El Grupo del Trabajo del Artículo 29 aprueba el Dictamen 8/2014 sobre el Internet de las cosas, en lo que supone un posicionamiento conjunto por parte de las autoridades nacionales de protección de datos de los Estados miembros que marcará las líneas a seguir por los que en el futuro sean emitidos por dichas autoridades sobre un sector que plantea grandes retos en cuanto a protección de la privacidad se refiere.
Basado en la tecnología de interconexión digital de objetos cotidianos, el Internet de las cosas crea una nueva realidad apoyada en las posibilidades que ofrece el mundo digital. Este nuevo concepto engloba esencialmente un sistema de dispositivos equipados con tecnologías de recopilación de datos que permite la conexión entre éstos y la recopilación de información de los sujetos que los utilizan.
El Internet de las cosas trae consigo innumerables ventajas, entre ellas, la obtención de información útil para los prestadores de servicios a los consumidores o la creación de un día a día más cómodo y eficientemente gestionado para los usuarios de estas tecnologías. Sin embargo, su implantación práctica plantea una serie de interrogantes. El Internet de las cosas supone riesgos para la privacidad de las personas en la medida que el usuario de los dispositivos pierde el control sobre la difusión de sus datos. A dispositivos como relojes o gafas se le añaden sensores, cámaras o micrófonos que tienen como objetivo la transmisión de información al fabricante de dicho dispositivo. Así, la información así obtenida puede ser utilizada para fines distintos de los que motivaron su transmisión o utilizada para revelar hábitos personales de los usuarios. Por otra parte, si bien existen dispositivos que no recogen datos especialmente protegidos, a través de su análisis aislado o su análisis cruzado, pueden llegar a proporcionar información sensible de los individuos. Además, las comunicaciones de datos se producen automáticamente, lo que dificulta el control por parte del usuario de los flujos de datos generados, los cuales en algunos casos son recogidos sin que el usuario sea consciente.
Asimismo, se plantean interrogantes sobre qué puede entenderse por consentimiento válidamente otorgado. En muchos casos, existe una imposibilidad fáctica de aplicar los mecanismos clásicos de obtención del consentimiento al Internet de las cosas en la medida que en que el usuario debe ser válidamente informado y no existen mecanismos que garanticen dicha información. En algunos casos, además, no existe la posibilidad de renunciar a ciertos servicios o características de un dispositivo del Internet de las cosas.
Adicionalmente, el Internet de las cosas conlleva un sistema complejo de responsabilidades en relación con el tratamiento de los datos personales. La implementación práctica del Internet de las cosas implica la participación conjunta de múltiples actores, como fabricantes de dispositivos o desarrolladores de aplicaciones. En algunos casos, los fabricantes no se limitarían a venta física de los dispositivos, sino que desarrollarían el dispositivo, incluyendo parámetros para la recogida de los datos. En este caso, serían considerados como responsables del tratamiento bajo el derecho europeo.
En este sentido el Dictamen recuerda que en caso de que las partes sean calificadas como responsables del tratamiento, deberán cumplir con las obligaciones derivadas de la Directiva 95/46/CE y de la Directiva 2002/58/CE. Así, en caso de que además del fabricante, terceras personas accedan a información sensible almacenada en un terminal, éstos deberán cumplir con la obligación de obtención del consentimiento establecida en el artículo 5(3). El consentimiento también deberá ser obtenido por cualquier responsable del tratamiento que pretenda almacenar datos adicionales en el dispositivo.
Por otra parte, de acuerdo con el principio de minimización de los datos, sólo deben ser recogidos los datos necesarios, no pudiendo almacenarse los datos que posteriormente "podrían ser de utilidad". El Dictamen recuerda que este principio implica que cuando los datos personales no son necesarios para proporcionar el servicio, se debería garantizar al interesado la utilización del servicio de forma anónima.
Las Autoridades recuerdan que las entidades deben asegurarse de que la persona haya dado su consentimiento efectivo después de haber recibido información clara y completa sobre los datos que se recogen, cómo se recopilan y con qué fin se van a tratar, además de cómo pueden ejercer los derechos que les asisten. Además, esos datos deben ser recogidos de manera legal y legítimo, debiendo el usuario ser en todo momento consciente de ello. En el caso de que el consentimiento no hubiera sido obtenido, se deberá proceder a la anonimización de los datos.
En cuanto a la seguridad, el documento establece que el Internet de las cosas supone un riesgo para la seguridad, por lo que las comunicaciones de datos deben basarse en sistemas seguros diseñados para evitar los riesgos potenciales. Asimismo, establece que se deberían realizar evaluaciones del impacto en la privacidad con carácter previo al lanzamiento de nuevas aplicaciones y que se deberá proceder al borrado de los datos que no son necesarios. Finalmente, se recomienda que los dispositivos y las aplicaciones sean diseñados con mecanismos que permitan informar a los sujetos, tanto sean usuarios o no usuarios, a través de la interfaz física del propio dispositivo o por la emisión de una señal por una red inalámbrica.
A través de este Dictamen, la Unión Europea sienta las bases de unas directrices que pueden ser seguidas por las empresas que se dediquen a la producción de dispositivos inteligentes. En este sentido, el Dictamen recuerda que el interés de las empresas por la protección de los datos personales de los individuos y por la seguridad es un elemento competitivo diferenciador que los usuarios tienen en consideración. Se deberá prestar atención a los siguientes posicionamientos adoptados por los distintos actores de este sector.
Rafael García del Poyo, Partner
