Los sistemas de IdC suelen ser herramientas complejas que procesan muchos datos personales en conexión con otros sistemas de IdCo mediante herramientas incorporadas al dispositivo. Esto crea un escenario complejo, ya que, tal y como afirmaba el LB del artículo 29, “la interacción entre los objetos, entre los objetos y los dispositivos de los individuos, entre los individuos y otros objetos, y entre los objetos y los sistemas back-end dará lugar a la generación de flujos de datos que difícilmente pueden gestionarse con las herramientas clásicas utilizadas para garantizar la adecuada protección de los intereses y derechos de los interesados.”
Los controladores deben ser conscientes de que, aunque sea difícil de alcanzar, los sujetos de los datos deben ser capaces de entender cómo, y con qué propósito, el sistema de la IdC utiliza sus datos personales para funcionar y tomar sus decisiones. En general, esto significa que los desarrolladores de IdC deben incorporar en el sistema características capaces de proporcionar dicho conocimiento de la manera más fácil posible. La explicabilidad -es decir, la capacidad de explicar los procesos técnicos de un sistema de IdCy la lógica de las decisiones que toma- es clave en el caso de la IdC, especialmente si incorpora una herramienta de IA (véase la sección “Transparencia” en los “Requisitos de la IA para innovadores y desarrolladores”, Parte IV de estas Directrices).
A este respecto, el Grupo de Trabajo del Artículo 29 afirmó que “los métodos para dar información, ofrecer un derecho de rechazo o solicitar el consentimiento deben ser lo más fáciles de usar posible. En particular, las políticas de información deben centrarse en información comprensible para el usuario y no deben limitarse a una política general de privacidad en el sitio web de los responsables del tratamiento.[1] A este respecto, los controladores deben tener en cuenta las especificidades del dispositivo de IdC, a la luz de cuestiones como las pantallas pequeñas que pueden hacer casi imposible la lectura de las políticas de privacidad, o incluso la ausencia total de pantallas. Los esquemas de doble capa podrían ser especialmente útiles cuando se trata de escenarios en los que la cantidad de información y su complejidad son difíciles de manejar. Parece razonable una primera capa que proporcione al usuario la información esencial y una segunda capa con información más profunda y explicaciones.
En general, los sistemas de IdC deben ser capaces de proporcionar una visión panorámica de “qué datos personales se han comunicado a qué responsable del tratamiento y con arreglo a qué políticas; proporcionar acceso en línea a los datos personales y a la forma en que se han tratado; y proporcionar capacidades de contraperfilado que ayuden al usuario a anticipar la forma en que sus datos coinciden con los perfiles de grupo pertinentes, lo que puede afectar a futuras oportunidades o riesgos”.[2] Si el responsable del tratamiento “planea” llevar a cabo un tratamiento con fines distintos de aquellos para los que se recogieron los datos, deberá informar previamente a los usuarios o a los interesados de ese nuevo tratamiento, facilitando información y cumpliendo el resto de requisitos, como tener una base jurídica para esa nueva finalidad o realizar una evaluación de compatibilidad. Sobre la base de las obligaciones anteriores, y aplicándolas específicamente a la IdC, se debe proporcionar una primera capa de información a los usuarios antes de que empiecen a utilizar el dispositivo. Además, los requisitos de información establecen que la información completa debe proporcionarse antes de que comience el tratamiento, por lo que los usuarios deben tener una forma de acceder a ella antes de registrarse o acceder al dispositivo de IdC.
Según el RGPD, la información que un sistema de IdC debe proporcionar a los interesados varía en función de si esta información ha sido obtenida de ellos o inferida por el sistema.
- Si los datos se obtienen directamente del interesado (art. 13 del RGPD)
El responsable del sistema IdCdebe informar al usuario, antes del tratamiento, sobre la identidad del responsable del tratamiento, los datos de contacto del RPD, los fines específicos del tratamiento; la base jurídica del tratamiento y, en su caso, cuáles son los intereses legítimos en los que se basa el tratamiento[3], qué base jurídica se aplica a cada fin; los destinatarios o categorías de destinatarios de los datos; la existencia de transferencias internacionales; en su caso, los plazos de conservación de los datos o los criterios utilizados para determinar dichos plazos; cómo ejercer los derechos de los interesados y el derecho a presentar una reclamación ante la Autoridad de Control; y en el caso de las decisiones automatizadas, incluida la elaboración de perfiles, el responsable del tratamiento debe proporcionar información pertinente sobre la lógica implicada y las consecuencias previstas de dicho tratamiento para el interesado.
- Si los datos personales no se obtienen del usuario (Art. 14 RGPD)
En este caso, si los datos personales se obtienen de un tercero, el responsable del sistema IdC deberá informar al usuario de lo dispuesto en el art. 13 del RGPD, y comunicar la información relativa al origen o fuente de los datos, específicamente si proceden de fuentes de acceso público. A este respecto, los responsables del tratamiento deben tener en cuenta que el concepto de “fuentes de acceso público” no es una lista extensa, sino más bien ajustada, y no incluye las redes sociales ni Internet. La información deberá facilitarse en el plazo de un mes “como máximo” al usuario de la IdC.
Lista de control: equidad y transparencia[4]
Equidad ☐ Los controladores han implementado funcionalidades o interfaces de control fáciles de usar que permiten gestionar los ajustes técnicos y de privacidad ☐ Los sistemas de IdCse han diseñado de forma que se facilite que las preferencias y necesidades de los usuarios se trasladen a la herramienta de forma distribuida y cooperativa para que se tomen las decisiones adecuadas sobre los recursos que se controlan ☐ Los controladores han aplicado medidas adecuadas para evitar los sesgos provocados por el uso de herramientas de IA. ☐ Los controladores han aplicado medidas para evitar la recogida de conjuntos de datos sesgados Transparencia ☐ Los sistemasIdC proporcionan:
☐ Si los datos personales fueron proporcionados directamente por el interesado, los responsables del tratamiento proporcionaron toda la información enumerada en el artículo 13 del RGPD. ☐ Si los datos personales no fueron facilitados por el interesado, los responsables del tratamiento proporcionaron toda la información enumerada en el artículo 14 del RGPD. ☐ Si los datos personales son proporcionados directamente por el interesado, la información se proporciona antes del tratamiento y, a más tardar, en el momento en que se recaba del interesado. ☐ Si los datos personales no son facilitados por el interesado, la información se facilita:
☐ La información se proporciona de forma concisa, transparente, inteligible y de fácil acceso. Es clara y redactada en un lenguaje sencillo. ☐ Los controladores han documentado toda la información relativa a estas cuestiones. |
- Grupo de Trabajo del Artículo 29 de Protección de Datos (2014) Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
- Weber, Rolf H., “Internet of Things: Privacy Issues Revisited’ (2015) 31 Computer Law & Security Review 618, 625; igualmente, Tene y Polonetsky (n 18). ↑
- Tenga en cuenta que, según la reciente jurisprudencia de la Autoridad Española de Protección de Datos, los intereses que sirven de fundamento a la base legal del art. 6.1.f RGPD no serían los mismos que los fines del tratamiento. ↑
- No todos estos requisitos son legales strictu sensu, pero todos pueden considerarse requisitos éticos. ↑