L’IoT è un fenomeno innovativo e importante predisposto a diversi servizi e applicazioni, ma dovrebbe considerare le questioni legali relative alla legge sulla protezione dei dati.

Tuttavia, dovrebbero essere prese in considerazione le questioni legali relative alla protezione dei dati e alla legge sulla privacy. Le soluzioni tecnologiche sono benvenute, ma è necessario, prima di sviluppare applicazioni, considerare i rischi che non possiamo ignorare. I dati personali sono un valore. In questo contesto è fondamentale valutare le questioni legali e prevenirle, adottando in ogni progetto l’approccio privacy by design. Per quanto riguarda i rischi per la privacy e la sicurezza, ci sono alcune questioni con potenziali conseguenze per la sicurezza dei dati e la responsabilità. Il sistema IoT ci consente di trasferire dati su Internet, inclusi i dati personali. In questo contesto, è importante considerare il nuovo Regolamento generale europeo sulla protezione dei dati (GDPR) - già in vigore dal 24 maggio 2016 - che sarà applicabile dal 25 maggio 2018. Il GDPR introduce la valutazione d’impatto sulla protezione dei dati (DPIA), la notifica delle violazioni dei dati e sanzioni amministrative molto severe in caso di violazioni del regolamento.

Una corretta analisi giuridica consente di valutare i rischi prevenendo l’uso improprio dei dati personali. L’ecosistema IoT si sta evolvendo rapidamente, sviluppando diverse applicazioni in vari settori. I principali argomenti dell’ultimo periodo sono i Big Data e la blockchain. Le persone stanno prestando attenzione a quest’ultima a causa del suo potenziale uso concreto per servizi e applicazioni, aumentando le misure di sicurezza per garantire un sistema sicuro. Tuttavia, è altrettanto importante analizzare le questioni legali ad esse correlate. Ognuno ha il diritto alla protezione dei dati personali che lo riguardano. In questo contesto, non possiamo trascurare di garantire un’adeguata protezione dei dati personali nella progettazione di qualsiasi applicazione. Il contributo descrive le principali questioni legali relative alla privacy e alla protezione dei dati, specialmente per quanto riguarda la blockchain, concentrandosi sull’approccio Privacy by Design, secondo il GDPR. Inoltre, credo fermamente che sia possibile sviluppare un framework standard mondiale sulla privacy che le organizzazioni possano utilizzare per le loro attività di protezione dei dati.

I. INTRODUZIONE

Definire l’Internet of Things (IoT) potrebbe essere una sfida a causa della sua complessità tecnica e concettuale. Fondamentalmente, l’IoT è un fenomeno fondato su una rete di oggetti collegati da un tag o microchip che inviano dati a un sistema che li riceve. Nel 2012 la Global Standards Initiative on Internet of Things (IoT-GSI) ha definito l’IoT come “l’infrastruttura della società dell’informazione”. Non che il fenomeno IoT si realizzi solo quando due o più oggetti sono collegati tra loro in una rete come Internet. Oltre a questo tipo di connessione, un oggetto potrebbe anche essere collegato indirettamente a una persona, creando così una rete ad anello tra oggetti e persone. È molto semplice, ad esempio, immaginare una rete ad anello che potrebbe collegare una persona con uno o più oggetti (un orologio, una sedia, una lampada, ecc.) dotati di un sistema tecnologico (RFID, comunicazione near field NFC, ecc.). Tuttavia, l’IoT è una realtà virtuale che riproduce esattamente ciò che accade nel mondo reale. Immaginiamo che il nostro orologio, sedia e lampada contengano tutti chip e siano utilizzati da una persona con bisogni speciali. Da un punto di vista medico, potrebbe essere molto importante, ad esempio, sapere quante volte usa la sedia. Allo stesso tempo, è necessario aiutarlo accendendo automaticamente la lampada quando si siede sulla sedia. Utilizzando i chip, è possibile che gli oggetti comunichino tra loro (ad es., la lampada si accende quando la sedia invia dati che l’uomo è seduto) e allo stesso tempo inviano dati su Internet per, diciamo, analisi mediche. Le informazioni fornite da ciascun oggetto possono essere aggregate, creando così un profilo per lui. Il profilo può contenere informazioni sensibili sull’uomo, il che solleva la possibilità che venga monitorato. Questo è un punto molto importante per la privacy. Questo scenario potrebbe presentare molte questioni legali relative alla privacy e alla legge sulla protezione dei dati. L’obiettivo principale è valutare l’impatto del fenomeno IoT sui diritti fondamentali come il diritto al rispetto della vita privata e familiare secondo la Convenzione europea dei diritti dell’uomo. Ci sono altri aspetti legali da tenere in considerazione nello sviluppo di un progetto sull’IoT.

A. Privacy: Big Data, questioni legali e rischi nell’Internet of Things

Nonostante i suoi numerosi potenziali benefici, l’Internet of Things pone significativi rischi per la privacy e la sicurezza a causa delle tecnologie coinvolte. Secondo il Gartner Newsroom, 6,4 miliardi di cose connesse saranno in uso nel 2016, con un aumento del 30% rispetto al 2015 e si stima che i dispositivi online raggiungano 20,8 miliardi entro il 2020. Questo rappresenta uno scenario da monitorare non solo per il fenomeno dei big data, ma anche per le minacce e i rischi per la privacy e la sicurezza. Un recente studio sulle minacce alla nostra privacy, sicurezza e incolumità, nell’ambito del progetto ‘Cyberhygiene’, ha realizzato il rapporto (non ancora pubblicato) denominato ‘Understanding end-user cyber hygiene in the context of the Internet of Things: A Delphi-study with experts’. Questo rapporto, all’inizio, afferma che

Questo studio mirava a stabilire un consenso degli esperti riguardo alle 1) principali minacce IoT dannose, 2) principali comportamenti protettivi per gli utenti per salvaguardarsi negli ambienti IoT, e 3) principali comportamenti rischiosi degli utenti che possono compromettere l’igiene informatica negli ambienti IoT.

In conclusione, questo rapporto afferma

C’era consenso sulla necessità di considerare i comportamenti attraverso i cicli di vita dell’IoT. Considerando il comportamento attraverso ogni ciclo di vita, siamo stati in grado di identificare i comportamenti chiave che gli utenti devono adottare quando utilizzano dispositivi IoT. Inoltre, siamo stati in grado di identificare le minacce chiave che possono, ad esempio, mettere a rischio le informazioni sensibili degli utenti e i comportamenti rischiosi che possono portare gli utenti a essere a rischio di un attacco riuscito.

Non c’è dubbio, quindi, che anche nell’ecosistema IoT ci siano rischi e minacce rilevanti per la privacy e si dovrebbero prendere precauzioni appropriate. Da un lato, possiamo controllare dispositivi come distributori automatici e altoparlanti stereo con i nostri smartphone, gestire dispositivi nelle nostre case (domotica per risparmio energetico, sicurezza, comfort, comunicazione) tramite controllo remoto e utilizzare app per smartphone per prenotare o acquistare servizi. Applicazioni IoT su larga scala potrebbero includere sistemi di sicurezza pubblica o sistemi di controllo dell’inventario di magazzino. È evidente l’accelerazione dell’evoluzione tecnologica negli ultimi anni e il fenomeno IoT non ne è esente. L’IoT considera una presenza pervasiva nell’ambiente di una varietà di cose, che attraverso connessioni wireless e cablate e schemi di indirizzamento unici possono interagire tra loro e cooperare con altre cose per creare nuove applicazioni/servizi e raggiungere obiettivi comuni. Negli ultimi anni l’IoT si è evoluto dall’essere semplicemente un concetto costruito attorno a protocolli di comunicazione e dispositivi a un dominio multidisciplinare in cui dispositivi, tecnologia Internet e persone (tramite dati e semantica) convergono per creare un ecosistema completo per l’innovazione aziendale, la riutilizzabilità, l’interoperabilità, che include la risoluzione delle implicazioni di sicurezza, privacy e fiducia. D’altra parte, abbiamo visto la crescita rapida ed esponenziale dei dati, il traffico dati e, quindi, un altro paradigma ben noto come Big Data. Big data implica procedure di analisi e data mining dei dati ma lavorando su valori di big data. Oggi è molto semplice sviluppare app che, accedendo ai dati, possono eseguire attività di data mining con ogni conseguenza immaginabile. In questo contesto, l’obiettivo principale è proteggere i dati a causa del loro valore più alto. Tra i principali rischi possiamo certamente presentare i seguenti:

  • Identificazione delle informazioni personali

Il sistema IoT consente di trasferire dati su Internet, inclusi i dati personali. Il rischio è quando l’oggetto non è collegato direttamente a una persona ma solo indirettamente attraverso l’uso di informazioni che appartengono a quella persona.

  • Profilazione

Ci sono diversi rischi e minacce nell’Internet of Things, ma il principale è probabilmente il rischio di profilazione. La profilazione può anche essere un problema con il movimento verso smart grid e città, un fenomeno che è simile per natura all’Internet of Things. Da una prospettiva legale, c’è la necessità di considerare le questioni sulla privacy derivanti da queste iniziative, come la profilazione dei consumatori, la perdita di dati, la violazione dei dati e la mancanza di consenso (il consenso è obbligatorio per legge).

  • Geolocalizzazione

La geolocalizzazione è un altro rischio perché oggi, tramite il nostro dispositivo (prima di tutto gli smartphone) è molto semplice trovare dettagli precisi sulla posizione, ad esempio, foto digitali. Infatti, ogni sistema operativo per smartphone avvisa per impostazione predefinita l’utente che un’app potrebbe utilizzare il sistema GPS e accedere ai dati personali sul dispositivo.

  • Responsabilità per le violazioni dei dati

In Europa, ci sono numerose leggi nazionali e della Comunità Europea (CE) relative alle violazioni dei dati personali. Quindi, l’Internet of Things ha anche effetti sulla responsabilità nei casi in cui i dati raccolti e trasmessi manchino delle misure di sicurezza appropriate. Un altro rischio è la perdita di dati durante l’elaborazione. Le conseguenze comportano, ovviamente, la responsabilità per il titolare del trattamento e il responsabile del trattamento in relazione a ciascuna situazione specifica. Infatti, poiché il trattamento dei dati personali comporta rischi per i dati in questione (come la perdita degli stessi), il Regolamento UE n. 679/2016 sulla protezione dei dati contiene un articolo che richiede ai titolari del trattamento di condurre una valutazione d’impatto sulla protezione dei dati (DPIA) una valutazione delle operazioni di trattamento dei dati che pongono rischi particolari per gli interessati (articolo 35). Questa azione preventiva potrebbe evitare o ridurre i rischi per i diritti fondamentali come la protezione dei dati e la privacy.

II. L’APPROCCIO CORRETTO: LA PRIVACY NON È SICUREZZA

Il punto focale principale per affrontare un approccio corretto a qualsiasi valutazione dei rischi per la privacy, in generale, è comprendere le differenze tra sicurezza e privacy. L’equazione corretta è la seguente:

sicurezza ̸= privacy

dove la sicurezza è diversa dalla privacy. Infatti, secondo questo principio, è possibile adottare misure di sicurezza molto forti, ma questo non può significare rispettare la legge sulla privacy né proteggere la privacy degli utenti. Spesso questo concetto è ogni indicazione che è necessario intervenire sui sistemi di sicurezza per essere conformi alla legge sulla privacy. Ovviamente, questo è un grande malinteso e potrebbe creare confusione sull’approccio alla privacy e le sue conseguenze. L’adozione di misure di sicurezza è certamente un valore, ma non è il modo corretto per affrontare le questioni sulla privacy. Per affrontare correttamente la privacy e la protezione dei dati, è necessario partire dall’approccio privacy by design (o data protection by design and by default) come ulteriormente e meglio chiarito di seguito. La privacy è incorporata nella progettazione.

A. Proteggere la privacy attraverso l’approccio privacy by design

Nell’ottobre 2010, la 32a Conferenza internazionale dei commissari per la protezione dei dati e della privacy ha adottato una risoluzione sulla Privacy by Design (PbD) che è un punto di riferimento e rappresenta un punto di svolta per il futuro della privacy. Invece di fare affidamento sulla conformità con leggi e regolamenti come soluzione alle minacce alla privacy, la PbD adotta l’approccio di incorporare la privacy nella progettazione dei sistemi fin dall’inizio. L’obiettivo principale è elaborare due concetti: a) protezione dei dati e b) utente. Per quanto riguarda la privacy, abbiamo sempre pensato in termini di conformità alle leggi, non riuscendo a valutare il ruolo reale dell’utente (e dei suoi dati personali). Per sviluppare un approccio efficace alla protezione dei dati e alla privacy, dobbiamo iniziare qualsiasi processo con l’utente la persona che deve essere protetta mettendolo al centro. Ciò significa che durante il processo di progettazione, l’organizzazione deve sempre pensare a come proteggerà la privacy degli utenti. Rendendo l’utente il punto di partenza nello sviluppo di qualsiasi progetto (o processo), realizziamo un approccio PbD. Questo approccio metodologico si basa sui seguenti sette principi fondamentali:

  1. Proattivo non reattivo; preventivo non correttivo;
  2. Privacy come impostazione predefinita;
  3. Privacy incorporata nella progettazione;
  4. Piena funzionalità somma positiva, non somma zero;
  5. Sicurezza end-to-end protezione del ciclo di vita completo;
  6. Visibilità e trasparenza mantenerla aperta;
  7. Rispetto per la privacy dell’utente mantenerla incentrata sull’utente.

Possiamo vedere perché l’approccio Privacy by Design è così importante nell’ambiente IoT. Infatti, l’Internet of Things dovrebbe adottare i principi e le dichiarazioni PbD, mettendo sempre l’utente al centro. Il Garante europeo della protezione dei dati (EDPS) ha promosso la PbD, sostenendo il concetto nel suo parere del marzo 2010 del Garante europeo della protezione dei dati sulla promozione della fiducia nella società dell’informazione promuovendo la protezione dei dati e la privacy come strumento chiave per generare la fiducia individuale nelle TIC. Non molto tempo dopo questo endorsement, anche la 32a Conferenza internazionale dei commissari per la protezione dei dati e della privacy ha adottato il concetto di PbD. In Europa, questo approccio è diventato “Data Protection by Design and by Default” (DPbDabD) nel Regolamento UE 679/2016. Tra “Privacy by Design” (PbD) e “data protection by design and by default” ci sono differenze in termini di approccio metodologico, ma l’obiettivo principale è evidenziare come sia necessario partire dall’utente in qualsiasi progetto sulla privacy. Queste due espressioni rappresentano due diversi approcci metodologici. La formulazione dell’UE è più descrittiva e non basata su un metodo; inoltre, il concetto by default è autonomo, mentre l’approccio PbD incorpora lo stesso concetto in by design. Inoltre, il Regolamento UE 679/2016 sembra prestare molta attenzione agli aspetti tecnici e di sicurezza invece che alle preoccupazioni legali, come si vede nell’evidenziazione del termine sicurezza. Quindi, l’Internet of Things dovrebbe adottare i principi e le dichiarazioni Privacy by Design, mettendo sempre l’utente al centro.

III. L’EVOLUZIONE DELL’IOT E LE SUE APPLICAZIONI: UNA SFIDA

Il fenomeno IoT fa nascere diverse applicazioni in vari settori (Personale, Casa, Veicoli, Impresa, Internet industriale). Questo è un sistema in continua evoluzione e vediamo lo sviluppo di molte applicazioni in ogni settore. Negli ultimi anni è sorto l’interesse (la necessità) di garantire i più alti livelli di sicurezza sia per le industrie che per gli utenti. I campi dei Big Data e della Blockchain sono i principali fenomeni emergenti nell’ecosistema IoT, ma le persone hanno prestato maggiore attenzione agli aspetti tecnici e di sicurezza che a quelli sulla privacy. Certamente, gli aspetti di sicurezza sono rilevanti per evitare o ridurre i rischi per la privacy dei dati. Tuttavia, da un punto di vista della privacy, non possiamo ignorare l’approccio giusto, secondo i principi PbD. Nella prima fase di analisi, qualsiasi progetto deve essere valutato anche pensando a come proteggere i dati sulla privacy e le informazioni personali applicando i principi PbD. In concreto, dopo il processo di valutazione, il progetto deve essere conforme alla legge e non dopo averlo avviato. Una volta avviato il progetto, non necessita di alcun processo di conformità con la legge perché, secondo i principi PbD, lo stesso progetto deve essere già conforme alla legge sulla privacy prima di avviarlo. In questo caso, (durante il ciclo di vita del progetto) non è richiesta alcuna valutazione di conformità con la legge. Infatti, qualsiasi valutazione è necessaria durante la fase di progettazione del progetto, proprio per la natura dell’approccio “by design”, applicando correttamente i principi PbD. L’ecosistema IoT consente di sviluppare diverse applicazioni per diversi settori. Uno dei settori più importanti sviluppati negli ultimi anni è definito come “smart”; infatti, parliamo di smart city, smart grid, smart car, smart home, ecc. In ciascuno di questi campi vengono sviluppate applicazioni che consentono di far interagire gli oggetti tra loro, trasferendo informazioni in tempo reale. Nel campo della smart home, le industrie hanno sviluppato sensori e applicazioni con cui è possibile controllare diversi elettrodomestici, decidendo autonomamente quando è il momento di accendere o spegnere e comunicando anche qualsiasi operazione al proprietario. Questo fenomeno è ben noto come domotica. Pensando alla smart grid, è molto interessante trasferire qualsiasi informazione dal contatore installato in casa al sistema centrale elettrico. Questo ha i suoi vantaggi sia per il fornitore che per gli utenti. Un’altra applicazione è lo sviluppo dell’automazione cittadina tramite sistemi che consentono di far crescere la qualità della vita per le persone. Da un punto di vista tecnico, queste applicazioni devono essere sviluppate garantendo un livello di sicurezza molto forte per evitare qualsiasi alterazione. Man mano che la tecnologia si sviluppa, crescono anche gli attacchi ai sistemi. Tuttavia, non possiamo ignorare le diverse minacce su questi sistemi. Leggiamo di attacchi hacker per rubare beni o informazioni. In un caso, un frigorifero comunicava al proprietario qualsiasi informazione su di esso e sul cibo al suo interno. Le persone hanno intercettato la comunicazione e controllato i flussi di dati comprendendo quando il proprietario andava in vacanza perché il frigorifero riduceva il numero di comunicazioni o, invece, le aumentava a causa della necessità di intervenire per il cibo marcio. Attraverso l’uso illecito di queste informazioni, è possibile capire se la casa è disabitata, dando così la strada ad attività criminali. Da un altro lato, gli esperti hanno lanciato l’allarme per possibili attacchi all’illuminazione pubblica con conseguenze immaginabili. Lo sforzo di sviluppare un sistema intelligente basato - come in questo caso particolare - sull’illuminazione pubblica ha i suoi vantaggi ma, allo stesso tempo, è necessario implementare forti misure di sicurezza per prevenire qualsiasi attività criminale. Immaginiamo un attacco alla smart grid: conseguenze devastanti! Il concetto di IoT è ampio e può riguardare anche le infrastrutture critiche: che dire? È chiaro che l’evoluzione tecnologica è un valore, ma allo stesso tempo è importante prevenire qualsiasi tentativo di frode sia utilizzando forti misure di sicurezza che soluzioni per la privacy. Recentemente ci sono molte notizie su Internet sulla blockchain. La blockchain è stata “concettualizzata da Satoshi Nakamoto nel 2008 e implementata l’anno successivo come componente principale della valuta digitale bitcoin”. L’ecosistema IoT registra un altro fenomeno importante che sono le applicazioni blockchain. Questo è uno scenario breve sulle applicazioni nell’ecosistema IoT e i rischi per la sicurezza, ma che dire della privacy?

IV. BLOCKCHAIN, PRIVACY E QUESTIONI LEGALI: LA NUOVA SFIDA

La blockchain “è un registro condiviso e immutabile per registrare la storia delle transazioni”; è un registro di record. La blockchain è stata immaginata da Satoshi Nakamoto. La blockchain funziona come un database distribuito e la sua struttura garantisce qualsiasi modifica o alterazione a causa del forte collegamento e timestamp tra ogni blocco. La blockchain è un database distribuito e questa tecnologia sottende bitcoin. La blockchain è stata oggetto di analisi tecniche da parte di persone nel settore IT e quindi ha attirato la loro attenzione a causa delle potenziali applicazioni. Da un punto di vista tecnico, emergerebbe una struttura molto sicura della blockchain. Infatti, a causa della configurazione tecnica, sembra fondata su un algoritmo molto forte che dovrebbe evitare qualsiasi alterazione. Negli ultimi anni abbiamo avuto diversi contributi tecnici che hanno fornito diverse soluzioni tecniche riguardanti la sicurezza. La struttura della blockchain sembra molto forte ed esente da compromessi, ma il punto debole è il proprietario di ciascun nodo. Infatti, se il proprietario commette un errore compromette tutta la catena. Accademici e scienziati hanno sviluppato molte teorie sulla blockchain per dimostrare l’assoluta sicurezza di tutta la struttura tecnica. Una delle questioni principali è la necessità di potenza computazionale richiesta dalla blockchain perché è necessario scoprire qual è l’algoritmo su cui si basa il nodo e quindi collegarlo agli altri e così via. Tra le principali industrie, IBM con Samsung Electronics hanno sviluppato il progetto ADEPT (Autonomous Decentralized Peer-to-Peer Telemetry) e secondo il documento intitolato “Empowering the edge - Practical insights on a decentralized Internet of Things”, leggiamo “L’obiettivo primario dell’ADEPT PoC era stabilire una base su cui dimostrare diverse capacità che sono fondamentali per costruire un IoT decentralizzato. Sebbene molti sistemi commerciali in futuro esisteranno come modelli ibridi centralizzati-decentralizzati, ADEPT dimostra una prova completamente distribuita”. Quindi, è evidente che stiamo assistendo all’evoluzione dell’IoT da una rete di oggetti a un IoT basato su blockchain. Nel documento sopra menzionato leggiamo “Ogni partecipante alla blockchain può mantenere la propria copia del registro, sebbene la quantità di dati memorizzati vari in base alla capacità, alla necessità e alla preferenza. Ogni blocco sul registro contiene un hash del blocco precedente. Ciò consente di tracciare i blocchi fino al primo blocco (genesis). È computazionalmente proibitivamente difficile e impraticabile modificare un blocco una volta creato, specialmente quando la catena di blocchi successivi viene generata. I blocchi nelle catene più corte vengono automaticamente invalidati in virtù del fatto che esiste una catena più lunga tutti i partecipanti adottano la catena disponibile più lunga”. Questo approccio completa lo scenario sulla struttura tecnica della blockchain che si rivela un sistema molto forte. Tuttavia, la blockchain, ancora oggi, è progettata per i servizi finanziari e/o le transazioni. Non possiamo dimenticare che la blockchain è sempre sostenuta dal bitcoin e nelle fasi successive è stata implementata ma pensando a un sistema di valuta. Ora l’implementazione della blockchain (come Ethereum - https://ethereum.org/) viene sviluppata sui contratti. Tuttavia, il termine “contratti” è correlato a una (o più) transazione(i) finanziaria(e) e non specificamente a un accordo legale. Questo conferma quanto lo sviluppo sia molto più vicino alla tecnologia che alla legge e al mondo legale in generale. Dato ciò, è chiaro quale può essere un approccio legale a questi fenomeni. In questo panorama, si può immaginare la tecnologia e la legge come due treni diversi, ma il primo (tecnologia) è sempre molto più veloce del secondo (legge). Uno sviluppo di sistema richiede l’intervento tecnico e quasi mai il supporto legale. Le persone che si occupano di legge (avvocati, giudici, notai, consulenti, professionisti, ecc.) devono analizzare e verificare come la legge può essere correttamente applicata a un caso particolare, ma, quasi sempre, dopo il suo completo sviluppo. Sarebbe opportuno - in certi casi - coinvolgere un legale per definire preventivamente tale valutazione di conformità con la legge.

A. Blockchain, privacy e protezione dei dati

Tornando alla blockchain, una delle questioni legali è rappresentata dalla legge sulla privacy. Per quanto riguarda la privacy, Satoshi Nakamoto sostiene che

la privacy può ancora essere mantenuta interrompendo il flusso di informazioni in un altro luogo: mantenendo le chiavi pubbliche anonime.

Tuttavia, l’autore dice anche che

Il rischio è che se il proprietario di una chiave viene rivelato, il collegamento potrebbe rivelare altre transazioni appartenenti allo stesso proprietario.

Questo rappresenta una grande falla nella prospettiva della privacy. Garantire la privacy e la protezione dei dati è uno degli obiettivi principali di qualsiasi progetto che deve essere affrontato “by design”, senza lasciare alcuna possibilità di compromettere i dati personali e/o le informazioni personali. Axon sostiene che i problemi di privacy possono essere affrontati con “privacy-awareness” abilitando “due livelli di anonimato: anonimato totale e anonimato a livello di gruppo di vicini”. Tuttavia, “privacy-awareness” non sembra una soluzione valida perché in questo modo non è sufficiente essere conformi al GDPR dell’UE, secondo l’articolo 25 (Protezione dei dati fin dalla progettazione e per impostazione predefinita). In un altro contributo tecnico si legge “Mantenere la privacy sulla blockchain è una questione complicata”. Gli autori propongono “Un paio di modi per mitigare - ma non eliminare completamente - questo problema, se la privacy è importante per l’applicazione considerata”. La privacy è certamente importante sulla blockchain e per questo motivo sarebbe meglio affrontare la questione trovando una soluzione “legale” per essere conformi alla legge. Altri autori affermano:

Nonostante i vantaggi forniti da questi servizi, possono sorgere questioni critiche sulla privacy. Questo perché i dispositivi connessi (le cose) diffondono dati personali sensibili e rivelano comportamenti e preferenze dei loro proprietari. La privacy delle persone è particolarmente a rischio quando tali dati sensibili sono gestiti da aziende centralizzate, che possono farne un uso illegittimo…

È molto apprezzabile l’approccio di questi autori perché propongono una soluzione tecnica presentandola in termini di “IoT private-by-design”. Infatti, si legge “Con lo scopo di prevenire questa situazione, l’obiettivo della nostra ricerca è incoraggiare un IoT decentralizzato e private-by-design, dove la privacy è garantita dalla progettazione tecnica dei sistemi. Crediamo che questo possa essere raggiunto adottando sistemi Peer-to-Peer (P2P)”. Nonostante questa soluzione proposta evidenzi il concetto “by design”, da un punto di vista legale non sembra affrontare la questione relativa all’obbligo richiesto dal GDPR dell’UE. Questo breve scenario mostra come sulla blockchain ci siano certamente questioni sulla privacy affrontate solo fornendo soluzioni tecniche, senza alcun riferimento legale. A parte la forte soluzione tecnica, quindi, non possiamo ignorare gli obblighi di legge, dove sono applicabili, come in Europa, secondo il sopra menzionato GDPR. Questo panorama conferma l’equazione secondo cui la sicurezza è diversa dalla privacy; un sistema potrebbe essere molto sicuro ma non conforme alla legge sulla privacy. Al contrario, un sistema potrebbe essere conforme alla legge sulla privacy e, quindi, molto sicuro (ovviamente se sono state adottate le misure di sicurezza). A parte alcuni contributi in cui la privacy è menzionata, la blockchain è stata valutata quasi esclusivamente in termini tecnici. Spesso privacy e protezione dei dati sono considerati sinonimi, ma ovviamente ci sono differenze significative tra loro. Questo non è il luogo appropriato per presentare le differenze tra privacy e protezione dei dati, ma è molto importante sottolineare che sono diverse riguardo alla natura e all’approccio. Inoltre, dove sviluppatori e tecnici discutono di privacy, probabilmente si riferiscono alla necessità di considerare strettamente confidenziale qualsiasi informazione e di non divulgarne alcuna. Questo è certamente un punto focale, ma non possiamo ignorare che in Europa esiste il diritto alla protezione dei dati personali ed è un diritto fondamentale (articolo 8 della Carta dei diritti fondamentali dell’UE). Il processo di conformità non può ignorare il Regolamento UE n. 679/2016 (GDPR - General Data Protection Regulation) che - già in vigore - sarà applicato dal 25 maggio 2018. È necessario evidenziare che un corretto approccio di analisi in termini di Privacy by Design o Data Protection by Design and by Default esclude qualsiasi conformità con la legge perché questa valutazione deve essere fatta durante la fase di progettazione. La privacy, quindi, deve essere considerata come l’argomento principale in ogni progetto. Inoltre, nella fase di progettazione, è necessaria la seguente premessa: a causa della struttura della blockchain, deve essere verificato se la legge sulla privacy potrebbe essere applicabile. Infatti, la blockchain - a causa della sua natura e struttura - è basata sui principi di fiducia e democrazia. Non c’è un supervisore generale o “titolare del trattamento”. La blockchain funziona su algoritmi complessi che richiedono una potenza computazionale per le attività di mining per scoprire nell’intestazione tale modifica del codice hash SHA256. Dopo questo processo complesso, lo stato del nodo cambia, consentendo altre transazioni. Dato ciò, la blockchain rappresenta un’operazione computazionale apparentemente senza alcuna persona fisica coinvolta. Ci sono certamente diverse operazioni automatiche eseguite dal software, ma la blockchain non può funzionare senza alcun input da parte di una persona fisica. Più in profondità, il proprietario del nodo - una persona fisica - decide che tipo di transazione vuole eseguire. Questo esclude, quindi, che la blockchain possa essere considerata come un processo totalmente automatizzato nelle fasi di creazione dei nodi. Dopo questa dichiarazione introduttiva, è chiaro che:

  1. La blockchain è un database distribuito;
  2. La blockchain adotta la crittografia e altre forti misure di sicurezza;
  3. La blockchain contiene informazioni o dati personali;
  4. Le persone non sanno dove sono archiviati i dati a causa del database distribuito;
  5. Le persone non sanno chi gestisce i loro dati;

È vero che la blockchain si basa su una piattaforma software e funziona elaborando dati, ma allo stesso tempo elabora dati personali, appena inseriti dal proprietario del nodo. L’articolo 1, paragrafo 1, del GDPR, afferma

“Il presente regolamento si applica al trattamento dei dati personali interamente o parzialmente automatizzato e al trattamento non automatizzato di dati personali che fanno parte di un archivio o sono destinati a farne parte”.

Inoltre, l’articolo 2, paragrafo 2, lettera (c) del GDPR afferma

“Il presente regolamento non si applica al trattamento dei dati personali: . . . (c) effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.

Inoltre, da un’analisi preliminare, da un lato, si può presumere che non ci siano dubbi sul fatto che la blockchain realizzi un trattamento di dati personali interamente automatizzato. D’altra parte, l’analisi deve valutare se, nella blockchain, il trattamento dei dati personali da parte di una persona fisica non appare nell’esercizio di attività a carattere esclusivamente personale o domestico. Se entrambe queste condizioni saranno realizzate, il GDPR sarà applicabile. Tuttavia, potrebbe accadere che - invece - il trattamento dei dati personali sia nell’esercizio di attività a carattere esclusivamente personale o domestico. In questo caso, nonostante il trattamento dei dati personali sia interamente automatizzato, il GDPR non sarà applicabile. Se il caso sarà sotto il GDPR, richiede il consenso dell’interessato. Infatti, secondo l’articolo 6 (Liceità del trattamento), par. 1, lettera (a), del GDPR

“Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità specifiche”.

Inoltre, l’articolo 7 (Condizioni per il consenso), paragrafo 3 del GDPR, afferma

“Prima di esprimere il consenso, l’interessato deve essere informato di ciò”.

Nello scenario blockchain, chi informa l’interessato? C’è qualche informazione sulla piattaforma blockchain? Potrebbe l’interessato essere considerato informato da se stesso? Questa ipotesi solleva molte conseguenze legali e, tra queste, certamente che il proprietario del nodo può essere considerato come “titolare del trattamento”, e di conseguenza ha obblighi e responsabilità secondo il GDPR. Pertanto, a causa della struttura della blockchain, per quanto riguarda la privacy, il proprietario di ciascun nodo dovrebbe essere considerato come “titolare del trattamento” dei dati personali secondo il GDPR. Secondo l’articolo 25 del GDPR, come di seguito menzionato, “il titolare del trattamento deve . . . attuare misure tecniche e organizzative appropriate, come la pseudonimizzazione, progettate per attuare i principi di protezione dei dati, come la minimizzazione dei dati . . . “. Da un lato, applicando questi principi, è obbligatorio tenere conto non solo delle misure tecniche ma anche organizzative. Lo sviluppo della blockchain, quindi, deve considerare anche l’aspetto organizzativo. Dall’altro lato, tra le misure indicate nel suddetto articolo, ci sono le tecniche di pseudonimizzazione e minimizzazione che possono essere utilizzate nella blockchain. Queste misure dovrebbero essere considerate campioni e non obbligatorie. Infatti, per quanto riguarda la pseudonimizzazione, sembra in contrasto con lo scopo della blockchain in certi casi. Per la stessa cosa anche la minimizzazione potrebbe non essere conforme alla natura e alla struttura della blockchain. Questo panorama dimostra come sia necessario adattare la data protection by design and by default al sistema o all’infrastruttura tecnica, cercando, in ogni caso, di minimizzare i rischi. Per quanto riguarda la struttura della blockchain come database distribuito, questo potrebbe porre le questioni sulla posizione in cui sono archiviati i dati. Secondo la natura della blockchain, a causa del suo database distribuito, i dati potrebbero essere archiviati ovunque nel mondo. Questo implica alcune conseguenze importanti riguardo alla localizzazione e all’applicazione della legge. I diritti dell’interessato potrebbero essere compromessi nel caso in cui - ad esempio - i suoi dati siano archiviati in un paese al di fuori dell’Europa dove è considerato “paese terzo”. Pertanto, dopo questa breve analisi, sulla privacy e la protezione dei dati, è abbastanza chiaro che in casi particolari riguardanti la blockchain il GDPR deve essere applicato.

B. Blockchain e identificazione elettronica (eID)

In ogni caso, ci sono certamente altre questioni legali relative alla blockchain e, tra queste, possiamo menzionare i contratti e l’identità elettronica (eID). Una delle questioni più importanti è l’identificazione elettronica dell’utente. Il Regolamento UE n. 910/2014 del 23 luglio 2014 sull’identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE definisce (articolo 3) l’identificazione elettronica come segue “significa il processo di utilizzo di dati di identificazione della persona in forma elettronica che rappresentano in modo univoco una persona fisica o giuridica, o una persona fisica che rappresenta una persona giuridica”. Secondo il suddetto Regolamento UE (n. 910/2014), è possibile supporre lo sviluppo della blockchain per qualsiasi applicazione che garantisca l’identificazione elettronica di ciascun proprietario del nodo. La blockchain è stata sviluppata per garantire l’anonimato, ma in certi casi o processi c’è la necessità di identificare una persona. Ad esempio, in un processo relativo a un servizio finanziario, potrebbe esserci la necessità di identificare una persona più volte. Infatti, in un servizio finanziario sono spesso coinvolti diversi operatori e stakeholder. Ogni persona deve essere identificata passo dopo passo da diversi stakeholder. Nonostante la certezza di aver identificato una persona, tuttavia, questo è uno spreco di tempo e risorse. A causa della struttura molto sicura della blockchain, è possibile realizzare un sistema di identificazione, basato sulla stessa struttura blockchain e (forse) su un’autorità di certificazione, che garantisca la certezza dell’identità di ogni persona una volta per tutti i passaggi. In questo modo, è sufficiente che la persona sia stata identificata una volta nel processo per garantire la sua identità a tutti gli stakeholder e operatori. In un processo complesso o all’interno di un framework, non c’è bisogno di stabilire la loro identità più volte se già c’è almeno una volta la certezza sull’identità della persona. È possibile realizzare un database sicuro di identità elettroniche - meglio, un database distribuito sicuro di identità elettroniche - che sarà basato sulle forti misure di sicurezza della blockchain. Secondo il suddetto Regolamento UE n. 910/2014, speriamo che i legislatori possano adottare una legge nel diritto interno sull’uso autorizzato dell’identificazione elettronica basata su un’applicazione blockchain. Ciò contribuirà a sviluppare il mercato, preservando la certezza sull’identità della persona, la protezione dei dati e la privacy e - allo stesso tempo - realizzando un database sicuro, garantendo l’accesso ai soggetti autorizzati per gli usi autorizzati.

V. CONCLUSIONE

L’Internet of Things coinvolge tutti gli stakeholder dalle aziende ai consumatori. Concentrarsi sull’utente (consumatore) è particolarmente importante per garantire un livello di riservatezza che guadagnerà la fiducia dell’utente. Ciò è reso possibile adottando il massimo livello di sicurezza attraverso l’approccio Privacy by Design (PbD o DPbDabD) ed eseguendo PIA per valutare i rischi per la privacy della raccolta e del trattamento dei dati. L’industria può essere diffidente nei confronti degli sforzi per regolamentare l’Internet of Things, poiché considera il fenomeno IoT come una fonte di enormi opportunità commerciali. Ad esempio, i cambiamenti nello stile di vita - come l’uso di servizi tecnologici più avanzati come le applicazioni domotiche - possono certamente aumentare la qualità della vita del consumatore (e i profitti dell’industria). Spetterà ai consumatori, ai regolatori e ai professionisti della privacy convincere il settore imprenditoriale che comprendere i rischi relativi all’IoT produrrà le stesse opportunità commerciali per proteggere la privacy e aumentare la qualità della vita. È molto importante istituire uno standard sulla privacy per facilitare un approccio metodologico alla privacy e alla protezione dei dati. Da un punto di vista legale, la principale difficoltà nell’istituire e utilizzare uno standard sulla privacy è relativa alle leggi esistenti, che sono diverse in ogni nazione (e anche in stati e province diverse all’interno di quelle nazioni). È possibile sviluppare un framework standard sulla privacy che le organizzazioni possano utilizzare per le loro attività di protezione dei dati. Questo framework standard può essere adattato alla legislazione nazionale mantenendo il framework principale per tutti gli stati nazionali. Poiché l’approccio Privacy by Design (o DPbDabD) è l’approccio metodologico fondamentale alla protezione della privacy, lo standard sulla privacy dovrebbe essere adottato secondo i principi e le dichiarazioni PbD. Un Privacy Management System (PMS) potrebbe essere un modello di riferimento o un sistema software che lavora sui principi PbD. Sviluppare un PMS conferisce un beneficio a tutti gli stakeholder perché in questo modo è possibile automatizzare ogni processo garantendo un buon livello di protezione dei dati, riducendo i rischi per la privacy e la sicurezza. Inoltre, è possibile utilizzare i principi di Intelligenza Artificiale e Machine Learning per sviluppare un software basato su un PMS per facilitare i professionisti, gli enti pubblici, le industrie e le organizzazioni nelle loro attività. Con questo approccio è concepibile una blockchain più vicina alle esigenze pratiche e professionali.