di Nicolino Gentile, avvocato, partner BLB studio legale, ambassador Italia ELTA; Silvano Lorusso, avvocato, partner BLB, ambassador Italia ELTA: Rodolfo Vacca, BLB studio legale

I sensori e gli altri dispositivi interconnessi producono dati che possono essere trasmessi e utilizzati da altri utenti, riguardanti la manutenzione o lo stato delle infrastrutture. È necessario analizzare come questi dati devono essere trattati dal punto di vista della privacy e giuridico

Le smart city sono ormai una realtà. Sono infatti molte le amministrazioni che iniziano a utilizzare IoT, big data e machine learning per rendere “intelligente” la città. La smart city permette il miglioramento della vita quotidiana dei cittadini in modi molto diversi tra di loro: rendere gli oggetti intelligenti significa permetter loro di raccogliere, leggere elaborare e inviare un’infinità di dati, i quali aspettano solo di essere elaborati in modo da poter migliorare la gestione e i processi delle infrastrutture cittadine.

Indice degli argomenti

·                Smart city, semafori, lampioni e tombini intelligenti

·                Smart city e dati sensibili

·                Dati dagli oggetti connessi, il punto di vista giuridico

 

Smart city, semafori, lampioni e tombini intelligenti

Molto semplice è il caso dei semafori. A pensarci, la cosa più intelligente che a oggi questi fanno è attivare la modalità giallo lampeggiante di notte, in modo da non fare aspettare le persone a un incrocio che molto probabilmente sarà vuoto e, al contempo, ottenere un aumento dell’attenzione dei guidatori. Adesso, si immagini se quel semaforo non solo possa predire quanto traffico arriverà da una strada a un determinato minuto di una qualsiasi giornata ma possa anche valutare e cambiare il proprio comportamento nel caso in cui vi sia un traffico anomalo, oppure un incidente o un blocco stradale. Questo sistema, interfacciato con le automobili autonome, permetterà all’algoritmo di migliorare ancora di più la gestione stradale; tramite la comunicazione tra questi due sistemi si crea un sistema che riesce a gestire il traffico in modo da far arrivare tutti a destinazione il prima possibile, diminuendo inquinamento e stress. Questo aumenterebbe anche il numero di vite salvate dopo un’emergenza, grazie proprio ai tempi minori di arrivo nell’ospedale che al momento risulta nello stato migliore (numero di emergenze, dottori di turno etc.) e con i tempi di percorrenza minori (può non essere il più vicino). Come sarà possibile? Incrociando ed elaborando i dati degli ospedali e i dati stradali.

Smart city però significa anche rendere smart oggetti che mai avremmo immaginato in una versione “intelligente”.

I due casi più conosciuti riguardano i tombini e i lampioni per l’illuminazione stradale. Questi oggetti non solo saranno in grado di gestire al meglio il proprio lavoro, ma si prestano perfettamente ad altre innovazioni.

La prima è la manutenzione preventiva: ad oggi è complicato valutare quando una lampadina smetterà di funzionare o quando un tombino avrà bisogno di un intervento di spurgo, oppure di manutenzione straordinaria per rimetterlo al livello dell’asfalto. Rendendo gli oggetti in questione smart, e utilizzando i dati, è possibile costruire un algoritmo preventivo che possa, con certezza quasi assoluta, predire quando un determinato oggetto avrà bisogno di particolare manutenzione.

La seconda funzione cambia da oggetto a oggetto. Gli esempi più conosciuti sono quelli che permettono di dare una nuova funzione a questi oggetti, in particolare permettendo la gestione e il controllo dell’inquinamento o della sicurezza dei cittadini. Immaginiamo un lampione che controlla il livello di inquinamento e che, in caso di valori elevati, riesca a filtrare l’aria. E un tombino che riesca a valutare la qualità dell’acqua e a mandare alert al centro di controllo in caso di anomalie.

Queste sono solo alcune delle idee che sono state proposte in giro per il mondo. A chi abita in una grande metropoli farà piacere sapere che sono in progettazione e fase di test diversi sistemi di smart city che permetteranno di trovare, e in alcuni casi prenotare, un parcheggio pubblico, di quelli al lato della strada. Varie sono le soluzioni con cui questo diventa possibile, permettendo, tra l’altro, di ridurre l’inquinamento, evitando che le persone continuino a “girare intorno a casa” per cercare un posto auto.

 

Smart city e dati sensibili

Il processo che porta a una smart city non è, tuttavia, semplice, né veloce. La parte più complessa è la costruzione del software e degli algoritmi necessari per elaborare i dati. La prima cosa da valutare è il mezzo con il quale far comunicare i dispositivi IoT e il server, permettendo una trasmissione veloce e sicura. La tecnologia che meglio si appresta a questo uso è, al momento, LoRaWan. I principali vantaggi sono:

• bassi costi di implementazione
• comunicazione sicura e bidirezionale
• consumi relativamente bassi
• supporto di reti di grandi dimensioni con milioni di dispositivi
• grande versatilità.

In particolare, si deve fare attenzione alla sicurezza delle trasmissioni, poiché molti dei dati raccolti e spediti dai sistemi IoT possono contenere dati personali e informazioni che violano la privacy degli utenti. In questo caso, si può certificare che la rete sia sicura, visto il sistema a due chiavi che permette una sicurezza assoluta.

Vi sono però degli aspetti da tenere sotto la lente.

Il primo riguarda i sensori e gli altri hardware della rete, che potrebbero avere un software non sicuro e permettere a un hacker di ottenere, tramite l’accesso al dispositivo, un grosso quantitativo di dati. In questo caso, la responsabilità potrebbe ricadere sul produttore del software, che deve garantire che il prodotto sia protetto da eventuali attacchi.

Il secondo riguarda i processi con cui l’uomo interagisce con le chiavi. Una possibile breccia potrebbe avvenire nel caso in cui sia l’uomo a rendere nota la chiave permettendo a malintenzionati di accedere e ottenere tutti i dati e gli elaborati del sistema o, nel caso peggiore, modificare i dati o il modo in cui vengono elaborati. Per evitare ciò, e così evitare anche di incorrere in responsabilità, devono essere costruiti dei processi che annullino la possibilità di questi attacchi.

Una volta che è chiaro cos’è e come si crea una smart city, è fondamentale valutare come i dati a essa relativi debbano essere trattati.

È verosimile individuare due categorie per tali dati, le quali si differenziano per le modalità del trattamento. Esse distinguono (con il beneficio del fatto che un medesimo dato possa appartenere a entrambe le categorie)

• dati trasmettibili e utilizzabili
• dati sensibili

Quando parliamo di dati che possono essere trasmessi e utilizzati da altri utenti, parliamo di tutti quei dati riguardanti la manutenzione o lo stato delle infrastrutture. Il tema, invero, ha avuto particolare rilevanza dopo il crollo del ponte Morandi; infatti, molti sono stati i progetti riguardanti tecnologia IoT che sono stati proposti per evitare altre stragi del genere. La maggior parte dei progetti proponeva di inserire una rete di sistemi IoT che fosse in grado di monitorare tutte le informazioni riguardanti lo stato dell’infrastruttura, le quali sarebbero state pubblicate trasparentemente. Ciò ha creato un grande dibattito in merito ai possibili utilizzi di quei dati per attestare la responsabilità di enti o di società che si occupano della gestione di tali infrastrutture. La pubblicazione di questi dati avrebbe permesso alle amministrazioni di controllare il regolare svolgimento della manutenzione e che in caso di alert, vengano attuate tempestivamente misure per controllare e risolvere eventuali criticità.

 

Dati dagli oggetti connessi, il punto di vista giuridico

Naturalmente, dal punto di vista giuridico tale soluzione necessita di un’indagine in merito alla responsabilità dei soggetti che raccolgono ed elaborano questi dati.

Come si deve valutare il limite della responsabilità di tali soggetti? La valutazione dei possibili rischi deve partire non dal valore intrinseco dei dati, ma devono essere valutati i possibili rischi derivanti da un malfunzionamento del sistema, attraverso una valutazione che prenda come fattore principale l’uso che viene fatto degli elaborati. In un sistema che tratta di prevenzione di disastri, la responsabilità di tutti i soggetti che interagiscono con quei dati e dei soggetti che si occupano della manutenzione diventa enorme. Si immagini quanto sarebbero grandi i danni in caso di una valutazione che rilevi una situazione “sicura” quando in realtà l’infrastruttura sia cedevole. Proprio per questo, è necessaria un’attenta valutazione riguardo il grado di attendibilità di tali elaborazioni, in modo da non creare un problema di responsabilità potenzialmente enorme.

In tema di dati sensibili, invece, la riflessione si focalizza sulla sicurezza. Un dispositivo IoT potrebbe, difatti, raccogliere informazioni sensibili di qualsiasi tipo. Immaginiamo che si possa conoscere in precedenza il tragitto di un determinato cittadino e questo dato possa essere trafugato da un malintenzionato, oppure che dei rapinatori possano riuscire a trafugare le informazioni riguardanti un furgone porta valori o peggio, che tali informazioni possano entrare in possesso di terroristi. L’importanza della protezione di questi dati, causati non solo dalla necessità di proteggere la privacy, ma anche dal dover di impedire che una quantità di dati cosi grande non sia usata per scopi fraudolenti, è lampante.

Sicuramente gli interpreti avranno molto da discutere vista la varietà di fattispecie, poiché ogni variabile, per quanto sottile, potrebbe nascondere un problema dietro l’angolo. Prendiamo due esempi molto simili: un sistema IoT finalizzato al controllo dello stato delle infrastrutture e un sistema identico sotto il punto di vista di hardware e software ma finalizzato ad analisi di mercato e previsioni economiche sul turismo. La diversa finalità di utilizzo dei dati cambia drasticamente il modo in cui viene visto il “sacrificio” degli utenti che forniscono i dati al sistema. Molto probabilmente si potrebbe considerare accettabile la raccolta dei dati quando necessaria per proteggere la vita dei cittadini, mentre la violazione della privacy non sarebbe giustificata se l’utilizzo fosse a favore dei privati. Questo è solo uno dei possibili esempi e le due fattispecie differiscono di una sola variabile, ma nella realtà le variabili sono pressoché infinite.

Non risulta facile neanche l’identificazione dei responsabili riguardo la corretta raccolta ed elaborazione dei dati, poiché, vista la moltitudine di sistemi; privati, pubblici o ibridi, diventa complicato dare anche solo un ruolo a tutti gli stakeholder.

Le smart city sollevano questioni significative relative al consenso da parte dei cittadini su raccolta ed elaborazione dei dati. Una possibile soluzione sollevata da molti riguarda la possibilità di attivare un sistema simile ai cookies dei siti internet; si intende cioè avvertire gli utenti che, su tutto il territorio di una determinata amministrazione si utilizzano sistemi di analisi, e che accedendo al territorio gestito da quell’ente, si dà il consenso alla raccolta dei dati. Molti sono però i soggetti contrari, le loro opposizione si basano principalmente sul “peso” che viene dato alla privacy in caso di cookies, differentemente da quando si raccolgono dati cosi personali come quelli riguardanti le abitudini o gli spostamenti. Sicuramente il legislatore necessiterà di elasticità e velocità procedurale quando dovrà decidere in quali casi permettere l’adozione di questa tecnologia.

Le principali leggi sulla protezione dei dati in vigore per prevenire le violazioni dei dati, il Data Protection Act 2018 degli Usa e il GDPR dell’UE, per quanto complete dal punto di vista della protezione dei dati, non sono forse sufficienti a normare un argomento composito quale smart city e IOT, fatto da una moltitudine di casi d’uso e sistemi di integrazione eterogenei che richiede il doversi considerare di più di un ambito normativo.