Protección de datos y el Internet de las Cosas


¿Quién no tiene hoy en día un teléfono, reloj o televisor “inteligente”? Cuando a un objeto o dispositivo cotidiano se le añade el adjetivo de “inteligente” es porque está equipado con sensores, software y otras tecnologías que le permiten transmitir y recibir datos – hacia y desde otras cosas –. Es lo que se conoce como el Internet de las Cosas, o IoT del inglés Internet of Things.

Pero, ¿Qué es exactamente el IoT y cómo funciona? ¿Qué repercusión puede tener en nuestra vida diaria y nuestra privacidad? Vamos a verlo…

El Internet de las Cosas es definido por el Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos, como: una infraestructura en la que miles de millones de sensores incorporados a dispositivos comunes y cotidianos («objetos» como tales, u objetos vinculados a otros objetos o individuos) registran, someten a tratamiento, almacenan y transfieren datos y, al estar asociados a identificadores únicos, interactúan con otros dispositivos o sistemas haciendo uso de sus capacidades de conexión en red.” Un ejemplo de estos, como hemos visto, pueden ser juguetes, altavoces, automóviles, televisores, relojes, electrodomésticos y mucho más, y todos ellos están conectados a Internet.

Su objetivo principal es conectar y comunicar miles de dispositivos para aprovechar al máximo sus aplicaciones. El Internet de las Cosas permite hacer una gestión eficiente de la comunicación, tanto entre las máquinas como entre las personas, lo que conlleva una gran reducción de costes para las empresas. Pero…

¿Cómo funcionan?

Aunque cada dispositivo tiene funciones variadas, se puede definir con el siguiente sistema por capas:

  1. Primera capa: en esta etapa el dispositivo está diseñado para realizar 4 funciones básicas: capturar datos, procesarlos, comunicarlos e interactuar. En esta capa básicamente el objeto captura los datos personales y es posible que únicamente se cuente con esta fase, en este caso sería una excepción doméstica recogida en el RGPD, dado que, solo interviene el dispositivo y el usuario.
  2. Segunda capa: en este punto se intercambian los datos entre varios dispositivos, y a efectos de protección de datos personales se realiza la comunicación de los datos de forma bidireccional.
  3. Tercera capa: es donde se procesan y analizan los datos personales para poder ofrecer el resultado requerido. Hoy en día esta capa suele estar en una infraestructura en la nube. Esta capa ofrece servicio tanto a la persona usuaria del dispositivo IoT como a otros agentes que intervienen en el tratamiento de datos.

¿Qué actores intervienen?

En cada una de las capas anteriormente mencionadas, pueden intervenir varios sujetos; por ejemplo, desarrolladores de soluciones IoT, proveedores de servicios en la nube, plataformas de redes sociales, sector de la publicidad, etc. De su actuación se desprenderá si actúan como encargados o responsables del tratamiento, y a partir de esta clasificación se determinarán las funciones de cada uno.

¿Qué datos se tratan?

Estos dispositivos tratan datos personales variados que van desde datos básicos de contacto hasta imágenes, hábitos, datos fisiológicos, geolocalización, ritmo cardíaco, etc. El origen de estos datos se puede clasificar en cuatro grupos:

  • Datos facilitados (por el propio usuario).
  • Datos observados (captados por el propio dispositivo).
  • Datos derivados (obtenidos por el procesamiento de los datos obtenidos).
  • Datos inferidos (obtenidos por el análisis de los datos de las personas usuarias).

Los dos primeros grupos son normalmente identificados por los usuarios, pero los dos últimos suelen ser desconocidos.

¿Qué riesgos tiene?

Los riesgos de estos dispositivos se encuentran recogidos en el Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos. A continuación, mencionamos los más destacables:

  • Revelación invasiva de pautas de comportamiento y perfiles, a partir del análisis de la información recogida. Por ejemplo, los robots aspiradores pueden compartir datos de uso y el plano de una casa.
  • Una exposición excesiva y falta de control de los datos, que aumenta en los datos derivados e inferidos.
  • Falta de transparencia y dificultad para obtener un consentimiento válido.
  • El gran volumen de actores que pueden llegar a intervenir aumenta el riesgo de que la responsabilidad se diluya o no se preste igual por cada parte.
  • Los sistemas de voz pueden captar conversaciones, no solo de los usuarios, sino también de terceros, que, sin tener la intención de interactuar con el dispositivo, se encuentran allí.
  • Falta de medidas de seguridad en las capas.
  • La casi imposibilidad de permanecer en el anonimato a causa de los identificadores únicos.

En conclusión

La huella digital de las personas se amplía, de manera que el perfil que pueda construirse sea más exacto y profundo. Los tratamientos basados en IoT precisan de modelos que incorporen los requisitos normativos, estándares y mecanismos de certificación para garantizar un nivel de protección de derechos y libertades de las personas. Pudiendo ser utilizados por las personas sin amplios conocimientos con la confianza de que no se vulnerará su privacidad.

Y ya sabéis que, si necesitáis ampliar información u os surge cualquier duda al respecto, estamos a vuestra disposición.

El equipo de PymeLegal.

Fuente: AEPD