Novità importanti nel settore IoT e impatti privacy: una guida per DPO

Articolo header

Il valore di mercato del settore dell’Internet of Things in Italia è in costante crescita. Secondo i dati dell’Osservatorio 2022 della School of Management del Politecnico di Milano, il 2021 è stato l’anno della ripresa definitiva post Covid, con una crescita di mercato del +22% rispetto al 2020. Evolve l'offerta di soluzioni IoT con nuovi servizi di valore, prosegue l’evoluzione tecnologica, con 5G, reti LPWA, nuove piattaforme, in un contesto caratterizzato da poca chiarezza sullo stato dell’arte delle applicazioni, sui benefici abilitati e sull’evoluzione attesa. Nell’articolo di oggi facciamo chiarezza rispetto ai principali trend e alle fonti che regolamentano il settore, in modo da supportare i DPO che si trovino a dover valutare la conformità di questi sistemi.


Negli ultimi anni il livello di maturità del comparto IoT è cresciuto esponenzialmente. La pandemia ha soltanto rallentato un trend di crescita costante. Maturità significa che il mercato ha visto una trasformazione complessiva da soluzioni di connettività e progetti a lungo bloccati nella fase di costruzione teorica (Proof of Concept) o in fase di testing, a soluzioni in produzione ben integrate in piattaforme e applicativi. 

Anche gli analisti hanno smesso di misurare il mercato in base al numero di dispositivi IoT venduti ed hanno iniziato a considerare la numerosità e la tipologia di applicazioni complete e funzionati disponibili. L’Osservatorio IoT della School of Management del Politecnico di Milano, infatti, rileva una crescita soprattutto per quanto riguarda l'offerta di servizi: 3 miliardi di euro di valore, con un incremento del +25% rispetto al 2020. “Si assiste al lancio di nuove strategie e modelli di business basati sulla servitizzazione e a un generale incremento delle aspettative per il futuro”, ha dichiarato Giulio Salvadori, Direttore dell'Osservatorio IoT. 

Le aspettative sono alimentate anche dalle risorse destinate al settore dell'Internet of Things dal PNRR (il Piano Nazionale di Ripresa e Resilienza approvato nel 2021 dall'Italia per rilanciarne l'economia), che ammontano a 29,78 miliardi di euro stanziati in diversi ambiti dell’IoT quali: Smart Factory, Smart City, Smart Building e Assisted Living.


Applicazioni innovative

L’analisi condotta dall’Osservatorio del Politecnico ha evidenziato un dato particolarmente rilevante: l'80% delle grandi aziende coinvolte nell’indagine ha attivato servizi a valore aggiunto basati sull'Internet of Things. Il 36% delle grandi imprese e il 40% delle PMI ha deciso di aumentare gli investimenti. 

La spinta in questa direzione è stata determinata, in particolare, dal tema della sostenibilità ecologica (le soluzioni IoT possono costituire un ausilio importante nel monitorare il consumo di energia in eccesso e/o le emissioni tossiche). Tuttavia le tecnologie IoT, con il supporto dell’intelligenza artificiale, possono essere integrate negli ambiti più disparati quali la logistica e la gestione delle supply chain, oppure la biometria contactless per il riconoscimento di persone e oggetti.


Nuovi rischi privacy 

Proprio le nuove applicazioni, che si stanno consolidando sempre più sul mercato, devono rappresentare un campanello di allarme per i DPO. L’Internet of Things è una leva che supporta i processi decisionali a tutti i livelli. Se è vero che nell’industria, grazie al PNRR, è in corso un importante balzo in avanti, anche altri settori - più delicati, in relazione alla natura dei dati trattati - beneficiano dell’IoT: gestione del personale, servizi ai cittadini, telemedicina, fitness e benessere. 

In ognuno di questi ambiti, ogni nuovo dispositivo connesso alla rete costituisce una nuova vulnerabilità, in quanto impatta sul rischio intrinseco alle attività di trattamento. Ogni nuovo dispositivo rappresenta un ulteriore punto di accesso per eventuali attacchi cyber. Tale criticità viene amplificata dalla situazione geopolitica attuale, in cui i conflitti armati divengono cyber war. 

Per questa ragione l’attenzione dei legislatori comunitari è alta. Nuovi standard in materia di sicurezza mirano alla tutela degli utenti e consumatori dei servizi interconnessi.


Standard e linee guida

Le esigenze di tutela nel settore IoT sono molteplici e necessitano di un ampio presidio: dalla sicurezza fisica del dispositivo e dell’apparato interconnesso, alla riservatezza, integrità e disponibilità delle informazioni acquisite, memorizzate, elaborate o trasmesse dai dispositivi, compresi i dati personali degli interessati.

Fra gli standard applicabili, nel corso del 2022 l’International Organization for Standardization (ISO) insieme all’International Electrotechnical Commission (IEC) ha pubblicato la ISO/IEC 27400:2022, cui seguiranno, nel corso del 2023, altri standard ISO applicabili al settore dell’IoT. 

La nuova ISO fornisce linee guida su rischi, principi e controlli per la sicurezza e la privacy delle soluzioni dell’internet delle cose. In particolare, vengono individuati quarantacinque controlli di sicurezza e privacy, per ciascuno dei quali viene definito lo scopo, le parti interessate responsabili, il dominio IoT e la guida per implementare le soluzioni IoT in modo sicuro. 

A seguire si riportano alcuni dei principali controlli:

  • Implementare una politica per la sicurezza IoT
  • Implementare linee guida per gli utenti IoT sull'uso corretto di dispositivi e servizi IoT
  • Informare gli utenti in relazione al trattamento dei dati, alle misure di sicurezza implementate e fornire loro contatti utili del servizio di supporto 
  • Gestire ruoli e responsabilità con fornitori e parti coinvolte nel trattamento
  • Verificare la progettazione dei dispositivi e sistemi IoT, applicando i principi di privacy e security by design 
  • Minimizzare la raccolta indiretta dei dati, applicando il principio di privacy by default
  • Applicare i principi di ingegneria per un sistema IoT sicuro 
  • Lavorare in un ambiente protetto e con procedure di sviluppo sicure 
  • Utilizzare reti adeguate e accertarsi circa la sicurezza nella connessione dei vari dispositivi IoT
  • Utilizzare le impostazioni e configurazioni corrette / che garantiscano maggiore sicurezza 
  • Implementare sistemi di autenticazione utente e dispositivo
  • In generale, adottare misure di sicurezza adeguate al ciclo di vita dei sistemi e servizi IoT
  • Garantire agli utenti controlli sulla privacy
  • Verificare periodicamente aggiornamenti software e firmware
  • Verificare periodicamente le funzionalità dei dispositivi IoT
  • Monitorare i log
  • Proteggere i log
  • Prevenire eventi invasivi per la privacy
  • “Lesson learned” dagli incidenti di sicurezza e condividere le informazioni raccolte sulla vulnerabilità dei sistemi
  • Disattivare i dispositivi non utilizzati e prestare attenzione allo smaltimento o riutilizzo sicuro delle apparecchiature 

Anche l’Agenzia dell'Unione europea per la cibersicurezza (ENISA) ha sviluppato linee guida per proteggere l'IoT e le infrastrutture intelligenti dalle minacce informatiche, evidenziando le buone pratiche di sicurezza e proponendo raccomandazioni a operatori, produttori e decisori. Sul sito istituzionale ENISA è presente un’area tematica dedicata all’IoT con le migliori pratiche suddivise in base ai vari settori / ambiti di applicazione. Raccomandazioni, linee guida, best practices e standard costituiscono elementi essenziali a prevenire il verificarsi dei rischi identificati e per conformarsi al Regolamento europeo in materia di protezione dei dati personali.


Il compito del DPO 

“Le innovazioni connesse alle tecnologie digitali sembrano scardinare le coordinate del diritto” dichiarava, a proposito delle tecnologie emergenti e dell’Internet delle cose, l’ex presidente dell’Autorità Garante Antonello Soro, in occasione della Giornata europea della protezione dei dati personali del 2019. 

Considerando la carenza di un quadro normativo completo e onnicomprensivo, sanata solo in parte dagli standard e dalle linee guida sopra descritte, l’azione dei DPO assume ancora più rilevanza: i criteri del Regolamento europeo in materia di protezione dei dati personali devono guidare l’implementazione e la sorveglianza sui sistemi IoT. 

Il compito affidato dall’art. 39 del GDPR ai DPO di osservare l’osservanza del Regolamento dovrebbe essere condotto verificando, nella cornice dettata dai principi fondamentali, il rispetto delle indicazioni delle maggiori authority nazionali, comunitarie ed internazionali. Standard e linee guida costituiscono una valida base per sviluppare, ad esempio, checklist di conformità di sicurezza e privacy, da sottoporre a titolari e responsabili del trattamento nel contesto delle attività di audit.



Uno degli scopi dell’Associazione è proprio quello di sviluppare delle soluzioni condivise ai problemi applicativi posti dalla normativa in materia di Privacy. Ti invitiamo quindi ad iscriverti all’Associazione, per partecipare alle discussioni e beneficiare di tutti i vantaggi derivanti dall’adesione


Se non l’hai già fatto, iscriviti alla newsletter ASSO DPO per restare costantemente aggiornato su questi temi.



Altre news