TYTL

El Internet de los Cuerpos y la Protección de los Datos Personales

Guillermo decidió insertarse el chip creado por MindConnect Inc.,una tecnología revolucionaria que le brindaba habilidades cognitivas mejoradas y una conexión constante a la red. Guillermo se olvidó de actualizar su chip y un grupo de hackers maliciosos descubrieron una vulnerabilidad en el sistema por lo que decidieron hackear el chip que se encontraba en su cerebro. Los hackers podían saber a tiempo real datos sobre la estructura cerebral y la actividad neuronal de Guillermo. Incluso podían saber qué es lo que pensaba, cómo reaccionaba frente a ciertos estímulos, qué le gustaba, a qué le temía, qué necesitaba, a quiénes quería, a quiénes odiaba. Los hackers, al tener esa información, enviaron un correo electrónico a Guillermo señalando que tenía 24 horas para transferirles 20 bitcoins, de lo contrario expondría toda la información a sus contactos. Guillermo, al recibir este correo, entró en pánico y con un taladro decidió retirarse el chip; sin embargo, al no hacerlo de forma adecuada terminó con una infección en el cerebro que terminó poniéndolo en coma.

Si bien esta historia es ficticia, vivimos en un mundo que evoluciona a pasos acelerados. Hace unos días, Neuralink, compañía de Elon Musk, ha recibido la aprobación de la FDA para llevar a cabo un ensayo clínico que implicará la implantación de los chips en un pequeño grupo de personas con parálisis severa. No cabe duda de que estamos transicionando del internet de las cosas al internet de los cuerpos. ¿Qué significan estos conceptos?

El Internet of Things (IoT) o Internet de las Cosas (IoC) es un término que nace en el año 1999 pero que en los últimos años ha tomado bastante fuerza. Cada vez es más frecuente que las personas adquieran televisores inteligentes, relojes inteligentes e inclusive electrodomésticos inteligentes. La idea básica que intenta representar este concepto queda bastante bien ilustrada por su nombre, cosas cotidianas que se conectan al Internet. En ese sentido, el IoC potencia objetos que antiguamente se conectaban mediante circuito cerrado, como comunicadores, cámaras, sensores, y demás, y les permite comunicarse globalmente mediante el uso de internet (1).

El IoC permite a los objetos compartir información con otros objetos/miembros en la red. Se trata, entonces, de una red que interconecta objetos físicos valiéndose del Internet. Los objetos se valen de un hardware especializado que le permite no solo la conectividad al Internet, sino que además programa eventos específicos en función de las tareas que le sean dictadas remotamente. Es decir, el IoC permite que objetos compartan información ya sea de ellos mismos o acerca de personas a través de una red. Estos intercambian información para facilitar o crear diversas acciones. Para que algo así pueda ocurrir hay tres factores que necesitan ser combinados permitiendo que una aplicación funcione dentro del concepto del IoC. Estos factores son:

 

  • Dispositivos: Son todas aquellas cosas como refrigeradores, carros, relojes, cafeteras, televisión y otros. En estos dispositivos es importante que sean equipados con los ítems correctos para proporcionar la comunicación con los demás elementos. Esos ítems pueden ser chips, conexión con internet, sensores, antenas entre otros.

 

  • La Red: Es el medio de comunicación y ya estamos acostumbrados a ella. Son tecnologías como Wi-Fi, Bluetooth y datos móviles.

 

  • El sistema de control: es necesario para que todos los datos capturados de los dispositivos a través de la red sean procesados y enviados a un sistema que controla cada aspecto y hace nuevas conexiones.

 

La aparición de cada vez más dispositivos conectados que podemos usar para controlar aspectos relativos al bienestar y la salud llevándolos con nosotros, ha dado lugar al concepto de Internet de los Cuerpos (Internet of Bodies, IoB) o cuerpo conectado. El uso de estos dispositivos para monitorizar distintos parámetros de nuestro cuerpo tiene como resultado el tratamiento de datos biométricos y de salud con indudables ventajas, pero también implica riesgos para la privacidad y, en determinadas circunstancias, pueden llegar a comprometer la integridad física de la persona usuaria (2).

Se puede definir al IoB como el uso de dispositivos conectados a Internet que monitorizan y/o actúan sobre todas o algunas de nuestras constantes vitales y otros datos biométricos, así como otros indicadores de salud como actividad física, calidad del sueño, actividad deportiva o sedentarismo. Todo esto son datos personales que van a ser analizados, explotados, almacenados, y en definitiva procesados de muy diversas formas, por diferentes personas responsables y encargadas del tratamiento (3). En otras palabras, el IoB son aquellos dispositivos que se encuentran en el cuerpo de una persona y pueden conectarse a internet.

Al respecto, la Agencia Española de Protección de Datos Personales señala que existen tres generaciones de IoB, en función al grado de acoplamiento al cuerpo:

 

  • Primera generación: Dispositivos externos al cuerpo. Las personas portan de forma continua accesorios que pueden enviar multitud de datos personales a diferentes entidades a través de Internet. Algunos ejemplos de esta generación son las pulseras de monitorización de actividad física o smartwatches con funcionalidades similares. También pertenecen a esta generación otro tipo de dispositivos, como las diademas con sensores de electroencefalograma (EEG) para interpretar la actividad cerebral y detectar diversas situaciones como nivel de atención, concentración, descanso, estrés, etc. Esta primera generación es una realidad desde hace años. Esta primera generación recaba distintos tipos de datos personales. A modo de ejemplo, Jane Slater una reportera de la NFL descubrió que su novio le era infiel pues observó en el Apple Watch de su novio que los niveles de actividad física subieron repentinamente en la madrugada cuando no se encontraba en casa. También, debido a la pulsera Fitbit se reveló la ubicación de las bases secretas del Ejército de Estados Unidos.

 

  • Segunda generación: Dispositivos internos al cuerpo. A esta generación pertenecen los dispositivos que se encuentran dentro del cuerpo de la persona, incluidos aquellos que puedan ser implantados. Destacan los dispositivos con finalidad médica (Medical IoT o MIoT): los marcapasos, los implantes cocleares o en un futuro órganos desarrollados mediante impresión 3D (como la bioimpresión de páncreas que permitirá regular el uso de la insulina para personas con algunos tipos de diabetes). También formarían parte de esta generación las ‘píldoras digitales’ (ingeribles) que, tras ser ingeridas pueden transmitir datos desde el interior del sistema digestivo de la persona mediante sensores. Relacionado con esta generación, destaca la existencia de comunidades de biohackers, que buscan modificar y alterar su cuerpo mediante la implantación de distintos tipos de componentes tecnológicos con el objetivo de mejorar las capacidades humanas. Si bien el uso médico de dispositivos implantables no es novedoso, sí lo es su conexión a Internet, que se ha visto especialmente impulsada en el marco de la pandemia de la Covid-19, al pretender sustituir a la recogida de datos clínicos por un especialista. A modo de ejemplo, Sergio “el Kun” Agüero tiene un chip en el corazón que le informa a su doctor cada vez que tiene una actividad inusual.

 

  • Tercera generación: Dispositivos fusionados con cuerpo, como Neuralink. Esta generación, aún en fase de desarrollo, busca la fusión entre el cuerpo humano y la tecnología para lograr una interfaz de comunicación que permita interpretar y actuar sobre los propios elementos biológicos. Un ejemplo es la mejora cerebral, que puede ayudar a personas con problemas neurodegenerativos como Alzheimer o Parkinson. Este tipo de generación está relacionada con la interfaz-cerebro computadora o ‘Brain Computer Interface’ (BCI), que es una tecnología aplicada al entrenamiento cognitivo para prevenir los efectos del envejecimiento en el que las ondas cerebrales son interpretadas por una máquina.

Cabe recordar que el derecho fundamental a la protección de datos personales busca evitar que cualquier dato obtenido del análisis y medición de la actividad de nuestros cuerpos sea utilizado sin nuestro consentimiento o cualquier otra base legal que legitime el tratamiento de datos personales. Resulta esencial que se garantice la confidencialidad e integridad de los datos personales que se recaben y que dichos datos personales sean utilizados conforme a las finalidades que fueron previstas al momento de su recopilación. El objetivo de aplicar la legislación de datos personales a estos nuevos desarrollos tecnológicos es impedir que la información disponible sobre el cuerpo humano pueda ser utilizada con fines ilícitos que perjudiquen los derechos fundamentales del titular de datos personales.

Ante estos avances tecnológicos, ¿cómo proteger realmente los datos personales de los titulares? ¿Cuáles son los riesgos? En mi opinión, el tratamiento de datos personales a través del IoB es sumamente invasivo y potencialmente puede afectar todos los principios establecidos en la Ley de Protección de Datos Personales:

 

  • Principio de Legalidad: Un tratamiento de estos datos sensibles puede conllevar a la afectación de los derechos fundamentales de los titulares. Por ejemplo, un ciberataque a un marcapaso conectado a internet podría afectar el derecho fundamental a la salud; acceder a los datos del cerebro mediante un chip podría afectar el derecho fundamental a la libertad de pensamiento o a la intimidad.

 

  • Principio de Consentimiento: El consentimiento debe ser informado, lo que implica que el individuo debe tener un conocimiento claro y completo sobre cómo se utilizarán sus datos personales. En el caso de un chip cerebral, sería crucial proporcionar información detallada sobre qué datos se recopilan, con qué propósito, quién tiene acceso a ellos y cómo se protegen. Por otro lado, bastará con una simple política de privacidad o se debería requerir una acción adicional para que el titular de datos personales realmente tome conocimiento de lo que implica tener un dispositivo en su cuerpo en relación al tratamiento de sus datos personales.

 

  • Principio de Finalidad: Si por cuestiones de salud una persona se implanta un dispositivo dentro de su cuerpo, cómo podríamos garantizar que los responsables de tratamiento no destinen esta información tan sensible a terceros. Vulnerar este principio con información tan íntima puede conllevar a la afectación de los derechos y libertades de sus titulares. A modo de ejemplo, es posible llegar a escenarios en los que se produzca el acceso a los datos recogidos por dichos dispositivos por terceros con distintas finalidades, como ejemplo, en el caso de empresas aseguradoras a la hora de contratar pólizas, contrataciones o controles fronterizos, lo que podría a su vez suponer una discriminación hacia las personas que no tienen los hábitos que a juicio de los dispositivos son saludables, o hacia quienes se nieguen a dar acceso o a utilizarlos.

 

  • Principio de Proporcionalidad: La conectividad a través de Internet incorpora la generación de metadatos, incluso datos de geolocalización, que podría derivar en el perfilado de las personas, obtención de datos sobre reacciones emocionales, capacidades cognitivas, salud mental, preferencias, gustos de todo tipo, consumo, o en el filtrado de esta información a terceros.

 

  • Principio de Seguridad: Un ataque dirigido a este tipo de dispositivos puede representar un serio peligro para la salud y la vida de las personas. En tal situación, una brecha de seguridad tiene un impacto directo en la vida del individuo. Por ejemplo, en 2017, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA, por sus siglas en inglés) emitió una advertencia a los pacientes que utilizaban un marcapasos específico, instándoles a acudir urgentemente a su médico para actualizar el firmware. Se había identificado una vulnerabilidad que podría permitir que un atacante comprometiera el marcapasos y causara daños físicos a los pacientes.

 

A medida que avanza la tecnología, también es esencial que las regulaciones y normativas evolucionen para abordar los desafíos emergentes. Los marcos legales y éticos deben ser actualizados y adaptados para proteger los derechos individuales, equilibrando el potencial beneficio de estas tecnologías con la necesidad de salvaguardar la privacidad y la autonomía de las personas. La ética y la responsabilidad deben estar en el centro de todas las decisiones y acciones, garantizando que las personas sean informadas, empoderadas y respetadas en cada etapa del proceso. Solo así podremos aprovechar plenamente el potencial de estos avances sin comprometer la privacidad y la dignidad humana.

 

[1] MORALES CÁCERES, Alejandro. Internet de las Cosas y Protección de Datos Personales. Recuperado de: https://www.enfoquederecho.com/2020/03/20/internet-de-las-cosas-y-proteccion-de-datos-personales/

[2]     Agencia Española de Protección de Datos Personales.  IoT (ii): Del Internet de las cosas al Internet de los Cuerpos. Recuperado de: https://www.aepd.es/es/prensa-y-comunicacion/blog/iot-ii-del-iot-al-iob

[3]     Ibídem.

Imagen extraída: https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.aratek.co%2Fnews%2Fthe-internet-of-bodies-biometrics-powering-future-healthcare&psig=AOvVaw29f_lMbC0IF5mDV1RJ1NUu&ust=1686932557898000&source=images&cd=vfe&ved=0CBEQjRxqFwoTCMjUq9TXxf8CFQAAAAAdAAAAABAc

Alejando Morales Cáceres, Abogado Asociado Principal y Líder del área de Derecho y Nuevas Tecnologías de TyTL Abogados.

 

Leer la nota completa aquí.

 

COMPARTIR