Dictamen del GT29 sobre privacidad e Internet de las Cosas (IoT)

Partes interesadas de la IoT, consideradasresponsables del tratamiento en la UE

Organismos de normalización yplataformas de datos

En particular, los usuarios deben poseer el completo control de sus datos personales en todo el ciclo de vida del producto y, cuando las organizaciones se basan en el consenso como base para la elaboración, el consentimiento debe ser plenamente informado, libre y específico. Para ayudarles a cumplir con este fin, el Grupo de Trabajo ha diseñado un amplio conjunto de recomendaciones prácticas dirigidas a las diferentes partes interesadas:

El concepto de Internet de las Cosas (IoT) se refiere a una infraestructura en la que miles de millones de sensores embebidos en dispositivos cotidianos, comunes - "objetos" en sí mismos, o los objetos en relación con otros objetos o individuos - están diseñados para registrar, procesar, almacenar y transferir datos y, ya que están asociados con identificadores únicos, interactuar con otros dispositivos o sistemas que utilizan las capacidades de red. Como la IoT se basa en el principio del tratamiento masivo de los datos recogidos a través de sensores que están diseñados para comunicarse discretamente mediante el intercambio de datos en modo transparente, está estrechamente vinculada a las nociones de computación ubicua.

"Artículo 2 directiva 95/46/CE. Definiciones. A efectos de la presente Directiva, se entenderá por: a) "datos personales": toda información sobre una persona física identificada o identificable (el "interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social; (...)".

Estas diferentes partes interesadas pueden participar por varias razones:

En consecuencia, el GT29 ha decidido centrarse esencialmente en el presente dictamen en tres desarrollos específicos de la IoT:

3.2 Quantified Self(Auto-cuantificadores)

Objetos auto-cuantificadores están diseñados para ser llevados regularmente por personas que quieren registrar información sobre sus propios hábitos y estilos de vida. Por ejemplo, una persona puede querer usar un rastreador de sueño cada noche para obtener una amplia visión de los patrones de sueño. Otros dispositivos se centran en los movimientos de seguimiento, tales como contadores de actividad que miden continuamente y reportan indicadores cuantitativos relacionados con la actividad física del individuo, como calorías quemadas o distancias recorridas, entre otros.

Algunos objetos miden además el peso, pulso y otros indicadores de salud.

Mediante la observación de las tendencias y cambios en el comportamiento a través del tiempo, los datos recogidos pueden ser analizados para inferir información relacionada con la salud cualitativa incluyendo evaluaciones sobre la calidad y los efectos de la actividad física sobre la base de umbrales predefinidos y la probable presencia de síntomas de enfermedades, hasta cierto punto.

Dispositivos wearables, tales como relojes inteligentes, pueden no ser perceptibles: la mayoría de los observadores no podrían distinguir un reloj normal de uno conectado, cuando éste puede incrustar cámaras, micrófonos y sensores de movimiento que pueden grabar y transferir datos sin los individuos ser conscientes, y aún menos consentir, a dicho tratamiento. Esto plantea la cuestión de la identificación de procesamiento de datos a través del Wearable Computing, que podría resolverse previendo señalización adecuada que fuera realmente visible a los titulares de los datos.

El pleno desarrollo de las capacidades de la IoT puede poner tensión en las posibilidades actuales de uso anónimo de los servicios y, en general limitar la posibilidad de permanecer inadvertido.

Por ejemplo, los objetos usables en las proximidades de los interesados, a resultas de disponer de una gama de identificadores, como las direcciones MAC de los dispositivos, podrían ser útiles para generar datos de seguimiento de localización del interesado a partir de sus huellas digitales. El recabado de múltiples direcciones MAC procedentes de múltiples sensores de dispositivos, ayudará a crear huellas digitales únicas e identificadores más estables, que las partes interesadas de la IoT podrán atribuir a individuos específicos. Estas huellas digitales identificadoras pueden ser utilizadas para una variedad de propósitos, incluyendo el análisis de la ubicación o el análisis de los patrones de movimiento de las multitudes y las personas.

Por ejemplo, la mayoría de los sensores presentes actualmente en el mercado no son capaces de establecer un vínculo cifrado de las comunicaciones ya que las necesidades adicionales de computación tendrá gran impacto en un dispositivo limitado per se por unas baterías de baja potencia. Con respecto a la seguridad extremo a extremo, el resultado de la integración de los componentes físicos y lógicos proporcionados por un conjunto de diferentes actores sólo garantiza el nivel de seguridad que ofrece el componente más débil.

5.3 Partes interesadas de la IoT, consideradas responsables del tratamiento en la UE

El concepto de tratamiento de datos y su interacción con el concepto de responsable del tratamiento son fundamentales en la aplicación de la Directiva 95/46/CE, ya que condicionan las responsabilidades respectivas de las distintas organizaciones que participan en la implementación de un proceso de datos con respecto a las normas de protección de la UE.

Los fabricantes de dispositivos en la IoT hacen más que únicamente vender artículos físicos a sus clientes o productos de marca blanca a otras organizaciones. También pueden haber desarrollado o modificado el sistema operativo del "objeto" o un programa que garantice su funcionalidad en general, incluidos los datos y la frecuencia de recogida, el cuándo y a quién se transmiten los datos, y con qué efectos (por ejemplo, las empresas podrían fijar el precio del seguro de sus empleados basándose en los datos reportados por dispositivos wearables seguidores de lo que hacen).

Ejemplo: Una compañía de seguros lanza un nuevo desafío y ofrece un contador de pasos a los abonados que deseen solicitar cuotas más bajas. Los suscriptores que acepten la oferta recibirán un contador de pasos configurado y registrado por la compañía. Mientras que los suscriptores pueden acceder a los datos registrados por su contador de pasos, los propios dispositivos son propiedad de "FeelGood", que también tiene acceso a los datos de sus suscriptores. En ese contexto, los suscriptores deben ser considerados como interesados titulares de los datos y tener acceso a su cuenta en la aplicación de conteo de pasos, mientras que la compañía de seguros se califica como unresponsable del tratamiento.

Debido a la falta de estandarización e interoperabilidad, la " Internet de los Objetos" es a veces vista como una "Intranet de los objetos" en la que cada fabricante ha definido su propio conjunto de interfaces y formatos de datos. Los datos se encuentran alojado entonces en entornos de paredes, lo que impide de manera efectiva a los usuarios la transferencia (ni siquiera combinando) sus datos de un dispositivo a otro.

Ejemplo: Un podómetro registra el número de pasos dados por su usuario y almacena esta información en su memoria interna. El usuario instala una aplicación en su ordenador para descargar directamente el número de pasos de su dispositivo. Si el fabricante del dispositivo quiere cargar los datos de los podómetros en sus servidores, tiene que obtener el consentimiento del usuario en virtud del artículo 5 (3) de la Directiva 2002/58/CE.

Ejemplo: un servicio de alquiler de coches instala un dispositivo inteligente de seguimiento de vehículos en sus coches de alquiler. Aunque el servicio de alquiler de coches considerará al propietario/suscriptor del servicio de dispositivo/seguimiento, el individuo que alquile el coche se califica como usuario del dispositivo. El artículo 5 (3), exige al fabricante del dispositivo (al menos) obtener el consentimiento delusuario del dispositivo, en este caso el individuo que alquila el coche. Por otra parte, la legitimidad del tratamiento de datos personales relativos a las personas que alquilan coches será sometido a los distintos requerimientos del artículo 7 de la Directiva 95/46/CE.

Las partes interesadas en la IoT calificadas como responsables del tratamiento (ver sección 6.3) tienen que cumplir uno de los requisitos, enumerados en el artículo 7 de la presente Directiva para el tratamiento de los datos personales, para que éste sea legítimo. Estos requisitos se aplican a algunos de estos grupos de interés en la parte superior de la aplicación del artículo 5 (3), cuando el tratamiento que está en juego va más allá del almacenamiento de, o el acceso a, la información almacenada en los equipos terminales del usuario/abonado.

En la práctica, tres fundamentos jurídicos son relevantes en este contexto:

• en el que se debe confiar especialmente en el marco de la IoT es El primer fundamento jurídico el principio de Consentimiento (Artículo 7 (a)), ya sea cumplido por los fabricantes de dispositivos, plataformas sociales o de datos, arrendadores de dispositivos o terceros desarrolladores. En varias ocasiones, el Grupo de Trabajo también ha publicado orientaciones sobre la aplicación simultánea de los requisitos del artículo 7 (a) y el artículo 5 (3) de la Directiva 2002/58/CE. Las condiciones para que tal consentimiento sea válido bajo la legislación comunitaria también se han especificado en un anterior opinión del Grupo de Trabajo.

• corresponde al artículo 7 (b). Dispone que el procesamiento es legítima cuando es necesario para el cumplimiento de un contrato en el que el interesado sea parte. El alcance de este fundamento jurídico está limitada por el criterio de "necesidad", que requiere una relación directa y objetiva entre el propio tratamiento y el propósito de la relación contractual que espera el interesado El segundo fundamento jurídico titular de los datos.

• El tercer fundamento jurídico se corresponde con el artículo 7 (f). Permite el tratamiento de datos personales cuando éste es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, excepto cuando ante dichos intereses prevalezcan los intereses o los derechos fundamentales y las libertades de las personas afectadas - en especial su derecho a la privacidad con respecto al tratamiento de datos personales - que requieren la protección del artículo 1 (1) de la Directiva.

Los datos personales deben ser recogidos y tratados de manera leal y lícita. principio de equidad requiere específicamente que los datos personales no deben ser recogidos y procesados sin que el individuo realmente sea consciente de ello. Este requisito es tanto más importante en relación con la IoT al estar los sensores realmente diseñado para no ser invasivos, es decir, tan invisibles como sea posible.

El cumplimiento de esta disposición va más allá de un requisito legal estricto: El recabado justo pertenece a las expectativas más importantes de los usuarios en relación con la IoT, en particular en cuanto a Wearable Computing.

El principio de limitación de la finalidad implica que los datos sólo pueden ser recogidos con fines determinados, explícitos y legítimos. Cualquier otro tratamiento que fuera incompatible con estos propósitos originales sería ilegal en virtud de la legislación comunitaria.

Este principio tiene por objeto permitir a los usuarios saber cómo y con qué fines se están utilizando sus datos y decidir si se debe confiar a un responsable del tratamiento los datos. Estos efectos se deben definir antes de que el tratamiento de datos se lleve a cabo, lo que excluye los cambios bruscos de las condiciones fundamentales de la contratación. Esto implica que las partes interesadas de la IoT deben tener una buena visión general de su modelo de negocio antes de comenzar la recolección de los datos personales.

Además, los datos recogidos sobre el titular de los datos deben ser los estrictamente necesarios para la finalidad específica determinada previamente por el responsable del tratamiento (el principio de "minimización de los datos").

Ejemplo: X Company ha desarrollado una aplicación que, mediante el análisis de los datos en bruto de las señales de electrocardiogramas generados por sensores comerciales comúnmente disponibles para los consumidores, es capaz de detectar patrones de adicción a las drogas. El motor de la aplicación puede extraer características específicas de electrocardiogramas (ECG) en bruto que, según los resultados de investigaciones anteriores, están vinculados con el consumo de drogas. El producto, compatible con la mayoría de los sensores en el mercado, se podría utilizar como una aplicación independiente o a través de una interfaz web que requiere la carga de los datos. El consentimiento expreso del usuario debe ser recogido para tratar los datos para ese propósito. El cumplimiento de este requisito del consentimiento puede ser satisfecho en las mismas condiciones y en el momento que cuando el consentimiento se recoge del interesado con arreglo al artículo 7 (a).

Esta información adicional se debe proporcionar de manera clara y comprensible, de conformidad con el principio de tratamiento leal. Por ejemplo, el fabricante del dispositivo puede imprimir en los objetos equipados con sensores un código QR, o una flashcode que describe el tipo de sensores y la información que captura, así como los efectos de estas recolecciones de datos.

El artículo 17 de la Directiva de Protección de Datos establece que el responsable del tratamiento debe "aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales" y que "el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas".

Si los fallos de seguridad que resultan en violaciones del principio de seguridad son el resultado de un diseño inadecuado o falta de mantenimiento de los dispositivos utilizados, se compromete la responsabilidad del responsable del tratamiento. En ese sentido, es necesario que estos responsables del tratamiento lleven a cabo evaluaciones de seguridad de los sistemas como un todo, incluso a nivel de componentes, aplicando los principios de seguridad componible.

Las partes interesadas de la IoT deben respetar los derechos de los interesados, de conformidad con las disposiciones establecidas en los artículos 12 y 14 de la Directiva 95/46/CE y adoptar las medidas organizativas en consecuencia. Estos derechos no se limitan a los suscriptores de los servicios de la IoT o propietarios de dispositivos, concerniendo a cualquier persona cuyos datos personales sean tratados.

Además, hoy en día, los usuarios finales están raramente en condiciones de tener acceso a los datos en bruto que están registrados por los dispositivos IoT. Claramente, los titulares muestran un interés más inmediato en los datos interpretados que en los datos en bruto que pueden no tener sentido para ellos. Sin embargo, el acceso a estos datos puede resultar útil para los usuarios finales para entender lo que el fabricante del dispositivo puede inferir acerca de ellos.

Tales pasos serían aún más relevantes de tomar, como el llamado " derecho de portabilidad", que es probable que se consagrare como una variación del derecho de acceso en el proyecto de Reglamento General de Protección de Datos (RGPD/UE), y tiene como objetivo poner un claro final a las situaciones "lock-in" de usuarios. La ambición del legislador europeo en este punto consiste en desbloquear los obstáculos de competencia y ayudar a los nuevos jugadores para innovar en este mercado.

Esquemas de retirada deben ser de grano fino y deben cubrir:

8.1 Recomendaciones comunes a todas las partes interesadas

• Deben realizarse Evaluaciones de Impacto en la Privacidad (PIA) antes de que las nuevas aplicaciones se inicien en la IoT. La metodología a seguir para tales PIA se puede basar en la privacidad y el Marco de Evaluación de Impacto de Protección de Datos que el G29 ha adoptado el 12 de enero de 2011 para aplicaciones RFID. Cuando proceda y sea factible, las partes interesadas deberían considerar la posibilidad de poner el PIA correspondiente a disposición del público en general. Marcos específicos de PIA podrían ser desarrollados para determinados ecosistemas IoT (por ejemplo, ciudades inteligentes
• Muchas partes interesadas de la IoT sólo necesitan datos agregados y no tienen necesidad de los datos en bruto recogidos por los dispositivos IoT. Las partes interesadas deben borrar los datos en bruto en cuanto hayan extraído los datos necesarios para su procesamiento de datos. Como principio, la eliminación debe tener lugar en el punto de recogida de datos de los datos en bruto más cercano (por ejemplo, en el mismo dispositivo después del procesamiento).
• Cada parte interesada en la IoT debe aplicar los principios de privacidad desde el diseño (PbD) y la privacidad por defecto.
• La capacitación del usuario es esencial en el contexto de la IoT. Los interesados y los usuarios deben ser capaces de ejercer sus derechos y, en consecuencia, tener "en control" de los propios datos en cualquier momento de acuerdo con el principio de auto determinación de los datos (habeas data).
• Los métodos de mostrar la información, otorgando el derecho a rechazar o solicitar el consentimiento debe ser tan fácil de usar como sea posible. En particular, las políticas de información y consentimiento deben centrarse en proveer información que sea comprensible para el usuario y no debe limitarse a una política de privacidad general ubicada en la página web de los responsables.

8.2 OS y fabricantes de dispositivos

• Los fabricantes de dispositivos deberán informar a los usuarios sobre el tipo de datos que son recogidos por los sensores y tratados posteriormente, los tipos de datos que reciben y cómo van a ser procesados y combinados.
• Los fabricantes de dispositivos deben ser capaces de comunicar a todos los demás actores involucrados en cuanto un interesado retira su consentimiento o se opone al tratamiento de datos.
• Los fabricantes de dispositivos deben proporcionar opciones granulares en la concesión de acceso a las aplicaciones. La granularidad debe aplicarse no sólo al tipo de los datos recogidos, sino también el tiempo y la frecuencia en la que se capturan los datos. De manera similar a la característica de "no molestar" en los teléfonos inteligentes, los dispositivos IoT deberían ofrecer una opción de "no recogen" para programar o desactivar rápidamente sensores.
• Para evitar el seguimiento de localización, los fabricantes de dispositivos deben limitar la huella dactilar del dispositivo mediante la desactivación de las interfaces inalámbricas cuando no se utilicen o deban utilizar identificadores aleatorios (como direcciones MAC aleatorias para escanear redes wifi) para evitar un identificador persistente de sea utilizado para el seguimiento de la ubicación.
• Para cumplir con la transparencia y el control del usuario, los fabricantes de dispositivos deben proporcionar herramientas para leer localmente, editar y modificar los datos antes de ser transferidos a cualquier responsable del tratamiento. Además, los datos personales tratados por un dispositivo deben ser almacenados en un formato que permita la portabilidad.
• A los usuarios les corresponde el derecho de acceso a sus datos personales. Deben contar con herramientas que les permitan exportar fácilmente sus datos en un formato estructurado y de uso común. Por lo tanto, los fabricantes de dispositivos deben proporcionar una interfaz fácil de usar para los usuarios que quieren obtener tanto los datos agregados y/o los datos en bruto que todavía almacene.
• Los fabricantes de dispositivos deben proporcionar herramientas sencillas para notificar a los usuarios y para actualizar los dispositivos cuando se descubren vulnerabilidades de seguridad. Cuando un dispositivo se vuelve obsoleto y ya no se actualiza, el fabricante del dispositivo debe notificar al usuario y asegúrese de que es consciente de la situación. Todas las partes interesadas que puedan verse afectadas por la vulnerabilidad también deben ser informadas.
• Los fabricantes de dispositivos deben seguir un proceso de seguridad por diseño y dedicar algunos componentes a las primitivas criptográficas clave.
• Los fabricantes de dispositivos deben limitar tanto como sea posible la cantidad de datos almacenados en los dispositivos mediante la transformación de los datos en bruto en los datos agregados directamente en el dispositivo. Los datos agregados deben estar en un formato estandarizado.
• A diferencia de los teléfonos inteligentes, los dispositivos de IoT pueden ser compartidos por varios titulares de los datos o incluso alquilar (por ejemplo, hogares inteligentes). Un parámetro de ajuste debe ser capaz de distinguir entre diferentes personas que utilizan el mismo dispositivo de modo que no puedan aprender acerca de "las actividades del otro".
• Los fabricantes de dispositivos deben trabajar con los organismos de normalización y las plataformas de información para apoyar un protocolo común para expresar sus preferencias con respecto a la recogida y tratamiento de datos por los responsables del tratamiento, especialmente cuando tales datos son recogidos por dispositivos discretos.

8.3 Los desarrolladores de aplicaciones

• Los avisos o advertencias deben ser diseñados para recordar a los usuarios frecuentemente que los sensores están recopilando datos. Cuando el desarrollador de la aplicación no tiene un acceso directo al dispositivo, la aplicación debe enviar periódicamente una notificación al usuario para hacerle saber que sigue grabando datos.
• Las solicitudes deben facilitar el ejercicio de los derechos de los interesados de acceso, rectificación y cancelación de sus datos personales recogidos por los dispositivos IoT.
• Los desarrolladores de aplicaciones deben proporcionar las herramientas para que los titulares de los datos pueden exportar tanto datos en crudo, como los datos agregados, en un formato estándar y utilizable.
• Los desarrolladores deben prestar especial atención a los tipos de datos que están siendo procesados y de la posibilidad de deducir datos personales sensibles de ellos.

8.4 Las plataformas sociales

La configuración predeterminada de aplicaciones sociales basadas en dispositivos de IoT deben preguntar a los usuarios, revisar, editar y decidir sobre la información generada por su dispositivo antes de su publicación en las plataformas sociales.

8.5 dueños de dispositivos IoT y usuarios adicionales

• El consentimiento para el uso de un dispositivo conectado y al tratamiento de datos resultante debe ser informado y dado libremente. Los usuarios no deben ser penalizados económicamente o ver degradado el acceso a las capacidades de sus dispositivos si deciden no utilizar un dispositivo o un servicio específico.
• El interesado cuyos datos se están procesando en el contexto de una relación contractual con el usuario de un dispositivo conectado (es decir, del hotel, de seguros de salud o inquilino del coche) debe estar en condiciones de administrar el dispositivo. Con independencia de la existencia de cualquier relación contractual, cualquier no-usuario debe tener la capacidad de ejercer sus derechos de acceso y oposición.

8.6 Organismos de normalización y plataformas de datos

• Los organismos de normalización y las plataformas de datos deben promover formatos de datos claros y fáciles de entender, portables e interoperables, facilitando así tanto las transferencias de datos entre las diferentes partes interesadas, como el ayudar a que los interesados entiendan lo que realmente se está recopilando sobre ellos por los dispositivos IoT.
• Los organismos de normalización y las plataformas de datos no deben centrarse únicamente en el formato de datos en bruto, sino también en la aparición de formatos para los datos agregados.
• Los organismos de normalización y las plataformas de datos deben promover los formatos de datos que contengan el menor número de identificadores fuertes como sea posible, con el fin de facilitar la anonimización adecuada de los datos de la IoT.
• Los organismos de normalización deberían trabajar en estándares certificados en que figuren la línea de base de las garantías de seguridad y privacidad para los interesados.

- [1] ARTICLE 29 DATA PROTECTION WORKING PARTY. "Opinion 8/2014 on the on Recent Developments on the Internet of Things". Adopted on 16 September 2014. 14/EN WP 223.

Dictamen 8/2014

- [2] GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS . "Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes". Adoptado el 27 de febrero de 2013. 00461/13/ES WP 202.

Dictamen 02/2013

- NOTA del editor: Puede consultarse en este mismo blog un artículo relacionado bajo el título "La IoT (Internet de las cosas) y sus implicaciones éticas, legales y de seguridad" que escribí junto al Dr. en Derecho Luis Felipe López Álvarez.

La IoT y sus implicaciones éticas, legales y de seguridad

Reuse is authorised, provided the source is acknowledged. The reuse policy of the European Commission is implemented by a Decision of 12 December 2011

The general principle of reuse can be subject to conditions which may be specified in individual copyright notices. Therefore users are advised to refer to the copyright notices of the individual websites maintained under Europa and of the individual documents. Reuse is not applicable to documents subject to intellectual property rights of third parties.