Wearable: Smartwatch, fitness tracker, smart glasses

I wearable sono dispositivi intelligenti che vengono indossati a contatto con il corpo e che possono essere utilizzati per i più disparati scopi. I loro sensori sono in grado di raccogliere e analizzare dati relativi all’attività fisica, al sonno, al battito cardiaco ecc. Dotati di accesso a Internet (tramite la rete mobile o una connessione Bluetooth con altri dispositivi come gli smartphone), nonché di fotocamere, microfoni e funzioni di localizzazione, possono anche essere adoperati per la realtà aumentata. I rischi per la protezione dei dati dipendono quindi fortemente dalle modalità d’uso effettive di questi dispositivi e possono riguardare sia gli utenti stessi che altre persone.

Dati degli utenti

La maggior parte degli utenti imposta i wearable in modo che registrino le proprie attività fisiche o sportive. A tal fine si affidano a software preinstallati o ad app installate manualmente che impiegano i dati raccolti per fornire informazioni in merito a prestazioni fisiche, salute e benessere. Questi dati sono strettamente personali perché vengono misurati direttamente sul corpo dell’utente. In quanto dati sanitari, sono considerati dati degni di particolare protezione poiché possono comportare rischi elevati in caso di abuso. Inoltre, dato che questi dispositivi vengono indossati durante tutta la giornata e a volte anche la notte, è possibile ricavarne schemi (p. es. di spostamento) e di conseguenza trarre conclusioni su salute, stile di vita e sfera intima. In pratica, spesso i wearable possono saperne di più sugli utenti che gli utenti stessi.

Considerazioni prima dell’acquisto

Prima di acquistare un dispositivo di questo tipo o installare un’app, è consigliabile verificare come il produttore o lo sviluppatore dell’app gestisce i dati raccolti. Si possono trovare informazioni in merito nelle condizioni generali d’utilizzo e nella dichiarazione relativa alla protezione dei dati. Vale la pena di leggere questi documenti attentamente così da poter prendere una decisione informata sul diritto all’autodeterminazione informativa. Le seguenti domande possono essere di aiuto a tal fine.

• Il prodotto è stato progettato in modo da rispettare la protezione dei dati?

  Dato che gli utenti consentono il trattamento di dati degni di particolare protezione, il cui uso improprio può avere conseguenze importanti, occorre assicurarsi che il prodotto soddisfi standard elevati di protezione e sicurezza dei dati. I prodotti sviluppati in Europa o in Svizzera sottostanno a condizioni severe in considerazione delle disposizioni vigenti in materia di protezione dei dati. I produttori sono inoltre tenuti a seguire il principio della protezione dei dati fin dalla progettazione, ovvero devono progettare i propri sistemi in modo che rispettino le disposizioni in materia di protezione dei dati. In concreto devono garantire che la trasmissione dei dati avvenga in modo crittografato, fornire aggiornamenti di sicurezza sul lungo periodo, nonché verificare periodicamente la presenza di vulnerabilità e risolverle rapidamente.

• Dove vengono salvati i dati?

  Se i dati sono trattati localmente, ossia nel dispositivo stesso, gli utenti mantengono sempre il controllo completo sui propri dati. Tuttavia, la maggior parte delle funzioni di un wearable prevede il trattamento dei dati in un cloud pubblico di proprietà del produttore o di terzi, per esempio quando si vuole sincronizzare i dati su diversi dispositivi o usufruire di funzioni di intelligenza artificiale che richiedono un’elevata potenza di calcolo. In questo caso è importante verificare attentamente dove e a quali condizioni sono trattati i dati.

• Il processo di trattamento dei dati è descritto in modo trasparente (ovvero dettagliato, comprensibile e tracciabile)?

  Prima dell’acquisto è necessario leggere in modo approfondito la dichiarazione relativa alla protezione dei dati e le condizioni generali di contratto per verificare se il produttore o fornitore si impegna a trattare i dati esclusivamente per fornire la prestazione richiesta oppure se si riserva il diritto di utilizzarli anche per altri scopi. Trattandosi di dati relativi alla salute, secondo il diritto svizzero il loro utilizzo a fini di marketing o per lo sviluppo di prodotti propri richiede il consenso esplicito della persona interessata (cfr. inoltre le linee guida per i cookie). Può eventualmente essere utile valutare diverse opzioni di prodotto.

• Quali contatti e canali di supporto vengono messi a disposizione?

  Deve essere indicato chiaramente a chi è possibile rivolgersi in caso di problemi o per far valere i propri diritti. È anche bene avere la possibilità di mettersi in contatto con un consulente per la protezione dei dati presso il produttore o fornitore. Se il titolare del trattamento ha sede all’estero, si consiglia di verificare se in Svizzera esiste un rappresentante che funga da interlocutore in caso di domande o di necessità di supporto in relazione alla protezione dei dati.

Consigli per l’utilizzo

Gli utenti possono ridurre i rischi per la protezione dei dati non solo verificando le condizioni generali d’utilizzo e la dichiarazione relativa alla protezione dei dati, ma anche prestando attenzione al proprio comportamento. Al momento dell’installazione di un’app di terze parti o prima dell’utilizzo di alcune funzioni di un dispositivo, spesso all’utente viene richiesto di consentire l’accesso a determinati dati del dispositivo o di accordare determinate autorizzazioni (p. es. accesso a immagini, microfono, posizione o dati sanitari). Se tali accessi e autorizzazioni non sono strettamente necessari per il funzionamento dell’app, si dovrebbe assolutamente negarli o revocarli nelle impostazioni del dispositivo.

Un’app rispettosa della protezione dei dati dovrebbe funzionare secondo il principio della minimizzazione dei dati. Bisognerebbe quindi evitare di acquistare o utilizzare app e dispositivi che richiedono autorizzazioni difficilmente giustificabili.

Aggiornando regolarmente l’app e il software di un wearable è possibile risolvere lacune di sicurezza e ridurre i relativi rischi.

Dati dei propri figli

Le funzioni di localizzazione via GPS o Bluetooth dei wearable vengono usate sempre più spesso dai genitori per tracciare i figli. Ma attenzione: anche se i minori non possono esercitare autonomamente i propri diritti della personalità in quanto non hanno l’esercizio dei diritti civili, i loro rappresentanti legali sono tenuti ad agire nel loro interesse, a proteggerli e a rispettare la loro sfera privata e intima. I minori non possono dare un consenso giuridicamente valido al trattamento dei propri dati a fini di sorveglianza.

Dati di terzi

I wearable dotati di fotocamera o microfono possono essere utilizzati dagli utenti per registrare audio o scattare fotografie di altre persone (famigliari, colleghi, amici, clienti, pazienti ecc.). La particolare discrezione di questo tipo di dispositivi rispetto agli smartphone comporta tuttavia un rischio maggiore che i dati vengano raccolti, trattati e condivisi a insaputa delle persone interessate. Gli utenti devono quindi essere consapevoli che non hanno il diritto di trattare a loro piacimento le immagini e la voce di terzi. L’acquisizione di dati di nascosto può costituire una violazione del Codice penale (v. sotto).

Rischi legati agli smart glasses

Gli smart glasses più moderni (p. es. quelli di Ray Ban e Oakley) sono particolarmente discreti; consentono quindi di scattare fotografie e registrare video e audio di altre persone a loro insaputa nonché di condividerli in modo rapido e diretto, per esempio durante una livestream su un social network. Inoltre, sono integrati nei prodotti e nell’intelligenza artificiale di Meta. Queste funzioni costituiscono pertanto un rischio accresciuto per i diritti della personalità di terzi.

Un trattamento di dati personali che viola il principio di trasparenza rappresenta dunque un’ingerenza nei diritti della personalità difficilmente giustificabile e quindi inammissibile. Gli utenti dovrebbero pertanto assicurarsi che eventuali persone interessate siano informate della raccolta di dati che le riguardano e forniscano il proprio consenso al trattamento.

La violazione di questo principio può avere conseguenze non solo civili ma anche penali (p. es. secondo l’art. 179^bis –179^quater CP). È responsabilità degli utenti informarsi sulle norme vigenti nel luogo in cui intendono utilizzare tali dispositivi. Per ulteriori informazioni, rimandiamo alla sezione "Scatto e pubblicazione di fotografie".