El capítulo III del RGPD establece un conjunto de derechos que los interesados pueden ejercer para salvaguardar sus datos personales. Aunque cada derecho tiene detalles y cuestiones específicas que podrían afectar y verse afectadas por la investigación y el desarrollo de las TIC (véase la sección “Tratamiento para la investigación científica” en “Principales herramientas y acciones”, Parte II de estas Directrices), todos comparten algunas características generales relativas a su información transparente, comunicación y modalidades de ejercicio (artículo 12 del RGPD). En esta sección, analizamos cada derecho específico a la luz del desarrollo de un sistema de IdC. Ya hemos analizado el derecho a la información (véase la sección de Transparencia de esta parte de las Directrices) y el derecho a no ser sometido a una toma de decisiones automatizada se ha tratado ampliamente en la sección “Agencia humana” de esta parte de las Directrices.

En general, la mayoría de estos derechos son difíciles de implementar en el caso de la IdC, debido a la naturaleza pura de la tecnología, que se basa en la alta velocidad de los datos proporcionados por diferentes sistemas y dispositivos. Las continuas técnicas de agregación y elaboración de perfiles, junto con la continua creación de datos inferidos, contribuyen a dificultar derechos como el acceso, la portabilidad o el borrado. Además, en el marco de la IdCes bastante común encontrar diferentes controladores y procesadores que procesan conjuntos de datos agregados que se almacenan a través de la computación en nube dirigida por un supervisor, que asume el papel de controladores o procesadores conjuntos.

Los contratos que rigen estas interacciones son complejos y de varios niveles. En consecuencia, el reparto de funciones y responsabilidades se hace difícil en la práctica. Aunque en teoría los contratos deberían aclarar todas estas cuestiones, “en realidad, los encargados del tratamiento son los que redactan las cláusulas contractuales estándar y las instrucciones de tratamiento porque tratan los datos por cuenta de muchos responsables del tratamiento y no tienen instrucciones de tratamiento separadas para cada responsable del tratamiento. Esto dificulta que los responsables del tratamiento cumplan con los requisitos contractuales y el principio de responsabilidad del RGPD, ya que no tienen pleno conocimiento de todos los procesadores y subprocesadores involucrados. Además, las complejas relaciones contractuales de varios niveles entre las partes interesadas en la IO hacen más difícil reclamar la responsabilidad de un daño causado a los sujetos de los datos por los dispositivos de la IdCo los algoritmos analíticos”^[1]. Además, algunas partes pueden redactar contratos posicionándose en un papel diferente al que realmente les corresponde (véase la sección “Definir las funciones de protección de datos desempeñadas por todos los agentes implicados en el tratamiento: determinación de los responsables y los encargados del tratamiento” en esta parte sobre la IdC)

Se han propuesto diferentes herramientas para hacer frente a estos problemas y el Supervisor Europeo de Protección de Datos ha promovido el enfoque del “sistema de gestión de la información personal” (“PIMS”).^[2] El uso de técnicas de blockchainpara diseñar contratos inteligentes basados en el RGPD que tengan en cuenta la privacidad para mejorar la responsabilidad de los dispositivos de IdC, que son controladores o procesadores de datos de los usuarios, podría ser una alternativa adecuada, ya que no necesitan un supervisor general o un controlador de datos. Sin embargo, blockchain podría provocar desventajas en términos de derechos y libertades de los sujetos de datos, ya que su condición de propietarios de nodos los convertiría en “controladores” y, en consecuencia, tendrían obligaciones y responsabilidades de acuerdo con el RGPD.^[3]

Aunque no existen soluciones técnicas definitivas para estas complejas cuestiones, los desarrolladores de la IdCdeben hacer todo lo posible para garantizar que los sistemas sean capaces de respetar los derechos y libertades de los interesados. Los ámbitos del diseño informático, como las tecnologías de mejora de la privacidad, la ingeniería de la privacidad, la privacidad utilizable y la interacción de los datos humanos, tienen metodologías y marcos que ofrecer.^[4]

1. El-Gazzar, R., y Stendal, K. (2020). Examinar cómo el RGPD desafía a las tecnologías emergentes. Journal of Information Policy, 10, 237-275. doi:10.5325/jinfopoli.10.2020.0237. ↑
2. Supervisor Europeo de Protección de Datos (2016) Dictamen sobre los sistemas de gestión de la información personal hacia una mayor capacitación del usuario en la gestión y el tratamiento de los datos personales. Bruselas. En: https://edps.europa.eu/sites/default/files/publication/16-10-20_pims_opinion_en.pdf ↑
3. Nicola Fabiano, Internet de las cosas y las cuestiones jurídicas relacionadas con la ley de protección de datos, Revista de Derecho de Atenas – Volumen 3, Número 3, 2018, Páginas 201-214 https://doi.org/10.30958/ajl.3-3-2 doi=10.30958/ajl.3-3-2 según el nuevo Reglamento general de protección de datos europeo Por ↑
4. Urquhart, L., Sailaja, N. & McAuley, D. Realización del derecho a la portabilidad de datos para el Internet de las cosas doméstico. Pers Ubiquit Comput 22, 317-332 (2018). ↑