Perché l’Internet of Things ha a che fare con Gdpr

Prima ancora della sua entrata vigore a maggio 2018, la direttiva sulla protezione dei dati Gdpr (General Data Protection Regulation) ha già un impatto significativo sulle aziende in Europa

Di fronte all'aumento del numero di violazioni di dati le aziende, per rispondere alle esigenze formulate dalla direttiva GDPR, si sono fino ad oggi concentrate sulla sicurezza dei dati.

Per Jean Michel Franco di Talend sono invece molto meno organizzate nel loro approccio alle problematiche in materia di privacy sollevate dalla GDPR. E ciò preoccupa il product marketing manager per due ragioni. «In primo luogo, la definizione data dalla GDPR al concetto di privacy dei dati è molto estesa. Conferisce alle organizzazioni responsabilità di vasta portata al fine di imporre un requisito specifico basato sulla nozione di privacy by design. E amplifica la necessità di mettere a punto misure tecniche e organizzative appropriate per accertarsi che la protezione e la privacy dei dati non siano più una riflessione tardiva. In secondo luogo, la comparsa e la sempre più crescente diffusione dell’Internet of Things aggrava il panorama. Il concetto sul quale si fonda l’IoT è quello del cliente sempre connesso. Per incrementare il margine competitivo, le aziende cercano di generare e acquisire ingenti volumi di dati sulle preferenze e i comportamenti dei clienti».

Jean Michel Franco, Product marketing director Talend

Sempre più dati da proteggere

Anche se molte di queste informazioni si riferiscono ai prodotti e non agli individui, esse hanno tuttavia una potenziale incidenza sulla privacy. Ad esempio, i dati provenienti da un’auto connessa possono ledere alla sfera privata del proprietario, qualora questi sia conosciuto, anche se non sono di per sé specificatamente relativi a tale individuo.

I rivenditori di dispositivi connessi sono consapevoli del fatto che, una volta che un prodotto si trova in possesso del cliente, tutti i dati trasmessi attraverso di esso possono essere qualificati come dati personali. Ciò significa che i rivenditori devono applicare i principi della “privacy by design” nelle loro relazioni con i fornitori coinvolti nei processi di raccolta, archiviazione e elaborazione dei dati.

Franco fa un esempio: l’azienda di prodotti elettronici Vizio ha recentemente subito una sanzione di 2,2 milioni di dollari dopo che l’osservatorio americano per i consumatori ha constatato che utilizzava software per il riconoscimento dei contenuti al fine di tracciare gli utenti, senza la loro previa autorizzazione.

In base ai riscontri, l’azienda aveva venduto 11 milioni di televisori collegati a Internet sui quali aveva installato dei programmi per monitorare in modo dettagliato le abitudini dei telespettatori, collegarle poi ai dati demografici relativi alle famiglie e quindi vendere le informazioni ottenute a terzi operatori di mercato. A sua difesa, Vizio ha sostenuto che le sue televisioni “non hanno mai associato i dati concernenti i programmi visionati a informazioni di carattere personale, quali nome e coordinate per il contatto”.

La pena inflitta a Vizio sembra considerevole. Ma immaginiamo che Vizio (che fa ormai parte di LeEco, una società cinese con ricavi pari a 7,3 miliardi di dollari) commercializzi la sua offerta di HDTV e soundbar in Europa a maggio 2018: dovendo affrontare accuse di violazione di privacy simili, rischierebbe una multa da 292 milioni di euro.

Bisogna sapere dove si trovano i dati           

Sapere dove risiedono tutti i dati privati e sensibili, e stabilire chi ne è responsabile, è una delle grandi sfide contro cui le organizzazioni devono misurarsi. In molte aziende la situazione non è chiara, poiché le informazioni sono suddivise in silos corrispondenti ai vari reparti, dalle vendite al marketing, dal finanze ai servizi. Con le procedure previste dalla direttiva GDPR, sostiene Franco, un tale contesto diventa più problematico.

Ai sensi della GDPR, il responsabile del trattamento dati dovrà rispondere entro un mese alle domande di accesso ai dati da parte degli interessati, con la facoltà di prolungare tale periodo nel caso di richieste particolarmente complesse.

Si tratta di norme più restrittive rispetto a quelle vigenti: nel Regno Unito, per esempio, la legge attuale sulla protezione dei dati prevede una risposta entro 40 giorni. Inoltre, i diritti ai quali possono avvalersi gli individui non si limiteranno al solo accesso ai dati, ma saranno estesi e comprenderanno il diritto alla rettifica e alla cancellazione dei dati (diritto all’oblio), nonché il diritto alla restrizione e all’opposizione al trattamento dei dati nonché il diritto di esigere che determinati aspetti personali non siano valutati sulla base del trattamento automatizzato dei dati. L’insieme di questi diritti avrà un impatto significativo sulle pratiche in materia di gestione dei dati.

Instaurare le pratiche necessarie

Tenuto conto delle problematiche sopra delineate, qual è il modo migliore di raccogliere questa sfida, rispetto alle loro attuali procedure di gestione dei dati? Secondo Franco il primo passo dovrebbe consistere nell’effettuare un inventario dei dati, in maniera tale da sapere precisamente di quali informazioni si dispone e dove sono ubicate.

Dopo aver stabilito una mappa precisa dei dati, le aziende si troveranno in una posizione migliore per definire a chi affidare la responsabilità della loro gestione. Questa mossa è il requisito minimo, ma potrà costituire la base sulla quale fondare una policy di governance dei dati più solida, elemento chiave dei requisiti del regolamento GDPR.

Strettamente legata alla governance è la questione della qualità dei dati, un tema che diventa particolarmente urgente quando le aziende si accingono a costituire le capacità di una piattaforma IoT. Infatti, il desiderio di limitare i costi nel mondo dell’IoT spinge spesso le organizzazioni ad adottare reti dalle caratteristiche mediocri e la qualità dei dati può risentirne.

Nel contesto della direttiva GDPR la qualità e l’armonizzazione dei dati sono di importanza critica, soprattutto se impediscono all’azienda di ottenere una vista unica del cliente, elemento richiesto del regolamento.

A tale proposito, uno dei problemi più significativi concernenti la qualità dei dati deriva dal fatto che le aziende mantengono insiemi di dati separati che non possono essere immediatamente integrati. Si prenda ad esempio il caso di un’azienda che dispone della vista di un cliente ottenuta in parte tramite l’IoT e in parte attraverso le applicazioni di marketing.

Cosa comporta l’IoT in materia di dati

Poniamo ora che il suddetto cliente voglia accedere ai dati privati che l’azienda possiede su di lui e che l’ufficio competente riesca a fornirgli solo una frazione delle informazioni a causa della separazione tra gli insiemi di dati: l’azienda sarà l’ultima responsabile della mancata comunicazione della totalità dei dati.

Ciò costituirà probabilmente una violazione agli obblighi previsti dalla GDPR. Che questo esempio sia un forte monito a tutte le aziende: al fine di ottemperare alle disposizioni della direttiva è necessario riunire le informazioni provenienti da diverse aree dell’organizzazione, tra cui la piattaforma IoT.

L'IoT si prepara ad offrire una gamma di vantaggi alle organizzazioni del mondo intero via via che esse generano volumi di nuovi dati sui quali faranno poi leva per guidare il processo decisionale. Permettendo alle aziende di collegare il mondo fisico e quello digitale, l’IoT fornisce anche la possibilità di plasmare il futuro dell’esperienza di acquisto. Tuttavia le informazioni ottenute comportano anche delle sfide, particolarmente per quanto concerne le implicazioni sulla privacy dei dati e i problemi che le aziende dovranno affrontare per adeguarsi alle norme della direttiva GDPR.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here