Utilizarea datelor colectate prin servicii IoT și problemele legale asociate

În ultimii ani, dispozitivele IoT, precum electrocasnicele inteligente, au început să fie tot mai prezente în gospodării. Deși sunt extrem de convenabile, faptul că sunt conectate la internet le expune riscului de scurgeri de informații. În demararea unei afaceri IoT, este esențial să se asigure nu doar siguranța electrocasnicelor ca produse de uz casnic, ci și managementul securității în rețea, rezistent la atacuri cibernetice.

Privind situația internă, problema scurgerilor de informații personale a devenit deja gravă. Tokyo Shoko Research a raportat că în anul 2021 (Reiwa 3), numărul incidentelor de scurgeri și pierderi de informații personale în rândul companiilor listate a atins un număr record de 137 de cazuri, afectând aproximativ 5,74 milioane de persoane.

Acest articol explică reglementările legale pe care trebuie să le cunoașteți pentru utilizarea în siguranță a datelor colectate prin serviciile IoT.

Reglementările legale privind afacerile IoT

IoT, abreviere pentru “Internet of Things”, se traduce literal ca “Internetul lucrurilor”. Acesta se referă la sistemele și serviciile care conectează obiectele pe care le folosim zilnic la internet, permițând controlul la distanță, recunoașterea automată și funcții de control automat, pentru a ne face viața mai confortabilă.

În ceea ce privește aspectul hardware al aparatelor electrocasnice, există reglementări stricte, deoarece acestea pot avea un impact direct asupra corpului utilizatorului.

Pe de altă parte, în ceea ce privește software-ul, legile care reglementează rețelele de comunicații, cum ar fi Legea japoneză a comunicațiilor radio și Legea japoneză a afacerilor de telecomunicații, cer înregistrarea și notificarea pentru a desfășura o afacere.

Articolul nostru oferă o explicație detaliată a reglementărilor legale privind aspectele hardware și software ale IoT, așa că vă rugăm să consultați și acesta.

Articolul relevant: Explicație a reglementărilor legale de care trebuie să țineți cont în afacerile IoT, atât pentru hardware, cât și pentru software[ja]

În afacerile IoT, există o caracteristică distinctă de a conecta dispozitivele tradiționale la internet și de a folosi informațiile colectate. Prin urmare, pe lângă reglementările legale pentru hardware și software, modul în care se procesează informațiile acumulate devine, de asemenea, o problemă importantă.

Probleme legale legate de utilizarea datelor obținute prin IoT

Dispozitivele IoT pot acumula și utiliza datele personale ale utilizatorilor în moduri neintenționate, ceea ce reprezintă un risc potențial.

Chiar dacă utilizatorii au consimțit la utilizarea datelor personale la momentul înregistrării, datorită naturii IoT, dispozitivele colectează informații despre comportament de fiecare dată când sunt utilizate, ceea ce duce la apariția următoarelor probleme:

• Protecția datelor personale
• Protecția vieții private
• Confruntarea cu atacurile cibernetice

Aici vom explica problemele legale asociate cu dispozitivele IoT.

IoT și Protecția Datelor Personale

Nu toate datele colectate de dispozitivele IoT sunt protejate ca informații personale în mod individual. Atunci când datele de înregistrare ale utilizatorilor sunt corelate cu informațiile despre stilul de viață, astfel încât să permită identificarea persoanelor, acestea devin subiectul Legii Japoneze privind Protecția Datelor Personale.

Prin urmare, furnizorii de servicii pentru case inteligente care corelează datele despre stilul de viață cu informațiile utilizatorilor sunt obligați, conform Articolului 2, Paragraful 5 al Legii Japoneze privind Protecția Datelor Personale[ja], să respecte următoarele obligații:

＜Obligațiile conform Articolelor 19-26 ale Legii Japoneze privind Protecția Datelor Personale＞

• Asigurarea acurateței datelor și obligația de ștergere
• Obligația de a implementa măsuri de securitate
• Obligația de supraveghere a angajaților
• Obligația de supraveghere a subcontractanților
• Restricții privind furnizarea datelor către terți și obligația de a păstra înregistrările

În gestionarea datelor personale, este esențial să se specifice scopul utilizării și să se notifice sau să se facă public acest scop persoanei în cauză. De asemenea, când nu mai este necesară utilizarea datelor personale, acestea trebuie procesate rapid. În plus, trebuie să se acorde o atenție deosebită prevenirii scurgerilor de informații și să se asigure că atât angajații cât și subcontractanții respectă aceste măsuri riguros.

În principiu, furnizarea datelor personale colectate către terți este restricționată. Cu toate acestea, pentru îmbunătățirea serviciilor, uneori este necesară furnizarea datelor către terți. În aceste cazuri, este necesar să se aplice un proces de anonimizare astfel încât informațiile personale originale să nu poată fi reconstituite.

De asemenea, în aprilie 2022 (Reiwa 4), a fost implementată o revizuire a Legii Japoneze privind Protecția Datelor Personale, care a inclus întărirea protecției drepturilor individuale și o mai mare responsabilitate pentru companii, precum și noi reglementări privind furnizarea de date către entități străine.

Reforma a pus accent pe următoarele cinci perspective, considerate importante de Comisia Japoneză pentru Protecția Datelor Personale:

1. Protecția drepturilor și intereselor individuale
2. Equilibrul între protecție și utilizare
3. Armonizarea cu tendințele internaționale
4. Adaptarea la schimbările de risc din partea companiilor străine
5. Adaptarea la era AI și Big Data

Referință: Puncte de verificare pentru conformitatea cu Legea Revizuită Japoneză privind Protecția Datelor Personale[ja]

IoT și Dreptul la Intimitate

Chiar dacă datele de viață colectate nu se încadrează în categoria informațiilor personale, este necesar să tratăm cu prudență informațiile despre stilul de viață, deoarece acestea pot duce la înțelegerea comportamentului unei persoane. De exemplu, informațiile despre intervalele de timp în care se utilizează electricitatea sau gazul, dacă sunt divulgate, pot fi exploatate în scopuri criminale, cum ar fi spargerile de locuințe.

Pe de altă parte, pentru a îmbunătăți calitatea serviciilor de smart home, este necesar să înțelegem și să utilizăm informațiile despre comportamentul utilizatorilor. Pentru a folosi datele personale în scopul îmbunătățirii serviciilor, protejând în același timp intimitatea, se impune o abordare prudentă, respectând principiile legii protecției datelor personale, chiar și atunci când informațiile nu se încadrează strict în această categorie.

IoT și Securitatea Cibernetică

Afacerile IoT se bazează pe colectarea, gestionarea și utilizarea informațiilor care pot intra în conflict cu protecția datelor personale și drepturile la intimitate, iar progresul lor depinde de aceasta. Deoarece informațiile sunt acumulate și gestionate prin intermediul internetului, măsurile de securitate cibernetică pentru dispozitivele conectate la rețea sunt indispensabile.

În continuare, vom explica măsurile de securitate cibernetică care ar trebui luate în avans, precum și responsabilitățile ce trebuie asumate în cazul în care se produce un atac cibernetic.

Responsabilitatea producătorilor de dispozitive: Legea privind răspunderea produsului

În cazul în care un dispozitiv IoT este ținta unui atac cibernetic, producătorul dispozitivului poate fi supus unei cereri de despăgubire conform Legii japoneze privind răspunderea produsului.

Criteriile de răspundere conform Legii japoneze privind răspunderea produsului sunt următoarele:

1. Existența unui defect în produs
2. Acest defect a cauzat prejudicii asupra vieții, corpului sau proprietății unei alte persoane
3. Au apărut daune

Defectul menționat la punctul 1 se referă la o stare în care produsul nu prezintă „siguranța care ar fi trebuit să fie normală” și poate fi clasificat în defecte de fabricație, defecte de proiectare sau defecte în instrucțiuni sau avertismente.

Decizia dacă producătorul va fi responsabil pentru un atac cibernetic depinde de următoarele circumstanțe:

• Dacă produsul a îndeplinit nivelul de tehnologie așteptat la momentul livrării
• Dacă a fost conform cu cele mai recente ghiduri publicate sau cu standardele voluntare

Producătorii de dispozitive pot evita responsabilitatea dacă pot demonstra că nu au avut cunoștință despre defect la momentul livrării. Cu toate acestea, trebuie să dovedească că defectul nu a fost recunoscut nici măcar cu cel mai înalt nivel de tehnologie disponibil la momentul respectiv, ceea ce face ca probabilitatea de a fi recunoscut ca nevinovat să fie scăzută.

Responsabilitățile administratorului de rețea: Codul Civil Japonez

În cazul în care o rețea suferă un atac cibernetic și se produce o scurgere de informații, există posibilitatea ca administratorul de rețea să fie solicitat să plătească despăgubiri pe baza Codului Civil Japonez, nu pe baza Legii responsabilității pentru produse, din următoarele motive:

1. Încălcarea contractului dintre administratorul de rețea și utilizator
2. Neîndeplinirea obligației de măsuri de securitate de către administratorul de rețea, ceea ce duce la neexecutarea obligațiilor
3. Responsabilitatea pentru acte ilicite datorată neglijenței administratorului de rețea (Articolul 709 din Codul Civil Japonez)

În oricare dintre aceste cazuri, punctul de dispută va fi dacă administratorul de rețea a fost neglijent în a nu implementa măsurile de securitate necesare.

De asemenea, există cazuri judecătorești care arată că “măsurile de securitate necesare” nu se referă doar la măsurile care corespund standardelor la momentul contractării, ci și la măsurile conforme cu liniile directoare publicate la momentul atacului cibernetic (Decizia Tribunalului Districtual Tokyo, 23 ianuarie 2014 (Heisei 26)).

Prin urmare, administratorii de rețea trebuie să fie mereu la curent cu actualizările liniilor directoare importante și să actualizeze software-ul după cum este necesar, chiar și după livrare.

Linii directoare actuale de securitate a informațiilor:

• Linii directoare de securitate IoT ver1.0[ja] | Ministerul Economiei, Comerțului și Industriei Japonez
• Cadrul general pentru securitatea sistemelor IoT sigure[ja] | NISC Japonez
• Ghid de proiectare a securității în dezvoltarea IoT | IPA Japonez

Articolul asociat: Daune din atacuri cibernetice. Care este responsabilitatea pentru despăgubiri a furnizorului de sisteme? Explicarea exemplului de contract[ja]

Rezumat: Afacerile IoT necesită o înțelegere juridică specializată

Afacerile IoT presupun acumularea și utilizarea informațiilor personale și a datelor privind intimitatea utilizatorilor prin intermediul internetului, ceea ce contribuie la progresul acestora.

Prin urmare, operatorii de afaceri nu numai că trebuie să își asume responsabilitatea pentru produsele electronice pe care le fabrică, dar trebuie să fie și atenți la actualizările legii privind protecția datelor personale și la liniile directoare pentru securitatea informațiilor.

În cazul unui accident de produs, nu doar că poate afecta fizic utilizatorii, dar există și riscul ca daunele să se extindă la un număr nedefinit de persoane din cauza scurgerilor de informații.

Când începeți o afacere IoT, este esențial să consultați un avocat cu cunoștințe specializate ample, de la legea responsabilității pentru produse până la legea protecției datelor personale și cele mai recente linii directoare pentru securitatea informațiilor.

Ghidul măsurilor implementate de către firma noastră

Cabinetul de Avocatură Monolith este o firmă de avocatură cu experiență bogată în domeniul IT, în special în ceea ce privește Internetul și legea. În ultimii ani, afacerile IoT au câștigat o atenție sporită, iar necesitatea verificărilor legale este în creștere. Cabinetul nostru oferă soluții pentru afacerile legate de IoT.

Domeniile de practică ale Cabinetului de Avocatură Monolith: Servicii juridice pentru IT și startup-uri[ja]