Dispositivos IoT: limitaciones en el ejercicio de derechos

La sociedad en la que vivimos posee un marcado carácter tecnológico, y por consiguiente los avances en las nuevas tecnologías son habituales protagonistas en los paneles de actualidad.

Es en este contexto de transformación digital en el que aparecen los dispositivos IoT, siglas con las que se hace referencia al “Internet of Things”, un concepto que se refiere a la interconexión digital de objetos comunes a través de internet y cuya irrupción en la sociedad supone, por su naturaleza, un cambio de enfoque a la hora entender nuestro entorno. Durante este 2020, se esperan alrededor de 20.400 millones de dispositivos conectados, y se prevé que, en los próximos años, en la mayoría de los países, más de la mitad de la población activa tendrá una ocupación que de una forma u otra dependerá de la informática.

Todo ello constituye un arma de doble filo, pues si bien trae consigo mejoras en la eficiencia, así como un incremento en la participación de las personas, a su vez supone un reto: el de afrontar las nuevas amenazas, especialmente aquellas con incidencia sobre la privacidad de las personas.

Los dispositivos IoT funcionan como canal de entrada y salida de datos empleados para definir comportamientos y usuarios tipo, lo cual pone de manifiesto que la parte del IoT relativa a las tecnologías de identificación es la que parece elevar al máximo exponente los riesgos para la privacidad de los usuarios, pues permite que a través de la conexión entre dispositivos se cree una única identidad de usuario, un único perfil personalizado elaborado en base al comportamiento del usuario y las deducciones que de ese comportamiento los dispositivos inteligentes vinculados entre sí puedan extraer.

Son herramientas inteligentes que hacen posible que las empresas que tienen acceso a los datos recabados por los IoT vinculados a un perfil de usuario, puedan utilizarlos para fines distintos para los que inicialmente fueron recabados, encontrándose el interesado en una situación de vulnerabilidad y desconocimiento absoluta en relación al alcance del tratamiento. Es por esto que, de acuerdo con el RGPD, como normativa vigente y aplicable en la materia, la seguridad de la información y la privacidad de los usuarios debería ser una de las principales preocupaciones de cualquier proyecto IoT.

Por desgracia, el aumento en la seguridad en el marco de desarrollo de cualquier proyecto es directamente proporcional al incremento en costes y complejidad, por lo que si bien es cierto que, con la norma en la mano, el funcionamiento adecuado y regulado de los dispositivos IoT pasaría por un sistema con la capacidad de gestión suficiente para llevar a cabo un buen uso de la información, siendo capaz de recoger solamente aquella que resulte necesaria para la finalidad establecida, almacenarla de forma segura y hacer un análisis de la misma, no siempre es así.

El enfoque de la normativa se encuentra claramente direccionado hacia la idea de “la soberanía del usuario sobre sus datos”, esto es, la máxima de control del interesado (que en este caso es el usuario del dispositivo) sobre sus datos de carácter personal; sin embargo, y teniendo en cuenta todo lo anterior, ¿sabemos todo lo necesario sobre el uso que se hace de nuestros datos cuando utilizamos este tipo de dispositivos?

Probablemente no nos hayamos planteado todavía hasta qué punto nuestros weareables (relojes inteligentes, o pulseras de actividad), u otros dispositivos de presencia habitual en nuestras casas como Alexa o Google Home, tratan la información personal que recaban continuamente. En este sentido, ¿podríamos solicitar a sus fabricantes, responsables del tratamiento, la información que tienen sobre nosotros?

De acuerdo con el derecho de acceso tal y como lo contempla el RGPD sí, pues según este el interesado no solo tendrá derecho a obtener acceso a los datos personales, sino que el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento a la información sobre el tratamiento. En la práctica del IoT, el usuario suele tener acceso a la información a través de un portal web, plataforma o aplicación que el prestador del servicio pone a su disposición como parte del servicio. No obstante, a pesar de ofrecer este servicio en línea que permite sacar mayor partido al producto, los usuarios finales no suelen tener acceso a la totalidad de la información que el Responsable trata. Los datos a los que el usuario puede tener acceso a partir de esta funcionalidad de “portal de usuario” son los datos “en bruto”, esto es, los datos que el propio usuario introduce para poder utilizar el dispositivo. Sin embargo, los prestadores del servicio dan mayor valor a los datos inferidos o “interpretados”, que serían aquellos datos obtenidos a partir del comportamiento del usuario y de su forma de interactuar con el dispositivo, y por ende los más útiles para el fabricante que puede, a raíz de estos, entender que es lo que puede llegar a obtener a partir del dispositivo de los interesados.

Pero esta “limitación” al acceso no es la única, pues también encontramos dificultades en el ejercicio efectivo del derecho de oposición.

El derecho de oposición implica que, ante petición del interesado, el responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones; esto se equipara, a efectos prácticos, a la revocación del consentimiento, el cual ha de ser revocable, en cualquier momento y del mismo modo sencillo en el que fue otorgado, no obstante, esto no siempre resulta sencillo.

Podemos encontrar múltiples casos en los que, el Responsable del Tratamiento no pone a disposición del usuario los medios que permitan a este continuar con su uso aun oponiéndose a ciertos tratamientos, esto es, que el producto continúe proporcionando las funcionalidades habituales del mismo (finalidad principal) con calidad y sin traba alguna para el usuario, aunque este se oponga a un tratamiento de datos concreto y accesorio, como por ejemplo, el tratamiento de la voz, lo que implicaría la desconexión del micrófono del dispositivo. Sin embargo, a efectos de cumplir con la normativa, no solo no deberían existir restricciones o impedimentos al ejercicio de este derecho, sino que, de forma positiva, los Responsables deberían poner a disposición del interesado medios visibles, eficaces, accesibles y gratuitos que permitan hacerlo efectivo.

Todo esto genera al usuario una situación de “lock-in” a la hora de poder ejercitar satisfactoriamente sus derechos, y, por tanto, lo sitúa en una posición vulnerable al no poder ostentar todo el control que deberían sobre la información de carácter personal que los prestadores del servicio tratan.

Así, a efectos de resolver dicha situación de bloqueo, los servicios IoT deberían dotar al usuario de la capacidad de administrar su dispositivo de forma sencilla, eliminando todos los obstáculos posibles adoptando medidas como, por ejemplo, el diseño de un área de usuario que permita una configuración avanzada de su privacidad, de forma que pueda darse de baja oponiéndose de forma absoluta o parcial al tratamiento de sus datos, así como acceder a toda la información que su dispositivo almacena.

Si bien la solución parece sencilla, nos encontramos de nuevo en el punto en que, para obtener un nivel de cumplimiento satisfactorio de la norma aumentan los costes de desarrollo y producción, lo que nos hace plantearnos lo siguiente: ¿es aceptable que la decisión de respetar la privacidad del usuario quede en manos de una decisión empresarial? ¿o es qué toda esto nos sitúa ante nuevas necesidades legislativas por cubrir?