Comitato economico e sociale europeo
INT/846
Fiducia, privacy e sicurezza/Internet degli oggetti
PARERE
Sezione specializzata Mercato unico, produzione e consumo
Fiducia, rispetto della vita privata e sicurezza per i consumatori e le imprese nell'Internet degli oggetti
[parere d'iniziativa]
|
Amministratrice
|
Claudia DREWES-WRAN
|
|
Data del documento
|
07/09/2018
|
Relatore: Carlos TRIAS PINTÓ
Correlatore: Dimitris DIMITRIADIS
|
Base giuridica
|
Articolo 29, paragrafo 2, del Regolamento interno
Parere d'iniziativa
|
|
|
|
|
Sezione competente
|
Mercato unico, produzione e consumo
|
|
Adozione in sezione
|
04/09/2018
|
|
Adozione in sessione plenaria
|
DD/MM/YYYY
|
|
Sessione plenaria n.
|
…
|
|
Esito della votazione
(favorevoli/contrari/astenuti)
|
…/…/…
|
1.Conclusioni e raccomandazioni
1.1Grazie all'interconnettività di persone e oggetti, l'Internet degli oggetti (IoT) offre a cittadini e imprese un ampio ventaglio di opportunità, che vanno però corredate di una serie di garanzie e controlli per assicurare un'introduzione soddisfacente dell'IoT.
1.2Considerando che uno dei pilastri dell'IoT è il processo decisionale automatico, senza intervento umano, è necessario fare in modo che le decisioni non compromettano i diritti dei consumatori, non comportino rischi etici e non siano in contrasto con i principi e i diritti umani fondamentali.
1.3Il CESE invita le istituzioni e gli Stati membri dell'UE a:
1.3.1provvedere a tutelare la sicurezza e la vita privata elaborando adeguati quadri normativi che prevedano rigorose misure di monitoraggio e controllo;
1.3.2definire chiaramente la responsabilità di tutti gli operatori nella catena di approvvigionamento dei prodotti e nei relativi flussi di informazione, prevenendo le scappatoie giuridiche che si presentano quando sono coinvolti contemporaneamente diversi produttori e distributori;
1.3.3prevedere risorse adeguate e meccanismi efficaci per il coordinamento tra la Commissione europea e gli Stati membri, al fine di garantire un'applicazione coerente e armonizzata sia della normativa soggetta a revisione che della nuova legislazione, tenendo conto al tempo stesso dello scenario internazionale;
1.3.4monitorare lo sviluppo delle tecnologie emergenti associate all'Internet degli oggetti, per garantire elevati livelli di sicurezza, piena trasparenza e un'equa accessibilità;
1.3.5promuovere la normazione europea e internazionale per garantire l'affidabilità, la disponibilità, la resistenza e la continuità dei prodotti;
1.3.6vigilare sui mercati e garantire condizioni di parità nell'attuazione dell'IoT, evitando una concentrazione di potere economico transnazionale nelle mani dei nuovi soggetti tecnologici;
1.3.7impegnarsi a promuovere azioni di sensibilizzazione e rafforzamento delle competenze digitali, di pari passo con le attività di ricerca e innovazione di base in questo campo;
1.3.8garantire la piena attuazione e l'uso efficace dei meccanismi alternativi di risoluzione delle controversie on line e off line (ADR e ODR);
1.3.9garantire l'esistenza, l'applicazione e l'effettivo funzionamento di un sistema europeo di azioni collettive, che consenta di ottenere misure inibitorie e risarcimenti quando l'uso dell'IoT provoca danni o pregiudizi collettivi, come dovrebbe conseguire dal New deal per i consumatori.
1.4La fiducia dei consumatori sarà associata al rigoroso rispetto della legislazione pertinente e alla comunicazione delle buone pratiche d'impresa in materia di rispetto della vita privata e sicurezza. Spetterà poi alle istituzioni inserirle nelle strategie di responsabilità sociale d'impresa e di investimento socialmente responsabile.
1.5L'impatto sociale ed economico dell'IoT aumenterà nella misura in cui l'IoT sarà adeguatamente collegata allo sviluppo di politiche socio-ambientali nel quadro dell'economia collaborativa, dell'economia circolare e dell'economia della funzionalità.
2.Antefatti e contesto
2.1Internet ha acquisito sempre maggiore importanza negli ultimi quindici anni, dando luogo a trasformazioni in ogni aspetto della vita quotidiana e influendo su varie abitudini dei consumatori. Si prevede che nei prossimi dieci anni la rivoluzione dell'Internet degli oggetti raggiungerà i settori dell'energia, dell'agricoltura e dei trasporti, nonché i settori più tradizionali dell'economia e della società. Si dovranno quindi mettere a punto politiche a vasto raggio, che affrontino con un approccio intelligente questa rivoluzione tecnologica.
2.2Il concetto di IoT è emerso all'Istituto di tecnologia del Massachusetts (MIT) e si riferisce, in sostanza, a un mondo pieno di dispositivi pienamente interconnessi tra di loro, in modo da consentire di automatizzare congiuntamente i vari processi interoperabili. Da parte sua, l'Unione europea si prepara alla convergenza digitale e alle nuove sfide dell'IoT già dall'avvio del piano i2010 - Una società europea dell'informazione per la crescita e l'occupazione, fino al recente piano d'azione sull'Internet degli oggetti (vedere il documento Advancing the Internet of Things in Europe, che accompagna la comunicazione del 2016 Digitalizzazione dell'industria europea. Cogliere appieno i vantaggi di un mercato unico digitale).
2.3Il CESE, che si è pronunciato in più occasioni sulla quarta rivoluzione industriale, contrassegnata dalla convergenza di tecnologie digitali, fisiche e biologiche, richiama l'attenzione in particolare su un suo parere del 2017. L'IoT è il terreno d'elezione per le forme più avanzate di intelligenza artificiale, nel quale sono messi alla prova i principi enunciati dal CESE, in particolare, quello del controllo umano (human in control).
2.4I dispositivi dell'IoT, spesso, non dispongono delle norme di autenticazione necessarie per preservare la sicurezza dei dati degli utenti. La mancanza di dette norme comporta una serie di problemi, giacché i dispositivi, i dati e i membri della catena di fornitura vengono esposti a violazioni della sicurezza.
2.5Tecnologie emergenti, come quella blockchain (catena di blocchi) possono risolvere problemi di sicurezza e fiducia: tale tecnologia, infatti, può essere utilizzata per seguire le misurazioni di dati provenienti da sensori, evitando la duplicazione con dati malevoli e tutelando l'integrità e la tracciabilità delle modifiche; un registro distribuito può consentire l'identificazione di un dispositivo IoT, la sua autenticazione e il trasferimento continuo e sicuro di dati; i sensori dell'IoT possono essere utilizzati per scambiare dati utilizzando una catena di blocchi invece che una parte terza; l'uso dei contratti intelligenti consente l'autonomia dei dispositivi, nonché l'identità individuale e l'integrità dei dati; i costi di creazione e di funzionamento si riducono grazie all'assenza di intermediari; da ultimo, i dispositivi dell'IoT nella blockchain forniscono una cronologia dei dispositivi connessi, che risulta utile per risolvere eventuali problemi.
2.6Vengono peraltro sviluppate tecnologie di contabilità distribuita a codice aperto, per lo scambio di informazioni e di valore tra dispositivi dell'IoT. Esse non consentono l'estrazione dei dati, ma utilizzano un'architettura ispirata a un concetto matematico denominato grafo aciclico orientato (DAG - Directed Acyclic Graph), che evita le commissioni e fa sì che la rete aumenti la sua capacità con l'aumento del numero di utenti.
2.7Si tratta, in sintesi, di un'innovazione con un grandissimo potenziale economico e sociale, che presenta grandi opportunità ma anche considerevoli sfide legate a rischi impliciti, con un carattere multidisciplinare e trasversale, che interessa in egual misura imprese e consumatori, amministrazioni e cittadini. Per affrontare il tema risulta dunque necessario un approccio comune che, al contempo, riconosca il carattere specifico delle differenti situazioni. Al riguardo, basti ricordare che le Nazioni Unite hanno stimato che per il 2020 ci saranno cinquanta miliardi di dispositivi interconnessi, con applicazioni per i consumatori attraverso televisori, frigoriferi, telecamere per la videosorveglianza, veicoli ecc.
2.8Le applicazioni dell'IoT generano già vantaggi economici e sociali nel quadro di un mondo globalizzato, il che comporta, tra le altre cose, servizi più sensibili al contesto socioeconomico, cicli di retroazione (feedback) più brevi, riparazioni a distanza, supporto per il processo decisionale, migliore assegnazione delle risorse e controllo a distanza dei servizi. Tuttavia, vi sono anche fattori associati estremamente sensibili, per esempio la vita privata e la sicurezza, l'asimmetria dell'informazione, la trasparenza delle operazioni, le responsabilità complesse, il blocco di prodotti e sistemi e anche un aumento dei prodotti ibridi, che può incidere sulla proprietà ed esporre i consumatori all'applicazione di contratti a distanza, con una conseguente riduzione delle garanzie.
2.9Le enormi sfide giuridiche che l'UE e i suoi Stati membri si trovano ad affrontare sono dovute al fatto che molte delle caratteristiche specifiche dell'IoT (gli elevati livelli di complessità e di interdipendenza, l'elemento dell'autonomia, le componenti di generazione e/o trattamento dei dati e una dimensione aperta) sono comuni ad altre tecnologie digitali emergenti come la blockchain, la stampa tridimensionale e il cloud computing. Secondo il CESE, il documento di lavoro della Commissione sulla responsabilità per le tecnologie digitali emergenti rappresenta un ulteriore passo avanti nella giusta direzione.
2.10In definitiva, per massimizzare i vantaggi e minimizzare i rischi associati all'IoT è necessario fornire informazioni accessibili, chiare, concise e precise, promuovendo in particolare l'inclusione e la connettività digitale dei consumatori più vulnerabili, grazie alla progettazione di prodotti e servizi pienamente tracciabili, che includano norme integrate in materia di fiducia, rispetto della vita privata e sicurezza.
3.Fiducia dei consumatori e degli imprenditori nell'IoT
3.1L'IoT è un ecosistema complesso, che permette l'interconnessione di dispositivi provenienti da diversi produttori, distributori e sviluppatori di software, il che può rendere difficile accertare le responsabilità in caso di violazione delle norme o di danni materiali o di altri danni a terzi o a sistemi, causati da prodotti difettosi o dall'uso distorto di prodotti da parte di terzi, a esclusione degli utilizzatori finali, attraverso la rete. È effettivamente possibile che molti degli operatori che partecipano alla catena del valore globale del prodotto non abbiano le conoscenze e le competenze sufficienti in materia di sicurezza o protezione dei dati per i dispositivi in rete.
3.2Pertanto è necessaria una ridefinizione delle responsabilità, per garantire che i consumatori e le imprese che adottano applicazioni di IoT siano protetti in un ambiente in cui prodotti adeguatamente configurati possono diventare difettosi o non sicuri o essere adibiti abusivamente a un uso distorto a seguito di incidenti di sicurezza digitale (quali gli attacchi di hacker). Detto ambiente deve consentire di anticipare e prevenire decisioni automatizzate che potrebbero violare i fondamenti etici e i diritti umani universalmente riconosciuti, e permettere di tutelarsi da tali decisioni.
3.3Il CESE accoglie con favore sia la revisione dell'applicazione della direttiva del 1985 in materia di responsabilità per danno da prodotti difettosi che la recente creazione del gruppo di esperti multilaterale sulla responsabilità e le nuove tecnologie, nell'ottica di garantire un equilibrio giusto tra gli interessi dei produttori e quelli dei consumatori. Un nuovo quadro di responsabilità dovrebbe contemplare chiaramente la tracciabilità della responsabilità e della sicurezza in ogni passaggio della catena del valore del prodotto e durante il suo prevedibile ciclo di vita, includendo la sostenibilità come nuovo fattore che richiederà l'aggiornamento, il miglioramento, la portabilità, la compatibilità, la riutilizzazione, la riparazione o l'ammodernamento del prodotto.
3.4Va inoltre riservata un'attenzione specifica, in chiave IoT, alla determinazione della responsabilità di tutti gli operatori che partecipano alla catena di fornitura del prodotto, evitando i vuoti giuridici in caso di presenza contemporanea di più produttori e distributori. Il CESE ritiene imprescindibile specificare chiaramente le procedure che i consumatori devono seguire in ogni caso, promuovendo i meccanismi di risoluzione alternativa delle controversie.
3.5Il CESE sottolinea l'importanza delle informazioni precontrattuali, delle clausole contrattuali trasparenti e di chiare istruzioni per l'uso dei dispositivi; si dovrebbero evidenziare esplicitamente i possibili rischi connessi e le relative tutele.
3.6Occorre provvedere all'interoperabilità e alla compatibilità dei dispositivi e del relativo software, onde evitare problemi e consentire al consumatore di comparare i fornitori. Il CESE sottolinea che questo fattore è essenziale anche per creare condizioni di parità tra grandi imprese e PMI.
3.7Infine, il CESE raccomanda il rispetto della neutralità della rete e sollecita la Commissione a procedere a un controllo rigoroso del comportamento del mercato.
4.Protezione della vita privata dei consumatori nell'IoT
4.1 Il nuovo regolamento generale sulla protezione dei dati ha accresciuto la capacità dei consumatori di controllare i loro dati personali e le loro preferenze in materia di protezione della vita privata. L'utente di un dispositivo deve avere il controllo sul modo in cui sono utilizzati i dati che genera e su chi può accedere agli stessi, considerando che la diversità di dati, nonché l'aggregazione e il collegamento ad altri dati, mettono gravemente a rischio la protezione della vita privata nell'ecosistema dell'IoT.
4.2È opportuno tener presente l'impatto che la molteplicità di prodotti, servizi o entità può avere sia sulla protezione della vita privata che sulla protezione dei dati, laddove questi vengano trasferiti autonomamente in virtù della loro interconnettività. Analogamente, nei casi in cui si trattano o rielaborano informazioni a partire da dati inizialmente innocui, si potrebbe giungere ad acquisire una conoscenza precisa di abitudini, luoghi frequentati, interessi e preferenze delle persone, accrescendo l'accessibilità e la tracciabilità del profilo utente.
4.3Le garanzie giuridiche devono assicurare la piena capacità degli utenti di esercitare i loro diritti alla vita privata e alla protezione dei dati personali senza limitazione alcuna, evitando così possibili danni come le pratiche discriminatorie, la pubblicità invasiva, la perdita di protezione della vita privata e le violazioni della sicurezza. I consumatori, da parte loro, devono disporre di informazioni sul valore economico dei loro dati, e a essi dev'essere riservata la facoltà di condividerli.
4.4Come dispone il regolamento generale sulla protezione dei dati, le imprese e le autorità di regolamentazione devono rivedere periodicamente la portata della raccolta di dati personali e valutare se i dati trattati siano proporzionati e necessari per l'erogazione del servizio. Gli aspetti e le conseguenze relativi alla protezione della vita privata devono essere valutati in ogni fase dell'ideazione, progettazione e sviluppo di un prodotto connesso, così come l'ecosistema in rete in cui tale prodotto opera (protezione della vita privata fin dalla progettazione). Bisogna quindi attuare in modo coerente, nell'IoT, i principi della protezione della vita privata fin dalla progettazione (privacy by design) e della protezione della vita privata per impostazione predefinita (privacy by default).
4.5Inoltre, come impostazione predefinita, la configurazione di qualunque prodotto connesso deve avvenire al più elevato livello di tutela della privacy (privacy by design e privacy by default), evitando il monitoraggio indesiderato del comportamento degli utenti e delle loro attività.
4.6In ogni caso, i consumatori dovranno essere chiaramente informati circa i dati che vengono raccolti, i soggetti che accedono agli stessi e l'uso previsto finché resta attiva la relazione con il prodotto o il servizio, nonché circa la politica applicabile in materia di protezione della vita privata e se gli algoritmi utilizzati hanno ripercussioni sulla qualità e sul prezzo del servizio e sull'accesso allo stesso.
5.Sicurezza dei consumatori e degli imprenditori nell'IoT
5.1L'interconnettività dei dispositivi tipica dell'ecosistema dell'IoT può favorire lo sviluppo di pratiche tecnologiche illegali o indesiderate, diventando così uno spazio che alimenta la vulnerabilità e la sua propagazione virale. Pertanto, la sicurezza deve essere garantita in modo integrale, ossia per ogni singola componente del sistema.
5.2L'offerta di prodotti e di aggiornamenti legati alla cibersicurezza dovrà essere giustificata e garantire non solo la copertura dei dispositivi individuali ma anche la tutela dai rischi di sicurezza che derivano dalla interconnettività con altri dispositivi nell'IoT, senza ridurre, in ragione del loro numero, le norme di qualità di detta sicurezza.
5.3Al riguardo, la proposta di regolamento relativo all'agenzia dell'Unione europea per la cibersicurezza, include un quadro di certificazione delle TIC che consentirà la definizione di sistemi volontari di certificazione della sicurezza ed etichettatura per diverse tipologie di prodotti, compresi quelli dell'IoT. Il CESE accoglie con favore questa misura, ma esprime preoccupazione per il fatto che non essa non sia obbligatoria.
5.4Le misure di cibersicurezza dovrebbero contemplare i rischi derivanti da ogni tipo di vulnerabilità, in particolare la pirateria informatica, l'accesso non autorizzato e l'uso improprio, nonché i rischi relativi ai mezzi di pagamento e alle frodi finanziarie. Al riguardo, il CESE accoglie favorevolmente le competenze attribuite al gruppo di esperti multilaterale sulla responsabilità e le nuove tecnologie.
5.5Inoltre, occorrerà garantire la sicurezza personale dei consumatori rispetto ai rischi che derivano dalla tecnologia di prossimità, dalle bande di frequenza condivise, dall'esposizione a campi elettromagnetici o dalle possibili interferenze con dispositivi di sicurezza personale connessi. Il CESE chiede l'applicazione di misure di vigilanza e ritiro preventivo in caso di rischi per la salute e la sicurezza dei consumatori o per i loro interessi personali ed economici.
5.6Le imprese dovranno adottare standard di buone pratiche, tra cui la sicurezza sin dalla progettazione (security by design) e per impostazione predefinita (security by default), e sottoporsi a valutazioni esterne indipendenti. Laddove si verifichino incidenti di sicurezza o violazioni di dati, le imprese saranno obbligate a darne notifica, fornendo anche informazioni relative alla responsabilità per danni e per il mancato rispetto delle norme applicabili.
5.7Le imprese dovranno fornire ai consumatori informazioni semplici e accessibili, che consentano loro di prendere decisioni appropriate e adottare pratiche sicure, fornendo inoltre gli aggiornamenti di sicurezza fondamentali per tutto il ciclo di vita del prodotto.
5.8Va poi risolta l'assenza di norme coerenti relative alle reti dell'IoT e occorre sviluppare tecnologie avanzate a banda larga e di nuova generazione che migliorino le attuali infrastrutture.
6.Proposte di azione nel quadro delle politiche pubbliche
6.1Nell'esercitare i loro poteri ai vari livelli territoriali, le pubbliche amministrazioni dovranno impegnarsi attivamente nell'elaborazione delle politiche e dei piani d'azione dell'IoT al fine di conseguire un equilibrio di interessi tra le diverse parti in causa, anticipando e prevenendo possibili effetti negativi. Il CESE propone di:
6.1.1creare ambienti di prova (sandbox), ossia gli spazi fisici, i cluster ecc. per i progetti pilota e le verifiche teoriche (proof of concept). Ciò dovrebbe mirare a testare non solo le tecnologie ma anche i modelli di regolamentazione;
6.1.2finanziare infrastrutture tecnologiche che consentano lo sviluppo di progetti innovativi dell'IoT nel quadro del nuovo programma Orizzonte Europa;
6.1.3designare istituti e agenzie indipendenti quali facilitatori e supervisori dei progetti dell'IoT. Il CESE si congratula per le misure pertinenti previste al riguardo dal regolamento del 2017 sulla cibersicurezza e invita la Commissione a promuovere efficacemente i processi di normazione nel settore digitale con adeguate risorse di bilancio;
6.1.4promuovere associazioni e piattaforme di cooperazione pubblico-privato, coinvolgendo la comunità scientifica, l'industria e i consumatori;
6.1.5incoraggiare gli investimenti nello sviluppo di modelli imprenditoriali locali che sfruttino i vantaggi dell'IoT e facilitino la trattazione di aspetti complessi quali la protezione e la proprietà dei dati;
6.1.6provvedere al rafforzamento delle capacità in ambito imprenditoriale nell'ottica della responsabilità condivisa. Occorrerebbe garantire che la sicurezza e la privacy sin dalla progettazione e per impostazione predefinita siano parte integrante dei prodotti e dei servizi delle TIC, in linea con il principio del dovere di sollecitudine, menzionato nel nuovo regolamento sulla cibersicurezza. A questo proposito, il CESE accoglie con favore la prevista elaborazione di codici di condotta, a complemento della regolamentazione;
6.1.7promuovere le iniziative di normazione europee e internazionali per garantire che i sistemi di IoT dispongano delle caratteristiche essenziali: affidabilità, sicurezza, disponibilità, resistenza, manutenibilità e utilizzo. In particolare, la normazione è essenziale per la rapida realizzazione di processi di produzione industriale altamente digitalizzati;
6.1.8provvedere affinché gli utenti dell'IoT, specie i più vulnerabili o quanti vivono in zone scarsamente popolate, abbiano un accesso di qualità a prezzi accessibili;
6.1.9promuovere campagne di sensibilizzazione e programmi educativi per facilitare l'adozione dell'IoT da parte delle imprese e dei consumatori, rendendo possibile l'acquisizione delle capacità e competenze necessarie, con particolare attenzione per i gruppi vulnerabili e la diversità;
6.1.10avviare iniziative nel settore dell'istruzione, per garantire un'adeguata prevenzione, vista l'inclusione precoce della popolazione infantile negli ambienti digitali;
6.1.11avviare analisi diagnostiche e studi in merito all'impatto dell'IoT su settori quali i nuovi modelli di produzione e di consumo sostenibili;
6.1.12garantire la piena attuazione e l'uso efficace dei meccanismi alternativi di risoluzione delle controversie on line e off line (ADR e ODR);
6.1.13garantire l'esistenza, l'applicazione e l'effettivo funzionamento di un sistema europeo di azioni collettive, che consenta di ottenere misure inibitorie e risarcimenti quando l'uso dell'IoT provoca danni o pregiudizi collettivi, come dovrebbe conseguire dal new deal per i consumatori.
6.2Il CESE invita inoltre la Commissione a valutare le norme direttamente o indirettamente collegate all'Internet degli oggetti e, se necessario, a migliorare la legislazione in vigore. In tale contesto, il new deal per i consumatori dovrebbe porre l'accento anche sui dispositivi interconnessi, le reti e la loro sicurezza, e i dati associata a tali dispositivi.
6.3Infine, il CESE sottolinea l'importanza di istituire meccanismi di cooperazione e coordinamento tra gli Stati membri per un'applicazione efficiente e uniforme della normativa prevista, nonché per gli accordi che l'Unione europea dovrà concludere fuori dal suo territorio in ragione dell'ubicazione delle sedi delle imprese e dei fornitori, con particolare riferimento allo scambio di migliori pratiche. La politica internazionale sui flussi di dati transfrontalieri dovrà essere coordinata così che i paesi interessati possano dotarsi di norme di tutela ugualmente elevate nelle rispettive legislazioni nazionali, sia a livello sostanziale che procedurale.
Bruxelles, 4 settembre 2018
Ariane RODERT
Presidente della sezione specializzata Mercato unico, produzione e consumo
_____________