TYTL

Contacto: (51-1) 618-1515

Email: contacto@tytl.com.pe

Edificio Lima Central Tower, Av. El Derby N° 254, Piso 14, Oficina 1404 – Surco – Lima – Perú

Internet de las Cosas y Protección de Datos Personales

20 marzo, 2020

Imagina que llegas a tu casa del trabajo y recibes un mensaje en tu celular. Es tu refrigeradora inteligente que te avisa que estás cerca de quedarte sin verduras y frutas. Te pregunta si quieres realizar un pedido en línea. Tú aceptas y en ese momento el refrigerador realiza una investigación de mercado y encuentra los mejores precios para comprar los productos que necesitas. Eliges la mejor opción y lo solicitas al e-commerce que ofrece aquello que necesitas. Éste llegará en una hora. Recibes una notificación de tu “smart watch” y te dice que es hora de salir a correr. Decides salir a hacer ejercicios mientras esperas a que llegue el pedido. Para ello te pones tus “smart shoes” para ejercitarte ya que éstos miden la distancia caminada y el tiempo recorrido, así como las calorías consumidas, sincronizando dicha información con su app vía bluetooth.

En base a esos datos, te proporciona una rutina diaria a fin de que cumplas tus metas. Una vez que regresas a tu casa, tu “smart home” detecta tu presencia e ilumina la casa y los termostatos inteligentes regulan la temperatura según tus preferencias. Además, te das cuenta de que tu robot aspirador ha cumplido con limpiar toda tu casa. Llegan tus productos y los pones en tu refrigeradora, que te envía en el instante una receta con los insumos adquiridos. Luego de ello te vas a dormir. Tu “smart watch” mide tus niveles de sueño. Al día siguiente, suena tu despertador y éste le comunica a tu cafetera que prepare el café y también notifica a las cortinas que éstas deben abrirse lentamente.

¿Demasiado futurista?

El Internet of Things (IoT) o Internet de las Cosas (IoC) es un término que nace en el año 1999 pero que en los últimos años ha tomado bastante fuerza. Cada vez es más frecuente que las personas adquieran televisores inteligentes, relojes inteligentes e inclusive electrodomésticos inteligentes. La idea básica que intenta representar este concepto queda bastante bien ilustrada por su nombre, cosas cotidianas que se conectan al Internet. En ese sentido, el IoC potencia objetos que antiguamente se conectaban mediante circuito cerrado, como comunicadores, cámaras, sensores, y demás, y les permite comunicarse globalmente mediante el uso de internet.

El IoC ha sido conceptualizada por la Comisión de la Unión Europea como aquella que permite a los objetos compartir información con otros objetos/miembros en la red. Se trata, entonces, de una red que interconecta objetos físicos valiéndose del Internet. Los objetos se valen de un hardware especializado que le permite no solo la conectividad al Internet, sino que además programa eventos específicos en función de las tareas que le sean dictadas remotamente. Es decir, el IoC permite que objetos compartan información ya sea de ellos mismos o acerca de personas a través de una red. Estos intercambian información para facilitar o crear diversas acciones. Para que algo así pueda ocurrir hay un conjunto de tres factores que necesitan ser combinados para que una aplicación funcione dentro del concepto del IoC. Estos son:

Dispositivos: Son todas aquellas cosas como refrigeradores, carros, relojes, cafeteras, televisión y otros. En estos dispositivos es importante que sean equipados con los ítems correctos para proporcionar la comunicación con los demás elementos. Esos ítems pueden ser chips, conexión con internet, sensores, antenas entre otros.

La Red: Es el medio de comunicación y ya estamos acostumbrados a ella. Son tecnologías como Wi-Fi, Bluetooth y datos móviles.

El sistema de control: es necesario para que todos los datos capturados de los dispositivos a través de la red sean procesados y enviados a un sistema que controla cada aspecto y hace nuevas conexiones.
Por su parte, el Grupo de Trabajo del artículo 29 (que está compuesto por un representante de la autoridad de protección de datos de cada Estado miembro de la Unión Europea) define al IoC como una infraestructura en la cual billones de sensores incorporados en dispositivos cotidianos –“cosas” como tal, o cosas vinculadas a otros objetos o a individuos– son diseñados para registrar, procesar, almacenar, transferir datos e interactuar con otros dispositivos o sistemas que utilizan las capacidades de red. Esta visión revela la importancia que tiene la información y los datos personales dentro del IoC. Estos últimos son sumamente valorados por las empresas, pues a través del análisis de ellos buscan ofrecer nuevas aplicaciones y servicios. Mientras más información personal recaben, más herramientas tendrán para observar y analizar el hábito de las personas a fin de obtener mayores ventajas competitivas.

En ese sentido, muchas de las actividades de procesamiento de datos involucradas en la operación del IoC entrarán dentro del alcance material de la Ley de Protección de Datos Personales, puesto que se advierte el siguiente ciclo de tratamiento de dichos datos en el ecosistema IoC:

Recolección de datos: Esta etapa inicial requiere que la tecnología IoC, a través de sensores o mediante una comunicación con el usuario, extraiga datos personales de un determinado sujeto que haya interactuado de alguna forma con dicha tecnología, ya sea en forma activa o pasiva. Una vez recogidos tales datos, éstos son transferidos a través de redes, ya sean públicas o cerradas.

Procesamiento de datos: Se efectúa, por parte del proveedor del servicio respectivo, un análisis y cruce de los datos recogidos, con el objeto de obtener un determinado resultado valioso de la información.
Análisis de Perfil: Eventualmente, un resultado de la etapa de procesamiento de datos será la creación de un perfil del usuario respectivo, es decir, el establecimiento de determinados rasgos peculiares que caracterizan a ese usuario, usualmente vinculados con preferencias de consumo o determinadas conductas.

de datos: Los datos recogidos son almacenados para fines estadísticos y científicos. Cada análisis de perfil suma a la base de datos con el objetivo de conocer más las necesidades y hábitos de los usuarios. Así como la base de datos es nutrida por los datos personales de un determinado individuo, la información personal también la nutre porque en base a lo ya recopilado, se puede hacer un procesamiento a gran escala (Big Data) en base a los miles de perfiles preexistentes. Cabe señalar que este almacenamiento, por lo general, lo hace una empresa que presta servicios de almacenamiento en nube.

Entrega de datos: Luego del procesamiento de los datos personales obtenidos de las etapas de tratamiento anteriores, es entregado al mismo usuario a fin de cumplir con aquello que espera del producto. Por ejemplo, en base a su estatura y peso, puede indicar el índice de grasa. Por otro lado, esta misma información también puede ser enviada a terceros.

Los flujos de datos y la especificidad que permiten los dispositivos del IoC pueden liberar un valor único e increíble para los usuarios; sin embargo, la gran cantidad de datos que los dispositivos inteligentes pueden recopilar, almacenar y generar por ellos mismos es sorprendente. El problema radica en que en el ciclo de tratamiento de datos personales del IoC participan muchos actores y es muy fácil que los usuarios pierdan el control sobre su información. En otras palabras, el IoC genera un intercambio constante e invisible de datos entre cosas y personas, así como entre dispositivos, lo que ocurre sin el conocimiento (y la gran mayoría de veces sin el consentimiento) de sus dueños. Por tanto, las empresas deberán adecuar las medidas necesarias para garantizar el derecho fundamental a la protección de datos personales.

No obstante que resulta imperativo que todos los actores que forman parte de la cadena de producción del IoC apliquen el marco jurídico referido a la protección de datos personales, se presentan diversos retos en torno a los siguientes principios:

Principio de Información:

La recopilación y el uso de los datos se convierte en una consideración relevante cuando las expectativas de privacidad de quienes son observados por los dispositivos del ecosistema IoC, difieren de aquellas que recogerán y usarán estos datos. Ahora, es una realidad que la mayoría de los dispositivos IoC no explican de forma adecuada a los clientes cómo es que se procesan sus datos personales. El IoC involucra significativamente más partes en la cadena de producción que los servicios tradicionales (por ejemplo, encontramos a fabricantes de sensores, de hardware, proveedores de sistemas operativos IoC, proveedores de servicios de almacenamiento, desarrolladores de aplicaciones de terceros, etc.), lo que puede dar lugar a situaciones en las que el usuario puede perder el control sobre la difusión de sus propios datos, en función de que el recabado y el tratamiento de estos datos se haga de forma transparente o no.

En otras situaciones, el usuario puede no ser consciente de que un dispositivo está recogiendo datos sobre su persona y potencialmente compartiéndolos con terceros. Este tipo de recolección de datos es cada vez más frecuente en los dispositivos de consumo, como por ejemplo en los televisores inteligentes y las consolas de videojuegos.

Este tipo de productos tienen características de reconocimiento de voz o de visualización que permanentemente escuchan las conversaciones u observan la actividad en una habitación y, selectivamente transmiten los datos recogidos a un servicio en la nube para su procesamiento, donde a veces participa un tercero.
Una persona podría estar en presencia de este tipo de dispositivos sin saber que sus conversaciones o actividades están siendo monitoreadas o que sus datos están siendo registrados. Estos tipos de características pueden ser de beneficio para un usuario informado, pero pueden plantear un problema de privacidad para quienes no son conscientes de la presencia de estos dispositivos y no pueden influir significativamente sobre la forma en que se utiliza la información recogida.

Principio de minimización de datos:

Son muchos los objetos que pueden recopilar por separado distintas piezas aisladas de información que, una vez que se junten y analicen, revelarán aspectos específicos de la personalidad de un individuo, hábitos, comportamientos y preferencias. En otras palabras, las combinaciones de flujos de datos del IoC puede suponer un riesgo en la privacidad cuando se combinan o correlacionan flujos de datos individuales. En ese caso, el retrato digital que se obtiene de las personas puede ser invasivo.

Por ejemplo, un cepillo de dientes con conexión a Internet puede recoger y transmitir información sobre los hábitos de cepillado de una persona. Asimismo, el refrigerador de este mismo usuario informa el listado de los alimentos que consume. Además, otro dispositivo que el usuario utiliza registra su actividad física. La combinación de estos flujos de datos realiza una descripción mucho más detallada y privada de la salud general de la persona. Este efecto de agregación de los datos puede ser particularmente potente en el caso de los dispositivos IoC, dado que muchos producen otros metadatos como, por ejemplo, marcas de tiempo e información de geolocalización, lo que aumenta aún más la especificidad del usuario. En ese sentido, es bastante complejo armonizar este principio con la eficiencia que buscan los dispositivos IoC, pues para cumplir con las funcionalidades necesitan alimentarse de la mayor cantidad de datos posibles.

Principio de Seguridad:

Debido al crecimiento que está teniendo esta nueva industria, los cibercriminales tienen en la mira a los dispositivos que se encuentran conectados a internet. La empresa de seguridad informática Fortinet produjo un informe titulado ‘El otro lado de la internet de las cosas’, en donde se detallan los riesgos a los que se enfrenta esta tecnología. Los hackers buscan aquellos dispositivos que no cuentan con más protección que el nombre de usuario y contraseña con el que vienen por defecto, normalmente fáciles de adivinar, y que además no pueden ser modificadas por el usuario. Son dispositivos que no disponen de antispam ni antivirus como los smartphones, computadoras y tabletas, por lo que son fácilmente infectables. Algunos ciberataques consisten en infectar los dispositivos IoC más vulnerables con un malware, consiguiendo manipularlos a su antojo, controlarlos remotamente, sin que su propietario se dé cuenta de ello.

Por otro lado, muchos de estos dispositivos cuentan con cámaras de video para monitorear todo lo que pasa en un determinado ambiente de forma remota a través de internet. Por esta razón, es importante evaluar qué tan necesario es que éstas se mantengan conectadas a internet y, en caso de ser necesario, mantenerlas correctamente configuradas, utilizando contraseñas seguras. Cabe señalar que, en estos escenarios de muchos dispositivos conectados y compartiendo información en internet, las redes WiFi se vuelven fundamentales para garantizar la seguridad de la información más sensible. Por esta razón es recomendable separar las redes desde las cuales se conectan los dispositivos IoC de otros dispositivos que alberguen datos personales de carácter sensible como computadoras y smartphones.

Es importante que los dispositivos ofrezcan sistemas de configuración que permitan asegurar una plena seguridad de los aparatos, así como el control en todo momento por parte del usuario de los parámetros de recogida y tratamiento de datos.

Consideramos que la protección de datos personales debe integrarse en cualquier solución de IoC desde el principio y durante todo el ciclo de vida del desarrollo, como parte del principio de «privacy by design«, que indica que un producto debe abordar la cuestión técnica y tener en cuenta las leyes de privacidad previo a su desarrollo y no después. La evaluación del impacto de la protección de datos puede, con toda probabilidad, ser necesaria. Los conceptos de transparencia, equidad, limitación de propósito, minimización de datos, precisión de datos y la capacidad de cumplir con los derechos de los sujetos de datos deben integrarse en el diseño del producto IoC.

Todo esto debe documentarse y evidenciarse como parte de un programa de Compliance en materia de protección de datos personales.

Lea la noticia completa aquí.

COMPARTIR