I dati raccolti con tecnologia IoT sono soggetti alle norme del recente GDPR? A chiederselo sono in molti e un'interessante risposta è arrivata da Roberto Messora, Head of Solution Architectures presso Value Lab, nel corso del seminario “IoT Data ingestion e Analytics nell'era del Cloud Computing”, organizzato dall'Ordine degli Ingegneri di Lecco.
Proprio Messora ha sottolineato che occorre essere consapevoli del fatto che i dati raccolti attraverso le piattaforme IoT vengono poi rielaborati da sistemi informatici e tali dati possono anche avere una valenza personale (PII: Personally Identifiable Information), come la posizione o lo stato di salute, riconducibili all’identità di un soggetto. Dati che, proprio perché gestiti attraverso uno strumento informatico, trasformano l'utilizzatore in quello che la recente normativa definisce un “data controller”. Un ruolo che impone di garantire una serie di diritti al soggetto “monitorato” detto anche “data subject”.
In primo luogo è quindi necessario identificare la figura del DPO – Data Protection Officer, incaricato di verificare che l'azienda per cui lavora garantisca tutti i diritti previsti dalla legge in vigore.
Diverso il ruolo dei cosiddetti Data Steward, chiamati a lavorare sui dati, ma senza avere responsabilità dirette al di fuori di quelle relative alla correttezza delle proprie azioni.
Ma Messora ha insistito soprattutto sul fatto che il GDPR impone di predisporre un'infrastruttura adatta alla gestione del dato, con una particolare attenzione alla segregazione tra l'ambiente di sviluppo e quello di produzione. I tecnici sviluppatori, che creano gli algoritmi di analisi, non devono infatti avere accesso a dati reali, ma solo a versioni fake o, in alternativa, a forme criptate o pseudo-anonimizzate.
Allo stesso tempo è necessario ricordare che i dati, essendo impiegati su piattaforme informatiche, transitano da un punto all'altro. Da qui la necessità di documentare e tenere traccia del ciclo di vita di tali dati, con una particolare attenzione a quali sono i soggetti che hanno accesso ai dati stessi. “Non esiste un modello univoco – ha ricordato Messora – ma viene concessa la massima libertà nella scelta della modalità di tracciatura preferita, purché l'azienda stessa sia in grado di dimostrare come svolge una simile attività. In pratica non è sufficiente inserire un dato nel Data Base e informarne il soggetto a fronte di una richiesta di consenso esplicito, ma occorre tracciare tutti gli accessi e disporre strumenti adeguati a permettere di visualizzare solo informazioni parziali e in funzione del ruolo ricoperto da chi vi accede, secondo il principio di minimo privilegio”.