari a 7,3 miliardi di dollari) commercializzi la sua offerta di HDTV e soundbar in Europa a maggio 2018: dovendo affrontare accuse di violazione di privacy simili, rischierebbe una multa da 292 milioni di euro!  

 

Sapere dove si trovano i dati           

Sapere dove risiedono tutti i dati privati e sensibili e stabilire chi ne è responsabile è una delle grandi sfide contro cui le organizzazioni devono misurarsi. In molte aziende la situazione non è chiara, poiché le informazioni sono suddivise in “silos” corrispondenti ai vari reparti, dalle vendite al marketing, dalle finanze ai servizi, ecc. Con le nuove e rigorose procedure previste dalla direttiva GDPR, un tale contesto diventa sempre più problematico.

Ai sensi della GDPR, il responsabile del trattamento dati dovrà rispondere entro un mese alle domande di accesso ai dati da parte degli interessati, con la facoltà di prolungare tale periodo nel caso di richieste particolarmente complesse. Si tratta di norme più restrittive rispetto a quelle vigenti: nel Regno Unito, per esempio, la legge attuale sulla protezione dei dati prevede una risposta entro 40 giorni. Inoltre, i diritti ai quali possono avvalersi gli individui non si limiteranno al solo accesso ai dati, ma saranno estesi e comprenderanno il diritto alla rettifica e alla cancellazione dei dati (diritto all’oblio), nonché il diritto alla restrizione e all’opposizione al trattamento dei dati nonché il diritto di esigere che determinati aspetti personali non siano valutati sulla base del trattamento automatizzato dei dati. L’insieme di questi diritti avrà un impatto significativo sulle pratiche in materia di gestione dei dati.    

 

Instaurare le pratiche necessarie

Tenuto conto delle problematiche sopra delineate, qual è, per le organizzazioni, il modo migliore di raccogliere questa sfida, rispetto alle loro attuali procedure di gestione dei dati? Secondo noi, il primo passo dovrebbe consistere nell’effettuare un inventario dei dati, in maniera tale da sapere precisamente di quali informazioni si dispone e dove sono ubicate. Dopo aver stabilito una mappa precisa dei dati, le aziende si troveranno in una posizione migliore per definire a chi affidare la responsabilità della loro gestione. Questa mossa è il requisito minimo, ma potrà costituire la base sulla quale fondare una policy di governance dei dati più solida, elemento chiave dei requisiti del regolamento GDPR.

Strettamente legata alla governance è la questione della qualità dei dati, un tema che diventa particolarmente urgente quando le aziende si accingono a costituire le capacità di una piattaforma IoT. Infatti, il desiderio di limitare i costi nel mondo dell’IoT spinge spesso le organizzazioni ad adottare reti dalle caratteristiche mediocri e la qualità dei dati può risentirne.

Nel contesto della direttiva GDPR, la qualità e l’armonizzazione dei dati sono di importanza critica, soprattutto se impediscono all’azienda di ottenere una “vista unica” del cliente, elemento richiesto del regolamento. A tale proposito, uno dei problemi più significativi concernenti la qualità dei dati deriva dal fatto che le aziende mantengono insiemi di dati separati che non possono essere immediatamente integrati. Si prenda ad esempio il caso di un’azienda che dispone della vista di un cliente ottenuta in parte tramite l’IoT e in parte attraverso le applicazioni di marketing.

Poniamo ora che il suddetto cliente voglia accedere ai dati privati che l’azienda possiede su di lui e che l’ufficio competente riesca a fornirgli solo una frazione delle informazioni a causa della separazione tra gli insiemi di dati: l’azienda sarà l’ultima responsabile della mancata comunicazione della totalità dei dati. Ciò costituirà probabilmente una violazione agli obblighi previsti dalla GDPR. Che questo esempio sia un forte monito a tutte le aziende: al fine di ottemperare alle disposizioni della direttiva è necessario riunire le informazioni provenienti da diverse aree dell’organizzazione, tra cui la piattaforma IoT. 

 

Determinare le sfide dell’IoT in materia di dati

L'IoT si prepara ad offrire tutta una gamma di vantaggi alle organizzazioni del mondo intero via via che esse generano volumi di nuovi dati sui quali faranno poi leva per guidare il processo decisionale. Permettendo alle aziende di collegare il mondo fisico e quello digitale, l’IoT fornisce loro anche la possibilità di plasmare il futuro dell’esperienza di acquisto. Tuttavia, come abbiamo visto in questo articolo, le informazioni ottenute comportano anche delle sfide, particolarmente per quanto concerne le implicazioni sulla privacy dei dati e i problemi che le aziende dovranno affrontare per adeguarsi alle norme della direttiva GDPR.

Con maggio 2018 che si avvicina a grandi passi, le aziende non hanno più molto tempo a disposizione. Se vogliono trarre vantaggio dall’IoT e agire conformemente ai regolamenti imposti dalla GDPR, esse devono iscrivere tali temi all’ordine del giorno e cominciare fin da ora ad affrontare i problemi che ne conseguono.

 

Share

Leave a comment

Aggiungi un commento

More information?