Internet de las Cosas y Protección de Datos: Riesgos y retos

¿Tienes un smartphone? ¿O una Smart TV? ¿O una smartband? ¿O un smartwatch? ¿O algún juguete de tus hijos se conecta al móvil vía aplicación? Si la respuesta a algunas de esas preguntas es sí, ya has entrado en contacto con el llamado Internet de las Cosas o IoT por sus siglas en inglés (Internet of Things). Ahora, hazte otra pregunta, ¿cuántos datos suministras o compartes con estos dispositivos? En este artículo hablaremos del Internet de las cosas y la protección de datos, los desafíos y riesgos que supone esta tecnología.

Por el principio, ¿qué es el Internet de las Cosas y qué relación tiene con la protección de datos?

El Internet de las cosas va mucho más allá de poner la palabra «smart» (inteligente) delante del nombre de cualquier dispositivo, puesto que hablamos de un concepto que se define como la comunicación de información entre dispositivos conectados entre sí y a la Red.

Es decir, el IoT es la introducción en Internet de los dispositivos cotidianos que, hasta ahora, no estaban conectados a la Red; como por ejemplo televisores, frigoríficos, juguetes inteligentes, robots de limpieza o cualquier dispositivo de domótica que tengas en casa.

Su principal función es facilitarnos el día a día (piensa, por ejemplo, en esa aplicación que usas para encender la calefacción desde el trabajo con el móvil, para que al llegar a casa, esta ya esté caldeada), pero para ello deben recopilar datos e información de nuestras costumbres y comportamientos. Datos personales que de una u otra forma son recogidos, almacenados, tratados y analizados por sistemas de IA y terceras personas relacionados con proveedores de servicios, desarrollo de hardware y software, plataformas de datos, servicios en la nube, etc.

Y con cada vez más dispositivos IoT conectados entre sí y a la Red, con cada vez más datos e información personal circulando entre dispositivos y diferentes actores, es fácil ver que estamos ante un nuevo desafío para la protección de datos, como lo es la seguridad del 5G o el Big Data; conceptos muy relacionados, además, con el desarrollo del IoT.

Aunque el RGPD ya tiene en cuenta el Internet de las cosas y la comunicación entre máquinas, exigiendo a responsables y encargados del tratamiento la aplicación de las medidas necesarias para garantizar la protección de datos personales recogidos por los dispositivos inteligentes de uso personal y doméstico, se queda corto. Con tantos actores potenciales involucrados, como hemos visto, puede resultar difícil señalar dónde recae la responsabilidad ante eventuales brechas de seguridad. Por no mencionar los casos en los que los usuarios dan su consentimiento sin estar realmente informados sobre el uso que se hará de sus datos.

El tratamiento de datos en el Internet de las Cosas (IoT)

Para poder cumplir con las funciones atribuidas, los dispositivos IoT conectados a la Red necesitan llevar a cabo diferentes niveles de tratamiento de datos personales. De cada uno de estos niveles, el usuario es más o menos consciente y, por tanto, es donde empezamos a ver algunos de los riesgos y retos que representa el IoT para la protección de datos, de forma no muy distinta a los peligros del 5G en ese sentido.

Todos los dispositivos IoT realizan, en lo que a tratamiento de datos personales se refiere, cuatro funciones básicas:

• Capturar datos
• Procesar datos
• Comunicar datos
• Interactuar con los datos

Captura de datos

En un primer nivel las operaciones de tratamiento se centran en la captura de datos personales. Siempre que el tratamiento se desarrolle de forma local, es decir, no hay comunicación de datos con otros dispositivos o la propia Red, el tratamiento queda dentro de la excepción doméstica que contempla el RGPD.

Pensemos, por ejemplo, en un aspirador autónomo que no se conecta a ningún otro dispositivo, como el móvil, para funcionar o programarse. Este tipo de dispositivos suelen mapear nuestra vivienda para poder moverse por ella; si no están conectados a la Red, esa información no sale del dispositivo.

Comunicación de datos

En un segundo nivel encontramos la comunicación de datos entre el propio dispositivo y el proveedor de servicio o entre otros dispositivos. Es toda la infraestructura que permite que se produzca esa comunicación e intercambio de datos. El tratamiento de datos que se produce aquí es la mera comunicación de los mismos de una forma bidireccional.

Retomando el ejemplo del aspirador autónomo, si este cuenta con una aplicación de móvil para programarlo, a la que se conecta vía Bluetooth.

Procesamiento y análisis de datos

Finalmente, en el tercer nivel se lleva a cabo el procesamiento y análisis de datos personales recogidos por los dispositivos inteligentes. El objetivo aquí es ofrecer tanto de cara al usuario como a otros actores que intervienen en el tratamiento de datos, funciones analíticas para el funcionamiento correcto y más eficiente de los dispositivos inteligentes.

De vuelta a nuestro aspirador autónomo, si aparte de contar con una app para programarlo, esta también nos avisa de cuando necesitamos comprar bolsas o recambios.

Actualmente, este nivel suele ofrecerse desde una infraestructura de almacenamiento y procesamiento en la nube y es donde también entra en juego el Big Data y la protección de datos.

¿Qué categorías de datos personales tratan los dispositivos IoT?

Las categorías de datos personales que recogen y tratan los dispositivos IoT son tan variadas como tipos de dispositivos y funciones hay; desde datos de geolocalización (cuando conectamos el GPS del móvil o del smartwatch), datos relacionados con  nuestra salud (pulso, tensión, hábitos de sueño), voz (si usamos asistentes como Alexa o Cortana), imagen, la forma en que usamos Internet, etc.

Estos datos, además, se pueden clasificar según su origen, y es algo que podemos observar en todos los dispositivos IoT.

Tipos de datos según su origen

Son cuatro las categorías que podemos establecer según la procedencia de los datos recogidos; en las dos primeras, el usuario todavía tiene cierto control sobre sus datos, pero en las otras dos, el control se pierde por completo, puesto que muy pocos usuarios son conscientes de ellas.

Datos facilitados

Los datos facilitados son aquellos que los usuarios facilitan de forma voluntaria al dispositivo. Por ejemplo, cuando queremos vincular nuestra smartband a nuestro móvil, estaremos usando o creando una cuenta con nuestros datos personales básicos para ello y los facilitamos de forma consciente.

Datos observados

Los datos observados son aquellos que los dispositivos IoT captan con sus sensores, por ejemplo, el pulso o la distancia recorrida que registra un smartwatch o la temperatura media de nuestro hogar, si usamos un sistema demótico.

El usuario también es consciente del tratamiento de estos datos, puesto que ha tenido que dar su consentimiento para ello en algún momento.

Datos derivados

Los datos derivados se obtienen tras procesar los datos facilitados y observados y sirven para que los sistemas inteligentes puedan tomar ciertas decisiones, por ejemplo, sugerirnos un régimen de ejercicios, recomendarnos una serie o película en concreto o mostrarnos una publicidad determinada.

Del tratamiento de datos derivados, como de los siguientes que vamos a ver, el usuario es mucho menos consciente. Esto no quiere decir que no haya dado su consentimiento, pero sí que no lo entienda completamente.

Datos inferidos

Finalmente los datos inferidos son los que se obtienen del procesamiento analítico de grandes conjuntos de datos provenientes de múltiples usuarios y fuentes. Estos datos se pueden utilizar para llevar a cabo diferentes análisis y estudios estadísticos y es donde entra en juego la protección de datos y las nuevas tecnologías, pues se requiere del uso de tecnologías como la IA o el Big Data para poder llevar este tipo de análisis.

Principales riesgos para la privacidad y protección de datos del IoT

Con cada vez más dispositivos domésticos conectados a Internet y la llegada y desarrollo del 5G, que irá facilitando aún más la comunicación entre las máquinas, se multiplicará exponencialmente el volumen de datos en circulación. De acuerdo a la Estrategia Europea de Datos, se calcula que para 2025, el 80% de los datos procesados provengan de dispositivos IoT.

Y como los datos recogidos de los dispositivos IoT son, esencialmente, datos personales, sin duda alguna se plantean una serie de riesgos para la privacidad y seguridad en internet que se deben tener en cuenta, tanto a nivel de usuarios particulares de estos dispositivos, como a nivel de empresa, de cara a cumplir la ley y proteger los datos de nuestros clientes, si ofrecemos soluciones IoT (no muy diferente a los riesgos que plantea para la ciberseguridad el proceso de digitalización de las empresas).

Algunos de esos riesgos relacionados con el IoT y la necesidad de la protección de datos son:

• La capacidad real de llevar a cabo perfiles de usuarios muy detallados, puesto que los dispositivos IoT recogen información de nuestras costumbres y estilo de vida.
• Poca claridad para los usuarios sobre el tratamiento posterior de los datos recogidos por los dispositivos IoT, especialmente de datos derivados e inferidos. Los usuarios no son conscientes de la cantidad y el valor de los datos que generan y facilitan a determinados dispositivos IoT y a dónde van esos datos después o para qué se usan.
• En ocasiones, el consentimiento se queda corto o es ineficiente, especialmente cuando un dispositivo IoT puede captar sonido y grabarlo, aunque no lo produzca su usuario principal (como es el caso de los asistentes de voz).
• La existencia de muchos actores responsables del tratamiento de datos personales obtenidos de dispositivos IoT diluye la responsabilidad. Además, algunos de estos pueden ser más vulnerables que otros a las brechas de seguridad.
• Riesgos relacionados con la seguridad, como pueden ser vulnerabilidades en los dispositivos o el no uso de sistemas de cifrado adecuados, que pueden provocar ataques o manipulación remota de los dispositivos IoT.
• Usar dispositivos IoT en muchas ocasiones acaba con el anonimato del usuario, puesto que estos dispositivos se vinculan muchas veces a través de identificadores únicos con su usuario, lo que además, conlleva riesgos de reidentificación.

Los retos para la protección de datos que trae el IoT

Los dispositivos IoT implican que la huella digital de los usuarios aumentará considerablemente, porque esta comunicación de datos personales entre dispositivos conectados y los servicios que los proporcionan, harán que cada vez sea más fácil realizar un perfil de usuario exacto y detallado, que pueda poner en riesgo ciertos derechos y libertades del mismo. Ya no solo hablamos de publicidad personalizada, sino de poder denegar un seguro de coche, por ejemplo, si a través de los datos que recoge nuestra aplicación para el navegador del coche, se puede determinar qué tipo de conductor somos.

Los dispositivos IoT están pensados para facilitarnos la vida, pero plantean un nuevo reto para la protección de datos, que hace necesario pensar en nuevos modelos normativos, estándares y certificaciones que puedan garantizar un tratamiento adecuado de los datos personales de los usuarios, que no ponga en riesgo su anonimato y con los que se garantice, como hasta ahora, sus derechos y libertades.

El Internet de las cosas llega con un reto claro para la privacidad, en parte por el desconocimiento de los propios usuarios a la hora de facilitar sus datos a este tipo de dispositivos y en parte porque el RGPD se queda corto actualmente, de ahí la necesidad de aprobar el Reglamento e-Privacy sobre el que trabaja la UE y que sí tiene en cuenta estos aspectos.

En cualquier caso, hoy en día las empresas que manejan este tipo de soluciones, tampoco deben descuidar la protección de datos personales derivados de dispositivos IoT y recurrir para ello a una consultoría TIC es una forma de cumplir con la normativa actual y mantenerse actualizado de futuras novedades al respecto.