Internet de las cosas y los nuevos retos en materia de privacidad

Internet de las cosas y los nuevos retos en materia de privacidad

iot_jorge

Por Jorge Camba Martín

El Internet de las cosas (IoT, por su siglas en inglés) hace referencia a una red, infraestructura o entorno en el cada uno de los dispositivos y/o servicios que lo integran (por ejemplo, wearable devices, teléfonos móviles, vehículos, viviendas, electrodomésticos, etc.) se encuentran interconectados entre sí, por lo que no solo son capaces de interactuar entre sí, sino que demás pueden vincularse con servicios prestados por terceros tales como redes sociales, cuentas de e-mail, o banca electrónica. Se trata de un fenómeno que no puede entenderse sin la integración de las últimas tecnologías en el almacenamiento y tratamiento de información tales como el cloud computing o el big data.

Así, para que un entorno conectado resulte útil, eficaz y aporte valor añadido a un potencial comprador, resulta necesario recabar, tratar, almacenar, combinar, analizar y transferir gran cantidad información que en la práctica totalidad de los casos harán referencia a una persona identificada o identificable. Téngase en cuenta que la posibilidad de que una persona sea identificada o re-identificada (en caso de que los datos hayan sido previamente disociados o anonimizados) aumenta exponencialmente en el contexto del Internet de las cosas. Asimismo, debe tenerse en cuenta que el responsable del tratamiento podría variar de un dispositivo a otro y que, en determinadas ocasiones, el titular del dispositivo y el afectado -cuyos datos son recabados y tratados a través del dispositivo- pueden ser personas distintas.

Sentado lo anterior, y tal y como ha señalado el Grupo del Artículo 29 en su Opinion 8/2014 on the on Recent Developments on the Internet of Things, los principales retos a los que deberá hacerse frente en este entorno interconectado son:

  • La pérdida de control sobre la información personal: la combinación masiva de datos personales entre dispositivos y/o servicios (que en ocasiones se realiza por defecto) podría implicar tratamientos de datos personales sobre los que los afectados no son conscientes y, en consecuencia, sobre los que no pueden decidir. Recordemos sobre este particular que el Grupo de Trabajo del artículo 29 considera que la compatibilidad entre la finalidad perseguida por la combinación y la finalidad que determinó la recogida inicial de datos, debe evaluarse a partir del criterio de las expectativas razonables del interesado.
  • La necesidad de regular la prestación servicios tecnológicos asociados a estos fenómenos por parte de terceros, como por ejemplo servicios de computación en nube o los data centers.
  • Las limitaciones a la posibilidad de que el usuario del servicio no resulte identificado o identificable, y en definitiva las limitaciones a la posibilidad de evitar la aplicación de la normativa en materia de protección de datos personales.
  • Monitorización intrusiva y profiling: la información relativa a patrones de conducta de un usuario podría alcanzar un nivel de precisión y detalle hasta ahora desconocido (y de un valor comercial incalculable).
  • Calidad del consentimiento del afectado: el Internet de las cosas requiere de nuevas soluciones que garanticen la obtención de un consentimiento libre e informado.
  • Medidas de seguridad: las medidas dirigidas a evitar la alteración, pérdida, tratamiento o acceso no autorizado de la información personal no deben diseñarse o configurarse atendiendo únicamente al dispositivo en sí, sino teniendo en cuenta el sistema en su conjunto (security by design).

Estos nuevos desafíos exigen la implementación de nuevas soluciones, entre las que destacan:

  • La elaboración de Evaluaciones de Impacto en la Protección de los Datos Personales previas.
  • La aplicación de los principios de Privacidad desde el diseño y por defecto (privacy by design and privacy by default).
  • La implementación de sistemas que permitan la obtención del consentimiento informado a través del propio dispositivo tales como los Privacy Proxies y las Sticky Policies.

Así las cosas, y en la medida en que los usuarios finalidades valoran cada vez más su privacidad (prueba de ello, es la proliferación de softwares que monitorizan a las propias aplicaciones y/o servicios que tratan datos de carácter personal mostrando al usuario qué información se está recabando y cómo está siendo utilizada, permitiendo incluso bloquear el acceso a determinada información), aquellos fabricantes y proveedores que logren dar con soluciones innovadoras que permitan garantizar de forma más eficaz la privacidad de los usuarios finales gozarán de una clara ventaja competitiva frente al resto de players del sector.