(IdC): Requisitos éticos y legales en materia de protección de datos

Iñigo de Miguel Beriain (UPV/EHU)

Aliuska Duardo (UPV/EHU), Álvaro Anaya Rojas, Gerardo Pérez Laguna y María Carmen González Tovar (Everis Ciberseguridad)

Las versiones preliminares de este documento fueron revisadas por Federica Lucivero (Investigadora Senior en Ética y Datos en Ethox y el Centro Wellcome de Ética y Humanidades (Instituto de Big Data) e Irene Kamara (Profesora Adjunta de Gobernanza de la Ciberseguridad en TILT)

Revisado por Fruzsina Molnar-Gabor, Heidelberger Akademie der Wissenschaften (Alemania) y miembro del Grupo Europeo de Ética en la Ciencia y las Nuevas Tecnologías de la Comisión Europea.

Finalmente validado por Iñaki Pariente, ex director de la Agencia Vasca de Protección de Datos.

Introducción

Esta sección de nuestras “Directrices sobre la protección de datos en la investigación y la innovación en materia de TIC” (en adelante, “las Directrices”) ofrece a los desarrolladores e innovadores de la Internet de las cosas IdC consejos sobre las medidas que deben tomar para cumplir los requisitos legales relacionados con el desarrollo de herramientas de IdC en materia de protección de datos. Su objetivo es contribuir a mitigar los problemas éticos y legales en este campo. Ni que decir tiene que esta parte de las Directrices (como el conjunto de ellas) no es una interpretación autorizada de la normativa, sino unas recomendaciones de buenas prácticas.

Esta parte de las directrices sólo puede entenderse en el contexto de toda la herramienta (las directrices). Hay varios conceptos que no se exploran en este documento, porque se abordan en otras secciones; nos hemos referido a ellos siempre que ha sido necesario (las referencias están resaltadas en amarillo). Todas las secciones están disponibles en un sitio web interactivo

Descargo de responsabilidad

Esta parte de las Directrices se redactó en un momento en el que no se había aprobado el Reglamento sobre privacidad electrónica. Puede ocurrir que, en el momento de utilizar esta herramienta, el Reglamento esté en vigor. Si es así, habrá que tener en cuenta los posibles cambios que éste haya producido en el marco normativo. Hasta que el Reglamento sobre privacidad electrónica entre en vigor, existirá una situación fragmentada. De hecho, las autoridades de control se enfrentan ahora a una situación en la que la interacción entre la Directiva sobre privacidad electrónica y el RGPD coexisten y plantean interrogantes en cuanto a las competencias, las tareas y las facultades de las autoridades de protección de datos en aquellas cuestiones que desencadenan la aplicación tanto del RGPD como de las leyes nacionales de aplicación de la Directiva sobre privacidad electrónica.

Prefacio

Hace unos años, el Grupo de Trabajo del Artículo 29 afirmó que “el concepto de Internet de los objetos (IdC) se refiere a una infraestructura en la que miles de millones de sensores integrados en dispositivos comunes y cotidianos – “cosas” como tales, o cosas vinculadas a otros objetos o individuos- están diseñados para registrar, procesar, almacenar y transferir datos y, al estar asociados a identificadores únicos, interactuar con otros dispositivos o sistemas utilizando capacidades de red.”^[1]

En la actualidad, omnipresente, Internet de todo, son algunos de los calificativos que se utilizan para describir la IdC. Estos adjetivos pretenden ilustrar que la interconexión entre el mundo físico y el virtual se produce y puede producirse a todos los niveles. Las nuevas y emergentes tecnologías de la IdC comprenden, entre otras: sistemas de transporte inteligentes, dispositivos sanitarios conectados, drones, comunicación inalámbrica 5G, etc. Incluso los aspectos cotidianos más triviales de nuestra vida empiezan a estar impregnados de IdC. Desde las máquinas de café “inteligentes” hasta las aplicaciones móviles que nos permiten percibir los olores.

IdC es una tecnología especial con fuertes lazos con las tecnologías tradicionales de Ciencia de Datos, pero también con muchas diferencias que deben tenerse en cuenta a la hora de definir un modelo de desarrollo. La velocidad en la generación de datos es una de las mayores diferencias entre IdC y las tecnologías tradicionales de Data Mining. Aunque estas tecnologías pueden llegar a ser complementarias, el procesamiento dinámico de datos abarca redes compartidas para realizar un análisis y una respuesta en tiempo real, como hace IdC frente a un análisis de grandes volúmenes de datos estáticos.

Panorama de la IdC y las ciencias de los datos

Este éxito en el ámbito del tratamiento de datos también presenta una complejidad en el desarrollo de las nuevas tecnologías, por lo que es imprescindible definir procesos que faciliten el desarrollo y la implantación de aplicaciones IdC. Contar con modelos que ayuden a los desarrolladores de TIC a entender el marco legal de protección de datos, y que permitan identificar, clasificar y definir las tareas necesarias para abordar el tratamiento desde el inicio del desarrollo de las soluciones, da la oportunidad de alcanzar una implementación más eficiente y estructurada.

Abarcar todas las implicaciones éticas y legales de cualquier sistema de IdC en una directriz sería imposible. La calificación de la IdC se aplica a muchas cosas diferentes. En primer lugar, los propios dispositivos (contadores de pasos, rastreadores del sueño, dispositivos domésticos “conectados” como termostatos, alarmas de humo, gafas o relojes conectados, etc.). En segundo lugar, los dispositivos terminales de los usuarios (por ejemplo, teléfonos inteligentes o tabletas) en los que se han instalado previamente programas o aplicaciones para supervisar el entorno del usuario a través de sensores integrados o interfaces de red, y para enviar los datos recogidos por estos dispositivos a los distintos controladores de datos implicados. Además, se utilizan necesariamente herramientas de software para hacer funcionar los sistemas.

Sería difícil abordar todas las cuestiones relacionadas con este amplio marco. Por ello, nuestro trabajo propone un modelo simplificado que permite ayudar a los desarrolladores de sistemas de IdC a cumplir los requisitos de protección de datos personales establecidos por la Carta Europea de Derechos Humanos, el RGPD y las herramientas normativas complementarias. No obstante, las partes interesadas, incluidos los diseñadores, los fabricantes, los propietarios de la red y los comercializadores, deben tener en cuenta las leyes aplicables y las directrices éticas que, para cada desarrollo específico, -tanto mecánico como de sistemas de información y comunicación- relacionado con su sistema de IdC concreto.

Con este fin, este capítulo de las Directrices intenta ofrecer a los desarrolladores de TIC una visión sistemática y simplificada de cómo cumplir los requisitos legales de la ley de protección de datos de la UE. Esto se hace sin dejar de lado las directrices éticas, añadiendo a los productos de la IdC el valor de “capacitar a las personas manteniéndolas informadas, libres y seguras”^[2]. En este sentido, el presente documento, se basa en gran medida en las consideraciones del Dictamen 8/2014 del Grupo de Trabajo de Protección de Datos del artículo 29 sobre la evolución reciente de la Internet de las Cosas^[3]; el documento de trabajo de los servicios de la Comisión sobre el avance de la Internet de las Cosas en Europa^[4]; y la Recomendación de seguridad básica para la IdC en el contexto de las infraestructuras^[5] críticas de información. En particular, estos documentos están sujetos, en la mayoría de los Estados miembros, a un marco reglamentario particular y representan una materia reglamentaria diferente de los ámbitos cubiertos por las demás directrices. Además, los desarrolladores de TIC deben tener siempre presente que la normativa de la UE sobre la IdC probablemente cambiará en los próximos tiempos. Siempre es recomendable consultar con sus DPD sobre los posibles cambios y las particularidades nacionales.

1. Grupo de Trabajo A29, Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos, 2014, en: https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
2. Según el Grupo de Trabajo de Protección de Datos del Artículo 29, esta es “la clave para apoyar la confianza y la innovación, y por lo tanto para el éxito en estos mercados”. Dictamen 8/2014 del Grupo de Trabajo de Protección de Datos del Artículo 29, op. cit. ↑
3. Art 29 Grupo de Trabajo de Protección de Datos (2014) Dictamen 8/2014 sobre la sobre la evolución reciente del Internet de los objetos (16 SEP 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. Consultado en noviembre de 2020). Aunque este dictamen es anterior a la entrada en vigor del actual RGPD, consideramos que las valoraciones realizadas en su momento por el grupo de trabajo siguen siendo válidas. Este dictamen aporta las claves ético-jurídicas para garantizar la privacidad, sin obstaculizar el desarrollo del IdC. ↑
4. Documento de trabajo de los servicios de la Comisión “Impulsar la Internet de los objetos en Europa”, que acompaña a la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, “Digitalizar la industria europea: aprovechar todas las ventajas de un mercado único digital”. Comisión Europea N5(19 DE ABRIL DE 2016) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52016SC0110&qid=1610616372730 (Acceso Dic. 2020). ↑
5. Recomendación de seguridad básica para la IO en el contexto de las infraestructuras de información críticas, ENISA 12 (2017), https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot. (Consultado en noviembre de 2020) ↑