Por Laura Vivet Tañà
Este año tuve la oportunidad de realizar una presentación sobre Privacidad, Drones y el Internet de las cosas en el Banco Mundial en Washington DC, durante una de sus “Brown Bag sessions”.
El Banco Mundial es una organización que trabaja en una amplia gama de proyectos en todo el mundo, incluyendo iniciativas relacionadas con las nuevas tecnologías, y en cada proyecto deben evaluar los diferentes riesgos relacionados, incluyendo los riesgos de privacidad.
La finalidad de la presentación fue ayudar a entender el concepto de “privacidad y sus diferentes significados en todo el mundo, como definir el marco de privacidad y evaluar los riesgos que pueden surgir del uso de las nuevas tecnologías, como los drones o el Internet de las cosas, e introducir la Evaluación de Impacto en la Privacidad, como una herramienta efectiva que se puede utilizar en cualquier jurisdicción.
Voy a compartir algunas ideas sobre estos amplios y complejos capítulos que tuve que resumir en una hora!
Entender el concepto de Privacidad
El origen de la privacidad se sitúa siglos atrás, pero el concepto actual de privacidad ha evolucionado de forma desigual a través de los diferentes países de acuerdo con su cultura e historia.
Ciertamente, los países han adoptado un enfoque diferente respecto la privacidad, protegiendo diferentes tipos de información. Este es un factor importante a considerar, en el momento de evaluar los riesgos de privacidad que pueden surgir de las nuevas tecnologías.
Estados Unidos utiliza un sistema sectorial, desarrollando leyes de privacidad según sea necesario. Formalmente no hay una definición específica de “dato personal”, pero en cambio podemos encontrar múltiples definiciones en la jurisprudencia del common law, en las diferentes leyes estatales y federales y a través de los acuerdos transaccionales aprobados por la Federal Trade Commission sobre practicas abusivas o desleales.
En contraste, Europa dispone de un sistema comprensivo que reconoce el derecho a la protección de datos personales como un derecho fundamental, establecido en el art. 8 de la Carta de derechos fundamentales de la Unión Europea.
En Europa existe una regulación general de la protección de datos, incluyendo una amplia definición de ‘dato personal’. Esta normativa incluso puede tener alcance extraterritorial.
Después de examinar ambos sistemas de regulación de la privacidad, podemos concluir que, mientras en Estados Unidos todo está permitido excepto que esté prohibido, en Europa todo está prohibido excepto que esté permitido.
Finalmente, en Canadá hay un sistema co-regulatorio y se encuentra en algún lugar entre Estados Unidos y Europa. Es uno de los países más cercano a Europa en términos de ley general de protección de datos.
Privacidad y drones
Teniendo en cuenta las numerosas normativas de privacidad que existen a nivel internacional, cuando se trata de analizar las regulaciones de privacidad que afectan a los drones, por supuesto no resulta menos complicado.
En Estados Unidos, la normativa que existe actualmente aprobada por la Federal Aviation Administration está básicamente centrada en temas de seguridad, requerimientos de registro, programas de formación y certificados de navegabilidad.
No obstante, los conceptos de “expectativa razonable de privacidad” y los límites de la “propiedad privada” son factores clave para analizar el impacto sobre la privacidad de las operaciones de aviones no tripulados.
Así que, ¿cómo podemos definir dichos conceptos clave y entender los límites y riesgos de privacidad derivados de las operaciones con drones?
Ahora mismo, disponemos de varias herramientas que podemos utilizar, como el common law, leyes estatales y federales y los protocolos voluntarios de buenas prácticas para el empleo de drones. Después de examinar diferentes casos del common law referidos al concepto de expectativa de privacidad y sobre los límites de la propiedad privada, revisamos algunos ejemplos de regulaciones estatales específicamente dirigidas a las operaciones con drones, las cuales trataban de proteger diferentes interpretaciones de lo que consideraban “expectativa razonable de privacidad”.
La misma tecnología que hace a los drones tan únicos debe desarrollarse considerando los retos de privacidad desde el diseño.
También revisamos los protocolos de mejores prácticas para proteger la privacidad, los derechos y libertades civiles en programas con aviones no tripulados aprobados por el Department of Homeland Security de Estados Unidos, así como lasmejores prácticas aprobadas el 18 Mayo 2016 por parte de diferentes agrupaciones de privacidad y miembros de la industria que participaron en el proceso de múltiples partes interesadas en relación con la privacidad, la transparencia, la rendición de cuentas y cuestiones relacionadas con la utilización comercial y privada de los drones, que se organizó por parte de la Nacional Telecommunications and Information Administration (NTIA).
Todos dichos recursos pueden ayudar a esbozar los citados conceptos clave, con la finalidad de evaluar el impacto de privacidad derivado de las operaciones con aviones no tripulados.
También mencioné que he estado trabajando con el Principio de Privacidad desde el Diseño, como una herramienta complementaria que puede ayudar a minimizar el impacto sobre la privacidad de forma efectiva. La misma tecnología que hace a los drones tan únicos debe desarrollarse considerando los retos de privacidad desde el diseño.
Finalmente, en Europa hay diferentes normativas estatales que regulan las actividades de video vigilancia o que derivan de la Directiva 95/46/EC y que resultan de aplicación a las operaciones con drones. En un par de años, la mayoría de estas normativas serán sustituidas por el Reglamento General de Protección de Datos.
No obstante, algunos tratamientos de datos personales derivados del empleo de drones podrían quedar fuera del ámbito de aplicación de estas leyes en virtud de las exenciones o derogaciones de que pueden valerse los diferentes estados miembros, por ejemplo, en relación con temas de seguridad pública, defensa, libertad de expresión e información o respecto a los aficionados. Esto significa que en determinadas situaciones, tendremos que seguir analizando las regulaciones locales.
Privacidad y el Internet de las cosas
El Internet de las cosas (IoT) se basa de conectar dispositivos a través de Internet, dejando que hablen con nosotros y entre sí. Los objetos físicos cotidianos estarán conectados a través de Internet y serán capaces de identificarse a sí mismos y a otros dispositivos. Por supuesto, los vehículos conectados (automóviles y aviones no tripulados) también serán parte del IoT.
Esta sección analiza los riesgos que pueden surgir del uso del IoT y las métricas que deberían considerarse para su evaluación.
El punto de partida que debe adoptarse, es asumir que el IoT no va a ser más seguro que cualquier otra tecnología de internet – y en algunos casos, incluso menos segura. Por esta razón, es importante tener en cuenta las diferentes medidas que pueden ayudar a minimizar los riesgos.
El riesgo es dinámico, así que será más importante en la primera generación de dispositivos del IoT. En la medida en que ganemos experiencia en el IoT, el riesgo disminuirá.
La solución: Evaluación de Impacto en materia de Privacidad (EPI)
EPI es una herramienta eficaz que podemos usar en cualquier jurisdicción a fin de identificar y minimizar los riesgos de privacidad de los diferentes proyectos que incluyan IoT, aviones no tripulados u otras tecnologías emergentes.
La envergadura de la EPI depende en gran medida de la cantidad y tipo de información utilizada en el proyecto, el objetivo que se percibe, el alcance y los interesados implicados.
La EPI normalmente incluye los siguientes pasos: describir el proyecto y el ciclo de vida de la información, identificar los riesgos de privacidad y afines – incluyendo la verificación de su cumplimiento con los estándares legales, regulatorios y de la industria -, identificar y evaluar las soluciones de privacidad y, por último, integrar dichas soluciones en el proyecto.
La privacidad es un concepto complejo, especialmente en relación con los proyectos internacionales y relacionados con las nuevas tecnologías, donde los riesgos son aún hipotéticos y la normativa es inexistente o se encuentra en el proceso de cambio. Por esta razón, la EPI es una excelente herramienta para evaluar los riesgos de privacidad de las tecnologías más nuevas, con la ventaja de que se puede utilizar en diferentes países.
