Innovación Legal
16 febrero 2015
La piedra angular del Internet de las cosas
Mucho se escribe últimamente sobre el Internet de las cosas (IoT) aunque no existe una definición ni oficial ni consensuada a nivel internacional sobre el término. Seguramente es innecesario pero, para comenzar, recordar que IoT se refiere a la conexión de cualquier tipo de objeto a Internet mediante sensores embebidos que envían y reciben datos creando un entorno de ‘computación ubicua’. Una de las razones por la que esta nueva fase de Internet es quizás la más revolucionaria de las que hemos conocido, si cabe, es el hecho de que la conexión a Internet no se produce ya a través de los terminales, teléfono o televisión inteligente, ordenador o tableta, sino que se puede producir por todos y cada uno de los objetos que nos rodean (aunque los terminales se utilicen como gestores, coordinadores de otras ‘cosas’ conectadas).
Así, esos objetos conectados pueden ir desde aquellos de nuestra esfera más privada e íntima, como pueden ser los electrodomésticos de nuestro hogar (el típico ejemplo de la nevera o la tostadora conectada, pero también la domótica de nuestro hogar en un sentido más amplio), los coches conectados, nuestra ropa (toda), medicamentos (¡e incluso implantes!), hasta los que encontramos en nuestra interacción más social, sobre todo si pensamos en las ciudades conectadas en las que los servicios se gestionarán a través de la información que suministran los sensores instalados “en todo”. No todo lo que tiene un sensor obtiene lo que se considera “dato personal” (como por ejemplo ocurre en lo que se considera el internet industrial, que gestiona datos con el fin de mejorar los procesos productivos), pero cuando lo obtiene, este puede llegar a ser muy muy personal y embebido en lo más íntimo de nuestra esfera personal. Por este motivo, accesos no autorizados a estos datos o su uso malintencionado, pueden además facilitar ataques en otros sistemas e incluso crear riesgos en la seguridad de las personas (sólo es necesario imaginar un ataque a un coche conectado o a un implante médico). La combinación de datos, su almacenamiento en la nube y la aplicación de técnicas de analítica cada vez más sofisticadas, puede facilitar la elaboración de perfiles bastante precisos sobre los individuos.
En este contexto, no es de extrañar que, tal y como analizaba mi anterior artículo publicado sobre privacidad y seguridad en IoT el pasado mes de noviembre, la privacidad y seguridad en IoT estén siendo objeto de debate por los reguladores occidentales. El regulador norteamericano, la FTC, tras iniciar acciones por primera vez contra un prestador de servicios de IoT (TrendNet), celebró unas jornadas sobre privacidad y datos en IoT en noviembre de 2013. Por su lado, la Comisión Europea apuntaba hace ya dos años en el informe que recogía el resultado de la consulta pública sobre el gobierno del IoT que, la seguridad, la privacidad y la protección de datos eran aspectos de máxima preocupación para la mayoría de los participantes, tanto los prestadores de servicios como los consumidores. El Grupo de reguladores europeos (del Artículo 29) ya publicó sus directrices en septiembre del año pasado, pero el año 2015 ha comenzado con fuerza, y dos reguladores con gran influencia a nivel mundial, FTC y el británico OFCOM, han coincidido al publicar, el mismo día 27 de enero, sus informes sobre Privacidad y seguridad en IoT.
Existe unanimidad en la identificación de la privacidad/seguridad en IoT como la principal barrera para el desarrollo a nivel masivo de esos bienes y servicios. Sin embargo, no está del todo claro si las herramientas jurídicas y regulatorias vigentes son suficientes para abordar una realidad tan novedosa y compleja como la del IoT. En Europa, parece que los instrumentos jurídicos necesarios para ello los proporcionará el tan esperado Reglamento General de Protección de Datos, todavía en fase legislativa en las instituciones de la Unión Europea, que introduce conceptos nuevos no existentes en el actual marco vigente para adaptar, en la medida de lo posible, la normativa a un mundo online y cada vez más conectado.
Existe consenso a ambos lados del Atlántico en que la privacidad/seguridad en IoT deberá necesariamente construirse desde el origen del producto que obtiene, o es susceptible de obtener, datos personales. La privacidad y seguridad por diseño constituyen la verdadera piedra angular del IoT. Es claro también que extensas y confusas políticas de privacidad dificultarán el consentimiento informado de los usuarios, y que modelos que funcionan hoy día en Internet no funcionarán en IoT. Nuevas formas de consentimiento han de encontrarse para, sobre todo, garantizar que la prestación formal del consentimiento no termina imposibilitando la prestación de un servicio solicitado. Parece lógico que se flexibilice la forma de prestar consentimiento en los supuestos en los que los datos recabados son coherentes o esperables en el contexto en el que este se recaba. De igual manera, nuevas formas de información a los usuarios han de considerarse, más intuitivas, didácticas y fáciles de implementar para los prestadores de los servicios. Como muy gráficamente dijo la presidenta de la FTC hace unos meses, deberíamos saber tanto sobre nuestras cosas como, a medida que se van haciendo más y más inteligentes, nuestras cosas saben sobre nosotros, de forma que entendamos la información que recogen y comparten sobre nosotros. Es interesante el debate que en la actualidad existe sobre la importancia de garantizar el derecho de los individuos a elegir estar desconectados de este nuevo ecosistema que se nos avecina (Bernard Benhamou lo llamó “el silencio de los chips”).
Es interesante comentar que en IoT, la propiedad (o posesión) del objeto conectado (“la cosa conectada a Internet”), no coincide muchas veces con la titularidad de los datos que recaba (el ejemplo claro son las gafas inteligentes).Tampoco aplican algunas reglas tradicionales sobre la consideración de cuándo un dato es o no personal, pues datos que aisladamente son anónimos pueden convertirse en personales tras su reutilización y agregación, algo que permite y potencia este ecosistema a una gran velocidad.
El minimalismo ha de primar a la hora de recabar datos personales; pero en un ambiente en el que se recoge una gran cantidad de datos personales, parece importante, aunque técnicamente difícil en la práctica, portar esos datos cuando el propietario de los mismos así lo solicite. Máxime cuando, tal y como propone el Grupo de Reguladores (G-29) de la UE, la portabilidad ha de extenderse a los datos “crudos”, los que están recogidos en los objetos o terminales aunque no hayan sido tratados.
Garantizar la privacidad y el cumplimiento de la normativa de protección de datos no es una obligación más de compliance. En IoT, es una prioridad para ganarse la confianza de los consumidores y conseguir el éxito de los productos y servicios que lo utilizan. Las evaluaciones de impacto son cruciales para cualquier empresa que quiera además tener éxito y limitar su responsabilidad en la compleja cadena de valor del Internet de las Cosas. Sin embargo, industria y reguladores han de trabajar conjuntamente para evitar que el compliance sea la verdadera barrera de entrada y se impongan obligaciones innecesarias o desproporcionadas a fabricantes, desarrolladores de aplicaciones, redes sociales, plataformas, etc., máxime a la luz de las sanciones que, por ejemplo en la UE, se pretenden imponer en caso de incumplimiento de las obligaciones legales. OFCOM propone que reguladores de telecomunicaciones trabajen junto con las agencias de protección de datos para encontrar el equilibrio.
Por último, la tan de actualidad preocupación sobre la seguridad no es nada desdeñable en IoT, puesto que ataques a objetivos en entornos tan íntimos como el hogar, el coche, la ropa o productos médicos, podrían desembocar en catástrofes, no sólo en lo que respecta a los datos, sino a la seguridad y salud de los propios individuos. Por este motivo, la política y normativa de ciberseguridad debería precisar de manera expresa los vínculos concretos con el IoT elevando así su nivel de protección.
Con ayuda de la industria y los reguladores, cabe esperar que, la que ahora se considera la piedra angular del IoT, no se convierta con el tiempo en su talón de Aquiles. No debemos olvidar que siendo un ecosistema global, es crucial que exista la mayor homogeneidad posible tanto en los estándares de privacidad como de seguridad a nivel internacional. Como el caso Schrems parece que se dispone a demostrar, la red es global y no pueden existir desniveles de protección en las distintas jurisdicciones.
Blanca Escribano Cañas. Socio en OLSWANG y responsable del departamento de TMT en España
@BlancaEscribano
f: blancaescribano