Innovación Legal
27 agosto 2018
Internet of Things y Protección de Datos
La identificación y personalización de los usuarios riesgos que se plantean para la privacidad en el internet de las cosas
Hoy en día, la red permite el intercambio de bienes y servicios entre todos los elementos, equipos y objetos conectados a la red. Por ello, cuando hablamos de Internet de las cosas (Internet of Things, IoT) nos referimos a la interconexión en red de todos los objetos cotidianos, que a menudo están equipados con algún tipo de inteligencia.
Los usuarios pueden tener acceso a una cantidad sin precedentes de servicios personalizados, lo que conllevará aparejado que el entorno mismo (Internet) pueda adquirir información sobre los usuarios de manera automática, pudiendo encontrarnos con perfiles invasivos e inferenciales resultado del intercambio de datos, en particular cuando múltiples dispositivos de IoT proporcionan datos que están vinculados a una sola identidad de usuario (virtual).
Existen al menos tres formas posibles de monitoreo y creación de perfiles, que ofrecen motivos para la discriminación en los sistemas de IoT:
- Recopilación de datos, que conduce a inferencias sobre la persona (por ejemplo, comportamiento de navegación en Internet);
- Creación de perfiles en general mediante la vinculación de conjuntos de datos IoT (a veces denominado “fusión de sensores”); y
- Perfil que se produce cuando los datos se comparten con terceros que combinan datos con otros conjuntos de datos (por ejemplo, empleadores, aseguradores).
Las tecnologías de identificación permiten precisamente este tipo de vinculación. Al enlazar múltiples dispositivos o equipos y los datos que producen a una única identidad de usuario, el uso de un dispositivo o servicio puede personalizarse, basándose en comportamientos y preferencias del pasado, y deducciones extraídas de estos datos.
Los riesgos de privacidad de la vinculación entre conjuntos de datos se vuelven particularmente graves cuando los sistemas de autenticación o los almacenes de identidad tienen acceso a los datos que generan los dispositivos autenticados. Aunque ofrece una mejor experiencia de usuario, el enlace y la personalización entre múltiples dispositivos y servicios de IoT presentan riesgos, para la privacidad del usuario.
Si bien algunas inferencias y perfiles extraídos de IoT pueden ser buenos, las empresas con acceso a los datos de IoT vinculados a un usuario pueden utilizar estos datos, para fines que el usuario no aceptaría si se le pregunta, creándose con ellos perfiles en base a toma de decisiones, a través de la recopilación automatizada de datos. Pensemos los datos de las aplicaciones de salud o de aparatos como Fitbit que podrían, por ejemplo, ser relevantes para empresas que podrían inferirse de los hábitos de ejercicio, comportamiento alimentario o sueño. La falta de sueño, que Fitbit rastrea, se relaciona con el bienestar: problemas de salud, bajo rendimiento cognitivo, emociones negativas como depresión, la tristeza, etc.
Aparentemente, podría hablarse de datos aparentemente no personales, creados a través de la denominada anominización. No obstante, las deficiencias de la anonimización deben ser tenidas muy en cuenta; pues, existe una preocupación especial de que, si los datos no se anonimizan, podrían ser utilizados para rastrear individuos específicos, vinculados a una determinada información utilizados para predecir el comportamiento futuro.
Pensemos que la tecnología de la información permite crear una identidad virtual, creada para un supuesto concreto de IoT, que a través de nodos y metadatos se vincula a un determinado dispositivo. Ahora bien, a través del blockchain los dispositivos de IoT pueden abrirse a la reidentificación e ingeniería inversa de identidad.
Estas preocupaciones quedan patentes en los artículos 21 y Artículo 22 RGPD. El artículo 21 introduce el derecho de oposición al procesamiento de datos, incluidos los perfiles, en cualquier momento. Si el propósito del procesamiento de datos es el marketing directo, el interesado tendrá derecho absoluto a oponerse. En todos los demás casos, el procesamiento de datos debe detenerse, a menos que el controlador de datos pueda demostrar intereses legítimos convincentes que anulen los intereses de los interesados. Por otro lado, el artículo 22 introduce salvaguardias adicionales contra la toma de decisiones automatizada, incluida la elaboración de perfiles, pero solo cuando el procesamiento de datos es únicamente automático y tiene efectos significativos legales o similares. Al mismo tiempo, lo que empieza siendo un dato no personal, al no identificar al individuo, es probable que la aplicabilidad de estos artículos sea muy limitada.
Normalmente, las partes intervienen en desigualdad de condiciones en los contratos realizados, siendo los principales riesgos de índole jurídica el desconocimiento de los puntos débiles inherentes a la tecnología que está siendo utilizada, las funciones de seguridad que faltan o son inadecuadas, así como los riesgos relacionados con los datos.
En este contexto, observemos que las tecnologías de identificación de IoT permiten vincular los perfiles de usuario, que pueden desconocer el alcance y valor potencial de ellos, así como en qué medida sus datos son accesibles a terceros fuera del contexto o propósito para el que fueron creados.
Los riesgos inciertos que acompañan a las tecnologías de identificación, junto con la necesidad conflictiva de que los usuarios realicen una elección informada al establecer permisos de acceso socavan la protección real que la administración de identidades centrada en el usuario y los controles de acceso pueden ofrecer. Comunicar esta incertidumbre a los usuarios sigue siendo un desafío pendiente para los prestadores de servicios de IoT que buscan el consentimiento informado.
Si la incertidumbre de los análisis impide que los usuarios realicen una elección informada al adoptar y usar un sistema de IoT, el consentimiento informado puede ser inviable. La capacidad de los interesados para consentir libremente se verá aún más cuestionada si no pueden comprender el alcance, debido a la complejidad de las políticas de privacidad.
En relación con la protección de la privacidad y el consentimiento informado el artículo 25 RGPD crea un deber general en torno a la privacidad por defecto y la privacidad por mecanismos de diseño, lo que podría ayudar a resolver la incertidumbre del análisis invasivo de la privacidad y, por lo tanto, ofrecer una mejor base para el consentimiento informado.
Si el usuario tiene la seguridad de que la privacidad estará protegida por defecto, el usuario puede tomar una decisión informada a medida que las posibles consecuencias de privacidad sean o no previsibles. Las medidas específicas requeridas dependerán de las circunstancias.
Antonio Merchán Murillo
Abogado y doctor en Derecho.
Profesor de Derecho Internacional Privado
Centro Universitario San Isidoro (Centro adscrito a la Universidad Pablo de Olavide)