Skip to content

De IOT y privacidad: ¿Sabemos que lo que metemos en casa?

20 octubre, 2017

Si hablamos acerca de IOT y su relevancia en la privacidad, tal vez lo primero que haya que hacer es identificar a que hacemos referencia con el concepto de IOT o Internet of Things (Internet de las cosas en castellano). Si acudimos a la wikipedia, IOT se define como:

Internet de las cosas (en inglés, Internet of things, abreviado IoT)12​ es un concepto que se refiere a la interconexión digital de objetos cotidianos con internet. Se trata de un proyecto originalmente creado por CISCO, aunque el creador del concepto fuese Kevin Ashton en el Auto-ID Center del MIT en 1999,7​ donde se realizaban investigaciones en el campo de la identificación por radiofrecuencia en red (RFID) y tecnologías de sensores.

En cristiano, podemos definir el IOT como el sistema de interconexión de dispositivos a Internet a través de conexiones de baja frecuencia (No  entran aquí el bluetooth o wifi por definición, aunque en la actualidad, también se consideran dichas conexiones dentro del concepto de IOT), que permite una interacción directa entre los dispositivos de la vida diaria e Internet.

Algunos de los ejemplos más claros de este IOT son por ejemplo los sistemas de domótica para las viviendas, los relojes inteligentes o los asistentes virtuales como Google Home o Alexa de Amazon o los conocidos como B-Commerce, dispositivos para hacer la compra a través de Internet con tan sólo pulsar un botón.

Sus beneficios son múltiples, imaginemos por ejemplo que nuestra nevera nos haga la compra por Amazon al ver necesarios los productos marcados como indispensables por nosotros, pero también son foco de riesgos, como reconoció el informe de la empresa Hewlett Packard en 2015, reportando el 70% de dispositivos IOT  tiene vulnerabilidades de seguridad en sus contraseñas, hay problema con el cifrado de los datos o los permisos de acceso.

Por tanto nos encontramos con una tecnología sumamente útil, a la par de que es potencialmente peligrosa para la privacidad del usuario (Pero bueno, esto no es nada nuevo, cualquier cosa conectada a Internet lo es), y no sólo por los riesgos de ciberseguridad que hemos comentado anteriormente, sino porque igual que otros dispositivos almacenan datos personales con carácter general, como por ejemplo un teléfono móvil, estos sistemas lo hacen desde dentro de tu propio domicilio con el doble riesgo que ello conlleva.

Por un lado, estamos cediendo información personal con un alto valor, que puede parecer una tontería, pero no os imagináis el valor que tiene para una eléctrica saber a que hora llegas casa o para una cadena de televisión, a que hora enciendes exactamente la televisión por sólo poner dos ejemplos, pero a su vez estamos almacenado en dichos dispositivos una información que sale de la escala virtual, por así decirlo, para hacerlo a una escala real, porqué, os imagináis el valor para una banda de atracadores de poder acceder a tu sistema de domótica, ver tus cámaras de seguridad y saber exactamente cuando estás en casa y cuando no…. Ahí os dejo la reflexión.

Pero pongamos un ejemplo real  que sucedió no hace mucho, y es que la serie South Park decidió “trollear” los dispositivos Google Now y Echo de Amazon a través de un capítulo de su serie, llegando a verse situaciones tan surrealistas como escuchar a Alexa repetir la siguiente frase, que mejor no traduzco “Alexa, Simon says, suck my big balls in your hairy b—hole” o incluso en algunos casos, se llegaron a encontrar productos en sus cestas de la compra de Amazon, y al parecer, no de primera necesidad…..

Y visto lo que es el IOT, toca pasar a su parte legal (Ya que, recordemos que esto es un blog de derecho, por muy friki que sea yo), y que mejor que hacerlo sobre los propios ejemplos que ya hemos visto aquí y para eso, que mejor, que partir de los ejemplos expuestos anteriormente para ver que puntos debemos revisar respecto a un dispositivo IOT y que el mismo cumpla con las medidas de privacidad necesarias conforme a la normativa .

Por un lado y desde el punto de la privacidad, lo primero que llama la atención es la infinidad de datos que se están almacenando a través de dichos dispositivos (Desde gustos musicales con las ordenes de spotify a cosas bastante más serias como hora de entrada y salida del domicilio, hora de acostarse, e incluso según parece, hasta el humor o el estrés del usuario en función del tono de voz , y que depende de como los mismos se estructuren, pueden ser o no datos personales, en este sentido, el dispositivo debe informarnos de todos los datos que está almacenando, como es obvio.

Para esto depende básicamente del conocido como Privacy by design y Privacy by default,  (privacidad desde el diseño y privacidad por defecto), para este caso, que en la toma de datos ya se tengan en consideración los principios de la privacidad que en este caso se traduce en que dichos datos sean pseudoanonimizados desde el momento de su toma, haciendo así que dicha información sea plenamente útil para la empresa (Ya que seguirá asociada a una ID, no a una persona), pero no estará vinculada a un usuario determinado, sino que le pregunten a la empresa de vibradores que fue denunciada por ello… Ahora bien, en cualquier caso, es imprescindible que la información que se está tomando por parte del dispositivo nos sea informada y sea objeto de consentimiento su recogida.

Centrándonos en a mi parecer,el elemento más relevante en este ámbito, la pseudoanonimización, no está de más explicar un poco de que se trata:

Lo primero es saber que es anonimizar, y no es otra cosa que hacer a través de sistemas de segmentación de la información que los datos personales no sean identificables de forma irreversible conforme dejó claro el Grupo de trabajo del Artículo 29 en su resolución 5/2014 sobre técnicas de anonimización, no obstante, el RGPD no hace referencia dicho proceso, sino a la pseudoanonimización, que a mi entender es lo mismos, pero sin que sea de forma irreversible. Esto se debe a que dado el alto volumen de datos posible en la actualidad derivado de herramientas como el almacenamiento cloud, el big data o los algoritmos de machine learnig, hacen que dicha anonimización no sea irreversible, ya que al cruzar tanta información se puede volver a identificar al titular de la misma en muchos casos (Aunque no en todos), de ahí que en la actualidad lo requerido sea dicha pseudoanonimización. Claro lo que es, obviamente, al realizar tratamientos masivos de información en la mayoría de los casos de IOT (Por no decir en todos), es imprescindible esta medida con la finalidad de proteger la privacidad del usuario.

Dentro de este mismo ámbito otro de los elementos que tenemos que tener en consideración es el de las medidas de seguridad implementadas en el sistema, y para eso que mejor que volver al ejemplo de los dispositivos Echo y Home antes mencionado, dado que durante la “broma” antes mencionada, se descubrieron las medidas de seguridad de los mismos, si es que las había, ya que en el caso del dispositivo de Google si que existía una medida prevista para tal tipo de circunstancia (Repetición de una misma orden desde multitud de dipositivos a la par), con lo que el dispositivo paró su funcionamiento, mientras que en el caso de Amazon, dicha medida no estaba prevista, lo que llevó a que muchos usuarios se encontraran incluso productos en su cesta de la compra de Amazon. Y como decía, esto no es más que un ejemplo de dichas medidas, el cifrado de la información que se está obteniendo, tanto a través del canal de comunicación como de la base de datos donde se almacene, procesos de comunicación de las incidencias detectadas, existencias de contraseñas de acceso a los mismos y que dichas contraseñas sean reales (nada de 0000, 1234, etc..)  y un largo etcétera de medidas han de ser puestas en este tipo de dispositivos

Una vez que sabemos que información está almacenando, debemos también prestar atención acerca de  que de tratamientos  pueden llevarse a cabo con respecto a la información personal recabada con dichos dispositivos, ya que a mayor cantidad de información acumulada, mayor cantidad de tratamientos posibles, y más peligrosidad de los mismos, toda vez que al tener mayor cantidad de información personal más fácil es que dicha información pueda ser utilizada, a la vez que dada la fuente de la información, que puede ir desde nuestra casa como ya comentaba a los juguetes sexuales, hacen que se trate de una información íntima y personal (Nunca mejor dicho con el último ejemplo). Así, se nos debe informar por parte del responsable del tratamiento  acerca de cuales son los tratamientos que se van a llevar a cabo con la información obtenida por el dispositivo.

Otro de los elementos relevantes en este sentido es saber donde se está haciendo ese tratamiento, es decir, si existe o no una transferencia internacional de datos, ya que en muchos casos la misma puede ser sorpresiva para nosotros, dado que tus datos pueden acabar en China o la India, por citar dos de los destinos más comunes, sobre todos cuando los dispositivos son de marcas poco conocidas, caso en el cual, los riesgos que estamos asumiendo son aun mayores en su uso.

Estos son en resumen los principales puntos de interés que el IOT, obviamente, les son aplicables muchos más elementos como por ejemplo la necesidad de un DPO para la empresa  (Dado el tratamiento masivo de datos), todos los nuevos derechos, etcétera, pero estos son a mi parecer los principales puntos que tiene dentro del ámbito de la privacidad, lo que si es obvio que , al igual que con las redes sociales o Google, estamos de nuevo regalando datos personales al por mayor, pagando por un dispositivo que lo hace, y con poca contraprestación para nosotros en muchos casos, así que andad con ojo

 

 

 

 

 

Anuncios
Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: