martes, 24 de febrero de 2015

Era del conocimiento y privacidad: Difícil equilibrio entre Derecho objetivo y subjetivo


Resumen: A veces remover mediante un artículo los conceptos que se consideran inamovibles en protección de datos es positivo para que se libere la mente y puedan surgir otras propuestas relevantes en línea con la evolución del individuo en la sociedad. No olvidemos que el objetivo de esta regulación es proteger la conjunción de derechos fundamentales incardinados en el concepto “privacidad” en la era digital (Derecho a la protección de datos personales, derecho a la intimidad…). En consecuencia, hemos de mantener una actitud in vigilando para ir estudiando y no descartar otras estrategias si apreciamos que la materialización de los principios, aunque sean fundamentales, no producen los resultados esperados.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
24 de febrero de 2015

Índice
1. El principio de consentimiento informado individual
2. Trasladar el consentimiento fuera del individuo
3. El principio de limitación de finalidad
4. Epilogo
5. Derechos de autor


1. El principio de consentimiento informado individual

La privacidad se ha venido planteando hasta nuestros días como un derecho basado esencialmente en el principio de consentimiento, entendido éste como el control y la libre disposición individual de los propios datos personales. 

No obstante,  como ya dijeron A. Daniel Oliver y José Félix Muñoz en el SICARM 2012, se le atribuye al citado principio un poder conformador de la realidad que de hecho no tiene. 

Si analizamos el mecanismo de tutela, basado en el consentimiento informado individual, vemos que:
  • Ha dado buenos resultados en la anterior era, denominada “de la información”,  basada en la informática tradicional en la que  simplemente se trataba la información contenida en bases de datos clásicas de tipo estructurado.
  • Es cuestionable en la actual era “del conocimiento” basada en la computación ubicua a través de Internet, los tratamientos analíticos masivos tipo Big Data sobre bases de datos desestructuradas con información procedente incluso de sensores (IoT) y las redes sociales… 

Así las cosas, confiar en modelos basados en el derecho de habeas data  como autodeterminación individual sobre la propia información personal, a día de hoy y en un futuro parece poco realista, o al menos cuestionable, y se corre el riesgo de que nos auto-engañemos como sociedad. 

Si bien el propósito de que el interesado otorgue su consentimiento previo al recabado y demás tratamientos de sus datos personales se erige como mecanismo jurídico de defensa de sus derechos, en la práctica, por desgracia, su función real es la de simplemente legitimar la renuncia a la autodeterminación informativa a cambio de, por ejemplo, ganar acceso a nuevas funcionalidades en el uso de Apps. 

En otras palabras, el consentimiento puede llegar a ser contrario al interesado sustentándose esta tesis en al menos dos motivos:
  • Por un lado, en la dificultad por parte del responsable del tratamiento de aplicar el deber de informar, previo al recabado del consentimiento, para tratar los datos personales. La complejidad de los nuevos sistemas tendentes a dotarse de inteligencia artificial hace que ni los propios responsables estén muchas veces en condiciones de informar con precisión sobre todos los detalles del tratamiento. En consecuencia, a stricto sensu, no puede hablarse de consentimiento informado.
  • Por otro, la vorágine de Apps, funcionalidades de conectividad ubicua, medios de comunicación social y enlaces de datos entre objetos, que emergen ya en nuestros días, han creado en muchos individuos una cultura, basada en el oversharing o la sobreexposición, que les lleva a compartirlo todo a cambio de popularidad o de mantener esas relaciones o contactos virtuales. La consecuencia es la no lectura de las cláusulas informativas y el otorgamiento del consentimiento “no informado de facto” mediante un irreflexivo “click”. Esta actitud basada en un acto reflejo, de aceptación de cualquier condición de uso en aras de acceder rápidamente y con avidez a la funcionalidad que le es ofrecida, igual que un boomerang, se convierte desafortunadamente en un sistema legitimador de tratamientos contrarios a los más básicos principios de privacidad y protección de datos, que no olvidemos son derechos fundamentales de todas las personas.

2. Trasladar el consentimiento fuera del individuo

Una alternativa que empieza a oírse es la de trasladar el consentimiento desde el propio individuo aislado, hasta la sociedad. La principal crítica recibida ha sido la de anticonstitucionalidad. 

El hecho de que los derechos de las personas partan todos de otro derecho fundamental e imprescindible: el derecho a la vida, puede dar a entender como necesario que el objeto de protección jurídica de éstos derechos se encuentre situado en el ámbito de la persona misma. No obstante, no debemos entender la vida solo como una cuestión biológica, sino hacerlo en sentido amplio partiendo del reconocimiento del hombre como un ser libre que necesita desarrollarse. Y este desarrollo solo puede lograrse en el individuo por la pertenencia de éste a la sociedad. 

En consecuencia, considero que no debería juzgarse anticonstitucional el hecho de que pueda limitarse a un individuo su disponibilidad a otorgar consentimiento, esté o no informado, en base a lo dispuesto en nuevas normativas de interés general legisladas para regular determinados aspectos en la sociedad donde éste se desenvuelve y desarrolla, como una faceta imprescindible para alcanzar su vida plena. Protegiendo a la sociedad, en lo sustantivo se estaría protegiendo al propio individuo. 

Para fijar conceptos diré que el Derecho objetivo es el conjunto de reglas que rigen las relaciones sociales cuyas normas pueden imponerse coercitivamente, mientras que podemos definir el Derecho subjetivo como el poder o facultad que una norma atribuye a un sujeto, en virtud del cual puede realizar un acto o exigir que se realicen determinados actos. 

El desarrollo tecnológico, y el desarrollo social asociado, parece que nos obligan a desplazarnos desde una garantía de la privacidad basada en el individuo y como derecho subjetivo, a la regulación mediante garantías objetivas que afecten a la sociedad. En otras palabras, cabría desplazar el centro de gravedad legislativo en materia de privacidad desde la autodeterminación subjetiva del individuo titular de los datos hacia la tutela objetiva del estado o la unión supranacional. 

Conceptos como Privacidad por Defecto, que se disponen en el artículo 23 “Protección de datos desde el diseño y por defecto” del borrador del RGPD/UE,  son un ejemplo de la tendencia en esa dirección ya que obligan a los responsables de los tratamientos a implementar unos niveles mínimos de seguridad de partida, basados en un análisis real de los riesgos para con la privacidad. 

La PbD (Privacy by Design – Privacidad desde el Diseño) es un concepto que introdujo Ann Cavoukian (que hasta julio de 2014 fue Comisionada de información y privacidad de Ontario) y parece el camino a seguir en los nuevos proyectos que sean susceptibles de incorporar datos personales. El borrador del Reglamento dispone en su art. 33 la obligación de que los Responsables y Encargados del Tratamiento lleven a cabo un PIA (Privacy Impact Assessment - Evaluación de Impacto en la Privacidad) en la fase de diseño de cualquier iniciativa, cuando existan riesgos fundados para la privacidad de los interesados y atendiendo a la naturaleza, alcance o finalidad de los datos y tratamientos asociados. Recordaré que uno de los siete principios de la Privacidad desde el Diseño es la Privacidad por Defecto.

3. El principio de limitación de finalidad

En otro orden de cosas, existe un principio de la privacidad denominado “limitación de la finalidad”. Es el único capaz de limitar los tratamientos con independencia del consentimiento otorgado inicialmente. Algunos no lo consideran un principio “básico” quizá porque lo entienden como la consecuencia de aplicar los principios de transparencia y responsabilidad, que sí lo son. 

Pese a ser un principio incardinado en el modelo de protección actual, su campo de aplicación más inmediato es el relacionado con Big data y las técnicas analíticas asociadas que nos están adentrando en el futuro. En consecuencia no es pretensioso llamarle el “principio de transición” hacia el nuevo modelo que se vislumbra. 

Ante la preponderancia que está obteniendo este principio frente a los demás, es que las autoridades europeas de protección de datos lo clarifican, reconociendo que protege a los interesados mediante el establecimiento de límites en el recabado y posterior tratamiento de sus datos. 

Cuando una persona proporciona sus datos personales a una empresa u otra organización, usualmente tiene ciertas expectativas acerca de la finalidad para la que sus datos serán utilizados. Hay un valor en honor a estas expectativas que es la preservación de la confianza y la seguridad jurídica. Por ello, según el GT29, el principio de limitación de la finalidad es una piedra angular de la protección de datos. 

Debemos considerar que los datos que ya han sido recogidos pueden ser realmente útiles para otros propósitos, que no han sido previstos inicialmente. Por lo tanto, también hay valor en permitir, dentro de límites cuidadosamente equilibrados, un cierto grado de uso adicional. 

El principio de limitación de la finalidad está diseñado para ofrecer un enfoque equilibrado:
  • Por un lado tiene como objetivo conciliar la necesidad de la previsibilidad y la seguridad jurídica en relación con los fines del tratamiento.
  • Por otro lado, la necesidad pragmática de proporcionar flexibilidad.

En consecuencia el principio de limitación de la finalidad tiene dos componentes fundamentales:
  • Los datos de carácter personal deberán ser recogidos para ‘determinados, explícitos y legítimos’ fines (especificación del propósito).
  • No ser 'Tratados posteriormente de manera incompatible con dichos fines (uso compatible).

El tratamiento adicional para un propósito diferente no significa necesariamente que sea incompatible, (Artículo 4.2 LOPD y 8.3 RLOPD) pero la compatibilidad debe evaluarse caso por caso, teniendo en cuenta todas las circunstancias, lo que no siempre es una tarea fácil y dificulta la tutela efectiva del Derecho objetivo del que hablaba antes, por parte de las Autoridades de Control en materia de privacidad y de los diferentes órganos judiciales, desplazándolo al plano de lo subjetivo en función de las circunstancias concretas. 

Debe tenerse en cuenta que el resultado de la evaluación a la que me refiero debe basarse en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD. Partiendo de la anulación del artículo 10.2.b por no ser conforme al artículo 7.f de la Directiva europea,  el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español. 

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:
  • La necesidad de satisfacer un interés legítimo.
  • Que no prevalezcan derechos y libertades fundamentales del interesado. 

Como es conocido, la colisión entre derechos fundamentales debe ponderarse caso por caso luego, si surgen dudas o un conflicto abierto, deberemos resolverlo considerando de nuevo el Derecho subjetivo.

4. Epilogo

El análisis de dos principios fundamentales de la protección de datos, el principio de consentimiento y el principio de limitación de la finalidad, ha puesto de manifiesto las muchas dificultades para su concreción. 

Esto significa lo complejo que puede llegar a ser dar cumplimiento a la célebre frase de Neelie Kroes (CE): “Los nuevos diseños deben respetar la privacidad, sin que la Ley se convierta en una camisa de fuerza para la innovación”.  A futuro, tenemos un largo y motivador camino por delante.

5. Derechos de autor

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del Derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).
Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.
Es consultor empresarial especializado en GRC (Governance, Risk and Compliance) en GESCONSULTOR, con incidencia en cumplimiento normativo y regulatorio, privacidad  y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo),    habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.


La primera versión publicada de este artículo fue el 28 de enero de 2015 en la página web de la Asociación Profesional Española de Privacidad (APEP), con motivo del día europeo de la protección de datos.




sábado, 14 de febrero de 2015

Dictamen del GT29 sobre privacidad e Internet de las Cosas (IoT)


Resumen: Las autoridades europeas de protección de datos conocidas como Grupo de Trabajo del Artículo 29 (GT29) han aprobado en 2014 el primer Dictamen conjunto sobre internet de las cosas (IoT) catalogado como la Opinión 8/2014, de 16 de septiembre.[1] El documento, cuya elaboración ha sido liderada por la Agencia Española de Protección de Datos (AEPD) junto con la Autoridad francesa (CNIL), contempla tanto las perspectivas de beneficios económicos y sociales que puede suponer esta tecnología, como identifica y alerta de los riesgos que estos productos y servicios emergentes pueden suponer para la privacidad de las personas, definiendo un marco de responsabilidades. Por su interés y encaje en la temática del  blog presento esta traducción “no oficial”, del Inglés al Español, adaptada al estilo y formato editorial del mismo.

Autor del artículo
Colaboración
Grupo de Trabajo del Artículo 29
Comisión Europea
Actualizado
14 de febrero de 2015

Índice
1. Síntesis
2. Introducción
3. Ámbito del Dictamen: Foco específico en 3 desarrollos de la IoT
3.1 Wearable Computing (Informática para llevar encima)
3.2 Quantified Self  (Auto-cuantificadores)
3.3 Domótica (Automatización del hogar)
4. Desafíos en privacidad relacionados con la IoT
4.1 La falta de control y asimetría de la información
4.2 Calidad del consentimiento del usuario
4.3 Inferencias derivadas de los datos y de su reproceso
4.4 Trazar de forma intrusiva patrones de comportamiento y perfiles
4.5 Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizan servicios
4.6 Riesgos de seguridad: Seguridad frente a eficiencia
5. Aplicación de la legislación comunitaria para el tratamiento de datos personales en la IoT
5.1 Legislación aplicable
5.2 El concepto de dato personal
5.3 Partes interesadas de la IoT, consideradas  responsables del tratamiento en la UE
5.4 Las personas como titulares de los datos: abonados, usuarios, no-usuarios
6. Las obligaciones que pesan sobre las partes interesadas de la IoT
6.1 Aplicación del artículo 5(3) de la Directiva sobre e-privacidad
6.2 Fundamento jurídico para el tratamiento (artículo 7 de la Directiva 95/46/CE)
6.3 Principios relativos a la calidad de los datos
6.4 Tratamiento de datos sensibles (artículo 8)
6.5 Los requisitos de transparencia (artículos 10 y 11)
6.6 Seguridad (artículo 17)
7. Derechos del interesado
7.1 Derecho de acceso
7.2 Posibilidad de retirar su consentimiento y de oponerse
8. Conclusiones y recomendaciones
8.1 Recomendaciones comunes a todas las partes interesadas
8.2 OS y fabricantes de dispositivos
8.3 Los desarrolladores de aplicaciones
8.4 Las plataformas sociales
8.5 dueños de dispositivos IoT y usuarios adicionales
8.6 Organismos de normalización y  plataformas de datos
9. Bibliografía consultada
10. Derechos de autor


1. Síntesis
La Internet de las Cosas (IoT) se encuentra en el umbral de integrarse en la vida de los ciudadanos europeos. La viabilidad de muchos proyectos de IoT todavía está pendiente de confirmar, pero ya se están fabricando "objetos inteligentes" disponibles para monitorizar y comunicarse con nuestras casas, coches, entorno laboral y actividades físicas.
Actualmente, los dispositivos conectados afrontan con éxito las necesidades de los ciudadanos de la UE en los mercados a gran escala de auto-chequeo y domótica. Así, la IoT mantiene importantes perspectivas de crecimiento para un gran número de empresas innovadoras y creativas de la UE, ya sean grandes o pequeñas, que operan en estos mercados.

El GT29 desea se cumplan esas expectativas en interés de los ciudadanos y de la industria en la UE. Sin embargo, además de proporcionar estos beneficios esperados también deben respetar los muchos retos de seguridad y privacidad que se pueden asociar con la IoT. Surgen muchas dudas en torno a la vulnerabilidad de estos dispositivos, a menudo con sus funciones fuera de una estructura tradicional de TI, careciendo de suficiente nivel de seguridad integrada en ellos.

Las pérdidas de datos, la infección por el malware, también el acceso no autorizado a los datos personales, el uso intrusivo de dispositivos “wereables” o llevables, o la vigilancia ilegal son los principales riesgos que las partes interesadas involucradas en la IoT deben tratar de encarar para atraer a los posibles usuarios finales de sus productos o servicios. Más allá del cumplimiento legal y técnico, lo que está en juego es, de hecho, la consecuencia que puede tener en la sociedad en general.

Las organizaciones que coloquen la privacidad y protección de datos en la vanguardia del desarrollo de productos, estarán en condiciones de asegurar que sus productos y servicios respeten los principios de privacidad desde el diseño (PbD) y están equipadas con privacidad por defecto de forma amigable, que respete la intimidad de la forma esperada por los ciudadanos de la UE.

Por ahora, este análisis sólo se ha manifestado en términos muy generales, por alguno de los reguladores y partes interesadas, en la UE y en otros lugares. El G29 ha decidido tomar cartas en el asunto mediante la adopción de esta opinión.

De esta forma se pretende contribuir a la aplicación uniforme del marco legal de protección de datos respecto a la IoT, así como al desarrollo de un alto nivel de protección con respecto a la protección de los datos personales en la UE. El cumplimiento de este marco no solo es clave para hacerlo a nivel jurídico y técnico sino también, basándose en la calificación de la protección de datos como un derecho humano fundamental, solventar los retos sociales que se han descrito anteriormente.

En consecuencia, el presente dictamen identifica los principales riesgos de protección de datos que se encuentran dentro del ecosistema de la IoT antes de proporcionar orientación sobre la forma de aplicar el marco jurídico de la UE en este contexto. El Grupo de Trabajo apoya la incorporación de las máximas garantías posibles para los usuarios individuales en el núcleo de los proyectos por parte de las partes interesadas pertinentes.

En particular, los usuarios deben poseer el completo control de sus datos personales en todo el ciclo de vida del producto y, cuando las organizaciones se basan en el consenso como base para la elaboración, el consentimiento debe ser plenamente informado, libre y específico. Para ayudarles a cumplir con este fin, el Grupo de Trabajo ha diseñado un amplio conjunto de recomendaciones prácticas dirigidas a las diferentes partes interesadas:
  • Fabricantes de dispositivos.
  • Desarrolladores de aplicaciones.
  • Plataformas sociales.
  • Destinatarios de datos.
  • Plataformas de datos.
  • Organismos de normalización,

para ayudarles a implementar la privacidad y la protección de datos en sus productos y servicios.

De hecho, el empoderamiento de los individuos para mantenerlos informados, libres y seguros, es la clave para apoyar la confianza y la innovación y, por lo tanto, para el éxito en estos mercados. El Grupo de Trabajo cree firmemente que si los interesados ven cumplidas estas expectativas, representará una fuerte ventaja competitiva sobre otros jugadores cuyos modelos de negocio se basan en ocultar a sus clientes cómo se trata y se comparte su información personal, atrapándola en sus ecosistemas.

Teniendo en cuenta los grandes desafíos de protección de datos planteadas por la IoT, el GT29 seguirá vigilando su evolución. Con este fin, se mantiene abierta a la cooperación con otros reguladores y legisladores nacionales o internacionales sobre estas cuestiones. También queda abierto a la discusión con los representantes de la sociedad civil, así como de la industria en cuestión, en particular cuando dichas partes interesadas están operando como responsable o encargado del tratamiento de datos personales en la UE.

2. Introducción

El concepto de Internet de las Cosas (IoT) se refiere a una infraestructura en la que miles de millones de sensores embebidos en dispositivos cotidianos, comunes - "objetos" en sí mismos, o los objetos en relación con otros objetos o individuos - están diseñados para registrar, procesar, almacenar y transferir datos y, ya que están asociados con identificadores únicos, interactuar con otros dispositivos o sistemas que utilizan las capacidades de red. Como la IoT se basa en el principio del tratamiento masivo de los datos recogidos a través de sensores que están diseñados para comunicarse discretamente mediante el intercambio de datos en modo transparente, está estrechamente vinculada a las nociones de computación ubicua.

El objetivo de las partes interesadas de la IoT es ofrecer nuevas aplicaciones y servicios a través del recabado y la combinación adicional de estos datos sobre las personas - ya sea con el fin de medir los datos propios del entorno del usuario "únicamente", o para observar y analizar sus hábitos específicamente. En otras palabras, la IoT generalmente implica el tratamiento de los datos que se refieren a personas físicas identificadas o identificables, y por lo tanto debe calificarse como tratamiento de datos personales en el sentido del artículo 2 de la Directiva de protección de datos de la UE.

Artículo 2 directiva 95/46/CE. Definiciones. A efectos de la presente Directiva, se entenderá por: a) «datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social; (…)”.

El tratamiento de dichos datos en este contexto se basa en la intervención coordinada de un número significativo de partes interesadas como pueden ser los fabricantes de dispositivos -que a veces también actúan como plataformas de datos, agregadores de datos o intermediarios-, los desarrolladores de aplicaciones, plataformas sociales, los prestamistas o arrendatarios de dispositivos, etc. Las funciones respectivas de estos interesados se examinan también en la opinión.

Estas diferentes partes interesadas pueden participar por varias razones:
  • Creando funcionalidades adicionales o interfaces de control fáciles de usar que permiten la gestión de configuraciones técnicas y de privacidad.
  • El usuario normalmente tiene acceso a sus datos recogidos a través de una interfaz web distinta.
  • Una vez que los datos se almacenan de forma remota, pueden ser compartidos con terceros, a veces sin que la persona afectada sea consciente de ello.

En estos casos, la transmisión adicional de sus datos se impone al usuario que no puede impedirlas sin desactivar la mayor parte de las funcionalidades del dispositivo. Como resultado de esta cadena de acciones, la IoT puede poner fabricantes de dispositivos y sus socios comerciales en condiciones de construir o tener acceso a perfiles muy detallados de los usuarios.

A la luz de lo anterior, el desarrollo de la IoT plantea claramente nuevos y significativos desafíos a la privacidad y protección de datos personales. De hecho, si no se controla, algunos desarrollos de la IoT podrían llegar tan lejos como a significar una forma de vigilancia de personas que pueden ser consideradas como ilegales bajo la legislación de la UE.

La IoT también plantea problemas de seguridad importantes como son las brechas de seguridad que pueden entrañar riesgos significativos para la privacidad de las personas cuyos datos se tratan en esos contextos.

Por tanto, el G29 ha decidido emitir el presente dictamen con el fin de contribuir a la identificación y el seguimiento de los riesgos derivados de esas actividades, donde los derechos fundamentales de los ciudadanos de la UE están en juego.

3. Ámbito del Dictamen: Foco específico en 3 desarrollos de la IoT
En esta etapa, es imposible predecir con certeza el grado en que la IoT se desarrollará. Esto es en parte debido al desconocimiento de cómo se llevará a cabo la transformación de todos los datos procedentes de la IoT en algo útil y, por lo tanto, comercialmente viable. Tampoco están claras la posible convergencia y las sinergias de la IoT con otros desarrollos tecnológicos como la Computación en la Nube  y el análisis predictivo que, en esta etapa, sólo se refieren a la evolución del mercado emergente.

En consecuencia, el GT29 ha decidido centrarse esencialmente en el presente dictamen en tres desarrollos específicos de la IoT:
  • Wearables o “Informática para llevar encima”.
  • Quantified Self o “Auto-cuantificadores”.
  • Domótica o “Automatización del Hogar”.

Están directamente enlazados mediante una interfaz con el usuario y corresponden a dispositivos y servicios que están actualmente en uso, por lo que se prestan a un análisis bajo las actuales leyes de protección de datos.

El presente dictamen de este modo no se ocupa específicamente de aplicaciones B2B y las cuestiones más globales como desarrollos de "ciudades inteligentes", "transportes inteligentes", así como M2M (“máquina a máquina”). No obstante, se pueden aplicar los principios y recomendaciones de este dictamen fuera de su ámbito estricto y cubrir estos otros desarrollos en la IoT.

3.1 Wearable Computing (Informática para llevar encima)
Wearable Computing se refiere a la ropa de diario y los complementos llevables, tales como relojes y gafas, en los que se incluyen sensores para extender sus funcionalidades. Los objetos Wearable son susceptibles de ser rápidamente adoptados en la medida en que extienden la utilidad ofrecida por los objetos cotidianos que ya son familiares a la persona - más aún ya que apenas pueden diferenciarse de sus análogos inconexos.

Pueden integrar cámaras, micrófonos y sensores que permiten grabar y transferir los datos al fabricante del dispositivo. Por otra parte, la disponibilidad de una API para dispositivos portátiles (por ejemplo Android Wear) también es compatible con la creación de aplicaciones de terceros que pueden obtener de este modo el acceso a los datos recogidos por esos objetos.

3.2 Quantified Self  (Auto-cuantificadores)
Objetos  auto-cuantificadores están diseñados para ser llevados regularmente por personas que quieren registrar información sobre sus propios hábitos y estilos de vida. Por ejemplo, una persona puede querer usar un rastreador de sueño cada noche para obtener una amplia visión de los patrones de sueño. Otros dispositivos se centran en los movimientos de seguimiento, tales como contadores de actividad que miden continuamente y reportan indicadores cuantitativos relacionados con la actividad física del individuo, como calorías quemadas o distancias recorridas, entre otros.

Algunos objetos miden además el peso, pulso y otros indicadores de salud.

Mediante la observación de las tendencias y cambios en el comportamiento a través del tiempo, los datos recogidos pueden ser analizados para inferir información relacionada con la salud cualitativa incluyendo evaluaciones sobre la calidad y los efectos de la actividad física sobre la base de umbrales predefinidos y la probable presencia de síntomas de enfermedades, hasta cierto punto.

A menudo se requieren sensores autónomos cuantificados para ser usados en condiciones específicas, para extraer información relevante. Por ejemplo, un acelerómetro colocado en el cinturón de un interesado, con los algoritmos apropiados, podría medir los movimientos abdomen (datos en bruto), extraer información sobre el ritmo de la respiración (agregado de datos y la información extraída) y mostrar el nivel de estrés del titular de los datos (datos visualizables). En algunos dispositivos, sólo esta última información se divulga para el usuario, pero el fabricante del dispositivo o el proveedor de servicios pueden tener acceso a muchos más datos que podrían ser analizados en una etapa posterior.

Los auto-cuantificadores son un reto respecto a los tipos de datos recogidos que están relacionados con la salud y, por lo tanto, potencialmente sensibles, así como a la extensa colección de estos datos. De hecho, ya que este movimiento se centra en motivar a los usuarios a permanecer saludables, tiene muchas conexiones con el ecosistema e-salud. No obstante, investigaciones recientes han cuestionado la precisión real de las medidas y las inferencias realizadas a partir ellos.

3.3 Domótica (Automatización del hogar)
Hoy en día, los dispositivos IoT también se pueden colocar en oficinas u hogares como bombillas de luz “conectadas”, termostatos, detectores de humo, estaciones meteorológicas, lavadoras u hornos que pueden ser controlados de forma remota a través de Internet. Por ejemplo, los objetos que contienen sensores de movimiento puede detectar y registrar cuando un usuario está en casa, cuales son sus patrones de movimiento y, tal vez, desencadenar acciones específicas previamente determinadas (por ejemplo, encender una luz o la alteración de la temperatura ambiente). La mayoría de los dispositivos de domótica están constantemente conectados y pueden transmitir datos de nuevo al fabricante.

Obviamente, la domótica plantea desafíos específicos de privacidad y protección de datos. Un análisis de los patrones de uso en este contexto es probable que revele detalles de estilo de vida de los habitantes, hábitos u opciones o simplemente su presencia en el país.

Las tres categorías de los dispositivos mencionados anteriormente son ejemplarizantes de la mayoría de los principales problemas de privacidad relacionados con la IoT en su estado actual. Cabe señalar, sin embargo, que estas categorías no son excluyentes: por ejemplo, un dispositivo “wearable” como un reloj inteligente podría ser usado para el control de la frecuencia cardiaca, es decir, para auto-cuantificación de la salud.

4. Desafíos en privacidad relacionados con la IoT
El GT29 ha decidido emitir este específico Dictamen sobre la consideración de que la IoT plantea una serie de importantes desafíos de privacidad y protección de datos, algunos nuevos, otros más tradicionales, pero ambos amplificados con respecto al aumento exponencial de procesamiento de datos que implica su evolución. La importancia de la aplicación del marco jurídico de protección de datos de la UE y las correspondientes recomendaciones prácticas que siguen a continuación debe ser vista a la luz de estos desafíos.

4.1 La falta de control y asimetría de la información
Como resultado de la necesidad de proporcionar servicios generalizados de forma discreta, los usuarios pueden encontrarse en la práctica bajo la supervisión de terceros. Esto puede dar lugar a situaciones en las que el usuario puede perder el control sobre la difusión de sus propios datos, en función de que el recabado y el tratamiento de estos datos se haga de forma transparente o no.

Generalmente, la interacción entre los objetos, entre los objetos y dispositivos individuales, entre individuos y otros objetos, y entre los objetos y sistemas back-end dará lugar a la generación de flujos de datos que difícilmente se pueden manejar con las herramientas clásicas utilizadas para garantizar la adecuada protección de los intereses y derechos de los interesados.

Por ejemplo, a diferencia de otros tipos de contenido, los datos subidos provenientes de la IoT pueden no estar adecuadamente sujetos al control del titular antes de su publicación, lo que sin duda genera un riesgo de falta de control y auto-exposición excesiva para el usuario. Además, la comunicación entre objetos puede ser activada automáticamente, así como por defecto, sin que el individuo sea consciente de ello.

En la ausencia de la posibilidad de controlar eficazmente cómo interactúan los objetos o de ser capaz de definir límites virtuales mediante la definición de zonas activas o no activas para objetos específicos, será extraordinariamente difícil de controlar el flujo de datos generado. Será aún más difícil de controlar su utilización posterior, y de ese modo prevenir la función de fluencia potencial.

Este problema de la falta de control, que se refiere también a otros avances técnicos como la Computación en Nube o de Big Data, es aún más desafiante cuando se piensa que estas diferentes tecnologías emergentes pueden ser utilizadas en combinación.

4.2 Calidad del consentimiento del usuario
En muchos casos, el usuario puede no ser consciente del tratamiento de datos llevado a cabo por los objetos específicos. Esa falta de información constituye una barrera importante para demostrar el consentimiento válido en virtud de la legislación comunitaria, ya que el interesado debe ser informado. En tales circunstancias, el consentimiento no puede ser considerado como una base legal para el tratamiento de la información correspondiente en virtud de la legislación comunitaria.

Dispositivos wearables, tales como relojes inteligentes, pueden no ser perceptibles: [2] la mayoría de los observadores no podrían distinguir un reloj normal de uno conectado, cuando éste puede incrustar cámaras, micrófonos y sensores de movimiento que pueden grabar y transferir datos sin los individuos ser conscientes, y aún menos consentir, a dicho tratamiento. Esto plantea la cuestión de la identificación de procesamiento de datos a través del Wearable Computing, que podría resolverse previendo señalización adecuada que fuera realmente visible a los titulares de los datos.

Además, al menos en algunos casos, la posibilidad de renunciar a ciertos servicios o características de un dispositivo de la IoT es más un concepto teórico que una alternativa real. Esas situaciones llevan a la pregunta de si el consentimiento del usuario para el tratamiento de datos subyacente puede ser considerado como libre, por lo tanto, válido en virtud de la legislación comunitaria.

Además, los mecanismos clásicos utilizados para obtener el consentimiento de los individuos pueden ser difíciles de aplicar en la IoT, lo que resulta en un consentimiento "de baja calidad", basado en la falta de información o la imposibilidad fáctica para dar su consentimiento ajustado de acuerdo con el las preferencias expresadas por los individuos. En la práctica, hoy en día, parece que los dispositivos sensores se diseñan generalmente ni para proporcionar  información por sí mismos ni para ofrecer un mecanismo válido para obtener el consentimiento del interesado.

No obstante, las nuevas formas de obtener un consentimiento válido del usuario deben ser considerados por las partes interesadas de la IoT, incluyendo la aplicación de mecanismos de consentimiento a través de los propios dispositivos. Ejemplos específicos, como Privacy Proxies y Sticky Policies, se mencionan más adelante en este documento.

4.3 Inferencias derivadas de los datos y de su reproceso
El aumento de la cantidad de datos generados por el IoT en combinación con las técnicas modernas relacionadas con el análisis de datos y pruebas cruzadas pueden utilizar esos datos para usos secundarios, ya sea relacionada o no con el propósito asignado al tratamiento inicial. Las terceras partes que soliciten el acceso a los datos recogidos inicialmente por otras partes pueden desear hacer uso de esos datos para fines totalmente distintos.

Los datos aparentemente insignificantes recogidos originalmente a través de un dispositivo (por ejemplo el acelerómetro y el giroscopio de un teléfono inteligente), entonces pueden utilizarse para inferir otra información con un significado totalmente diferente (por ejemplo, los hábitos de conducción del individuo). Esta posibilidad de derivar inferencias a partir de esa información "en bruto" se debe combinar con los riesgos clásicos analizados en relación a la “agregación de sensores”, un fenómeno que es bien conocido en informática.

Los Auto-cuantificables también ilustran la cantidad de información que se puede inferir de los sensores de movimiento mediante la agregación y el análisis avanzado. Estos dispositivos suelen utilizar sensores elementales para capturar datos en bruto (por ejemplo, los movimientos de los sujetos) y se basan en algoritmos sofisticados para extraer información sensible (por ejemplo, el número de pasos) y deducir información potencialmente sensible que se mostrará a los usuarios finales (por ejemplo, su condición física).

Tal tendencia pone de manifiesto retos específicos. De hecho, mientras que el usuario se siente cómodo con el intercambio de la información original para un propósito específico, puede no querer compartir esa información secundaria que podría emplearse para fines totalmente distintos. Por lo tanto es importante que, en cada nivel (ya sea en bruto, o mediante datos extractados o visualizables), las partes interesadas de la IoT se aseguren de que los datos se utiliza para fines que son totalmente compatibles con el propósito original y que ese propósito es conocido por el usuario.

4.4 Trazar de forma intrusiva patrones de comportamiento y perfiles
A pesar de que diferentes objetos recogerán por separado piezas aisladas de información, una cantidad suficiente de datos recogidos y analizados puede revelar aspectos específicos de hábitos, comportamientos y preferencias del individuo. Como se ha visto anteriormente, la generación de conocimiento a partir de datos anónimos triviales se verá facilitada por la importante proliferación de sensores, y la mejora de la capacidad de análisis.

Más allá de esto, el análisis basado en la información atrapada en un entorno IoT podría permitir la detección de patrones de forma de vida y de comportamiento aún más detallados y completos de un individuo.

De hecho, esta tendencia es probable que tenga un impacto en la forma en que el individuo se comporte realmente, de la misma manera que se ha demostrado que el uso intensivo de circuito cerrado de televisión ha influido en la conducta de los ciudadanos en los espacios públicos. Con la IoT, dicha vigilancia potencial puede ahora llegar a la esfera más íntima de la vida de los individuos, incluidos los hogares. Esto pondrá  presión en el individuo para evitar un comportamiento no habitual a fin de evitar la detección de lo que podría ser percibido como anomalías. Esta tendencia sería muy intrusiva en la vida privada y la intimidad de las personas y debe ser vigilado muy de cerca.

4.5 Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizan servicios
El pleno desarrollo de las capacidades de la IoT puede poner tensión en las posibilidades actuales de uso anónimo de los servicios y, en general limitar la posibilidad de permanecer inadvertido.

Por ejemplo, los objetos usables en las proximidades de los interesados, a resultas de  disponer de una gama de identificadores, como las direcciones MAC de los dispositivos, podrían ser útiles para generar datos de seguimiento de localización del interesado a partir de sus huellas digitales. El recabado de múltiples direcciones MAC procedentes de múltiples sensores de dispositivos, ayudará a crear huellas digitales únicas e identificadores más estables, que las partes interesadas de la IoT podrán atribuir a individuos específicos. Estas huellas digitales identificadoras pueden ser utilizadas para una variedad de propósitos, incluyendo el análisis de la ubicación o  el análisis de los patrones de movimiento de las multitudes y las personas.

Esta tendencia se debe considerar junto al hecho de que dichos datos se pueden combinar después con otros datos emitidos desde otros sistemas (por ejemplo, CCTV o en los registros de Internet).

En tales circunstancias, algunos datos de los sensores son particularmente vulnerables a los ataques de re-identificación.

A la luz de lo anterior, es claro que permanecer en el anonimato y la preservación de la vida privada en la IoT será cada vez más difícil. El desarrollo de la IoT implica importantes preocupaciones de protección de datos y privacidad en ese sentido.

4.6 Riesgos de seguridad: Seguridad frente a eficiencia
La IoT plantea varios desafíos en los dispositivos, concretamente relacionados con problemas de seguridad y de optimización de recursos, que obligan a los fabricantes a equilibrar la eficiencia de la batería y la seguridad del dispositivo. En particular, todavía no está claro cómo los fabricantes de dispositivos equilibrarán la implementación de medidas de confidencialidad, integridad y disponibilidad para todos los niveles de la secuencia de procesamiento, con la necesidad de optimizar el uso de recursos computacionales - y energía – de los objetos y sensores.

En consecuencia, existe el riesgo de que la IoT puede transformar un objeto diario en un objetivo potencial, en relación a la privacidad y seguridad de la información, siendo la visibilidad de esos objetivos mucho más amplia que la realidad actual de Internet. Dispositivos conectados menos seguros representan nuevas formas potencialmente eficientes de ataque, incluyendo la facilidad de las prácticas de vigilancia, las violaciones de datos resultantes en que los datos personales sean robados o comprometidos, lo que pueden tener efectos generalizados sobre derechos de los consumidores y la percepción del individuo en relación a la seguridad de la IoT.

También se espera que los dispositivos y plataformas de la IoT intercambien datos y los almacenen en infraestructuras de proveedores de servicios. Por lo tanto la seguridad de la IoT no debe ser concebida considerando únicamente la seguridad de los dispositivos, sino también los enlaces de comunicación, la infraestructura de almacenamiento y otros insumos de este ecosistema.

De la misma manera, la presencia de diferentes niveles de procesamiento, cuya técnica de diseño e implementación son proporcionados por diferentes grupos de interés, no garantiza la adecuada coordinación entre todos ellos y puede dar lugar a la presencia de puntos débiles que pueden ser utilizados para explotar vulnerabilidades.

Por ejemplo, la mayoría de los sensores presentes actualmente en el mercado no son capaces de establecer un vínculo cifrado de las comunicaciones ya que las necesidades adicionales de computación tendrá gran impacto en un dispositivo limitado per se  por unas baterías de baja potencia. Con respecto a la seguridad extremo a extremo, el resultado de la integración de los componentes físicos y lógicos proporcionados por un conjunto de diferentes actores sólo garantiza el nivel de seguridad que ofrece el componente más débil.

5. Aplicación de la legislación comunitaria para el tratamiento de datos personales en la IoT

5.1 Legislación aplicable
El marco jurídico relevante para evaluar los problemas de privacidad y protección de datos planteados por la IoT en la UE se compone de la Directiva 95/46/CE, así como las disposiciones específicas de la Directiva 2002/58/CE, modificada por la Directiva 2009/136/CE.

Este marco es de aplicación  cuando se cumplen las condiciones de su vigencia como se establece en el artículo 4 de la Directiva 95/46/CE. El Grupo de Trabajo ha proporcionado una amplia orientación sobre la interpretación de las disposiciones del artículo 4, es decir, en su dictamen 8/20108 en la legislación aplicable.

En particular, de acuerdo con el artículo 1.4 (a) de la Directiva, la legislación nacional de un Estado miembro es aplicable a todo tratamiento de datos personales llevado a cabo "en el contexto de un establecimiento" del tratamiento en el territorio de ese Estado miembro. Esta noción de establecimiento en el contexto de la economía basada en Internet ha sido recientemente objeto de una interpretación muy completa por el Tribunal Europeo de Justicia (TJUE).

La ley nacional de un Estado miembro también es aplicable en los casos en que el tratamiento no esté establecido en el territorio comunitario, pero hace uso de "equipos", situados en el territorio de dicho Estado miembro (artículo 1.4 (c)). Por lo tanto, aun cuando una de las partes interesadas de la IoT calificado como un responsable del tratamiento según la Directiva 95/46/CE, no está establecido en la UE en el sentido del artículo 1.4 (a), si participa en el desarrollo, la distribución o el funcionamiento de los dispositivos de la IoT, seguirá estando probablemente sujeto a la legislación de la UE en la medida en que procesa los datos recogidos a través de los "equipos" de los usuarios ubicados en la UE.

De hecho, todos los objetos que se utilizan para recopilar y procesar datos de la persona en el contexto de la prestación de servicios en la IoT califican como equipos en el sentido de la Directiva. Esta calificación se aplica obviamente a los propios dispositivos: Ccontadores de pasos, rastreadores del sueño, dispositivos caseros "conectados" como termostatos, detectores de humo, gafas de realidad aumentada que estén conectadas o relojes inteligentes, etc. También se aplica a los dispositivos terminales de usuario (por ejemplo, teléfonos inteligentes o tabletas) en los que el software o aplicaciones previamente instaladas en ambos monitorear el entorno del usuario a través de sensores integrados o interfaces de red, y luego envían los datos recogidos por estos dispositivos a los distintos controladores de datos implicados.

La identificación del papel de los diferentes actores involucrados en la IoT será esencial para calificar su estado legal como de tratamiento de datos, y así identificar el Derecho nacional aplicable al tratamiento que corresponda, así como sus respectivas responsabilidades. Se analizará la identificación del papel de las partes interesadas, involucradas en la IoT, más adelante en la sección 5.3.

5.2 El concepto de dato personal
El Derecho de la UE se aplica al tratamiento de los datos personales según lo definido en el artículo 2 de la Directiva 95/46/CE. El Grupo de Trabajo ha proporcionado una amplia orientación sobre la interpretación de este concepto, es decir, en su Dictamen 4/2007 sobre el concepto de dato personal.
En el contexto de la IoT, a menudo se da el caso de que un individuo pueda ser identificado sobre la base de los datos que se originan en "cosas". De hecho, estos datos pueden permitir discernir el patrón de vida de un determinado individuo o familiar -por ejemplo, datos generados por el control centralizado de iluminación, calefacción, ventilación y aire acondicionado-.

Por otra parte, incluso los datos relativos a las personas que vayan a ser tratados sólo después de la implementación de apócrifos, o incluso de técnicas de anonimización puede tener que ser considerado como un dato personal. De hecho, la gran cantidad de datos procesados de forma automática en el contexto de la IoT implica riesgos de re-identificación. En este punto, el Grupo de Trabajo se refiere a los acontecimientos relevantes descritos en su reciente dictamen sobre técnicas de anonimización, que ayuda a la identificación de estos riesgos y formula recomendaciones sobre la aplicación de estas técnicas.

5.3 Partes interesadas de la IoT, consideradas  responsables del tratamiento en la UE
El concepto de tratamiento de datos y su interacción con el concepto de responsable del tratamiento  son fundamentales en la aplicación de la Directiva 95/46/CE, ya que condicionan las responsabilidades respectivas de las distintas organizaciones que participan en la implementación de un proceso de datos con respecto a las normas de protección de la UE.

Los interesados pueden consultar en el Dictamen 1/2010 WP29 los conceptos de "responsable" y "encargado", que proporcionan orientación sobre la aplicación de este concepto a los sistemas complejos con múltiples actores, donde muchos escenarios implican responsables y encargados, solos o conjuntamente, con diferentes grados de autonomía y responsabilidad.

De hecho, la aplicación de la IoT implica casualmente la intervención combinada de múltiples partes interesadas - como los fabricantes de dispositivos, plataformas sociales, aplicaciones de terceros, los prestamistas de dispositivo o los arrendatarios, data brokers o plataformas de datos.

El complejo entramado de actores involucrados pide / implica la necesidad de una asignación precisa de responsabilidades legales entre ellos en lo que respecta al tratamiento de datos personales del interesado, en base a las características específicas de sus respectivas intervenciones.

5.3.1 Los fabricantes de dispositivos
Los fabricantes de dispositivos en la IoT hacen más que únicamente vender artículos físicos a sus clientes o productos de marca blanca a otras organizaciones. También pueden haber desarrollado o modificado el sistema operativo del "objeto" o un programa que garantice su funcionalidad en general, incluidos los datos y la frecuencia de recogida, el cuándo y a quién se transmiten los datos,  y con qué efectos (por ejemplo, las empresas podrían fijar el precio del seguro de sus empleados basándose en los datos reportados por dispositivos wearables seguidores de lo que hacen).
La mayor parte de ellos en realidad recogen y procesan los datos personales que se generan por el dispositivo, con fines y medios que han decidido en su totalidad. De este modo, se califican como responsables del tratamiento en virtud la legislación de la UE.

5.3.2 Las plataformas sociales
Los interesados son aún más propensos a hacer uso de las cosas conectadas cuando pueden compartir esos datos públicamente o con otros usuarios. En particular, los usuarios de dispositivos calificados como autónomos tienden a compartir los datos con otros en redes sociales para fomentar una forma de competencia positiva dentro del grupo.

Esa compartición de los datos recogidos y agregados por "objetos" en las redes sociales, a menudo se llevará a cabo de forma automática, una vez que el usuario ha configurado la aplicación en ese sentido. Entonces, la capacidad de compartir comúnmente pertenece a la configuración predeterminada como estándar de aplicaciones proporcionadas por el fabricante.

La agregación de estos informes en las plataformas sociales implica responsabilidades específicas de protección de datos ahora se aplican a ellos. Estos datos subidos por el usuario en ellas, cuando son procesados por las redes sociales para fines distintos de los que hayan acordado ambos se califican como responsables del tratamiento de datos en su propio derecho en virtud de la legislación comunitaria.

Por ejemplo, una red social puede utilizar la información recopilada por un podómetro para inferir que un usuario en particular es un corredor regular y muestra sus anuncios sobre los zapatos para correr. Las consecuencias de esta calificación se han detallado en el anterior Dictamen WP9 sobre redes sociales.

5.3.3 Terceros desarrolladores de aplicaciones
Muchos sensores proporcionan APIs para facilitar el desarrollo de aplicaciones. Para utilizar estas aplicaciones, los interesados tienen que instalar las aplicaciones de terceros que les permitan acceder a sus datos, almacenados por el fabricante del dispositivo. La instalación de estas aplicaciones a menudo consiste en proporcionar al desarrollador de la aplicación un acceso a los datos a través de la API.
Algunas aplicaciones pueden recompensar a los usuarios de objetos concretos. Por ejemplo, una aplicación desarrollada por una compañía de seguros de salud podría recompensar a los usuarios de “objetos” de auto-cuantificación, o una compañía de seguros de hogar podría desarrollar una aplicación específica para asegurarse de que las alarmas de incendio conectadas de sus clientes estuvieran correctamente configuradas.

A menos que estos datos sean completamente anónimos, tal acceso constituye una transformación en el marco del artículo 2 de la Directiva 95/46/CE, por lo que el desarrollador de la aplicación que ha decidido este acceso a los datos debe ser considerado como un responsable del tratamiento en virtud de la legislación comunitaria.

Dichas aplicaciones se instalan tradicionalmente en base al opt-in. De hecho, en relación al acceso, éste debe estar sometido a la exigencia de obtener el consentimiento previo del usuario, debiendo estar claramente determinado, específicado e informado. La experiencia demuestra, sin embargo, que muchas veces las solicitudes de autorización realizadas por los desarrolladores de aplicaciones de terceros no muestran suficiente información para que el consentimiento del usuario pueda ser considerado como específico y suficientemente informado y, por lo tanto válido según la legislación de la UE (véase más adelante).

5.3.4 Otros terceros
Los terceros que no sean los fabricantes de dispositivos ni desarrolladores de aplicaciones pueden utilizar dispositivos IoT para recoger y procesar información sobre los individuos. Por ejemplo, los seguros de salud pueden desear dar podómetros a los clientes para controlar la frecuencia con que realizan ejercicio y adaptar sus primas de seguro en consecuencia.
A diferencia de los fabricantes de dispositivos, tales terceros no tienen control sobre el tipo de datos recogidos por el objeto. Sin embargo, ellos son calificados como responsables del tratamiento para el proceso concreto de esos datos, en la medida en que recogen y almacenan los datos generados por estos dispositivos  IoT para fines específicos que han decidido ellos mismos.

Ejemplo: Una compañía de seguros lanza un nuevo desafío y ofrece un contador de pasos a los abonados que deseen solicitar cuotas más bajas. Los suscriptores que acepten la oferta recibirán un contador de pasos configurado y registrado por la compañía. Mientras que los suscriptores pueden acceder a los datos registrados por su contador de pasos, los propios dispositivos son propiedad de "FeelGood", que también tiene acceso a los datos de sus suscriptores. En ese contexto, los suscriptores deben ser considerados como interesados titulares de los datos y tener acceso a su cuenta en la aplicación de conteo de pasos, mientras que la compañía de seguros se califica como un responsable del tratamiento.

5.3.5 plataformas de datos IoT
Debido a la falta de estandarización e interoperabilidad, la “Internet de los Objetos” es a veces vista como una "Intranet de los objetos" en la que cada fabricante ha definido su propio conjunto de interfaces y formatos de datos. Los datos se encuentran alojado entonces en entornos de paredes, lo que impide de manera efectiva a los usuarios la transferencia (ni siquiera combinando) sus datos de un dispositivo a otro.

Sin embargo, los teléfonos inteligentes y las tabletas se han convertido en las pasarelas naturales de los datos recogidos a través de muchos dispositivos IoT a internet. Como resultado, los fabricantes han desarrollado progresivamente plataformas que tienen como objetivo alojar los datos recogidos a través de este tipo de dispositivos diferentes, con el fin de centralizar y simplificar su gestión.

Estas plataformas también se pueden calificar como responsables del tratamiento  en virtud de la legislación de protección de datos de la UE, cuando el desarrollo de este tipo de servicios efectivamente implica que recogen datos personales de los usuarios para sus propios fines.

5.4 Las personas como titulares de los datos: abonados, usuarios, no-usuarios
Los suscriptores y más generalmente los usuarios de la IoT se califican como titulares de los datos en virtud de la legislación comunitaria.

Si los datos que se recogen y almacenan se utilizan exclusivamente para sus fines personales o domésticos, caerán bajo la llamada "exención doméstica" de la Directiva 95/46/CE. Sin embargo, en la práctica, el modelo de negocio de la IoT implica que los datos del usuario se transfieren de forma sistemática a los fabricantes de dispositivos, desarrolladores de aplicaciones y otros terceros que se califican como responsables del tratamiento. La "exención doméstica" será por lo tanto de aplicación limitada en el contexto de la IoT.

El tratamiento de los datos en la IoT también puede referirse a las personas que no son ni los suscriptores ni los usuarios reales de la IoT. Por ejemplo, los dispositivos portátiles como gafas inteligentes tienden a recopilar datos sobre otros titulares de los datos además del propietario del dispositivo. Es importante destacar que este factor no impide que la legislación comunitaria se aplique a este tipo de situaciones. La aplicación de las normas de protección de datos de la UE no está condicionada por la propiedad de un dispositivo o terminal, sino por el tratamiento de los datos personales en sí mismos, sea quien sea la persona física a quién pertenezca ese dato.

6. Las obligaciones que pesan sobre las partes interesadas de la IoT
Las partes interesadas de la IoT se califican como responsables del tratamiento (ya sea individualmente o conjuntamente con otros) en virtud de la legislación comunitaria deben cumplir con las diferentes obligaciones que pesan sobre ellos en aplicación de la Directiva 95/46/CE y las disposiciones pertinentes de la Directiva 2002/58/CE, en su caso. El presente dictamen sólo se ocupa de la aplicación de disposiciones que merecen una atención especial en este contexto, pero este enfoque limitado no excluye la aplicación de otras disposiciones restantes.

6.1 Aplicación del artículo 5(3) de la Directiva sobre e-privacidad
El artículo 5(3) de la Directiva 2002/58/CE se aplica a situaciones en las que un actor almacena o dispone de acceso a la información ya almacenada en un dispositivo IoT, en tanto que los dispositivos IoT se califican como un "equipo terminal" a efectos de la disposición. Esta disposición exige que el suscriptor o usuario en cuestión preste su consentimiento a dicho  acceso al almacenamiento para que estas acciones sean legítimas, a menos que sean "estrictamente necesarias a fin de proporcionar un servicio expresamente solicitado por el abonado o usuario".

Este requisito es especialmente importante cuando partes interesadas distintas del usuario o suscriptor puedan tener acceso a la información sensible de carácter personal almacenada en dicho equipo terminal.

El requisito del consentimiento en el artículo 5(3) se refiere principalmente al fabricante del dispositivo, pero también a todas las partes interesadas que deseen tener acceso a estos datos agregados en bruto almacenados en esta infraestructura. También se aplica a cualquier responsable del tratamiento que desee almacenar datos adicionales en el dispositivo del usuario.

En tales circunstancias, las partes interesadas en la IoT deben asegurarse de que el interesado haya dado su consentimiento efectivo a dicho almacenamiento y/o acceso, después de obtener información clara y completa del responsable del tratamiento sobre, entre otras cosas, los fines del tratamiento.

Por lo tanto, el consentimiento del usuario debe ser obtenido antes de acceder a la información del dispositivo que se puede utilizar para generar una huella digital (incluyendo dispositivos portátiles). El Grupo de Trabajo ya emitió orientación sobre el concepto de consentimiento para las cookies o tecnologías de rastreo similares en su Documento de Trabajo 02/2013 (WP-208) y que proporcionará más orientación sobre esta cuestión en su futuro dictamen sobre huellas dactilares.

Ejemplo: Un podómetro registra el número de pasos dados por su usuario y almacena esta información en su memoria interna. El usuario instala una aplicación en su ordenador para descargar directamente el número de pasos de su dispositivo. Si el fabricante del dispositivo quiere cargar los datos de los podómetros en sus servidores, tiene que obtener el consentimiento del usuario en virtud del artículo 5 (3) de la Directiva 2002/58/CE. Una vez que el fabricante del dispositivo ha cargado los datos en sus servidores, sólo mantiene los datos agregados sobre el número de pasos por minuto. Una aplicación que solicita el acceso a tales datos, en la medida en que se almacena en el servidor del fabricante del dispositivo, a continuación, no está sujeta al artículo 5 (3) de la Directiva sobre e-privacidad, pero si a lo dispuesto en la Directiva 95/46/CE relativa a la legitimidad del tratamiento posterior.

Además, el propietario de un dispositivo IoT y la persona cuyos datos serán monitorizados (el interesado) podrían ser diferentes personas. Esta situación puede conducir a una aplicación distribuida del artículo 5 (3) de la Directiva 2002/58/CE y de la Directiva 95/46/CE.

Ejemplo: un servicio de alquiler de coches instala un dispositivo inteligente de seguimiento de vehículos en sus coches de alquiler.  Aunque el servicio de alquiler de coches considerará al propietario/suscriptor del servicio de dispositivo/seguimiento, el individuo que alquile el coche se califica como usuario del dispositivo. El artículo 5 (3), exige al fabricante del dispositivo (al menos) obtener el consentimiento del usuario del dispositivo, en este caso el individuo que alquila el coche. Por otra parte, la legitimidad del tratamiento de datos personales relativos a las personas que alquilan coches será sometido a los distintos requerimientos del artículo 7 de la Directiva 95/46/CE.

6.2 Fundamentos jurídicos para el tratamiento (artículo 7 de la Directiva 95/46/CE)
Las partes interesadas en la IoT calificadas como responsables del tratamiento (ver sección 6.3) tienen que cumplir uno de los requisitos, enumerados en el artículo 7 de la presente Directiva para el tratamiento de los datos personales,  para que éste sea legítimo. Estos requisitos se aplican a algunos de estos grupos de interés en la parte superior de la aplicación del artículo 5 (3), cuando el tratamiento que está en juego va más allá del almacenamiento de, o el acceso a, la información almacenada en los equipos terminales del usuario/abonado.

En la práctica, tres fundamentos jurídicos son relevantes en este contexto:
  • El primer fundamento jurídico en el que se debe confiar especialmente en el marco de la IoT es el principio de Consentimiento (Artículo 7 (a)), ya sea cumplido por los fabricantes de dispositivos, plataformas sociales o de datos, arrendadores de dispositivos o terceros desarrolladores. En varias ocasiones, el Grupo de Trabajo también ha publicado orientaciones sobre la aplicación simultánea de los requisitos del artículo 7 (a) y el artículo 5 (3) de la Directiva 2002/58/CE. Las condiciones para que tal consentimiento sea válido bajo la legislación comunitaria también se han especificado en un anterior opinión del Grupo de Trabajo.
  • El segundo fundamento jurídico corresponde al artículo 7 (b). Dispone que el procesamiento es legítima cuando es necesario para el cumplimiento de un contrato en el que el interesado sea parte. El alcance de este fundamento jurídico está limitada por el criterio de "necesidad", que requiere una relación directa y objetiva entre el propio tratamiento y el propósito de la relación contractual que espera el interesado titular de los datos.
  • El tercer fundamento jurídico se corresponde con el artículo 7 (f). Permite el tratamiento de datos personales cuando éste es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, excepto cuando ante dichos intereses prevalezcan los intereses o los derechos fundamentales y las libertades de las personas afectadas - en especial su derecho a la privacidad con respecto al tratamiento de datos personales - que requieren la protección del artículo 1 (1) de la Directiva.

En su sentencia en el caso Google España, el Tribunal Europeo de Justicia (TJUE) ha proporcionado orientaciones fundamentales sobre la interpretación de esta disposición, además de la ya prevista con anterioridad en los casos conjuntos ASNEF y FECEMD (C-468/10 y C-469/10).

El tratamiento de los datos personales de un individuo en el contexto de la IoT es probable que afecte de forma significativa a sus derechos fundamentales a la intimidad y a la protección de datos personales que en otras situaciones, sin dispositivos IoT, los datos no estarían interconectados o únicamente con gran dificultad. Estas situaciones pueden ocurrir cuando los datos recogidos se refieren a la salud de un individuo, al hogar o a su intimidad, a su ubicación y a muchos otros aspectos de su vida privada.

A la luz de la gravedad potencial de esta interferencia, es evidente que dicho tratamiento apenas se justifica por el interés económico que un actor pueda tener del procesamiento de la IoT. Otros intereses perseguidos por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos deben entrar en juego.

Ejemplo: En el marco de un plan para promover el uso del transporte público y reducir la contaminación, el Ayuntamiento quiere regular el aparcamiento en el centro de la ciudad mediante la imposición de restricciones de acceso, así como tarifas de estacionamiento. La cuantía de la tasa depende de varios parámetros, incluyendo el tipo de motor (diésel, gasolina, eléctrico) y la edad del vehículo. Una vez que el vehículo se acerca a una plaza de aparcamiento gratuito, un sensor puede leer la placa de matrícula con el fin de averiguar, a instancias de una base de datos, el recargo o descuento que se aplicará de forma automática en función de criterios predefinidos. En este caso, el procesamiento de la información de la placa de licencia para la determinación de la cuota podría satisfacer el interés legítimo del responsable del tratamiento. El tratamiento posterior, como la obtención de información no- anonimizada en la circulación de vehículos a través de la zona restringida requeriría el uso de otro fundamento jurídico.

6.3 Principios relativos a la calidad de los datos
Tomados en conjunto, los principios consagrados en el artículo 6 de la Directiva 95/46/CE constituyen una piedra angular de la ley de protección de datos de la UE.

Los datos personales deben ser recogidos y tratados de manera leal y lícita. El principio de equidad requiere específicamente que los datos personales no deben ser recogidos y procesados sin que el individuo realmente sea consciente de ello. Este requisito es tanto más importante en relación con la IoT al estar los sensores  realmente diseñado para no ser invasivos, es decir, tan invisibles como sea posible.

No obstante, los responsables del tratamiento que actúan en la IoT (primero y ante todo los fabricantes de dispositivos) deben informar a todas las personas en la vecindad geográfica, o vecindad digital, de los dispositivos conectados cuando se recogen los datos relacionados con ellos o su entorno.

El cumplimiento de esta disposición va más allá de un requisito legal estricto: El recabado  justo pertenece a las expectativas más importantes de los usuarios en relación con la IoT, en particular en cuanto a Wearable Computing.

Ejemplo: Un dispositivo relacionado con la salud utiliza una pequeña luz para controlar el flujo de sangre en las venas, y para obtener información del latido. El dispositivo incluye otro sensor que mide el nivel de oxígeno en la sangre, pero no hay información disponible sobre esta colección de datos ni en el dispositivo ni en la interfaz de usuario. Incluso si el sensor de oxígeno en sangre es completamente funcional, no se debe activar primero sin informar al usuario. Se requerirá el consentimiento expreso para habilitar ese sensor.

El principio de limitación de la finalidad implica que los datos sólo pueden ser recogidos con fines determinados, explícitos y legítimos. Cualquier otro tratamiento que fuera incompatible con estos propósitos originales sería ilegal en virtud de la legislación comunitaria.

Este principio tiene por objeto permitir a los usuarios saber cómo y con qué fines se están utilizando sus datos y decidir si se debe confiar a un responsable del tratamiento los datos. Estos efectos se deben definir antes de que el tratamiento de datos se lleve a cabo, lo que excluye los cambios bruscos de las condiciones fundamentales de la contratación. Esto implica que las partes interesadas de la IoT deben tener una buena visión general de su modelo de negocio antes de comenzar la recolección de los datos personales.

Además, los datos recogidos sobre el titular de los datos deben ser los estrictamente necesarios para la finalidad específica determinada previamente por el responsable del tratamiento (el principio de "minimización de los datos").

Los datos que son innecesarios para tal fin no deben ser recogido y almacenados "por si acaso" o porque "podría ser útil más adelante". Algunas partes interesadas consideran que el principio de minimización de los datos puede limitar las oportunidades potenciales de la IoT y, en consecuencia, ser una barrera para la innovación basándose en la idea de que los beneficios potenciales del tratamiento de datos vendrían del análisis exploratorio con el objetivo de encontrar correlaciones no obvias y tendencias.

El Grupo de Trabajo no puede compartir este criterio, e insiste en que el principio de minimización de los datos juega un papel esencial en la protección de los derechos de protección de datos otorgados por la legislación comunitaria a las personas, por lo que debe ser respetado como tal. Este principio implica específicamente que cuando los datos personales no son necesarios para proporcionar un servicio específico a ejecutar en la IoT, se le ofrecerá al menos al usuario la posibilidad de utilizar el servicio de forma anónima.

El artículo 6 también exige que los datos personales recogidos y tratados en el contexto de la IoT se mantengan por un período no superior al necesario para los fines para los que fueron recogidos y tratados posteriormente. Esa prueba de necesidad debe ser realizada por todos y cada uno de los interesados en la prestación de un servicio específico en la IoT, ya que los efectos del tratamiento respectivo de hecho, puede ser diferente. Por ejemplo, los datos personales comunicados por un usuario cuando se suscribe a un servicio específico en la IoT deben eliminarse tan pronto como el usuario pone fin a su suscripción. Del mismo modo, la información borrada por el usuario en su cuenta no debe mantenerse. Cuando un usuario no utiliza el servicio o aplicación por un período de tiempo definido, el perfil de usuario se debe establecer como inactivo. Después de otro período de tiempo se deben eliminar los datos. El usuario debe ser notificado antes de que se tomen estas medidas, lo que significa que la parte interesada relevante las tiene a su disposición.

6.4 Tratamiento de datos sensibles (artículo 8)
Aplicaciones en la IoT pueden procesar datos personales que pueden revelar el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, la pertenencia a sindicatos, la salud o la vida sexual, que en realidad están calificados como "datos sensibles", por la protección especial que merecen en el sentido del artículo 8 de la Directiva 95/46/CE.

En la práctica, la aplicación del artículo 8 a datos sensibles en la IoT requiere que los responsables del tratamiento obtengan el consentimiento explícito del usuario, a menos que el interesado haya hecho públicos los datos.

Tal situación es probable que surja en los contextos específicos como en dispositivos auto-cuantificadores. En estos casos, los dispositivos pertinentes están registrando principalmente datos en relación con el bienestar del individuo. Estos datos no constituye necesariamente datos de salud como tales, sin embargo, pueden proporcionar rápidamente información acerca de la salud del individuo ya que los datos se han registrado a lo largo del tiempo, por lo que es posible derivar inferencias a partir de su variabilidad durante un período determinado. Los responsables del tratamiento deberían anticipar este posible cambio en la calificación y tomar las medidas oportunas en consecuencia.

Ejemplo: X Company ha desarrollado una aplicación que, mediante el análisis de los datos en bruto de las señales de electrocardiogramas generados por sensores comerciales comúnmente disponibles para los consumidores, es capaz de detectar patrones de adicción a las drogas. El motor de la aplicación puede extraer características específicas de electrocardiogramas (ECG) en bruto que, según los resultados de investigaciones anteriores, están vinculados con el consumo de drogas. El producto, compatible con la mayoría de los sensores en el mercado, se podría utilizar como una aplicación independiente o a través de una interfaz web que requiere la carga de los datos. El consentimiento expreso del usuario debe ser recogido para tratar los datos para ese propósito. El cumplimiento de este requisito del consentimiento puede ser satisfecho en las mismas condiciones y en el momento que cuando el consentimiento se recoge del interesado con arreglo al artículo 7 (a).

6.5 Los requisitos de transparencia (artículos 10 y 11)
Más allá de la exigencia de un recabado adecuado de datos en el artículo 6 (a), los responsables del tratamiento deben comunicar información específica a los interesados en la aplicación de los artículos 10 y 11: la identidad del responsable del tratamiento, los fines del tratamiento, los destinatarios de los datos, la existencia de los derechos de acceso y derecho de oposición (que incluye información sobre cómo desconectar el objeto para evitar la divulgación de datos adicionales).

Dependiendo de las aplicaciones, esta información podría ser proporcionada, por ejemplo, en el objeto en sí utilizando la conectividad inalámbrica para transmitir la información, o el uso de localización a través de pruebas de preservación de la privacidad en proximidad efectuadas por un servidor centralizado para informar a los usuarios que se encuentran cerca del sensor.

Esta información adicional se debe proporcionar de manera clara y comprensible, de conformidad con el principio de tratamiento leal. Por ejemplo, el fabricante del dispositivo puede imprimir en los objetos equipados con sensores un código QR, o una flashcode que describe el tipo de sensores y la información que captura, así como los efectos de estas recolecciones de datos.

6.6 Seguridad (artículo 17)
El artículo 17 de la Directiva de Protección de Datos establece que el responsable del tratamiento debe "aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales" y que "el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas".
En consecuencia, cualquier grupo de interés que se califique como un responsable del tratamiento sigue siendo plenamente responsable de la seguridad del tratamiento de datos procesados.

Si los fallos de seguridad que resultan en violaciones del principio de seguridad son el resultado de un diseño inadecuado o falta de mantenimiento de los dispositivos utilizados, se compromete la responsabilidad del responsable del tratamiento. En ese sentido, es necesario que estos responsables del tratamiento lleven a cabo evaluaciones de seguridad de los sistemas como un todo, incluso a nivel de componentes, aplicando los principios de seguridad componible.

En la misma línea, el uso de la certificación de dispositivos, así como la armonización con las normas de seguridad internacionalmente reconocidas, debe implementarse para mejorar la seguridad general del ecosistema de la IoT.

Subcontratistas que diseñan y fabrican componentes de hardware en nombre de otras partes interesadas sin realmente tratar sus datos personales no pueden, en rigor, ser responsables en virtud del artículo 17 de la Directiva 95/46/CE en el caso de que se produzca una infracción de protección de datos debido a una falla en la seguridad en estos dispositivos. Sin embargo, estos grupos de interés juegan un papel clave en el mantenimiento de la seguridad del ecosistema IoT. Las partes interesadas que llevan responsabilidades directas de protección de datos frente a los interesados deben asegurarse de que están en manos de subcontratistas que aplican altos niveles de seguridad con respecto a la privacidad en el diseño (PbD) y la fabricación de sus productos.

Como se dijo antes, las medidas de seguridad se llevarán a cabo teniendo en cuenta las limitaciones operativas específicas de los dispositivos IoT. Por ejemplo, hoy en día, la mayoría de los sensores no son capaces de establecer un vínculo cifrado debido a la prioridad que se da a la autonomía física del dispositivo o al control de costes.

Además, los dispositivos que operan en la IoT también son difíciles de conseguir, tanto por razones técnicas como de negocios. Como sus componentes suelen utilizar la infraestructura de comunicaciones inalámbricas y se caracterizan por los recursos limitados en términos de energía y potencia de cálculo, los dispositivos son vulnerables a los ataques físicos, las escuchas o ataques proxy. Tecnologías más comunes actualmente en uso - es decir, las infraestructuras PKI - no se están migrando fácilmente en los dispositivos IoT ya que la mayoría de los dispositivos no tienen la potencia de cálculo necesaria para hacer frente a las tareas de procesamiento requeridos.

La IoT implica una compleja cadena de suministro con múltiples partes interesadas asumiendo diferentes grados de responsabilidad. Un fallo de seguridad podría tener su origen en cualquiera de ellos, sobre todo cuando se consideran entornos M2M basados en el intercambio de datos entre dispositivos. Por lo tanto, debe tenerse en cuenta la necesidad de emplear protocolos seguros y ligeros que pueden utilizarse en entornos de bajos recursos.

En este contexto en el que la precariedad de la capacidad de cómputo puede poner en riesgo la comunicación segura y eficiente, el GT29 subraya que es aún más importante el cumplir con el principio de minimización de los datos y restringir el tratamiento de datos personales, y en particular su almacenamiento en el dispositivo, al mínimo requerido.

Además, los dispositivos que están diseñados para acceder directamente a través de Internet no siempre son configurables por el usuario. De este modo podrán ofrecer un camino de fácil acceso para los intrusos si siguen funcionando con la configuración predeterminada.

Prácticas de seguridad basadas en restricciones de la red, la desactivación por defecto de funcionalidades no críticas, la prevención del uso de fuentes de actualización de software no sean de confianza (limitando así los ataques de malware basado en la alteración código) podría contribuir a limitar el impacto y el alcance de las posibles violaciones de datos. Tales protecciones de privacidad deben ser incorporadas desde el primer momento, en aplicación de los principios de la "privacidad desde el diseño".

Adicionalmente, la ausencia de actualizaciones automáticas revierte en la existencia de vulnerabilidades frecuentes no corregidas  que pueden ser fácilmente descubiertas a través de motores de búsqueda especializados. Incluso en los casos en que los usuarios sean conscientes de las vulnerabilidades que afectan a sus propios dispositivos, es posible que no tengan acceso a las actualizaciones del proveedor, ya sea debido a las limitaciones de hardware o de tecnologías obsoletas que impiden al dispositivo ser soportados mediante actualizaciones de software.

En caso de que un fabricante de dispositivos dejar de dar soporte a un dispositivo, conviene prever soluciones alternativas de soporte (por ejemplo, abrir el software a la comunidad de código abierto). Los usuarios deben ser notificados de que sus dispositivos pueden llegar a ser vulnerables a errores no corregidos.

Algunos de los sistemas de auto-comprobación en el mercado (por ejemplo, podómetros y seguidores del sueño), también sufren fallos de seguridad que permiten a los atacantes manipular los valores observados que son reportados a las aplicaciones y fabricantes de dispositivos. Es esencial que estos dispositivos reciban protección adecuada contra la manipulación de datos, en particular, si los valores reportados por estos sensores impactan indirectamente en decisiones relacionadas con la salud de los usuarios.

Por último, pero no menos importante, una política adecuada de notificación de violaciones de datos también puede ayudar a contener los efectos negativos del diseño del software y sus vulnerabilidades mediante la difusión de conocimiento y proporcionando orientación sobre esas cuestiones.

7. Derechos del interesado
Las partes interesadas de la IoT deben respetar los derechos de los interesados, de conformidad con las disposiciones establecidas en los artículos 12 y 14 de la Directiva 95/46/CE y adoptar las medidas organizativas en consecuencia. Estos derechos no se limitan a los suscriptores de los servicios de la IoT o propietarios de dispositivos, concerniendo a cualquier persona cuyos datos personales sean tratados.

7.1 Derecho de acceso
Artículo 12 (a) establece que los interesados tienen derecho a obtener de los responsables del tratamiento comunicación en forma inteligible, de los datos que se someten a un tratamiento y toda la información disponible sobre el origen.

En la práctica, los usuarios de la IoT tienden a ser bloqueado a sistemas específicos. Los dispositivos generalmente envían primero datos al fabricante del dispositivo, el cual hace que estos datos sean accesibles para el usuario a través de un portal web o una aplicación. Este diseño permite a los fabricantes ofrecer servicios en línea que aprovechan las capacidades del dispositivo, pero también pueden impedir que los usuarios elijan libremente el servicio que interactúa con su dispositivo.

Además, hoy en día, los usuarios finales están raramente en condiciones de tener acceso a los datos en bruto que están registrados por los dispositivos  IoT. Claramente, los titulares muestran un interés más inmediato en los datos interpretados que en los datos en bruto que pueden no tener sentido para ellos. Sin embargo, el acceso a estos datos puede resultar útil para los usuarios finales para entender lo que el fabricante del dispositivo puede inferir acerca de ellos.

También, hacer uso de estos datos en bruto les daría la capacidad para transferir sus datos a otro responsable del tratamiento e interrumpir los servicios de datos, por ejemplo, si el responsable del tratamiento original cambia su política de privacidad de una manera que no les satisface. Hoy, en la práctica, estas personas no tienen ninguna otra posibilidad que dejar de usar sus dispositivos la no proporcionar los responsables del tratamiento esta funcionalidad, permitiendo el acceso sólo a una versión degradada de los datos “crudos” almacenados.

El GT29 cree que tales actitudes impiden el ejercicio efectivo del derecho de acceso concedido a los particulares por el artículo 12 (a) de la Directiva 95/46/CE. Se cree que, por el contrario, las partes interesadas en la IoT deben tomar medidas para permitir a los usuarios la aplicación efectiva de este derecho, y ofrecer a los usuarios la posibilidad de elegir otro servicio que pudiera no ser provisto por el fabricante del dispositivo. Estándares de interoperabilidad de datos se podrían desarrollar de manera útil a tal efecto.

Tales pasos serían aún más relevantes de tomar, como el llamado "derecho de portabilidad", que es probable que se consagrare como una variación del derecho de acceso en el proyecto de Reglamento General de Protección de Datos (RGPD/UE), y tiene como objetivo poner un claro final a las situaciones "lock-in" de usuarios. La ambición del legislador europeo en este punto consiste en desbloquear los obstáculos de competencia y ayudar a los nuevos jugadores para innovar en este mercado.

7.2 Posibilidad de retirar su consentimiento y de oponerse
Los interesados deben tener la posibilidad de revocar el consentimiento previo dado al tratamiento de información específica y de oponerse al tratamiento de los datos relativos a ellos mismos. El ejercicio de estos derechos debe ser posible sin restricciones o impedimentos técnicos u organizativos, y las herramientas proporcionadas para registrar esta retirada deben ser accesibles, visibles y eficazes.

Esquemas de retirada deben ser de grano fino y deben cubrir:
  • Los datos recogidos por un objeto específico (por ejemplo, solicitando que la estación meteorológica deje de recoger datos de humedad, temperatura y sonidos.
  • Un tipo específico de datos recogidos por cualquier cosa (por ejemplo, un usuario debe ser capaz de interrumpir la recogida de datos por cualquier dispositivo de grabación de sonido, ya sea un seguidor del sueño o una estación meteorológica).
  • Un tratamiento de datos específicos (por ejemplo, un usuario podría requerir que tanto su podómetro como su reloj dejaran ambos de contar los pasos).

Además, dado que los Wearables "objetos conectados" es probable que sustituyan a los objetos existentes que proporcionan funcionalidades habituales, los responsables del tratamiento deberían ofrecer una opción para desactivar la función de "conectado" del nuevo objeto y permitir que funcione limitado como el objeto original al que sustituyen (es decir desactivar la funcionalidad del reloj inteligente o la funcionalidad de conectividad de las gafas).

El Grupo de Trabajo ya ha especificado que los interesados deben tener la posibilidad de "retirar continuamente (su) consentimiento, sin tener que salir del “servicio provisto”.

Ejemplo: un usuario instala una alarma de incendios conectada en su apartamento. La alarma utiliza un sensor de ocupación, un sensor de calor, un sensor ultrasónico y un sensor de luz. Algunos de estos sensores son necesarios para detectar el fuego, mientras que algunos de ellos sólo ofrecen características adicionales sobre el que se informó anteriormente. El usuario debe ser capaz de desactivar estas características para hacer uso de sólo la alarma de incendios, por lo tanto, desconectar los sensores utilizados para proporcionar estas características adicionales.

Curiosamente, algunos desarrollos recientes en este campo están tratando de capacitar a los interesados, dándoles un mayor control sobre las funciones de administración del consentimiento, por ejemplo, mediante el uso de sticky-policies o privacy proxies.

8. Conclusiones y recomendaciones
A continuación se indican una serie de recomendaciones que el GT29 ha considerado útiles con el fin de facilitar la aplicación de los requisitos legales de la UE respecto a la IoT, mencionados anteriormente.

Las recomendaciones que siguen sólo proporcionan orientaciones que son adicionales a los documentos que fueron aprobados previamente por el GT29.

En este sentido, el Grupo de Trabajo desea llamar la atención específica a sus recomendaciones anteriores en aplicaciones en dispositivos inteligentes. Debido a que los teléfonos inteligentes son parte del entorno de la IoT y los ecosistemas implican un conjunto comparable de grupos de interés, estas recomendaciones son directamente relevantes para la IoT. En particular, los desarrolladores de aplicaciones y fabricantes de dispositivos deben proporcionar un nivel adecuado de información a los usuarios finales, ofrecer opciones de exclusión simples y/o consentimiento granular, en su caso. Además, cuando no se haya obtenido el consentimiento, el responsable del tratamiento debe anonimizar los datos antes de reutilizarlos o compartirlos con otros partidos.

8.1 Recomendaciones comunes a todas las partes interesadas
  • Deben realizarse Evaluaciones de Impacto en la Privacidad (PIA) antes de que las nuevas aplicaciones se inicien en la IoT. La metodología a seguir para tales PIA se puede basar en la privacidad y el Marco de Evaluación de Impacto de Protección de Datos que el G29 ha adoptado el 12 de enero de 2011 para aplicaciones RFID. Cuando proceda y sea factible, las partes interesadas deberían considerar la posibilidad de poner el PIA correspondiente a disposición del público en general. Marcos específicos de PIA podrían ser desarrollados para determinados ecosistemas IoT (por ejemplo, ciudades inteligentes
  • Muchas partes interesadas de la IoT sólo necesitan datos agregados y no tienen necesidad de los datos en bruto recogidos por los dispositivos IoT. Las partes interesadas deben borrar los datos en bruto en cuanto hayan extraído los datos necesarios para su procesamiento de datos. Como principio, la eliminación debe tener lugar en el punto de recogida de datos de los datos en bruto más cercano (por ejemplo, en el mismo dispositivo después del procesamiento).
  • Cada parte interesada en la IoT debe aplicar los principios de privacidad desde el diseño (PbD) y la privacidad por defecto.
  • La capacitación del usuario es esencial en el contexto de la IoT. Los interesados y los usuarios deben ser capaces de ejercer sus derechos y, en consecuencia, tener "en control" de los propios datos en cualquier momento de acuerdo con el principio de auto determinación de los datos (habeas data).
  • Los métodos de mostrar la información, otorgando el derecho a rechazar o solicitar el consentimiento debe ser tan fácil de usar como sea posible. En particular, las políticas de información y consentimiento deben centrarse en proveer información que sea comprensible para el usuario y no debe limitarse a una política de privacidad general ubicada en la página web de los responsables.
  • Dispositivos y aplicaciones deben diseñarse a fin de informar a los usuarios y a los no-usuarios titulares de los datos, por ejemplo a través de la interfaz física del dispositivo o mediante la difusión de una señal en un canal inalámbrico.

8.2 OS y fabricantes de dispositivos
  • Los fabricantes de dispositivos deberán informar a los usuarios sobre el tipo de datos que son recogidos por los sensores y tratados posteriormente, los tipos de datos que reciben y cómo van a ser procesados y combinados.
  • Los fabricantes de dispositivos deben ser capaces de comunicar a todos los demás actores involucrados en cuanto un interesado retira su consentimiento o se opone al tratamiento de datos.
  • Los fabricantes de dispositivos deben proporcionar opciones granulares en la concesión de acceso a las aplicaciones. La granularidad debe aplicarse no sólo al tipo de los datos recogidos, sino también el tiempo y la frecuencia en la que se capturan los datos. De manera similar a la característica de "no molestar" en los teléfonos inteligentes, los dispositivos IoT deberían ofrecer una opción de "no recogen" para programar o desactivar rápidamente sensores.
  • Para evitar el seguimiento de localización, los fabricantes de dispositivos deben limitar la huella dactilar del dispositivo mediante la desactivación de las interfaces inalámbricas cuando no se utilicen o deban utilizar identificadores aleatorios (como direcciones MAC aleatorias para escanear redes wifi) para evitar un identificador persistente de sea utilizado para el seguimiento de la ubicación.
  • Para cumplir con la transparencia y el control del usuario, los fabricantes de dispositivos deben proporcionar herramientas para leer localmente, editar y modificar los datos antes de ser transferidos a cualquier responsable del tratamiento. Además, los datos personales tratados por un dispositivo deben ser almacenados en un formato que permita la portabilidad.
  • A los usuarios les corresponde el derecho de acceso a sus datos personales. Deben contar con herramientas que les permitan exportar fácilmente sus datos en un formato estructurado y de uso común. Por lo tanto, los fabricantes de dispositivos deben proporcionar una interfaz fácil de usar para los usuarios que quieren obtener tanto los datos agregados y/o los datos en bruto que todavía almacene.
  • Los fabricantes de dispositivos deben proporcionar herramientas sencillas para notificar a los usuarios y para actualizar los dispositivos cuando se descubren vulnerabilidades de seguridad. Cuando un dispositivo se vuelve obsoleto y ya no se actualiza, el fabricante del dispositivo debe notificar al usuario y asegúrese de que es consciente de la situación. Todas las partes interesadas que puedan verse afectadas por la vulnerabilidad también deben ser informadas.
  • Los fabricantes de dispositivos deben seguir un proceso de seguridad por diseño y dedicar algunos componentes a las primitivas  criptográficas clave.
  • Los fabricantes de dispositivos deben limitar tanto como sea posible la cantidad de datos almacenados en los dispositivos mediante la transformación de los datos en bruto en los datos agregados directamente en el dispositivo. Los datos agregados deben estar en un formato estandarizado.
  • A diferencia de los teléfonos inteligentes, los dispositivos de IoT pueden ser compartidos por varios titulares de los datos o incluso alquilar (por ejemplo, hogares inteligentes). Un parámetro de ajuste debe ser capaz de distinguir entre diferentes personas que utilizan el mismo dispositivo de modo que no puedan aprender acerca de “las actividades del otro”.
  • Los fabricantes de dispositivos deben trabajar con los organismos de normalización y las plataformas de información para apoyar un protocolo común para expresar sus preferencias con respecto a la recogida y tratamiento de datos por los responsables del tratamiento, especialmente cuando tales datos son recogidos por dispositivos discretos.
  • Los fabricantes de dispositivos deben permitir a las entidades responsables y encargadas locales (los llamados proxies de privacidad personal) que permitan a los usuarios tener una idea clara de los datos recogidos por sus dispositivos y facilitar el almacenamiento y el procesamiento local sin tener que transmitir los datos al fabricante del dispositivo.

8.3 Los desarrolladores de aplicaciones
  • Los avisos o advertencias deben ser diseñados para recordar a los usuarios frecuentemente que los sensores están recopilando datos. Cuando el desarrollador de la aplicación no tiene un acceso directo al dispositivo, la aplicación debe enviar periódicamente una notificación al usuario para hacerle saber que sigue grabando datos.
  • Las solicitudes deben facilitar el ejercicio de los derechos de los interesados de acceso, rectificación y cancelación de sus datos personales recogidos por los dispositivos IoT.
  • Los desarrolladores de aplicaciones deben proporcionar las herramientas para que los titulares de los datos pueden exportar tanto datos en crudo, como los datos agregados, en un formato estándar y utilizable.
  • Los desarrolladores deben prestar especial atención a los tipos de datos que están siendo procesados y de la posibilidad de deducir datos personales sensibles de ellos.
  • Los desarrolladores de aplicaciones deben aplicar un principio de minimización de los datos. Cuando el objetivo se puede lograr utilizando los datos agregados, los desarrolladores no deben acceder a los datos en bruto. De manera más general, los desarrolladores deben seguir un enfoque de Privacidad por Diseño (PbD) y minimizar la cantidad de datos recogidos necesarios para prestar el servicio.

8.4 Las plataformas sociales
  • La configuración predeterminada de aplicaciones sociales basadas en dispositivos de IoT deben preguntar a los usuarios, revisar, editar y decidir sobre la información generada por su dispositivo antes de su publicación en las plataformas sociales.
  • La información publicada por los dispositivos IoT en las plataformas sociales debe, por defecto, no ser convertida en pública o ser indexada por los motores de búsqueda.

8.5 dueños de dispositivos IoT y usuarios adicionales
  • El consentimiento para el uso de un dispositivo conectado y al tratamiento de datos resultante debe ser informado y dado libremente. Los usuarios no deben ser penalizados económicamente o ver degradado el acceso a las capacidades de sus dispositivos si deciden no utilizar un dispositivo o un servicio específico.
  • El interesado cuyos datos se están procesando en el contexto de una relación contractual con el usuario de un dispositivo conectado (es decir, del hotel, de seguros de salud o inquilino del coche) debe estar en condiciones de administrar el dispositivo. Con independencia de la existencia de cualquier relación contractual, cualquier no-usuario debe tener la capacidad de ejercer sus derechos de acceso y oposición.
  • Los usuarios de dispositivos IoT deben informar a los interesados no-usuarios que sus datos se recogen de la presencia de dispositivos IoT y el tipo de datos recogidos. También deben respetar la preferencia del interesado de no ceder sus datos recogidos por el dispositivo.

8.6 Organismos de normalización y  plataformas de datos
  • Los organismos de normalización y las plataformas de datos deben promover formatos de datos claros y fáciles de entender, portables e interoperables, facilitando así tanto las transferencias de datos entre las diferentes partes interesadas, como el ayudar a que los interesados entiendan lo que realmente se está recopilando sobre ellos por los dispositivos IoT.
  • Los organismos de normalización y las plataformas de datos no deben centrarse únicamente en el formato de datos en bruto, sino también en la aparición de formatos para los datos agregados.
  • Los organismos de normalización y las plataformas de datos deben promover los formatos de datos que contengan el menor número de identificadores fuertes como sea posible, con el fin de facilitar la anonimización adecuada de los datos de la IoT.
  • Los organismos de normalización deberían trabajar en estándares certificados en que figuren la línea de base de las garantías de seguridad y privacidad para los interesados.
  • Organismos de normalización deben desarrollar protocolos de cifrado y comunicación ligeros adaptados a las especificidades de la IoT, garantizando la confidencialidad, integridad, autenticación y control de acceso.

9. Bibliografía consultada

- [1] ARTICLE 29 DATA PROTECTION WORKING PARTY. “Opinion 8/2014 on the on Recent Developments on the Internet of Things”. Adopted on 16 September 2014. 14/EN WP 223.
Dictamen 8/2014

- [2] GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS. “Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes”. Adoptado el 27 de febrero de 2013. 00461/13/ES WP 202.
Dictamen 02/2013

- NOTA del editor: Puede consultarse en este mismo blog un artículo relacionado bajo el título “La IoT (Internet de las cosas) y sus implicaciones éticas, legales y de seguridad” que escribí junto al Dr. en Derecho Luis Felipe López Álvarez.
La IoT y sus implicaciones éticas, legales y de seguridad

10. Derechos de autor
This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.

Copyright notice: © European Union, 1995-2014

Reuse is authorised, provided the source is acknowledged. The reuse policy of the European Commission is implemented by a Decision of 12 December 2011.

The general principle of reuse can be subject to conditions which may be specified in individual copyright notices. Therefore users are advised to refer to the copyright notices of the individual websites maintained under Europa and of the individual documents. Reuse is not applicable to documents subject to intellectual property rights of third parties.