Nessuna norma per il rispetto della privacy durante l’uso dei contatori intelligenti
Contatori intelligenti: l’UE ha un livello di protezione sufficiente?
Non è necessario emanare una norma apposita che regoli il rispetto della privacy durante l’uso degli Smart Meters, ha di recente affermato il Commissario UE per l’Energia, Kadri Simson in risposta ad un’interrogazione presso il Parlamento Europeo.
Di cosa stiamo parlando?
La Smart Grid, tra allarmismi, diritti civili e protezione dei dati
Nel contesto del mutamento climatico globale e nel solco della legislazione emanata all’insegna del risparmio energetico, il panorama mondiale sta puntando a realizzare la c.d. Smart Grid – ovvero rete di distribuzione intelligente. La Smart Grid dovrebbe realizzare un network che combina le informazioni ricevute dagli utilizzatori dell’energia (o del gas o dell’acqua) allo scopo di pianificare una fornitura maggiormente efficiente ed economica, realizzando un obiettivo di sostenibilità.
Il prerequisito della Smart Grid sono, ovviamente, gli Smart Meters, ovvero i Contatori Intelligenti.
Gli Smart Meters permettono la generazione, trasmissione ed elaborazione di dati relativi ai consumi direttamente al fornitore, il quale può così compilare un quadro preciso e dettagliato delle abitudini di utilizzo dell’utente finale ed adottare decisioni sui livelli di prestazione e di erogazione della fornitura: in altre parole, permettono di capire meglio la domanda di energia (o altra risorsa prima) e di regolare di conseguenza il mercato.
Non tutti hanno accolto con favore l’avvio della sostituzione, che si prevede entro il 2025 sarà globale, dei vecchi contatori con i nuovi fratelli Smart.
In California (USA) il locale fornitore di energia ha subito dei blocchi dovuti alle proteste dei cittadini che non volevano l’installazione degli Smart Meters nei loro quartieri, per motivi di privacy e di salute.
In Canada, le varie lamentele rivolte alle autorità locali le hanno spinte a porre sotto inchiesta il programma di smart metering di un distributore del servizio idrico, rilevando come privacy e sicurezza dei dati sul consumo energetico costituissero un problema serio e reale per i cittadini.
In Olanda, una legge che nel 2006 intendeva imporre l’installazione obbligatoria degli Smart Meters fu rigettata per timore che violasse la Carta dei Diritti dell’Uomo (CEDU).
Perchè c’è tanta preoccupazione per gli Smart Meters?
Come abbiamo visto sopra, il contatore intelligente esegue una trasmissione ‘a filo diretto’, potremmo dire, con il nostro fornitore, comunicandogli in tempo reale i nostri consumi.
Questo però significa che, dai dati sul consumo, i quali sono comunque di per sé stessi riferibili ad una persona fisica ed alla sua famiglia (attuale o potenziale) il fornitore e gli altri soggetti che potranno avere accesso ai dati avranno anche cognizione delle abitudini di vita del soggetto che consuma e persino della sua presenza nell’unità che ospita il contatore o meno.
Certamente, vediamo tutti come una puntuale osservazione delle abitudini di consumo possa avere un impatto enorme sulla riduzione, a livello globale, dell’utilizzo di energia e, quindi, un drastico taglio alle risorse naturali che sono coinvolte nella sua produzione (quelle fossili in primis), con evidente beneficio per l’ambiente e per tutti noi nel lungo termine.
Tuttavia, risulta altrettanto evidente che per ottenere questo beneficio ciascuno di noi, ‘portatore’ di Smart Meter, dovrà rinunciare ad un pezzo della propria vita privata.
Insomma, da domani, la bolletta della luce o del gas non la pagheremo solamente in valuta corrente, ma anche con i nostri dati personali, con la nostra vita, appunto.
Dove sono le tutele? Smart Meter nell’era del GDPR
L’avvento dei contatori intelligenti non coglie impreparato il mondo della privacy e della Data Protection: già a partire dal 2011, il Gruppo di Lavoro Art. 29 (Working Party 29, WP29, oggi Board), composto da tutte le Autorità Garanti degli Stati membri UE, aveva iniziato a studiare il fenomeno della Smart Grid, pubblicando un parere (Opinion) già nel marzo 2011 ed uno successivo (Opinion 7/2013) sulla Valutazione d’Impatto sugli Smart Meters.
Il WP29 aveva già individuato le problematiche poste a livello privacy dagli Smart Meters, a partire da quali fossero i dati coinvolti ed i trattamenti eseguiti dal contatore – e quindi comunicati all’esterno verso il fornitore/distributore/etc.
Ciò che interessava il WP29 e che interessa tuttora è che il modo in cui l’utente finale utilizza l’energia, rilevato tramite lo Smart Meter dal fornitore, può avere un impatto sulla vita del consumatore, non solamente in termini di costo (e quindi di bolletta), ma anche sulla quantità di energia erogata, dato che il fornitore baserà le proprie decisioni sui livelli e la qualità dei consumi rilevati presso l’utente.
Se tutto questo è vero, come ci protegge il GDPR contro usi e abusi dello Smart Metering?
Necessità di eseguire una Valutazione d’Impatto Privacy (DPIA) e di nominare un DPO
Il trattamento tramite Smart Meters ricade nell’ambito delle procedure per le quali l’art. 35 GDPR ed il successivo Provvedimento n. 467 dell’11 ottobre 2018 del nostro Garante prevedono l’OBBLIGATORIETA’ della DPIA, cioè di eseguire una valutazione per verificare l’impatto che questo trattamento potrebbe avere sulla protezione dei dati personali a fronte del RISCHIO ELEVATO che esso comporta per i diritti e le libertà delle persone fisiche.
Altrettanto dicasi per la nomina del Responsabile della Protezione dei Dati (DPO), un’interfaccia essenziale tra i fornitori e gli interessati (utenti finali) per tutte le questioni inerenti il trattamento dei dati, nonché punto di riferimento per le Autorità Garanti.
Privacy by Design e by Default
Gli Smart Metering dovranno assicurare l’applicazione dei principi fondamentali del trattamento, tra i quali la liceità, la trasparenza e la minimizzazione, nonchè l’adozione delle misure di sicurezza, ad esempio la cifratura dei dati.
Attualmente, molti contatori intelligenti sono dotati di cifratura dei dati end – to – end, ciò significa che il dato ‘parte’ cifrato dal contatore, viaggia in tale guisa ed arriva, sempre cifrato al fornitore, il quale è l’unico a possedere la chiave di cifratura che gli consente di ‘aprire’ il dato, mentre, laddove il dato dovesse essere intercettato nel tragitto oppure essere ‘rubato’, nessuno potrebbe accedervi non possedendo quella chiave.
E’ sufficiente il Consenso?
Nel suo parere 2/2011, il WP29 aveva analizzato le basi giuridiche per il trattamento a mezzo Smart Meter: tra di esse, il Consenso.
Sappiamo bene come funziona il Consenso: se lo concedo, i dati vengono trattati, se lo revoco, il trattamento deve cessare immediatamente.
Tuttavia, c’è un piccolissima problema del quale poco si parla, ma che è ben presente a chi si occupa di privacy sul campo: la ‘deriva della finalità’ (function creep).
Spesso accade che, per utilizzare un servizio o acquistare un prodotto, ci sia chiesto di ‘flaggare’ o sottoscrivere in altro modo il <<consenso al trattamento dei dati>>: ma quante volte ci viene spiegato ESATTAMENTE ed in modo esauriente CHE COSA FARANNO CON I NOSTRI DATI?
Quasi mai.
Non solo. Molto spesso il Consenso è solo una facciata, dietro alla quale si nascondono una serie di trattamenti che deviano – di qui, la ‘deriva’ della finalità – dallo scopo che ci è stato dichiarato per fare ‘altro’ con i nostri dati, laddove purtroppo ce ne accorgiamo quando è troppo tardi.
Come ci ha ricordato il Garante italiano di recente, intervenendo sui mezzi di ‘contrasto’ al Covid-19 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9301470):
<<Non si dica, dunque, che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e consigliabile fare per sconfiggere questo male oscuro.[…]
Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica.
Così, una volta cessata quest’emergenza, avremo anche forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo.>>