Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione?

Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things – IoT) ha visto un importante balzo in avanti nel settore dell’industria, in particolare nelle PMI che necessitano di monitorare i consumi o di ottimizzare i processi produttivi. Per le Piccole Medie Imprese implementare progetti IoT può determinare vantaggi importanti sulla concorrenza, sempre che si seguano alcune regole fondamentali in materia di privacy e cybersecurity.

 

 

 
Definizione e caratteristiche IoT

L’Internet of Things è ormai entrato a far parte delle nostre vite. Gli “oggetti intelligenti” controllano le nostre case, le nostre auto, i nostri ambienti di lavoro e le nostre attività fisiche. Prima di esaminare vantaggi, criticità e contromisure, è necessario fare un passo indietro e comprendere il contesto in cui ci troviamo. Secondo il Gruppo di lavoro ex art. 29 (c.d. “WP29”, oggi “EDPB”), “il concetto di Internet degli oggetti (IoT) si riferisce a un’infrastruttura nella quale miliardi di sensori incorporati in dispositivi comuni di uso quotidiano (“oggetti” a sé stanti oppure oggetti connessi ad altri oggetti o persone) sono progettati per registrare, trattare, conservare e trasferire dati e, essendo associati a identificativi univoci, interagiscono con altri dispositivi o sistemi che sfruttano le capacità di collegamento in rete”.

Tali dispositivi consentono di osservare ed analizzare le abitudini dell’utente e l’ambiente che lo circonda, attraverso la raccolta e l’immagazzinamento di enormi quantità di dati (c.d. “Big Data”). Sulla base delle informazioni raccolte, l’IoT aiuta a ottimizzare i processi, ad aumentare l’efficienza e a migliorare l’esperienza degli utenti finali.

 

Statistiche in Italia su IoT

Una recente indagine (aprile 2023) condotta dall’Osservatorio Internet of Things della School of Management del Politecnico di Milano, ha rivelato che, in Italia:

  • gli oggetti connessi attivi sono 124 milioni, più di 2,1 per abitante;
  • il mercato dell’IoT ha raggiunto 8,3 miliardi di euro con una crescita significativa e costante nel tempo, nonostante la situazione geopolitica degli ultimi anni ed i problemi legati alla carenza di semiconduttori e di materie prime.
 

 

Prosegue la crescita del mercato dell’Internet of Things”, ha dichiarato Giulio Salvadori, Direttore dell’Osservatorio IoT “sia in termini di valore che di maturità dell’offerta. Cresce la consapevolezza di aziende, pubbliche amministrazioni e consumatori, sempre più interessati a gestire da remoto asset e dispositivi smart, attivando servizi e funzionalità avanzate, mentre si accende la competizione con nuovi player globali. Nel contempo, aumentano le aspettative per il futuro, anche grazie ai grandi investimenti previsti dal PNRR e ai frequenti rincari dell’energia, che spingono aziende e consumatori a porre maggiore attenzione ai consumi, sfruttando anche le tecnologie smart”.

Fra i settori che attualmente occupano la principale porzione di mercato, infatti, al secondo posto dopo la Smart Mobility (mobilità “intelligente”), troviamo le applicazioni IoT nel mondo utility (Smart Metering e Smart Asset Management), con 1,37 miliardi di euro di fatturato nel 2022. L’interesse dei consumatori e dell’industria all’IoT, infatti, ha visto una crescita direttamente proporzionale all’aumento dei costi in energia. Nel 2022, la quota di piccole e medie imprese a conoscenza di soluzioni IoT è salita all’87%, facendo registrare un incremento del +41% rispetto al 2021. Fra queste il 58% ha già avviato almeno un progetto IoT, spesso a supporto di servizi di energy management.

 

IoT e Piccole Medie Imprese

“In generale, rispetto a quanto rilevato nel 2021, si assiste a una riduzione del gap tra grandi imprese e PMI in termini di conoscenza (-39%) e diffusione dei progetti (-23%) di Industrial IoT” ha evidenziato Giovanni Miragliotta, Responsabile scientifico dell’Osservatorio Internet of Things. Questo risultato è sicuramente stato determinato anche dalla diminuzione del prezzo medio dei sensori IoT, che è passato da 1,30 dollari nel 2004 a 0,38 dollari nel 2020 (dati del World Economic Forum, fondazione internazionale senza scopo di lucro che mira ad avvicinare le imprese verso comportamenti più sostenibili). Man mano che le tecnologie IoT diventano più accessibili, le PMI si trovano in una posizione migliore per adottare applicazioni tecnologiche IoT semplici ma affidabili.

 

Le applicazioni dell’IoT nelle PMI: i vantaggi

Come anticipato, la tecnologia IoT nell’industria ha permesso di ottimizzare i processi aziendali grazie ai servizi di energy management e di monitoraggio dei consumi. Sebbene organizzazioni di ogni scala, dimensione e tipologia possano trarre vantaggio dalle tecnologie IoT più recenti e avanzate, per le PMI un progetto IoT di successo può avere un impatto maggiormente significativo sull’efficienza generale dell’attività svolta, sui livelli di produttività e sui profitti.

Il ricorso all’IoT può quindi determinare un ampio spettro di vantaggi eterogenei. Fra questi:

  • il miglioramento della produttività attraverso la possibilità di snellire e migliorare i processi interni;
  • l’automazione di attività ripetitive, che può essere sfruttata per ridurre i tempi di inattività degli asset aziendali;
  • l’erogazione di servizi alla clientela ottimizzati;
  • la riduzione dei costi, attraverso l’implementazione di misure preventive o predittive per la gestione di guasti o malfunzionamenti e attraverso i sistemi di tracciamento dei consumi.

 

IoT e rendicontazione di sostenibilità

Da quanto detto si evince che il ricorso all’IoT può costituire anche una importante misura di sostenibilità: l’implementazione di strategie di monitoraggio e abbattimento dei consumi avvantaggia non solo la singola organizzazione ma l’ambiente in generale.

Secondo il World Economic Forum, l’84% delle attuali implementazioni dell’IoT in azienda “si rivolge o ha il potenziale per rivolgersi” agli Obiettivi di Sviluppo Sostenibile delle Nazioni Unite (UN’s Sustainable Development Goals). Le soluzioni IoT possono quindi aiutare le PMI a conformarsi meglio agli standard di rendicontazione (ESRS, ONU, GRI, ISSB, etc.), consentendo loro di sfruttare nuove opportunità di mercato e risorse finanziarie attraverso sovvenzioni applicabili e programmi di sostegno governativi.

 

Le applicazioni dell’IoT nelle PMI: le criticità da presidiare

Per quanto l’adozione dell’IoT nell’industria possa apportare indubbi vantaggi, occorre considerare attentamente due profili di rischio.

In primo luogo, la sicurezza dell’infrastruttura IT. Nel suo rapporto “The State of IoT Security, 2023”, Forrester Research ha concluso che i dispositivi IoT sono stati l’obiettivo più frequente degli attacchi informatici esterni, più dei dispositivi mobili e dei computer. Ciò deriva dal fatto che:

  1. il settore IoT non dispone di un insieme chiaro di standard di sicurezza che permettano agli sviluppatori e ai produttori di creare un livello di sicurezza uniforme;
  2. per gli amministratori IT è spesso difficile tenere traccia e aggiornare i dispositivi, che possono rimanere sul campo per molti anni;
  3. i dispositivi IoT hanno una superficie di attacco – “IoT attack surface” – molto più ampia di altri dispositivi tecnologici comunemente utilizzati in azienda. Questo in quanto le vulnerabilità di sicurezza possono riguardare sia l’hardware che il software interconnesso, nonché tutta l’infrastruttura di rete;
  4. parlando di infrastruttura di rete, l’adozione dei dispositivi IoT sta avanzando a un ritmo più veloce dei processi e dei protocolli che garantiscono connessioni sicure e affidabili e questo rappresenta un’ulteriore criticità.

In secondo luogo, la protezione dei dati personali. Come abbiamo visto, l’IoT si basa sul principio del trattamento esteso dei dati, ovvero sulla raccolta e la condivisione di grandi quantità di informazioni (Big Data) attraverso appositi sensori, progettati per scambiarsi dati continuamente. Per tale ragione, i trattamenti condotti attraverso queste tecnologie sono strettamente connessi alle nozioni di “pervasività” e “onnipresenza”, in quanto consentono di osservare ed analizzare espressamente le abitudini dell’utente e dell’ambiente che lo circonda.

 

Quali regole di cybersecurity seguire?

Rispetto al tema della cybersecurity ci vengono in ausilio le Linee guida dell’European DIGITAL SME Alliance, la più grande rete di piccole e medie imprese (PMI) del settore ICT in Europa, che rappresenta oltre 45.000 PMI digitali in tutta l’UE. La guida è stata sviluppata da un gruppo di esperti di IoT e sicurezza informatica nel tentativo di fornire alle piccole imprese indicazioni chiare sulla sicurezza a livello organizzativo e operativo, basandosi su standard internazionali come Security for Industrial Automation and Control Systems (ISA/IEC-62443) e Information Technology Management (ISO/IEC 27001).

Anche ENISA, l’Agenzia europea per la cybersecurity, nel 2020 ha pubblicato le linee guida sulla sicurezza dell’IoT, che prendono in considerazione l’intero ciclo di vita di tali tecnologie: dalla fase di progettazione, alla configurazione e manutenzione, sino allo smaltimento. Lo studio è stato sviluppato per aiutare i produttori di IoT, gli sviluppatori e tutti gli stakeholder coinvolti a prendere decisioni migliori in materia di sicurezza.

Fra le varie best practises suggerite, in questa sede, ricordiamo che la sicurezza informatica è una combinazione di policy, misure tecniche e controlli. Una buona politica di sicurezza per l’utilizzo dei dispositivi IoT rappresenta quindi il primo step per affrontare qualsiasi minaccia.

 

Quali regole privacy seguire?

Il ricorso a progetti IoT comporta necessariamente la raccolta e la combinazione di una grande mole di dati anche personali, sia al fine di valutare informazioni relative all’ambiente specifico dell’utente, sia per osservare e analizzare espressamente le sue abitudini. Il trattamento di tali dati, inoltre, dipende dall’intervento coordinato di un gran numero di stakeholder: dai fabbricanti di dispositivi, ai partner commerciali, ai tecnici installatori e manutentori, agli sviluppatori di applicazioni, piattaforme, etc. L’IoT può mettere tutti questi soggetti in condizione di creare o di avere accesso a profili di utenti molto dettagliati.

Alla luce di quanto sopra, ne deriva che ricorrere alle tecnologie IoT è fondamentale: una preliminare ed accurata valutazione di conformità privacy (Privacy Impact Assessment – PIA) può essere estremamente importante. Molteplici sono i fattori da considerare, così come gli adempimenti da porre in essere. A titolo esemplificativo, si ricorda la necessità di:

  • Esaminare il progetto di trattamento e configurare lo stesso assicurandosi il rispetto dei principi generali del GDPR e dei criteri di “Privacy by Design” e di “Privacy by Default”;
  • Assicurarsi che anche tutti i fornitori coinvolti applichino tali principi e criteri;
  • Implementare adeguate misure tecniche ed organizzative, tali da garantire la sicurezza dei trattamenti svolti;
  • Minimizzare i dati raccolti e ricorrere a tecniche di pseudonimizzazione e di cifratura, ove possibile;
  • Scegliere la base giuridica da utilizzare ed informare chiaramente gli utenti coinvolti rispetto alle finalità perseguite;
  • Adempiere a tutti gli obblighi informativi volti a garantire la massima trasparenza e consentire agli utenti di avere il “controllo” dei dati in qualsiasi momento, secondo il principio di autodeterminazione informativa;
  • Determinare un termine di conservazione massima dei dati raccolti ed informare gli utenti coinvolti;
  • Definire ruoli e responsabilità di tutti gli stakeholder coinvolti;
  • Istruire i soggetti autorizzati al trattamento, anche mediante attività di formazione;
  • Valutare se vi sono ulteriori disposizioni da rispettare (ad esempio in materia di controllo a distanza dell’attività lavorativa);
  • Aggiornare il registro delle attività di trattamento ex art. 30 GDPR;
  • Effettuare una valutazione dei rischi;
  • Effettuare una DPIA ex art. 35 GDPR.

 

In conclusione, le PMI che intendono implementare progetti di IoT dovrebbero essere supportate,

  • sia nella fase di valorizzazione dell’investimento, mediante la rendicontazione, in un bilancio ESG, dei vantaggi generati in termini di sostenibilità, innovazione e tutela dell’ambiente;
  • sia nella fase di adeguamento alle principali norme volte a garantire che il ricorso all’Internet delle Cose non sia lesivo dei diritti e delle libertà delle persone fisiche direttamente o indirettamente coinvolte.
Follow us on
Our Gallery