Uno de los problemas inherentes a la IdCes que esta tecnología apenas puede evitar promover la elaboración de perfiles y el tratamiento automatizado de datos. Esto crea importantes problemas en términos de protección de datos. Como declaró el Grupo de Trabajo del Artículo 29, “a diferencia de otros tipos de contenido, los datos empujados por la IdC pueden no ser adecuadamente revisables por el interesado antes de su publicación, lo que genera innegablemente un riesgo de falta de control y de autoexposición excesiva para el usuario. Además, la comunicación entre objetos puede desencadenarse automáticamente y por defecto, sin que el individuo sea consciente de ello. A falta de la posibilidad de controlar eficazmente cómo interactúan los objetos o de poder definir los límites virtuales mediante la definición de zonas activas o no activas para cosas concretas, resultará extraordinariamente difícil controlar el flujo de datos generado. Más difícil aún será controlar su uso posterior y, por tanto, evitar la posible proliferación de funciones. Este problema de falta de control, que también afecta a otros desarrollos técnicos como la computación en la nube o el big data, es aún más difícil cuando se piensa que estas diferentes tecnologías emergentes pueden utilizarse de forma combinada.”[1] En efecto, hay que tener en cuenta que la IdCnecesita a menudo vincular conjuntos de datos de diferentes dispositivos para obtener información detallada sobre la vida privada de los usuarios y hacer suposiciones y predicciones sobre su comportamiento. Estas prácticas no son contrarias a la protección de datos, siempre que cumplan estrictamente la normativa aplicable. Sin embargo, a menudo es difícil garantizar ese cumplimiento.
Además, este escenario permite la combinación de múltiples datos que, por sí solos, pueden proporcionar poca información sobre el interesado. Algunos de los datos pueden incluso ser anónimos. Sin embargo, su combinación suele acabar creando un nuevo escenario, en el que los datos personales y, en particular, las categorías especiales de datos personales. Suelen denominarse datos inferidos, es decir, “cualquier dato personal que haya sido creado por el responsable del tratamiento como parte del tratamiento de datos, por ejemplo, mediante un proceso de personalización o recomendación, o mediante la categorización o elaboración de perfiles de usuarios realizada a partir de los datos personales facilitados por el interesado (datos observados o brutos)[2]. También son datos personales, lo que significa que están sujetos al RGPD y a la normativa de protección de datos aplicable.
- Grupo de Trabajo Del Artículo 29 de Protección de Datos (2014) Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
- Grupo de Trabajo del Artículo 29, Directrices sobre el derecho a la portabilidad de los datos, en: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/right-data-portability_en ↑