El Internet de las cosas, comúnmente conocido como IoT, junto con el Big Data y el 5G forman el grupo de las grandes tecnologías interconectadas que mayor impacto van a tener en estos próximos años. Prácticamente en todos los casos, la utilización de estos dispositivos implica tratamientos de datos personales por lo que es necesario identificar y valorar los riesgos inherentes que impactan sobre los derechos y libertades de los interesados.
Lo cierto es que el IoT en sus inicios comenzó con la idea de conectar objetos cotidianos a internet, pero en realidad actualmente se trata de mucho más que eso. El Comité Europeo de Protección de Datos define en su Dictamen 8/2014 el IoT como aquella infraestructura en la que múltiples sensores incorporados a dispositivos comunes y cotidianos (objetos) registran, someten a tratamiento, almacenan y transfieren datos e interactúan con otros dispositivos o sistemas haciendo uso de sus capacidades de conexión en red.
¿Pero, quién interviene en el IoT? Genéricamente se puede hablar de múltiples actores que participan en el mundo IoT dependiendo del objeto en sí del que estemos hablando. Por ejemplo, fabricantes, proveedores de servicios en la nube, plataformas de datos, desarrolladores de sistemas operativos, operadores de telecomunicaciones, etc. De manera que, dependiendo de cómo participen en el propio tratamiento de datos personales, pueden adquirir el rol de responsable o encargado de tratamiento como así indica el RGPD. Estas figuras deberán estar perfectamente definidas en el diseño del producto para determinar en su caso las posibles responsabilidades de cada uno de ellos.
El internet de las cosas emplea diferentes tecnologías, aunque se identifican varias características clave:
- Recopilación, almacenamiento y procesamiento de datos, como, por ejemplo, un frigorífico conectado que detecte qué productos faltan en tu nevera.
- Comunicación con otros objetos, ya sea directamente o en la nube.
- Interconexión, a través de Bluetooth a Internet.
- Ubicuidad, la mayor parte de los dispositivos prácticamente pueden utilizarse en cualquier parte.
- Automatización, el dispositivo “contesta” con una determinada respuesta ante un escenario o una acción concreta, sin que sea necesario que intervenga el usuario. Por ejemplo, una aspiradora inteligente que en cuanto detecta que el espacio que tiene identificado está limpio automáticamente se detenga y así evitar que siga funcionando cuando ya se ha realizado el cometido.
- Capacidad de aprendizaje: por ejemplo, un termostato conectado a Internet que analice la temperatura adecuada de la vivienda para luego recordarla de forma automática en las siguientes ocasiones.
Las categorías de datos personales tratados por tecnologías IoT son muy diversas, los dispositivos pueden captar desde datos básicos identificativos hasta la geolocalización pasando por controlar tus hábitos, intereses, ritmo cardíaco, voz o temperatura corporal. Si hablamos del origen de dichos datos, los dispositivos IoT pueden captarlos por diferentes vías: datos que facilita el usuario directamente, datos que el dispositivo observa, datos que se generan derivados de otros datos y datos inferidos. Este último es el modo más controvertido, ya que los usuarios son conscientes de los datos que facilitan o de los datos que pueden ser observados, pero cuando hablamos de datos que se derivan del procesamiento de otros la cosa cambia.
Los datos inferidos son aquellos desarrollados a partir del análisis de un gran volumen de datos, de ese usuario o de otros y de diversas fuentes. Aquí entran en juego tecnologías más complejas como son el fenómeno del Big Data o la Inteligencia artificial, a priori desconocidos por la inmensa mayoría de los interesados.
Como indicaba anteriormente, estos tratamientos inciden directamente sobre los derechos y libertades de los interesados y no son precisamente pocos los riesgos detectados en la privacidad. Me parece interesante destacar dos de ellos:
-En primer lugar, los dispositivos IoT revelan una clara invasión en nuestras pautas de comportamiento, actividades, perfiles… etc. Captan nuestros movimientos de forma detallada para analizarlos y ofrecernos el servicio. Desde mi punto de vista, implica una vigilancia masiva sobre la esfera más íntima de nuestra privacidad y en muchas ocasiones el usuario no es ni siquiera consciente del control que tiene el dispositivo sobre sus datos. En definitiva, estas tecnologías distan considerablemente de la transparencia que busca el RGPD, así como de la responsabilidad proactiva que tanto pretende esta normativa.
-En segundo lugar, la falta de medidas de seguridad apropiadas para estos dispositivos en cualquiera de las capas de los sistemas de información, bien por limitaciones de las propias tecnologías, carencias en el cifrado de la información, deficiencias en la protección de datos desde el diseño y por defecto….etc. Por no hablar de las vulnerabilidades de estos dispositivos en cuanto a que puedan ser manipulados de manera remota o que puedan ser hackeados los softwares, desde luego con ninguna buena intención comprometiendo un gran volumen de datos de los usuarios.
Desde luego todo no iba a ser malo, es cierto que ofrecen beneficios: eficiencia, productividad, innovación, oportunidad de negocio, ayuda en la toma de decisiones…. Probablemente la comunicación con el entorno será clave para desenvolverse en unos años, no obstante, es necesario que se revisen estas tecnologías para que no sea a costa de asumir riesgos y limitar los derechos de los interesados.
Además, en la actualidad, ya no nos conformamos con los objetos conectados, sino que ya se empieza a hablar de cuerpos conectados o internet de los cuerpos, entendiéndose por esto, el uso de dispositivos conectados a Internet que monitorizan y/o actúan sobre todas o algunas de nuestras constantes vitales y otros datos biométricos, también pueden obtener datos a través de otros indicadores de salud como la actividad física realizada, la calidad del sueño, nuestra temperatura corporal… etc. Este cambio implica que los sensores dejen de analizar objetos para actuar sobre el cuerpo humano dejando de monitorizar “cosas” dando paso al control y explotación de datos sobre determinados parámetros de salud de las personas.
Podemos decir que existen tres niveles dependiendo de la incidencia que tenga la tecnología en nuestro cuerpo:
Primera generación: dispositivos externos al cuerpo o wearables. Los usuarios pueden portar de forma continua diferentes accesorios que envíen un gran volumen de datos personales a los responsables de estos dispositivos a través de internet. Algunos ejemplos de este primer nivel son las conocidas pulseras de monitorización de actividad física o smartwatches con diferentes funciones. También se integran dentro de este tipo de dispositivos las diademas con sensores de electroencefalograma para analizar la actividad cerebral y detectar el nivel de atención, concentración, descanso, estrés, etc. Los dispositivos de este primer nivel pertenecen a nuestra vida cotidiana desde hace algunos años.
Segunda generación:dispositivos internos en el cuerpo. A este tipo de tecnologías pertenecen los instrumentos que se encuentren implantados en el cuerpo con una finalidad médica (medical IoT), los más conocidos son los marcapasos, los implantes cocleares y en un futuro no tan lejano los órganos que desarrollados mediante impresión en 3D que permitan por ejemplo regular la dosis de insulina para personas con diabetes. Además, destacamos en este nivel las píldoras digitales, unas pastillas que se ingieren en el cuerpo y que podrán transmitir en tiempo real desde el interior del sistema digestivo a través de unos sensores, lo que ocurre en nuestro organismo.
Tercera generación:dispositivos fusionados con el cuerpo. Esta generación se encuentra en fase de desarrollo e intenta buscar una fusión entre el cuerpo y la tecnología para conseguir una conexión que permita interpretar e intervenir sobre los propios componentes del cuerpo. Como ejemplo, la mejora cerebral, que implicaría un enorme avance para ayudar a las personas con dolencias neurodegenerativas como Alzheimer o Parkinson.
Sin duda, la utilización de estas tecnologías supondrá un gran avance médico en la lucha para detectar y mejorar las patologías de los seres humanos, pero no se pueden olvidar los riesgos que supone conectar a internet estos sensores, sin ir más lejos un ataque de un hacker al software de un marcapasos puede suponer un grave riesgo para la salud del usuario, incluso la propia vida. Por ello es necesario que se invierta y mucho en medidas de seguridad para evitar posibles ciberataques y en estudiar vulnerabilidades para no comprometer el bienestar de los interesados.
El Internet de las cosas no es sino una red de interconexión digital entre dispositivos, personas e Internet que permite la comunicación de datos entre ellos, facilitando que se pueda capturar información clave sobre el uso y el rendimiento de los dispositivos detectando patrones de comportamiento, sugiriendo recomendaciones, mejorando la eficiencia y creando mejores experiencias para los usuarios, en definitiva, pretendiendo facilitar la vida de los usuarios. No obstante, solo las disposiciones legales podrán límites a la recopilación masiva de datos personales. Cada vez resulta más difícil a los interesados conocer y comprender el modo en que estos dispositivos recopilan, almacenan y gestionan sus datos, siendo muy complicado una configuración segura de los ajustes de la privacidad, más si cabe cuando los usuarios requieren de varios dispositivos IoT cada día. Apenas se proporciona conocimiento sobre los datos que exactamente se recopilan, quienes son los responsables de los tratamientos que los llevan a cabo o con qué finalidades se utilizan aquellos.
Lo deseemos o no, la realidad es que avanzamos hacia una sociedad totalmente “conectada” a la red, y esto nos afectará de una forma u otra el modo de entender nuestra vida.
