¿Frena la privacidad el desarrollo del Internet de las cosas (IoT) y del Big Data?

Por Francisco R. González-Calero Manzanares

Frase conocida y recurrente en boca de lobbies y otros actores que nos intentan convencer de las maldades para la innovación y el desarrollo tecnológico de unas estrictas legislaciones de privacidad que son gravosas para las empresas, al aumentar sus gastos y burocracia de una manera desmesurada. Desde estas líneas trataremos de demostrar que esta afirmación no es tal, y que en nuestra modesta opinión, tecnología y privacidad deben ir de la mano puesto que no puede entenderse a una sin la otra.

El punto de partida lo tenemos en dos nuevos actores derivados del desarrollo tecnológico, a saber el denominado Internet de las cosas IoT (Internet of Things) y el Big Data. Podemos definir al primero como multitud de objetos de uso diario conectados a Internet (pulseras, relojes, smartphones, frigoríficos, televisores, vehículos…), de manera que en un futuro existirán más dispositivos conectados que personas. Su característica principal radica en el diseño de una estructura de red interconectada que permite que estos dispositivos físicos se comuniquen entre si con la capacidad de transmitir, compilar y analizar datos.

Por su parte el Big Data podría definirse como sistemas o herramientas que manejan ingentes cantidades de datos en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis. En la misma línea está la definición dada por McKinsey Global Institute (MGI), que lo entiende como “conjuntos de datos cuyo tamaño va más allá de la capacidad de captura, almacenado, gestión y análisis de las herramientas de base de datos”. Su característica principal radicaría en las denominadas 3v: volumen de datos tratados, velocidad de transformación y variedad de datos tratados aunque algunas fuentes las elevan a las 5v añadiendo a las anteriores el valor del sistema que procesa de una manera eficiente y con poco coste y la veracidad de los datos.

Llegados a este punto toca poner de manifiesto las innumerables ventajas y beneficios que para la humanidad pueden traer estas tecnologías. Así por poner algunos ejemplos, los vehículos conectados pueden detectar que un gran número de ellos se dirigen a un mismo punto y por ello, plantear vías alternativas que eviten el temido atasco. Los dispositivos ponibles o wearables pueden controlar determinadas variables del paciente (ritmo cardiaco, nivel de sustancias en sangre…) con lo que pueden acortar la estancia en hospitales o incluso, facilitar información en tiempo real del desarrollo de síntomas de enfermedad o prevenirlas (cáncer, infarto…), y a nivel doméstico podríamos despreocuparnos de la compra en el supermercado ya que el frigorífico conectado detectaría la escasez de un determinado alimento, daría orden de compra y realizaría el pago por tarjeta al supermercado o, el dispositivo de geolocalización del smartphone al detectar la cercanía del domicilio podría ordenar al sistema de calefacción o refrigeración su encendido.

Desde la perspectiva del Big Data, con los contadores inteligentes además del confort para el cliente y el ahorro de costes de personal, se podrían predecir picos de consumo eléctrico evitando así los molestos cortes de luz. O analizando datos de diversas fuentes en su conjunto se podrían predecir aumentos en la demanda de un determinado producto o servicio o, antes de su lanzamiento, si va a tener aceptación por el consumidor o no, o simplemente dirigirte publicidad personalizada que se sepa que será de su interés.

Visto así todo son ventajas para la humanidad, pero mira por donde aparece el experto en la materia y nos introduce un concepto que algunas legislaciones ya han adoptado denominado protección de datos de carácter personal o privacidad. Es entonces cuando se empieza a ver a esta figura como un lastre, un freno y una amenaza para este progreso, cuando la verdad es que sin ella, nunca desarrollarán todo su potencial.

El desarrollo de estas tecnologías tiene una gran amenaza, a saber que los potenciales consumidores recelen de las mismas y bien, no utilicen todo el potencial que estas permiten o bien, planteen continuas reclamaciones o denuncias que las paralicen. En nuestra opinión existen dos grandes pilares donde descansa la confianza en estas tecnologías: la seguridad y los tratamientos respetuosos y leales con la privacidad.

Sobre el primer pilar poco comentaremos porque es pacífico que la seguridad o ciberseguridad es fundamental para estas tecnologías y dispositivos puesto que afectan a su núcleo vital que es la confianza del usuario en las mismas. Raro es el día que no desayunamos con un robo-hackeo-ataque-ciberataque de contraseñas, información o datos de usuarios, fotografías íntimas, tarjetas de crédito y datos bancarios como el reciente robo de información y posterior publicación de datos de usuarios de la web de contactos para casados Ashley Madison. Incluso, a veces, esos ataques no van dirigidos contra datos personales sino contra secretos industriales o gubernamentales o incluso, por motivaciones políticas  o religiosas como el ciberataque a Sony Pictures o los protagonizados por el Estado Islámico. A veces inclusive por el simple regocijo “intelectual” del hacker que vulnera todas las barreras que encuentra. Sólo invirtiendo en seguridad-ciberseguridad, implantando protocolos, sistemas y herramientas actualizadas y acordes con el estado actual de la ciencia y la tecnología en ese momento y estableciendo revisiones y auditorías periódicas, es decir, implementando un verdadero y eficaz sistema de security-cybersecurity by design podremos paliar y mitigar, que no eliminar por completo esos riesgos, puesto que todo dispositivo o sistema conectado puede ser hackeado (ante un riesgo de colisión con otro vehículo, un vehículo inteligente lo puede ser).

El segundo pilar también incide en el núcleo vital de estas tecnologías, a saber, la confianza del usuario. Si el usuario percibe que no existe un verdadero tratamiento leal y acorde con su privacidad recelará de estas tecnologías y no las usará o las usará menos de lo esperado y deseable. Y es que en este bloque también acostumbramos a desayunar diariamente con noticias como que una marca de smartTV puede grabar tus conversaciones a través de la función de reconocimiento de voz y cederlas a terceros según una cláusula contractual y luego no sólo descubrimos que su competidor directo también lo hace, sino que también esa cláusula se encuentra contemplada para los smartphones, o que una compañía preinstala en fabrica adware en sus ordenadores que permite la monitorización y robo de datos o, causando gran alarma al tratarse de menores de edad, muñecas que cuentan con micro y Wifi, por lo que graban las conversaciones y las almacenan en la nube.

Sólo con verdaderas políticas de empresa basadas en el respeto a la privacidad desde el momento de la obtención del dato y durante todo su ciclo vital hasta su destrucción, lo que se viene a denominar “privacy by design” (privacidad desde el diseño) se generará confianza suficiente en los usuarios para el uso generalizado de todo su potencial. Los responsables y encargados de tratamiento o según otra definición, los controladores y procesadores de datos NO deben entender que los datos son de su propiedad sino que son meros administradores o gestores de los mismos.

Como bien recoge la Declaración de México D. F.: “Hacia la implantación de garantías para la protección de datos en los tratamientos de Big Data”  del Observatorio Iberoamericano de Protección de Datos, los principios que deben inspirar estos tratamientos deben ser los siguientes: ”“principio de inocuidad”, por el que los usos del Big Data bajo ninguna circunstancia deben perjudicar ni a los individuos, ni a la humanidad” y que, en todo caso, las excepciones a este principio deben ser establecidas por los legisladores desde una perspectiva restrictiva y garantista, el “principio de objeción”, por el que las personas puedan oponerse, de manera previa o a posteriori, a que su datos sean tratados, incluso de forma anonimizada, y sin que ello les impida usar las tecnologías, el “principio de seguridad”, las actividades de Big Data deben estar especialmente protegidas, a fin de evitar incidentes accidentales o malintencionados que pongan en riesgo a la información, el “principio de respeto al libre desarrollo de la personalidad”, deben prohibirse usos del Big Data que impliquen la modificación de comportamientos y el determinismo del dato, el “principio de responsabilidad”, por el que en todo momento debe poder atribuirse una determinada actividad de Big Data a una persona física o jurídica y, en su caso, exigirle responsabilidades, y el “principio de transparencia”, por el que deben articularse mecanismos que permitan que las personas afectadas sean conocedoras del uso que se hace de sus datos”.

Por poner algunos ejemplos finales, estos podrían ser algunos parámetros a tener en cuenta:

  • Gratuidad del servicio: si el servicio es gratuito, siempre cumpliendo con los deberes de información, consentimiento y calidad de los datos se podría ofrecer gratis a cambio de cierta información personal, o incluso graduarse el costo del producto o servicio en función de la información personal aportada en cada caso.
  • Expectativa de privacidad: no depende de la gratuidad u onerosidad del servicio puesto que no se tiene la misma a la hora de darse de alta en una red social que a la hora de crear una cuenta de correo electrónico.
  • El poder de elección del usuario: se puede optar por un smartphone u otro, por un servidor de correo electrónico u otro, pero por ejemplo, ante un sistema de mensajería instantánea de uso generalizado o el ingreso en una red social con implantación la única alternativa posible es mantenerte “desconectado y al margen”.
  • El poder de decisión del usuario: al adquirir un equipo o darse de alta en un servicio, el usuario debe ser capaz de configurar o eliminar todo aquello que desee y que sea accesorio al bien o servicio no siendo esencial para el mismo. Un ejemplo de buena práctica es la noticia que el próximo Android permitirá al usuario delimitar los permisos que concede a las APPS instaladas, aunque aún se echa de menos la posibilidad de desinstalación de aquellas que no sean necesarias para el buen funcionamiento del sistema operativo que vienen de fábrica.
  • Por el mero hecho de disociar datos no se soluciona el problema puesto que la anonimización total cada vez es más complicada y cruzando datos disociados de diversas fuentes podría llegarse a identificar al afectado.  Una buena praxis de privacy by design incluiría medidas para estos tratamientos de datos anonimizados.
  • Los representantes de las diferentes autoridades de control de protección de datos y los expertos cada vez acuden más como buena práctica a los denominados “tratamientos éticos” que implican que independientemente manejar datos personales o anonimizados, se deberían plantear unas preguntas previas tales como: qué datos necesito realmente, si los usos previstos son los necesarios y adecuados, etc., evitando así que al encontrarse el dato anonimizado no exista ningún tipo de control al no estar sometidos a día de hoy a regulación.

Quizás más de un lector piense que hace falta un tercer pilar, el de la concienciación y formación en privacidad de los usuarios, y desde luego tienen razón, aunque eso lo dejamos para un próximo post.

Artículo publicado por el autor originariamente en el blog de ENATIC.