“INTERNET DE LAS COSAS” (IOT): ARTÍCULO DE IRENE LÓPEZ EN A.C.E.D.E.

Nuestra Socia-Directora, Irene López, ha publicado este artículo en el blog de ACEDE sobre  “INTERNET DE LAS COSAS”  y su repercusión en la privacidad de los datos.

 

Internet de las cosas (IOT – Internet of things o cosas inteligentes) lo componen aquellos objetos cotidianos que con sensores se identifican, se comunican entre ellos y se conectan en Internet, y que permiten registrar, guardar y transferir datos que normalmente hacen referencia a personas físicas identificables. Actualmente, disponemos de smartphones, tablets, ordenadores conectados en Internet, etc., pero el IOT va más allá, hablamos de electrodomésticos que pueden controlarse con el smartphone, el frigorífico que detecta los alimentos caducados, los que faltan y hace el pedido al supermercado, coches que sugieren la conducción en función del tráfico, pulseras que nos dan información de nuestras constantes vitales cuando hagamos deporte, etc.

En IOT es evidente que estamos ante un tratamiento de datos de carácter personal, dado que el usuario de estos objetos puede ser identificado con los datos que origina en el objeto, por ejemplo, podemos obtener información sobre el patrón de vida a partir de datos de iluminación, calefacción, ventilación y aire acondicionado.

Identificamos en la Internet de las cosas a Responsables del tratamiento de los datos de los usuarios y que están sujetos al cumplimiento de las obligaciones derivadas de la normativa de protección de datos personales. Estos Responsables del tratamiento son: fabricantes de dispositivos (recogen y tratan datos que generan los dispositivos que fabrican por finalidades determinadas), plataformas sociales (los usuarios de dispositivos tienden a compartir los datos con otros usuarios a través de las redes sociales, y éstas utilizan los datos para otra finalidad como, por ejemplo, mostrar anuncios relacionados), desarrolladores de aplicaciones de terceros (muchos dispositivos disponen de Apps para facilitar el desarrollo de aplicaciones que permiten acceder a datos como puede ser una aplicación de una compañía de seguros que recompensa el usuario que tiene vida saludable), plataformas de datos IOT (los fabricantes desarrollan estas plataformas donde los datos son recogidos a través de diferentes dispositivos, simplificando y centralizando su gestión).

Las Autoridades de Protección de Datos Europeos han aprobado un dictamen conjunto sobre la Internet de las cosas (GT29 – septiembre 2014) con el fin de detectar los riesgos derivados de su desarrollo y proponer recomendaciones para el cumplimiento del marco jurídico europeo. El dictamen se ha hecho en base al análisis de tres tipos de dispositivos inteligentes que están directamente interconectados con el usuario y que corresponden a servicios y dispositivos que están en uso actualmente. Estos son:

Wearable computing (tecnología llevable) que hace referencia a objetos y ropa de uso cotidiano que incluyen sensores, cámaras, micros, etc., que permiten ampliar sus funcionalidades y tratar datos, y que permiten enlazarlas con aplicaciones de terceros que también tienen acceso a estas como, por ejemplo, relojes, gafas, etc.

Autocuantificados, que son cosas que permiten grabar información sobre los propios hábitos y estilos de vida de las personas que los llevan. Por ejemplo, los rastreadores del sueño, que permiten conocer su calidad; aparatos que siguen el movimiento de las personas y que permiten conocer las calorías quemadas. Este tipo de cosas tratan datos de salud, información sensible, accesible por el usuario, el fabricante y el proveedor de servicios.

Domótica. También encontramos dispositivos inteligentes en nuestro domicilio y en el trabajo: la luz, los termostatos, lavadoras, frigorífico que pueden ser controlados desde Internet. En este contexto se plantea el análisis de los patrones de uso que trasladan información de los habitantes o de sus costumbres, incluso, su geolocalización.

Se detectan unos riesgos en la utilización de los dispositivos inteligentes:

El uso de este tipo de dispositivos y la interacción del individuo supone un tráfico de datos que puede no estar controlada por el individuo, dándose una auto-exposición excesiva. Este riesgo se produce porque los sensores del dispositivo se pueden activar automáticamente y sin que el usuario sea consciente.

En ocasiones, el usuario no conoce el tratamiento de los datos que hacen este tipo de dispositivos, pues no se le informa correctamente ni se prevén los mecanismos para obtener su consentimiento por el tratamiento de la información.

Además, los dispositivos inteligentes generan datos que el usuario utiliza para un fin concreto, pero que aplicando técnicas de análisis se pueden obtener otros datos que pueden ser utilizadas para finalidades diferentes, por ejemplo, los datos del acelerómetro de un teléfono que permite obtener información sobre la conducción de un vehículo.

El conjunto de datos que generan individualmente este tipo de dispositivos, si se ponen en común, permiten obtener información sobre hábitos, preferencias y comportamiento del individuo.

El objeto cotidiano inteligente se puede convertir en un objetivo potencial de seguridad y privacidad de la información. Los dispositivos menos seguros pueden ser atacados y obtener sus datos. Por lo tanto, no sólo los dispositivos tienen que ser seguros, también las plataformas de intercambio de datos y almacenamiento en las infraestructuras de proveedores de servicios. Vemos que la mayor parte de sensores que hay al mercado no son capaces de cifrar las comunicaciones, pues incide en un dispositivo limitado por baterías de baja potencia.

Ante estos riesgos, y en cumplimiento del marco jurídico europeo, se derivan una serie de obligaciones para los Responsables del tratamiento:

– El fabricante del dispositivo y aquellos que quieren tener acceso a los datos almacenados en el terminal o cosa, tienen que obtener el consentimiento previo del usuario.

– Los responsables del tratamiento tienen que hacer un tratamiento legítimo de los datos y bajo los principios de calidad de los datos; no se pueden tratar ni recoger sin que el usuario sea consciente de ello. El usuario tiene que saber cómo y con qué finalidad se tratan sus datos y decidir si confía en el responsable del tratamiento. Sólo se tienen que recoger los datos para la finalidad determinada explícita y legítima; no se tienen que recoger datos por si acaso…

– Los datos no se pueden mantener por un periodo superior al necesario.

– En el tratamiento de datos sensibles se tiene que requerir el consentimiento expreso del usuario.

– Los responsables tienen que informar de su identidad, de la finalidad del tratamiento, de los destinatarios de la información, de la existencia de los derechos de acceso, rectificación y cancelación y del derecho de oposición (cómo desconectar el objeto-reloj, gafas para evitar el tratamiento de datos) información que se puede facilitar a través del objeto en sí mediante un código QR o un flashmode insertado en las cosas que llevan sensor que informa del tipo de sensor, la información que captura y los efectos.

– El Responsable del tratamiento tiene que implementar las medidas técnicas adecuadas para proteger los datos y también obtener garantías en el caso de subcontratación; por lo tanto, tiene que llevar a cabo evaluaciones de seguridad en el conjunto de los sistemas, certificaciones de dispositivos y cumplimiento de estándares de seguridad. Los dispositivos que están diseñados para acceder a través de Internet no siempre están configurados por el usuario, y es por esto que se tiene que aplicar la privacidad en el diseño y establecer protecciones de privacidad desde el primer momento.

Por lo tanto, teniendo en cuenta que la evolución del número de cosas conectadas a Internet en 2008 superó el número de habitantes del planeta y que se estima que en el 2020 habrá 50.000 millones de dispositivos conectados, no se tiene que perder de vista por parte de la industria y usuarios las implicaciones en protección de datos personales de los objetos inteligentes.

Irene López

http://assessorsacede.wordpress.com/2014/10/27/la-internet-de-les-coses-i-la-privacitat/#more-334

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.