Dallo Smart Phone che mette a disposizione una APP di misurazione dei battiti cardiaci a quella che ci comunica quanti passi abbiamo compiuto nella giornata; dallo Smart watch che registra i nostri ritmi sonno-sveglia all’applicazione “esperta nutrizionista” che ci consiglia cosa (e dove) mangiare in caso siamo affetti da particolari intolleranze alimentari.
Se ci fermiamo a riflettere, tutte queste informazioni che apparentemente dovrebbero essere gestite per migliorare la nostra quotidianità, in verità costituiscono un bacino enorme di dati personali alla mercé dei gestori di applicativi e software in grado non solo di conservare tali informazioni ma anche di elaborarle per scaturire dati ulteriori e aggiuntivi (quali ad esempio, stili di vita, patologie, vulnerabilità, finanche dipendenze) al fine di profilare l’utente e renderlo destinatario di comunicazioni mirate e personalizzate con lo scopo di indurlo ad acquistare determinati beni o servizi.
L’Organizzazione mondiale della sanità, nel documento “Global strategy on digital health 2020-2025” ha avuto modo di evidenziare che spesso le informazioni registrate mediante simili applicativi e dispositivi tecnologici indossabili sono costituite da dati di natura sanitaria e quindi ricadenti nella definizione dell’art 9 del GDPR che disciplinano i cd. “dati di natura particolare”.
Ed è noto come tale tipologia di dati richieda un livello di tutela e di sicurezza particolarmente elevato per garantire agli stessi il più alto standard di sicurezza possibile e soprattutto tale da evitare la diffusione indebita alla luce del carattere particolarmente delicato della loro natura essendo dati personali afferenti allo stato di salute (fisico e psicologico) di un soggetto.
Il rischio è infatti quello di compromettere severamente le libertà e i diritti fondamentali dei cittadini, i quali possono correre rischi di mancata riservatezza importanti ogni volta che indossano un simile dispositivo tecnologico.
Sul punto, anche il Presidente del Garante italiano è intervenuto affermando che “Alcuni smart watch idonei alla rilevazione biometrica (ad esempio per la velocità del passo) possono, poi, rivelare le reazioni emotive dell’utente alla visione di determinate immagini. Il controllo cui ci esponiamo può superare, dunque, persino la dimensione corporea e attingere al pensiero, condannandoci a vere e proprie “servitù volontarie”.
Quali possono essere quindi i meccanismi di difesa da questo trattamento particolarmente invasivo?
Ad avviso dello scrivente, non possiamo che invocare un invito per l’utente ad utilizzare questi dispositivi con molta consapevolezza e prudenza al fine di poter valutare con attenzione i necessari “stop” al flusso di dati personali che volontariamente sono inviati ai software alla base del funzionamento dei dispositivi in commento.
Non da ultimo, sono da ricordare, lato GDPR, i principi di la privacy by design e by default sanciti dall’art 25 GDPR, a mente del quale “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Inoltre, si deve evidenziare il necessario dovere del cittadino, che sceglie di utilizzare tali dispositivi, di prestare particolare attenzione alla lettura della privacy e della cookie policy che ogni applicazione dovrebbe avere al fine di informare l’utente e di rendere trasparente il trattamento dei suoi dati personali nonché i flussi di diffusione e di comunicazione degli stessi a soggetti terzi rispetto al titolare del trattamento.
Onere di quest’ultimo, infatti, è quello di sforzarsi di elaborare informative ex art 13 GDPR, unitamente a privacy policy particolarmente semplici, fruibili e veramente comprensibili dalla maggior parte dei soggetti utilizzatori di tali device.
Senza considerare il forte collegamento fra il cd. Internet of Thing (IoT, l’internet degli oggetti connessi) e l’Internet of Being (IoB, ossia l’Internet degli esseri connessi); corrrelazione che necessariamente deve imporre all’utente – consumatore una conoscenza approfondita dei propri diritti sanciti dall’attuale normativa GDPR e una pronta attivazione nel loro esercizio qualora ritenga che la propria privacy sia stata minata o compromessa proprio a causa dell’utilizzo di tali dispositivi elettronici particolarmente invasivi e minacciosi.
Avv. Eleonora Mataloni