M2M: “Privacy a rischio, servono contratti chiari”

Agcom pubblica l’indagine conoscitiva sul settore. Gli avvocati Liberati e Orlando lanciano l’allarme sulla data protection: “Gli utenti devono essere informati in modo dettagliato sull’utilizzo e la titolarità delle informazioni”

09 Apr 2015

Laura Liberati e Salvatore Orlando, avvocati - Macchi di Cellere Gangemi

L’Autorità per le Garanzie nelle Comunicazioni ha reso disponibile l’indagine conoscitiva concernente i servizi di comunicazione Machine to Machine, avviata con Delibera n. 708/13/CONS del 12 dicembre 2013. L’indagine esamina i fattori che influenzano lo sviluppo dei servizi M2M e l’interazione tra gli operatori del mercato che cooperano nella fornitura dei servizi, valuta criticamente le previsioni di sviluppo e le modalità di utilizzo, individuando le principali barriere normative/regolamentari per lo sviluppo di detti servizi (con particolare riferimento ai profili di numerazione e roaming) e segnala le aree dove è utile sviluppare un coordinamento tra le diverse Istituzioni nazionali ed europee coinvolte nel M2M. Con l’espressione Machine to Machine (M2M) si identifica il processo di trasferimento delle informazioni da parte dei dispositivi che non richiedono necessariamente l’interazione umana. Si tratta di un mondo vasto ed eterogeneo di servizi di comunicazione elettronica, che vanno dalle connected car, ossia le automobili che utilizzano la connessione per le dotazioni di sicurezza e per i servizi di infotainment, agli smart metering, alle smart grid che, nel settore elettrico, permettono di eliminare i contatori elettromeccanici e di gestire la rete in maniera efficiente e razionale.

Con riferimento ai risvolti contrattuali, il M2M potrebbe determinare nel caso degli gli operatori di rete uno “shift” di paradigma: vi è una progressiva focalizzazione delle loro attività dal Business-to-Consumer (B2C), dove l’impresa detiene una relazione economica diretta con i consumatori, al Business-to-Business (B2B) e al Business-to-Business-to-Consumer (B2B2C), dove viene a mancare la relazione diretta con l’utilizzatore finale, che rimane invece in capo al fornitore di servizi M2M. Anche nel caso in cui l’operatore di rete continui a mantenere la relazione con l’utilizzatore finale, con la comunicazione M2M tende a sfuggire il piano del servizio, per cui l’operatore di rete risulta principalmente impiegato per garantire la connettività di base ai dispositivi. I fruitori dei servizi di connettività M2M sono i produttori di dispositivi M2M o i fornitori di servizi M2M e non, invece, i consumatori finali, anche nel caso in cui i servizi M2M o le applicazioni M2M coinvolte siano destinate a utenti tradizionali. A volte gli operatori di telecomunicazione (TLC) non interagiscono coi fornitori di servizi: in tal caso, il business viene gestito dai device makers e il servizio viene reso dal fornitore di servizi M2M, che solo opzionalmente può essere un operatore di telecomunicazioni.

Con riferimento invece agli aspetti di data protection, le peculiarità di questo mercato mostrano come gli utenti che utilizzano le applicazioni M2M siano anche produttori di contenuti (essi infatti generano i “personal data”), non pienamente consapevoli dell’entità del traffico di dati derivante dall’impiego delle applicazioni M2M. Ciò fa ritenere necessario un intervento a livello normativo che, partendo da un’analisi delle criticità connesse alla disponibilità di una grossa mole di informazioni trovi un adeguato bilanciamento tra gli interessi in gioco sempre mantenendo un elevato livello di protezione dei dati personali e di sicurezza.

WHITEPAPER
Che differenza c’è tra i Business Continuity e Disaster Recovery?
IoT
Manifatturiero/Produzione

Nello specifico, nel corso dell’indagine, sono state affrontate questioni quali la “proprietà” delle informazioni: è dell’utente finale o del “gestore” del dispositivo M2M? Si porta l’esempio della SIM installata dai produttori di autovetture per il controllo delle prestazioni e della manutenzione del veicolo. I dati generati, ad es., dal motore del veicolo sono di proprietà dell’azienda costruttrice del veicolo, del proprietario del veicolo o dell’utilizzatore finale del veicolo (che potrebbe non coincidere con il proprietario)? La “proprietà” delle informazioni generate o desumibili dall’impiego dei dispositivi acquistate dagli utenti viene rivendicata dai soggetti che si sono fatti carico delle spese per la progettazione e la produzione dei dispositivi. Nell’ottica di dover garantire il corretto trattamento dei dati personali, occorre anche considerare che i service providers hanno accesso ai dati e possono raccoglierli nei propri database per poi impiegarli per fornire il servizio, ma anche con finalità economiche non necessariamente riconducibili a quanto strettamente necessario alla prestazione fornita all’utente.

Bisognerà quindi chiarire se sia possibile accedere alle informazioni circa i consumi, le abitudini o la posizione geografica dell’utenza, anche senza che il consumatore ne sia a conoscenza (o comunque, senza che ne dia esplicitamente il consenso). La problematica è particolarmente rilevante nel caso del M2M: l’utente potrebbe sottovalutare la portata delle condizioni contrattuali ed i reali effetti del rilascio del consenso al trattamento di dati personali. Altre questioni riguardano la localizzazione geografica in cui i dati e le informazioni di ciascun individuo vengono memorizzati e i protocolli di sicurezza messi in atto per preservare la riservatezza, in quanto la divulgazione e catalogazione dei dati potrebbe avvenire in aree territoriali che non garantiscono livelli di sicurezza adeguati. Le previsioni di sviluppo del mercato lasciano intendere che, nel prossimo futuro, si moltiplicheranno i dispositivi dai quali sarà possibile raccogliere le informazioni sull’utente finale. L’indagine richiama la prospettata adozione, a livello UE, di un corpus di norme in materia di protezione dei dati: in questo modo si ridurrebbero le inefficienze connesse alle azioni individuali da parte di ciascuna azienda. Inoltre, è in discussione la possibilità di introdurre soluzioni che facilitino l’accesso ai propri dati personali consentendo maggiore flessibilità per il trasferimento dei dati da un fornitore di servizi a un altro (diritto alla portabilità dei dati), il che comporterà un miglioramento della concorrenza tra i servizi. Occorrerà infine riconoscere anche relativamente al M2M il diritto per chiunque di cancellare i propri dati (qualora non sussistano motivi legittimi per mantenerli).