Concepto de IoT
El internet de las cosas, o IoT (en inglés, «internet of things»), hace referencia a la conexión digital de objetos cotidianos a Internet, de manera rápida y sencilla, entre dispositivos.
Estos dispositivos se conectan a Internet y comprenden cualquier objeto diario, pueden ser desde teléfonos móviles hasta neveras o cafeteras o incluso diminutos sensores, etc.
Tipos de aplicación IoT
Las posibilidades que brinda el IoT son infinitas.
Desde simples, como tener localizado cualquier objeto, o disponer de información del objeto.
Hasta pulseras que informan sobre aspectos de salud, persianas que suben o bajan dependiendo de la hora del día, incluso, frigoríficos que avisan de que algún producto se ha terminado, o electrodomésticos que se encienden en el momento en el que se necesitan.
Aquí tenéis algunos ejemplos de ámbitos de aplicación del IoT:
Hogar y domótica.
Por ejemplo, una red de sensores térmicos, de humedad y volumétricos que permitan ajustar automáticamente el sistema de calefacción en función de si estamos o no en el hogar, etc.
Salud.
Uso de sensores que monitoricen el estado de salud de los sujetos permitiendo disponer de información.
Infraestructuras.
Se puede aplicar al control de edificios, lo que permite a su vez una optimización de los recursos, una estancia más cómoda a los inquilinos, un consumo de energía más eficiente, etc.
Transporte.
Permite mejorar la trazabilidad del transporte, la monitorización en tiempo real de parámetros ambientales, y optimización de rutas.
Ciudades (Smart Cities).
Por ejemplo, ayuda al estacionamiento, optimizando los recursos, y disminuyendo la contaminación y el uso de combustible.
Riesgos para la privacidad
Los usuarios pueden tener acceso a una cantidad sin precedentes de servicios personalizados, lo que conllevará aparejado que el entorno mismo (Internet) pueda adquirir información sobre los usuarios de manera automática, pudiendo encontrarnos con perfiles invasivos e inferenciales resultado del intercambio de datos, en particular cuando múltiples dispositivos de IoT proporcionan datos que están vinculados a una sola identidad de usuario (virtual).
Existen al menos tres formas posibles de monitoreo y creación de perfiles, que ofrecen motivos para la discriminación en los sistemas de IoT:
- Recopilación de datos, que conduce a inferencias sobre la persona (por ejemplo, comportamiento de navegación en Internet);
- Creación de perfiles en general mediante la vinculación de conjuntos de datos IoT (a veces denominado “fusión de sensores”); y
- Perfil que se produce cuando los datos se comparten con terceros que combinan datos con otros conjuntos de datos (por ejemplo, empleadores, aseguradores).
¿Cuál es el peligro?
Al enlazar múltiples dispositivos o equipos, y los datos que producen, a una única identidad de usuario, el uso de un dispositivo o servicio puede personalizarse, basándose en comportamientos y preferencias del pasado, y deducciones extraídas de estos datos.
Los riesgos de privacidad de la vinculación entre conjuntos de datos se vuelven particularmente graves cuando los sistemas de autenticación o los almacenes de identidad tienen acceso a los datos que generan los dispositivos autenticados.
Si bien algunas inferencias y perfiles extraídos de IoT pueden ser buenos, las empresas con acceso a los datos de IoT vinculados a un usuario, pueden utilizar estos datos para fines que el usuario no aceptaría, si se le pregunta, creándose con ellos perfiles en base a toma de decisiones, a través de la recopilación automatizada de datos.
Cada día contamos con un mayor número de dispositivos conectados entre nosotros, y se espera que la cifra de este tipo de objetos se sitúe entre los 22.000 y los 50.000 millones en el año 2020.
Disponer de este tipo de dispositivos, va a facilitar, y mucho, la vida de los consumidores, pero también va a aportar información muy valiosa para las marcas, que, sin duda, la utilizarán para crear nuevas estrategias totalmente adaptadas y personalizadas, que mejoren la experiencia de uso.
Aparentemente, podría hablarse de datos aparentemente no personales, creados a través de la denominada anominización.
Ahora bien, a través del blockchain los dispositivos de IoT pueden abrirse a la reidentificación e ingeniería inversa de identidad.
Los peligros del internet de las cosas
Hay muchas maneras en que un hacker puede acceder a características o datos en un dispositivo conectado.
A continuación, detallamos algunos de los mayores problemas y riesgos de seguridad y privacidad del internet de las cosas.
Gran cantidad de datos:
La cantidad de datos que los dispositivos inteligentes pueden recopilar, almacenar y generar por ellos mismos es sorprendente.
Un estudio de Logicalis destaca que muy pocas empresas consideran que el gran volumen de datos almacenados en los dispositivos del internet de las cosas puede suponer una amenaza.
Los perfiles públicos no deseados:
En algún momento, sin duda, has aceptado los términos de servicio, pero ¿alguna vez has leído el documento completo?
Un informe de la FTC encontró que las empresas podrían utilizar datos recopilados, que los consumidores voluntariamente ofrecen, para ejecutar decisiones.
Por ejemplo, una compañía de seguros podría reunir información de un consumidor , sobre sus hábitos de conducción, a través de un coche conectado, con la finalidad de calcular la tarifa de seguro más adecuada.
La escucha secreta:
Fabricantes o hackers podrían utilizar un dispositivo conectado para invadir virtualmente la casa de una persona.
Conflicto entre información y privacidad
El internet de las cosas plantea, más que nunca, el debate entre información y privacidad, del cual las instituciones se han hecho eco.
El Reglamento General de Protección de Datos (RGPD (UE) 2016/679 de 27 de abril de 2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, apela a la “privacidad por diseño”, para que la protección de datos se tenga en cuenta, desde el principio, en el diseño mismo de las aplicaciones.
Asimismo, en 2014 las Autoridades europeas de protección de datos, aprobaron el primer Dictamen conjunto sobre internet de las cosas.
El documento, cuya elaboración fue liderada por la Agencia Española de Protección de Datos junto con la Autoridad francesa (CNIL), acoge con satisfacción las perspectivas de beneficios económicos y sociales que puede suponer esta tecnología, pero también identifica y alerta de los riesgos que, estos productos y servicios emergentes, pueden plantear para la privacidad de las personas, definiendo un marco de responsabilidades.
El RGPD
Estas preocupaciones quedan patentes en los artículos 21 y Artículo 22 RGPD.
El artículo 21 introduce el derecho de oposición al procesamiento de datos, incluidos los perfiles, en cualquier momento.
Si el propósito del procesamiento de datos es el marketing directo, el interesado tendrá derecho absoluto a oponerse.
En todos los demás casos, el procesamiento de datos debe detenerse, a menos que el controlador de datos pueda demostrar intereses legítimos convincentes que anulen los intereses de los interesados.
Por otro lado, el artículo 22 introduce salvaguardias adicionales contra la toma de decisiones automatizada, incluida la elaboración de perfiles, pero solo cuando el procesamiento de datos es únicamente automático y tiene efectos significativos legales o similares.
¿Consentimiento informado?
Normalmente, las partes intervienen en desigualdad de condiciones en los contratos realizados, siendo los principales riesgos de índole jurídica: el desconocimiento de los puntos débiles inherentes a la tecnología que está siendo utilizada, las funciones de seguridad que faltan o son inadecuadas, así como los riesgos relacionados con los datos.
En este contexto, observamos que las tecnologías de identificación de IoT permiten vincular los perfiles de usuario, que pueden desconocer el alcance y valor potencial de ellos, así como en qué medida sus datos son accesibles a terceros fuera del contexto o propósito para el que fueron creados.
Los riesgos inciertos que acompañan a las tecnologías de identificación, junto con la necesidad conflictiva de que los usuarios realicen una elección informada, al establecer permisos de acceso, socavan la protección real que la administración de identidades centrada en el usuario y los controles de acceso, pueden ofrecer.
Comunicación a los usuarios
Comunicar esta incertidumbre a los usuarios sigue siendo un desafío pendiente para los prestadores de servicios de IoT, que buscan el consentimiento informado.
Si la incertidumbre de los análisis impide que los usuarios realicen una elección informada, al adoptar y usar un sistema de IoT, el consentimiento informado puede ser inviable.
La capacidad de los interesados para consentir libremente se verá aún más cuestionada si no pueden comprender el alcance, debido a la complejidad de las políticas de privacidad.
En relación con la protección de la privacidad y el consentimiento informado el artículo 25 RGPD crea un deber general en torno a la privacidad por defecto y la privacidad por mecanismos de diseño, lo que podría ayudar a resolver la incertidumbre del análisis invasivo de la privacidad y, por lo tanto, ofrecer una mejor base para el consentimiento informado.
Si el usuario tiene la seguridad de que la privacidad estará protegida por defecto, el usuario puede tomar una decisión informada, a medida que las posibles consecuencias de privacidad sean o no previsibles.
Las medidas específicas requeridas dependerán de las circunstancias.