Privacidad: Diferentes enfoques

La información sobre los usuarios y los datos en general, se ha convertido hoy en día  en una mercancía con un importante valor económico. Asimismo, el modo de interactuar de los ciudadanos con su entorno, está cambiando en base  a tecnologías emergentes de  captación de información y su posterior procesamiento y presentación en aplicaciones informáticas.

Las técnicas de monitorización y control basadas en la trilogía sensor, transmisión de datos y procesamiento, llevan implantadas desde hace muchos años en sistemas  industriales y en gestión de  infraestructuras críticas.  Pero no ha sido hasta la generalización del uso de los dispositivos inteligentes,  cuando se ha producido el acceso universal de los ciudadanos a estas tecnologías. Estamos hablando de la implantación de nuevos modelos de negocio, que conllevan beneficios y riesgos para los ciudadanos.  Beneficios en el campo de la salud, la eficiencia energética o la movilidad  y potenciales riesgos en materia de seguridad y privacidad.

Muestra de la importancia presente y futura de esta tecnología, denominada Internet de las Cosas (IoT),  y de la preocupación por su desarrollo sostenible con la protección de datos personales, son los informes, que con una diferencia temporal  de 4 meses, han publicado dos de las instituciones referentes en materia de privacidad: la  Federal Trade Commision (FTC)  y el Grupo de Trabajo del Artículo 29 (WP29). Aunque la Unión Europea y los Estados Unidos tienen diferentes enfoques en materia de privacidad, sobre todo en el modelo de marco normativo que lo regula,   en los citados informes encontramos puntos en común en torno a los principios que deben regir el diseño de los distintos componentes del Internet de las Cosas, a la hora de contemplar la captación y tratamiento de los datos personales.

En el dictamen publicado por el Grupo de Trabajo del artículo 29 (WP29) en Septiembre de 2014 (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/) se  identifican una serie de riesgos inherentes a Internet de las Cosas, que, aunque no son exclusivos de esta tecnología,  pueden verse incrementados por la propia naturaleza de la misma. Entre ellos cabe citar,  la  dificultad en el  control del flujo de datos generados, la  calidad del consentimiento de los usuarios o el acceso de terceros a los datos para usos diferentes a los fijados en el consentimiento.  No debemos olvidar que la privacidad es un derecho fundamental de los ciudadanos europeos,  incorporado en el ADN de los textos normativos de los Estados y cuya  protección se basa, entre otros,  en los principios de consentimiento informado, libre y específico, y en la trasparencia del tratamiento de los datos personales.

En este sentido son las autoridades de protección europeas quienes enfatizan en  la necesidad de tomar medidas de seguridad desde la etapas iniciales de diseño,  basándose en los principios de Privacy by Design (PbD).  Medidas que no deberían ser tomadas como un simple concepto teórico de protección de datos, sino que esos principios deberían ser incorporados en especificaciones y estándares por los organismos técnicos normalizadores, desarrollando entre otros,  protocolos de cifrado y de comunicación adaptados a la especial naturaleza de los dispositivos y aplicaciones de esta tecnología, y que garanticen en cualquier caso,  la confidencialidad e integridad de los datos personales y los procesos de autenticación en el acceso a los mismos. En el dictamen se incluyen  además ciertas recomendaciones  dirigidas a cada uno de los grupos involucrados en el desarrollo de esta tecnología, a fin de que desde el diseño,  puedan cumplir con la legislación sobre protección de datos.  Entre otras buenas prácticas, los fabricantes de dispositivos, los desarrolladores de aplicaciones y los gestores de redes sociales,  deben realizar  evaluaciones de impacto sobre privacidad (PIA) siguiendo la metodología fijada para las aplicaciones RFID por el propio WP29.  En definitiva, las Autoridades europeas  recuerdan a los actores del Internet de las cosas que el marco jurídico aplicable a cualquier sistema dirigido a usuarios europeos, es la Directiva de Protección de Datos 95/46/CE, en combinación con la Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas.

Mientras al otro lado del Atlántico, y con unos meses de diferencia, la Federal  Trade Commision ha publicado el informe “Internet of Things,Privacy&Security in a Connected World”  en el que se proponen dos líneas  de actuación en materia de privacidad, una de las cuales podría suponer un cambio de rumbo en el esquema jurídico norteamericano, acercándose al modelo europeo en materia de protección de datos (http://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf).

En el citado informe,  por un lado se considera que como industria emergente con un alto potencial de innovación,  el crecimiento de la tecnología IoT, podría verse comprometido por la promulgación de una legislación específica en materia de protección de datos.  Se apuesta más bien por programas de autorregulación de la industria que mitiguen los riesgos  inherentes a esta tecnología en materia de privacidad.  Para asegurar la protección de la privacidad se defiende el modelo norteamericano de aplicación de la normativa sectorial vigente, entre otras, The Fair Credit Reporting Act (FRCA) o The Children’s Online Privacy Protection Act.

El informe, recoge en numerosos apartados,   la recomendación dirigida al Congreso de los Estados Unidos,  para que apruebe una “Legislación Federal” general sobre protección de datos,  pilar en que se basa el modelo jurídico europeo de protección  de datos. Pero también se destaca el papel de vigilancia de la Federal Trade Commision como garante del cumplimiento de la normativa,  por lo que su presencia debe  incentivar a las empresas a implantar unas buenas prácticas en materia de privacidad desde el diseño de dispositivos y aplicaciones. Por otro lado, sin duda muestra su preocupación por las continuas amenazas existentes  en la seguridad de los datos y que, por su propia naturaleza, la tecnología IoT  podrían amplificar en cuanto a riesgos en la privacidad. Una falta de trasparencia y de control efectivo de los datos que preocupa a los ciudadanos norteamericanos hasta el punto que, como se indica en el informe,  una encuesta de 2014 muestra que cerca del 90 % de los ciudadanos estadounidenses  están preocupados por el tipo de datos que recogen los  dispositivos inteligentes y quieren tener  control sobre los mismos. Este cambio de paradigma debería acercar los distintos enfoques que en materia de protección de datos existen  a ambos lados del Atlántico, permitiendo superar la desconfianza mutua en esta materia, y debería apostarse por consolidar  las herramientas jurídicas de colaboración existentes como Safe Harbour, bastante cuestionadas actualmente.

La importancia en la economía global de la transferencia de los datos a través de las fronteras y su potencial impacto en la privacidad,  no es un problema exclusivo de las relaciones Estados Unidos y Europa, sino que se trata de un fenómeno global  que pueden originar conflictos a la hora de la aplicación extraterritorial de las diferentes normativas existentes en protección de datos.

Rafael del Real Rubio.

 Ingeniero de Telecomunicación y Abogado.

Consultor Legal TIC en COMETIUS (es.linkedin.com/in/rafaeldelreal.es)