Aspectos legales y de seguridad del Internet de las cosas (IoT)
El denominado “Internet of Things – Internet de las Cosas” es una tecnología relativamente reciente y con un poder de crecimiento y desarrollo que nos sorprenderá en los próximos años basado en la interconexión de objetos en red, mediante la asignación a cada uno de ellos de un “identificador único”, constituyendo así un dominio en el que pueden interactuar e intercambiar información de forma identificada, por lo que se denomina comunicación máquina a máquina. Queda por tanto atrás la idea de que sólo se interconectan ordenadores entre sí. Con la IoT se pueden conectar vehículos, electrodomésticos, equipamiento urbano, instrumental hospitalario, etc.
La obtención de información y la interactuación con diferentes objetos cotidianos en la vida diaria de las personas pueden propiciar la aparición de nuevos servicios que mejoren la calidad de vida con los consiguientes beneficios sociales y económicos. Pero como toda mejora de la calidad de vida, también tiene sus riesgos asociados, y entre ellos existen riesgos para la privacidad y la seguridad que son los que vamos a analizar en este artículo.
Los principales riesgos para la privacidad de estas actividades de tratamiento de datos personales son:
Rastreo. Consiste en el seguimiento en tiempo real de los movimientos de una persona, a partir de objetos que tiene asignados. Permite conocer la completa trazabilidad de los mismos. Ello puede provocar que esa información sobre hábitos de conducta en manos de cibercriminales pueda ser utilizada por ejemplo para efectuar un robo cuando estamos fuera de casa (trabajando o de vacaciones).
Elaboración de perfiles. A partir de los datos almacenados del seguimiento de una persona, mediante técnicas analíticas, permite inferir unos patrones de conducta y llegar a conocer sus hábitos y preferencias, posibilitando elaborar su perfil. Por ello se deberá estar a lo previsto en el RGPD para la elaboración de perfiles y, en su caso, decisiones individuales automatizadas.
En lo que respecta a los riesgos de Seguridad, los principales riesgos son:
Ataques de DoS (Denegación de Servicio) / DDoS (Distributed Denial of Service) que se dan actualmente en Internet sobre todo contra páginas web. Consisten en dirigir al mismo tiempo una gran cantidad de equipos afectados contra una página web lo que provoca que no soporte el número de visitas y se caiga el servicio. La IoT también es susceptible a este tipo de ataques por lo que se deben establecer mecanismos de resistencia a este tipo de ataques.
Malware (virus o programas que cifran la información – ransomware). Al tratarse de dispositivos conectados son susceptibles de recibir este tipo de ataques, por lo que deben ser protegidos al igual que otros dispositivos conectados como ordenadores o smartphones.
Basta decir que estos tratamientos, en la mayoría de los casos, requerirán una Evaluación de Impacto en Protección de Datos a tenor del artículo 35.3. a) del RGPD:
“Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar”.
De la misma manera podemos afirmar que la realización de estos tratamientos requiere que se haya nombrado un Delegado de Protección de Datos (DPO) a tenor del artículo 37.1.b) del RGPD:
“las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.
O inclusive con mayor rotundidad si el dispositivo de IoT está vinculado a la monitorización del estado de salud de pacientes, tal y como se describe en el artículo 37.1.c):
“las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.
Tanto el DPO como la EIPD, deberán tener presente, entre otros, los siguientes aspectos:
- Incumplimiento del principio de minimización del tratamiento.
- Ausencia o defectos del deber de información.
- No establecer una información permanente y actualizada conforme al art 13 o 14 RGPD.
- Ausencia de consentimiento.
- Finalidades incompatibles con la inicial.
- Tratamiento de datos de categorías especiales (por ejemplo, visitas frecuentes a hospitales).
- No cumplimiento del principio de privacidad por diseño.
- Medidas de seguridad insuficientes.
- Dificultades a la hora de ejercitar derechos ARSOPL.
- Defectos en la anonimización de los datos.
Para finalizar debemos hacer una referencia a la “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas)”.
Si bien es cierto que la aprobación del futuro Reglamento es incierta y que el rechazo de los textos del borrador de la Comisión Europea y de otras versiones de trabajo posteriores analizadas por el Consejo de la Unión Europea invitan a no especular sobre la fecha de aprobación y el resultado final del texto aprobado, sí que resulta necesario indicar que entre su articulado está prevista una regulación de las comunicaciones máquina a máquina y por lo tanto, de la IoT.
Francisco Ramón González-Calero Manzanares
Lead Advisor Internacional en @govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
