Primer Dictamen sobre Internet de las cosas realizado por autoridades de Protección de Datos europeas

descargaLas Autoridades europeas de protección de datos, Grupo de Trabajo del Artículo 29,  han aprobado el primer Dictamen conjunto sobre el internet de las cosas. El documento, cuya elaboración ha sido liderada por la Agencia Española de Protección de Datos junto con la Autoridad francesa (CNIL), acoge con satisfacción las perspectivas de beneficios económicos y sociales que puede suponer esta tecnología, pero también identifica y alerta de los riesgos que estos productos y servicios emergentes pueden plantear para la privacidad de las personas, definiendo un marco de responsabilidades.

Las Autoridades subrayan las obligaciones en cuanto a protección de datos de los diversos actores que participan en la internet de las cosas y recuerdan los derechos que amparan a los ciudadanos, con ejemplos específicos en cada caso. Además, el documento ofrece un amplio conjunto de recomendaciones prácticas dirigidas a cada uno de los grupos involucrados en el desarrollo de esta tecnología. Estas recomendaciones pretenden ayudar a los responsables a cumplir con la legislación sobre protección de datos y, en consecuencia, contribuir a que esta tecnología se desarrolle en un marco positivo de respeto a los derechos fundamentales. En opinión de las Autoridades europeas de protección de datos, los proyectos que cumplan con estas expectativas obtendrán una fuerte ventaja competitiva.

El documento está dirigido a fabricantes de dispositivos, desarrolladores de aplicaciones y gestores de redes sociales, por un lado, y a usuarios que van a utilizar estos equipos conectados, por otro. Igualmente, contiene recomendaciones de utilidad en el desarrollo de estándares tecnológicos en el ámbito del internet de las cosas. Para identificar los riesgos que pueden surgir de esta tecnología si no se desarrolla desde un enfoque ético y respetuoso, el Dictamen plantea tres escenarios: la conocida como tecnología para llevar puesta (wearable computing), los dispositivos capaces de registrar información relacionada con la actividad física de las personas y la domótica.

Patrones de comportamiento y perfiles

La tecnología para llevar puesta, incluye relojes o gafas a las que se añaden sensores, cámaras o micrófonos, que registran y transfieren datos al fabricante del dispositivo, y que pueden permitir la instalación de aplicaciones de terceros. En cuanto a los objetos que registran la información sobre los hábitos y estilo de vida de sus usuarios, el Dictamen se centra en aquellos que recogen datos relacionados con la actividad física de la persona, en especial, relativos a la salud. En este sentido, el Dictamen alerta de que en principio, pese a que los dispositivos pertenecientes a esta categoría no recojan datos especialmente protegidos –un podómetro, por ejemplo- pueden acabar proporcionando a terceros información inferida acerca de la salud del individuo. Por último, el documento analiza el internet de las cosas aplicada a la domótica, con oficinas y hogares con detectores, termostatos y sensores conectados cuyos patrones de uso pueden revelar detalles de la forma de vida y los hábitos personales y familiares.

El Dictamen subraya que, a pesar de que los diferentes objetos que conforman el internet de las cosas recogen piezas aisladas de información, los datos recogidos de diferentes fuentes y analizados de otra forma o en conjunción con otros, pueden revelar aspectos específicos de hábitos, comportamientos y preferencias, configurando auténticos patrones de la vida de las personas. El Dictamen advierte de que, de hecho, si esta vigilancia potencial llegara a producirse, podría condicionar la forma en la que las personas se comportan en la vida real.

La Autoridades alertan de que el usuario puede perder el control sobre la difusión de sus datos en función de si la recogida y el tratamiento de los mismos se realiza de manera transparente o no. Al aumento de la cantidad de datos generados, hay que sumar las posibilidades que existen para combinarlos y analizarlos de forma cruzada, obtener nuevos datos sobre los originalmente solicitados y utilizarlos para usos secundarios, afines o no al tratamiento inicial. Un ejemplo destacado en el Dictamen es la información recogida por el acelerómetro y el giroscopio de unteléfono inteligente, que podría ser utilizada para deducir información con un significado muy diferente al inicial, como los hábitos de conducción del individuo.

En cuanto a la seguridad, el documento especifica que la internet de las cosas amplifica los riesgos asociados a una seguridad inadecuada en el diseño de los sistemas, no sólo por los datos recogidos y las inferencias que se pueden hacer de ellos sino por la tecnología que utilizan, que debería basarse en sistemas seguros y diseñados de acuerdo a los riesgos potenciales.

Derechos de los ciudadanos

Las Autoridades recuerdan en el Dictamen que el marco jurídico aplicable a cualquier sistema dirigido a usuarios europeos es la Directiva de Protección de Datos 95/46/CE, en combinación conla Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas, y que los beneficios de esta protección no dependen de que las organizaciones estén establecidas en territorio europeo.

Así, las entidades que participan en el ecosistema del internet de las cosas deben asegurarse de que la persona haya dado su consentimiento de manera efectiva, después de haberle proporcionado información clara y completa sobre, entre otros aspectos, qué datos se recogen, cómo se recopilan y con qué fin se van a tratar, además de cómo pueden ejercer los derechos que les asisten. Esos datos personales deben ser recogidos de manera leal y lícita, por lo que no deben ser recogidos y tratados sin que la persona sea consciente de ello. Este requisito es especialmente importante en un sector en el que los sensores son diseñados para ser tan invisibles como sea posible.

Las Autoridades insisten en que la información personal sólo puede ser recogida para unos fines determinados, explícitos y legítimos. Este principio permite a los usuarios conocer cómo y con qué fines se están utilizando sus datos y decidir en consecuencia.

Además, los datos recogidos deben limitarse a los estrictamente necesarios para la finalidad definida previamente. El Dictamen puntualiza que “los datos que son innecesarios para tal fin no deben ser recogidos y almacenados por si acaso o porque podrían ser útiles más adelante”.

Por último, los datos personales recogidos y tratados en el marco de la internet de las cosas no deben mantenerse durante un período superior al necesario para los fines para los que fueron recogidos. El documento del GT29 especifica que, por ejemplo, los datos facilitados por un usuario cuando se suscribe a un servicio se deben eliminar tan pronto como el usuario pone fin a su suscripción. Del mismo modo, la información borrada por el usuario en su cuenta no debe mantenerse y, cuando un usuario no utiliza un servicio o aplicación, el perfil debe establecerse como inactivo hasta que pasado un tiempo se eliminen esos datos, proporcionando una información clara en todos los casos.

El Dictamen íntegro en inglés, que incluye un análisis completo de los posibles riesgos incluyendo ejemplos y recomendaciones, puede consultarse aquí.

Fuente: Tecnología el Derecho – Enlace

Anuncios

Acerca de Dirección de Protección de Datos Personales
La Defensoría del Pueblo, por ley 1845, ha sido designado órgano de control del asiento, uso y difusión de las bases de datos personales del sector público de la Ciudad de Buenos Aires garantizando el derecho al honor, la intimidad y la autodeterminación informativa. Con el objeto de cumplir con las funciones asignadas, la Defensoría del Pueblo ha creado el Centro de Protección de Datos Personales. Toda persona que presuma o tenga la certeza de que sus datos figuran en alguno de los bancos de datos personales puede ejercer su derecho de información, acceso, rectificación, actualización o supresión. Estamos en Piedras 574, 5º piso, C.A.B.A., teléfono 54-11-4338-4900, int. 7451 / 7452. Mail: cpdp@defensoria.org.ar, sitio web: www.cpdp.gov.ar

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: