Es necesario tener en cuenta aspectos clave de la aplicación del IdC a la hora de definir su funcionalidad y el posible impacto en la protección de datos, como por ejemplo
- Generalmente, hay una parte para la recogida de datos o para proporcionar información para la aplicación o los servicios del IdC, por lo que hay que gestionar la seguridad de los datos recogidos.
- El tratamiento o análisis de estos datos suele tener lugar en lugares muy remotos en la nube y, para poder llegar a ellos, es necesario utilizar redes compartidas, redes públicas, etc. Este aspecto repercute en la protección de los datos almacenados y en movimiento gestionados personalmente por el equipo de desarrollo o por un tercero.
- Cada vez es más habitual que las aplicaciones de IdC estén hiperconectadas con otras, ya sean del mismo fabricante o desarrolladores o de otro diferente, creando grandes redes de dispositivos IdC. Por ello, es necesario considerar la seguridad de los datos compartidos o accesibles por terceros.
- La integración con terceros asegura la compatibilidad con otros productos y otorga a la aplicación mayor versatilidad y funcionalidad, pero por otro lado hace necesario definir un procedimiento para evaluar la seguridad de los componentes suministrados por proveedores externos.
- La interacción entre el “usuario” humano y la “máquina de productos” está presente y hay que prestar especial atención para garantizar una experiencia de usuario satisfactoria sin comprometer la seguridad.
- La evaluación de la seguridad de la aplicación IdC debe incluir pruebas técnicas como la revisión del código y las pruebas de penetración. Las pruebas de penetración ayudan a comprobar el nivel de seguridad del sistema, la detección temprana y, en caso de fallos, a corregir los posibles errores que puedan afectar a la seguridad de los datos durante la implementación, con el fin de mitigar o minimizar los riesgos antes de pasar a producción. Las pruebas de penetración son muy eficaces durante la fase de evaluación porque someten a las soluciones a las mismas amenazas a las que podrían enfrentarse durante el funcionamiento normal de una aplicación IdC. Como parte del llamado hacking ético, estas pruebas tienen como objetivo descubrir los puntos débiles del sistema que podrían ser explotados en el futuro por un hacker.
| Cuadro 11:
Una aplicación IdC que permita controlar las bombillas de forma remota desde un dispositivo móvil, soportado por comunicaciones inalámbricas mediante el protocolo o especificación Zigbee, y que a su vez utilice una pasarela para conectarse a Internet, puede ser un ejemplo útil de los aspectos clave a considerar para la funcionalidad mencionada anteriormente. |
| Lista de control: derechos de los interesados
☐ Los responsables del tratamiento han introducido los procedimientos necesarios para garantizar la adecuada satisfacción de los derechos de los interesados, independientemente de que sean los usuarios finales o terceros. ☐ Los responsables del tratamiento han introducido los procedimientos necesarios para garantizar que los derechos de los interesados se satisfagan a tiempo (como máximo un mes después de la solicitud). ☐ Los responsables del tratamiento han introducido herramientas eficaces para garantizar que los interesados puedan ejercer sus derechos de forma práctica, por ejemplo, introduciendo normas de interoperabilidad de datos. ☐ Los interesados están en condiciones de acceder a todos sus datos personales, incluidos los datos brutos que registran los dispositivos de la IdC ☐ Los desarrolladores de la IdChan implementado herramientas para leer, editar y modificar localmente los datos antes de transferirlos a cualquier controlador de datos. Además, los datos personales tratados por un dispositivo se almacenan en un formato que permite la portabilidad de los datos ☐ Los responsables del tratamiento han introducido herramientas capaces de comunicar los datos rectificados a cada uno de los destinatarios a los que se han comunicado los datos personales, salvo que esto resulte imposible o suponga un esfuerzo desproporcionado. ☐ Los responsables del tratamiento han introducido herramientas capaces de garantizar la supresión eficaz de todos los datos a petición de los interesados si no hay razones legales para oponerse a esa petición. ☐ Los controladores han asegurado que los planes de retirada deben ser de grano fino y deben cubrir: (1) cualquier dato recogido por una cosa específica; (2) un tipo específico de datos recogidos por cualquier cosa; (3) un tratamiento de datos específico. ☐ A los sujetos de los datos se les ofrece la opción de desactivar la función “conectada” de la cosa y permitir que funcione como el elemento original, no conectado (es decir, desactivar la funcionalidad de reloj inteligente o gafas conectadas). ☐ Los desarrolladores de IdC han introducido una interfaz fácil de usar para los usuarios que quieren obtener tanto los datos agregados como los datos brutos que aún almacenan. Estas herramientas permiten a los interesados exportar fácilmente sus datos en un formato estructurado y de uso común. ☐ Los controladores han documentado toda la información relativa a estas cuestiones. |