Internet de las Cosas: Responsabilidad de los objetos conectados

Por Yvonne Fernández Cañas

El término “Internet of Things” (IoT) es un concepto abstracto que está ganando terreno dentro del mundo jurídico y social, además de mucha popularidad. La idea inicial de este concepto, partiendo del nombre que se le da, hace referencia al uso de cosas cotidianas, las cuales utilizamos en nuestro día a día pero que ahora están conectadas a Internet.

Sin embargo, este concepto va mucho más allá, para entenderlo debemos saber que no es una iniciativa nueva, sino que desde hace más de 30 años se lleva trabajando en la idea de hacer más interactivos todos los objetos de uso cotidiano. Un claro ejemplo de estos avances pero que también arroja datos sobre la preexistencia de este concepto sería lo que actualmente conocemos como el hogar inteligente.

Por lo tanto, podemos entender el Internet de las Cosas como el fenómeno tecnológico e industrial por el cual objetos de uso cotidiano (como un reloj de muñeca, un coche o un teléfono móvil) se conectan a la red y entre sí para optimizar su utilidad y proporcionar nuevas utilidades. Además, los objetos conectados se valen de “sistemas embebidos”, es decir, hardware especializado que permite no sólo la conectividad a Internet, sino que además tiene la capacidad de programar eventos específicos en horarios prestablecidos en función de las tareas que le sean dictadas.

Este concepto nació en el Instituto de Tecnología de Massachusetts (MIT), se trataba de una revolución en las relaciones entre los objetos y las personas, incluso entre los propios objetos que se conectan entre ellos y con la Red, ofreciendo de esta forma datos en tiempo real.

El Internet de las Cosas presenta a día de hoy dos problemáticas significativas: por un lado, la protección de la privacidad y los datos personales, ya que los nuevos aparatos están constantemente recogiendo datos nuestros para ofrecer su servicio; y por otro lado, el problema de la inteligencia artificial (en inglés Artificial Intelligence o AI), que delega la toma de decisiones humanas en un aparato programado, como puede ser la conducción de un coche autónomo.

Inteligencia Artificial, ¿un nuevo peligro?

La creciente preocupación por la correcta atribución de la responsabilidad de los robots y objetos conectados a internet es un tema actual, real y que ya se ha manifestado por muchos individuos, sobre todo ante situaciones trágicas como el accidente del coche de conducción automática de que atropelló a una ciclista en la cuidad de Tempe, Arizona (EEUU). https://www.eluniverso.com/tendencias/2018/03/19/nota/6675184/vehiculo-autonomo-uber-atropella-mujer-arizona

En el momento en el que el Software ocupa el sitio del conductor, nos encontramos ante una situación en la que las decisiones morales se toman por cosas conectadas, es decir, no cuentan con elementos básicos como la capacidad de sentir, actuar en el mundo físico como parte de él, sino que actúan en base a la programación insertada en el objeto. En el caso del coche de de conducción autónoma, estaba programado para obviar los obstáculos, y eso fue lo que hizo, siendo la ciclista un obstáculo en el camino. Esta situación nos deja una cuestión que abordar y que está latente en los debates sobre estos temas: ¿quién debe ser el responsable de ese atropello o cualquier accidente que se pueda dar?

El Parlamento Europeo ha decidido buscar una respuesta para hacer frente a esta situación y realizar una propuesta, “la responsabilidad por riesgo”, es decir, atribuir la responsabilidad del daño causado a quien tuviera la potestad o capacidad de prevenir o mitigar el riesgo del acto y decidiera no hacerlo.

El Organismo emitió una resolución el 15 de enero de 2019, sobre la conducción autónoma en los transportes europeos, con una serie de pronunciamientos y recomendaciones, al objeto de que el Viejo Continente avance en la puesta en marcha de la «conducción autónoma».

https://www.cnae.com/ficheros/files/noticias/Eurocámara-resolución.pdf

Por otro lado, es necesario recalcar que éste no es un nuevo criterio de atribución de responsabilidad, sino que la creación del riesgo viene siendo desde siempre un criterio de imputación de responsabilidad civil; por lo que no podría decirse que nos encontremos ante una situación out-of-the-box, sino con la solución concreta que los principios perennes de nuestro derecho dan al problema nuevo.

Esta propuesta busca, de forma indirecta, obligar a las empresas a repensar y repasar el modelo de negocio actual y los costes de producción dentro y fuera de este sector, ya que las propias empresas dedicadas a la transformación digital van a tener la necesidad de integrar el análisis del riesgo digital como parte de los riesgos operativos incrementando el alcance a un nivel superior que la ya conocida ciberseguridad.

Estos cambios se deben a que ya no será suficiente con evitar los ataques externos, sino la necesidad de minimizar el riesgo de causar un perjuicio o daño desde dentro del objeto hacia fuera. Se deberá integrar la seguridad desde el diseño por defecto y que pueda abarcar todo el ciclo de vida del aparato para evitar que se quede obsoleto en este plazo de tiempo.

Privacidad e Intimidad

Con los avances del IoT y la creciente ola de aparatos de uso cotidiano conectados a internet, surge entre los diferentes debates y preocupaciones, el tema relacionado con la privacidad, intimidad o protección de datos. La mayoría de la población ha normalizado el uso de las nuevas tecnologías con acceso a internet, sin conocer en realidad lo que este intrusismo en nuestros datos personales pueda tener como consecuencia.

Los “wearables” es un nuevo término que hace referencia a los dispositivos que, en su mayoría, monitorizan nuestra actividad cotidiana con el objetivo final de ofrecer soluciones o información sobre aspectos de nuestras rutinas y nuestra vida diaria. Los dispositivos móviles como relojes, pulseras o incluso nuestros propios teléfonos móviles son lo que ahora se conocen como wearables y que nos acompañan todos los días sin excepción.

Sin embargo, al realizar esta monitorización de nuestra actividad diaria, se recaban grandes volúmenes de datos los cuales están a la mano de las empresas que crean y fabrican estos dispositivos con la finalidad de realizar un perfil completo sobre los usuarios.

Ante esta fuga de información, un equipo especializado en protección de datos de la Unión Europea, el Grupo 29, ha elaborado un Dictamen en el cual se avisa a los ciudadanos que obtengan estos dispositivos de los riesgos que supone el uso de los mismos. En este Dictamen podemos subrayar como un aspecto básico la falta de medidas de seguridad de acuerdo con los tipos de datos que se filtran en estos dispositivos, lo que puede tener como resultado una pérdida de datos e incluso la entrada de un malware o de un tercero no autorizado a tus datos personales.

http://ec.europa.eu/newsroom/article29/news-overview.cfm

El Dictamen ha constatado que los sensores de algunos wearables recogen y almacenan más datos de los que en realidad muestran a los usuarios, por esta razón, surgen las siguientes cuestiones que nos llevan al debate actual: ¿qué pasa con esos datos? Y, sobre todo, ¿qué utilidad o finalidad tienen esos datos para las empresas?

Estas preguntas no tienen fácil respuesta y por eso el debate sigue hoy en día y la creciente necesidad de reformar la normativa como ha pasado actualmente con el nuevo Reglamento General de Protección de Datos (a la espera de su reflejo en la legislación española con el Proyecto de Ley Orgánica de Protección de Datos que se está tramitando), ya que se trata de información que ofrecen datos precisos y detallados de los usuarios, y esta información tiene un gran valor para terceras empresas, ya que les permite localizar a potenciales clientes y difundir publicidad. Además, de la problemática creciente en lo referente a la cesión de datos, resulta inquietante la cantidad de usos que derivan del tratamientos de los datos obtenidos desde estos dispositivos.

Por lo tanto, como podemos ver son muchas las interrogantes que han surgido y seguirán surgiendo desde el desarrollo de estos nuevos dispositivos, y es importante que los usuarios conozcan los riesgos que implica su uso y la falta de información proporcionada por los fabricantes de los mismos. Aunque la normativa ya ha hecho un gran avance en cuanto a la protección del tratamiento de datos se refiere, requiriendo el consentimiento explícito por parte del interesado, es necesario quecontemplela necesidad de priorizar la importancia que tiene el proteger la intimidad, la privacidad y los datos de los usuarios, obligando a las empresas fabricantes a custodiar de forma correcta los datos e informando sobre su tratamiento, aplicando las medidas de seguridad necesarias y dando la libertad a los usuarios de renunciar u oponerse a determinadas acciones en cualquier momento.