Internet delle cose e Data Protection

Entro il 2018 l’Internet delle Cose genererà circa 9 miliardi di oggetti interconnessi e, entro il 2020 ci saranno circa 7,1 trilioni di USD di ricavi generati dalle vendite di tali oggetti.

Un recente attacco hacker che ha causato l’invio di oltre 750.000 messaggi spam e pishing nel natale del 2013 ha reso evidente il problema legato al Data Protection inevitabilmente collegato all’uso di tali tecnologie.

Durante lo scorso salone del mobile di Milano, abbiamo avuto modo di vedere Smart Fridges che interagendo con i codici a barre o RFID dei prodotti acquistati al supermercato e riposti all’interno del frigorifero, verificano gli usi e i consumi del proprietario del frigorifero, inviando alerts per ricordargli che un determinato prodotto sta finendo o addirittura procedono automaticamente all’invio di ordini di acquisto presso store on line con consegne a domicilio in modo da garantire un costante approvvigionamento dei prodotti alimentari secondo i gusti e consumi dell’utente. Sarebbe inoltre possibile affidare al frigorifero il compito di guidare l’utente verso una migliore dieta lasciando quindi all’oggetto intelligente decidere per noi.

E’ inoltre particolarmente interessante il Google Latitude Doorbell che ci avvisa quando il nostro partner sta per arrivare a casa in modo da iniziare a preparare il pranzo o la cena (oppure per altri scopi meno nobili…).

E ancora, tecnologie da indossare, che ci informano sullo stato di salute del nostro corpo e/o sulle condizioni esterne, al fine di darci informazioni sui potenziali rischi nonché su eventuali farmaci che potrebbero essere utili all’utente in considerazione del nostro stato di salute.

Questi sono solo alcuni esempi di prodotti interconnessi che rendono possibile il monitoraggio della nostra vita quotidiana e i nostri usi e consumi se non addirittura predirli.

Già oggi, attraverso l’uso dei social network, sulla base delle informazioni che gli utenti forniscono, è possibile avere un quadro delineato delle caratteristiche dell’utente, anche di quello meno attivo, essendo sufficiente anche solo una sua attività di ricerca o visione di pagine (si pensi a chi osserva pagine facebook senza mai interagire) o suoi eventuali like.

Gli algoritmi utilizzati possono potenzialmente elaborare anche la non-attività tipizzando l’utente in altre categorie e non è quindi sufficiente non “commentare”, “postare”, “twittare” o semplicemente apporre un like o linkare per essere al riparo dalla costante attività di monitoraggio.

Tuttavia, il limite dei social network, seppure sempre meno rilevante, è dato dal fatto che l’input di attività o non – attività in rete dell’utente, potrebbe non corrispondere in tutto e per tutto alle reali caratteristiche dell’utente stesso. Sono in sostanza possibili delle false identità virtuali non tanto per il nome e cognome o professione o città, ma per i gusti e consumi che l’utente falsamente mette in rete.

Questi utenti, secondo una certa parte della cultura dei social network, sono delle vere e proprie “pillole avvelenate”, soggetti cioè che falsano il sistema attraverso comportamenti che non corrispondono alle loro reali caratteristiche. Con ciò determinando un evidente problema di targetizzazione e una conseguente impossibilità di piazzare specifici prodotti commerciali attraverso pubblicità mirata.

Naturalmente questo problema sta diventando, come detto, sempre meno rilevante poichè a fianco alle attività social caratterizzate da semplici post o informazioni sulla propria vita, si vanno a sviluppare sempre più attività sociali difficilmente falsabili quali l’ascolto di musica, la lettura di libri, giornali e fumetti, etc.

Ecco quindi che il c.d “fake” che ascolta musica, legge libri e fumetti o quant’altro on line viene sostanzialmente smascherato e quindi nuovamente ricollocato nella corretta categoria sociologica.

Naturalmente il livello di targetizzazione dei social network non può in alcun modo competere con le capacità di targetizzazione dell’Internet delle Cose di cui parlavamo prima.

Gli oggetti interconnessi utilizzati ogni giorno dagli utenti forniscono al gestore del servizio una quantità incredibile di dati che combinati con atre informazioni diventano una vera e propria miniera d’oro.

E’ questa la vera corsa all’oro verso il 2020: l’inquadramento perfetto di ogni individuo.

Il compito di definire le finalità di questa inarrestabile operazione non può essere certamente delineato in questa sede, ma appare evidente come sia sempre più difficile stabilire chi sia il soggetto che materialmente dispone di questi dati.

Non è infatti sufficiente dire che Google è titolare del trattamento dati personali dell’utente che usa il Google Latitude Doorbell per essere certi che solo Google disponga delle informazioni fornite attraverso questo oggetto intelligente.

Infatti, attraverso l’interazione tra provider e la diffusione dei Big Data, si potrebbe avere un problema di diffusione dei dati e delle informazioni tra più providers e tra providers e i governi. Il che, per chi tende a immaginare che la privacy sia un diritto fondamentale per poter vivere in un sistema democratico, non rappresenta certamente un bello scenario.

Con l’Internet delle Cose infatti, saremmo monitorati costantemente, 24 ore su 24, sette giorni su sette, in ogni angolo del pianeta con conseguente possibilità non solo di conoscere ogni nostra mossa e nostro desiderio ma addirittura di predirlo e sopratutto influenzarlo. Cosa che già oggi è possibile ma l’interconnessione degli oggetti renderà il monitoraggio estremamente capillare e sopratutto consentirà agli oggetti di decidere loro per noi e di agire loro per noi.Senza contare l’effetto omologazione e standardizzazione che rischia di distruggere le diversità culturali alla base di ogni sano sistema sociale.

Dalla rete agli oggetti quindi. E questo potrebbe anche spiegare il grande interesse di Google verso le aziende di robotica.

La Corte di Giustizia Europea si è già pronunciata più volte sulla sacrosanta inviolabilità dei dati personali ma queste sentenze rischiano di divenire lettera morta nel momento in cui è lo stesso utente a cedere volentieri le sue informazioni pur di avere un determinato servizio. Senza contare che la percezione dell’utente in merito a tale invasione della privacy è sempre più affievolita.

Per ora l’unico baluardo normativo a tutela della privacy è garantito dalle normative comunitarie. I provider americani (tra cui Google) stanno iniziando a rendersi conto del diverso livello di normativa e di quanto quella comunitaria sia più sofisticata. Questi quindi non procedono più a traduzioni letterali (spesso maldestre) delle loro privacy policies ma adeguano le stesse al sistema comunitario affidando l’incarico a consulenti specializzati.

Magra consolazione per gli utenti amanti della privacy poiché per quanto la normativa sia foriera di sanzioni, ad oggi non è stato dato seguito alla proposta di parametrare tali sanzioni al fatturato delle aziende (come avviene nei casi anti-trust) e ciò comporta sanzioni irrisorie sopratutto per i colossi del web.

Certo è che ormai il percorso è segnato e resta quindi a noi capire quanto veramente vogliamo rivelare della nostra vita pur di avere un dato servizio.

E’ probabile invece che questo fenomeno, apra la via a nuove iniziative imprenditoriali e startup innovative fornitrici di prodotti e servizi per la tutela della privacy.

Come detto la corsa all’oro è aperta.

Avv. Massimo Simbula