Protecció de dades i l’Internet de les Coses


Qui no té avui en dia un telèfon, rellotge o televisor “intel·ligent”? Quan a un objecte o dispositiu quotidià se li afegeix l’adjectiu “d’intel·ligent” és perquè està equipat amb sensors, software i altres tecnologies que li permeten transmetre i rebre dades – cap i des d’altres coses –. És el que es coneix com l’Internet de les Coses, o IoT de l’anglès Internet of Things.

Però, què és exactament l’IoT i com funciona? Quina repercussió pot tenir a la nostra vida diària i la nostra privacitat? Anem a veure-ho…

L’Internet de les Coses és definit pel Dictamen 8/2014 sobre l’evolució recent de la Internet dels objectes, com: una infraestructura en la que mils de milions de sensors incorporats a dispositius comuns i quotidians («objectes» com a tals, o objectes vinculats a altres objectes o individus) registren, sotmeten a tractament, emmagatzemen i transfereixen dades i, a l’estar associats a identificadors únics, interactuen amb altres dispositius o sistemes fent ús de les seves capacitats de connexió en xarxa.” Un exemple d’aquests, com hem vist, poden ser joguines, altaveus, automòbils, televisors, rellotges, electrodomèstics i molt més, i tots ells estan connectats a Internet.

El seu objectiu principal és connectar i comunicar mils de dispositius per aprofitar al màxim les seves aplicacions. L’Internet de les Coses permet fer una gestió eficient de la comunicació, tant entre les màquines com entre les persones, el que comporta una gran reducció de costos per a les empreses. Però…

Com funcionen?

Encara que cada dispositiu té funcions variades, es pot definir amb el següent sistema per capes:

  1. Primera capa: en aquesta etapa el dispositiu està dissenyat per a realitzar 4 funcions bàsiques: capturar dades, processar-les, comunicar-les i interactuar. En aquesta capa bàsicament l’objecte captura les dades personals i és possible que únicament es compti amb aquesta fase, en aquest cas seria una excepció domèstica recollida a l’RGPD, donat que, només intervé el dispositiu i l’usuari.
  2. Segona capa: en aquest punt s’intercanvien les dades entre varis dispositius, i a efectes de protecció de dades personals es realitza la comunicació de les dades de forma bidireccional.
  3. Tercera capa: és on es processen i analitzen les dades personals per a poder oferir el resultat requerit. Avui en dia aquesta capa acostuma a estar en una infraestructura en el núvol. Aquesta capa ofereix servei tant a la persona usuària del dispositiu IoT com a altres agents que intervenen en el tractament de dades.

Quins actors intervenen?

A cada una de les capes anteriorment esmentades, poden intervenir varis subjectes; per exemple, desenvolupadors de solucions IoT, proveïdors de serveis al núvol, plataformes de xarxes socials, sector de la publicitat, etc. De la seva actuació es desprendrà si actuen com a encarregats o responsables del tractament, i a partir d’aquesta classificació es determinaran les funcions de cadascun.

Quines dades es tracten?

Aquests dispositius tracten dades personals variades que van des de dades bàsiques de contacte fins a imatges, hàbits, dades fisiològiques, geolocalització, ritme cardíac, etc. L’origen d’aquestes dades es pot classificar en quatre grups:

  • Dades facilitades (pel propi usuari).
  • Dades observades (captades pel propi dispositiu).
  • Dades derivades (obtingudes pel processament de les dades obtingudes).
  • Dades inferides (obtingudes per l’anàlisi de les dades de les persones usuàries).

Els dos primers grups són normalment identificats pels usuaris, però els dos últims solen ser desconeguts.

Quins riscos té?

Els riscos d’aquests dispositius es troben recollits en el Dictamen 8/2014 sobre l’evolució recent de la Internet dels objectes. A continuació, esmentem els més destacables:

  • Revelació invasiva de pautes de comportament i perfils, a partir de l’anàlisi de la informació recollida. Per exemple, els robots aspiradors poden compartir dades d’ús i el pla d’una casa.
  • Una exposició excessiva i falta de control de les dades, que augmenta en les dades derivades i inferides.
  • Falta de transparència i dificultat per obtenir un consentiment vàlid.
  • El gran volum d’actors que poden arribar a intervenir augmenta el risc de què la responsabilitat es dilueixi o no es presti igual per cada part.
  • Els sistemes de veu poden captar converses, no tan sols dels usuaris, sinó també de tercers, que, sense tenir la intenció d’interactuar amb el dispositiu, es troben allí.
  • Falta de mesures de seguretat a les capes.
  • La quasi impossibilitat de romandre a l’anonimat a causa dels identificadors únics.

En conclusió

L’empremta digital de les persones s’amplia, de manera que el perfil que pugui construir-se sigui més exacte i profund. Els tractaments basats en IoT precisen de models que incorporin els requisits normatius, estàndards i mecanismes de certificació per a garantir un nivell de protecció de drets i llibertats de les persones. Podent ser utilitzats per les persones sense amplis coneixements amb la confiança de què no es vulnerarà la seva privacitat.

I ja sabeu que, si necessiteu ampliar informació o us sorgeix qualsevol dubte al respecte, estem a la vostra disposició.

L’equip de PymeLegal.

Font: AEPD