La Guía referente a las tecnologías y protección de datos en las Administraciones Públicas (en adelante AAPP) publicada por la Agencia Española de Protección de Datos (AEPD, en adelante) ha sido objeto de estudio y análisis en las últimas publicaciones de nuestro blog (parte I y parte II). Esta guía, tiene como objeto, el destacar algunos de los aspectos más característicos de las nuevas tecnologías que, sin duda alguna, han irrumpido en nuestra vida y en la de las AAPP y que buscan mejorar tiempos, facilitar la accesibilidad, simplificar trámites, ahorro de costes…etc. En nuestra publicación de hoy, nos centraremos en otra de estas punteras tecnologías que ya está dando la vuelta al mundo: las Smart Cities.
Pero ¿qué son realmente y qué objetivo persiguen las ciudades inteligentes o «Smart Cities«?
A pesar de que partimos de la base de que no hay una definición global consensuada de lo que significa una ciudad inteligente, sino que dependerá de quién analice dicho término y en qué aspectos centre su estudio; sí que podemos hacer una aproximación al concepto cómo: aquel tipo de ciudades que apuestan por mejorar la vida de sus habitantes a través de la implantación de sistemas eficientes que, en su mayoría, se basan en información recolectada, a tiempo real, de los ciudadanos a través de sensores distribuidos por los distintos puntos de la ciudad.
A ojos de la Comisión Europea, hablamos de ciudad inteligente cuando nos referimos al conjunto de proyectos tecnológicos orientados optimizar la gestión de recursos en las ciudades mediante el uso de la tecnología aplicada para gestionar, de una manera más eficiente, los servicios típicos de una ciudad, como son los transportes, infraestructuras, suministros de luz, agua y gas, gestión de los residuos o ayudas sociales.
¿Qué beneficios puede aportar este nuevo concepto de ciudad? Centraremos nuestra atención, en los siguientes:
- Optimizar los recursos existentes para generar ahorro a ciudadanos, empresas y administraciones públicas como por ejemplo mediante la instalación de cámaras o sensores que detecten la presencia de personas en la instalación y, en consecuencia, encender las luces o poner en funcionamiento el sistema de refrigeración.
- Alcanzar una gestión eficiente de todas las áreas de una ciudad: servicios, transportes, educación, sanidad, infraestructuras…etc. Por ejemplo, mediante la gestión eficiente del tráfico o la eliminación de residuos a través de sistemas de basura inteligentes.
- Se crea un nuevo concepto de seguridad siendo, la misma, un elemento clave en el desarrollo de las Smart Cities. ¿Cómo? Haciendo uso de la información obtenida para la lucha contra la delincuencia, los incendios, así como contra otro tipo de desastres.
- Creación de entornos más eficientes y saludables pues se podrá llevar a cabo una mejor organización de los espacios urbanos adecuándolos a las necesidades reales de la población, creando, en consecuencia, nuevas oportunidades de negocio, espacios más eficientes y respetuosos con el medio ambiente…etc.
- Y, a consecuencia de lo anteriormente indicado, conseguir una mayor calidad de vida para los ciudadanos.
Junto con las ventajas anteriormente desarrolladas, traemos a colación los peligros e inconvenientes que conllevan este tipo de ciudades. Qué este «nuevo» concepto de ciudad ha supuesto un impacto, en la protección de datos de carácter personal de los ciudadanos es una realidad innegable, ¿Por qué? Porque la construcción de las ciudades inteligentes va siempre de la mano de la obtención de información de sus ciudadanos y, consecuentemente, de sus datos personales. Todo ello a través de sensores que pueden dar información cómo, por ejemplo, el número de personas que transitan una vía y en qué dirección caminan. Esta información puede resultar clave para la gestión de los servicios de un municipio de un modo más eficiente.
¿Qué papel juegan, en todo esto, las Administraciones Públicas (en adelante, AAPP)? Las AAPP se convierten en responsables del tratamiento de todos aquellos datos recabados mediante sensores o fuentes de datos de determinados servicios. En definitiva, obtener información del comportamiento de las ciudades y sus habitantes. Son, por tanto, las que deciden qué información se recoge y en qué términos se utiliza ésta.
Así, en su calidad de responsables del tratamiento, se encuentran obligadas al cumplimiento de una serie de obligaciones recogidas en la normativa actualmente vigente en materia de protección de datos: Reglamento General Europeo (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos (en adelante, LOPDGDD). Ello debido a que todo tratamiento de datos requiere que cualquier paso dado en el diseño, implementación y gestión del tratamiento cuente con todas las garantías desde el origen.
- Cumplimiento de una serie de principios recogidos en la normativa vigente en materia de protección de datos:
- Principio de minimización de datos – los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados – artículo 5.1.c del RGPD.
¿Cuál es la finalidad de la recogida de información en las Smart Cities? A ojos de la AEPD, puede ser la de ejecutar tanto la función pública como la investigación científica o fines estadísticos. Por ello, y atendiendo a este principio, en el momento de la recogida de información, las AAPP, deberán analizar qué datos se recogen, si estos son o no necesarios, incluso, si podría conseguirse el objetivo perseguido mediante el uso de datos anónimos y agregados, sin la necesidad de identificar a los ciudadanos.
- Principio de lealtad – los datos serán tratados de manera lícita, leal y transparente en relación con el interesado – artículo 5.1.a del RGPD.
Es necesario, para el cumplimiento del mencionado principio, que los datos recogidos en el proyecto Smart City, se utilicen para el propósito original perseguido, y siempre siendo proporcional al grado de intrusión en la privacidad de los ciudadanos.
- Principio de información – El responsable del tratamiento deberá ofrecer – artículo 13 y 14 del RGPD y artículo 11 de la LOPDGDD.
Relacionado con el principio de licitud, lealtad y transparencia, es importante no dejar a un lado uno de los principios base de nuestra normativa de protección de datos, el principio de información. La aplicación práctica de este principio en un proyecto Smart City pasa por informar adecuadamente del marco del servicio en el que se produce esta recogida, de qué datos se recogen y para qué y de cómo pueden ejercer sus derechos sobre los mismos. No podemos perder de vista que los ciudadanos son una parte esencial de este tipo de proyectos; por lo que el proporcionarles la información adecuada respecto a la recogida y uso de los datos permite a los ciudadanos tener conocimiento de los riesgos, las normas, las salvaguardas y los derechos relativos al tratamiento de datos personales así como del modo de ejercer sus derechos en relación con el tratamiento, aumentando así su nivel de confianza y compromiso con el proyecto.
¿Dónde podría publicarse esta información? La página web de las AAPP puede ser un buen lugar para publicar, mantener actualizada esta información y aclarar aspectos de la finalidad de los proyectos Smart Cities, dando a conocer el valor añadido que se pretende conseguir con estos proyectos..
- Definir, de manera clara, quién es el responsable del tratamiento, quién corresponsable y quién encargado. Este tipo de proyectos involucran a varios intervinientes en diferentes partes del tratamiento de los datos, por lo que, no sólo se deberán delimitar claramente las figuras en aras de ver qué datos emplea cada una de las partes y para qué, si no que, además, deberá establecerse cómo se formalizará la relación entre ellas.
- Realización de un análisis previo del proyecto el volumen de la información que se pretende procesar y el número y tipo de fuentes desde las que se pretende obtener dicha información o incluso el tiempo durante el que se pretende conservar esta información. Además de los riesgos específicos de un tratamiento Smart City, ha de contemplarse gestionar los riesgos de las tecnologías involucradas.
- Realización del análisis del enriquecimiento de datos, tanto planificado en el tratamiento como del riesgo de que este se produzca.
- Realización de una evaluación de impacto (PIA) en los términos establecidos en el artículo 35 del RGPD, valorando incluso la necesidad, según las características del proyecto, de elevar una consulta previa a la Autoridad de Protección de Datos siempre que tras la realización de la PIA, se muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.
- Por último, poner en marcha planes de auditoría preventiva y la fijación de medidas de seguridad.En este tipo de proyectos, partimos de la realidad de que, la seguridad total no es posible. No obstante, mediante la aplicación de medidas de seguridad acordes a la recogida y tratamiento de los datos, se conseguirá minimizar el impacto que una brecha de seguridad puede llegar a tener.
Cualquier tratamiento que se implemente en el seno de las AAPP, tal y cómo la misma AEPD refleja en su guía, conlleva una serie de riesgos que se han de gestionar como en cualquier otro proceso que se desarrolle dentro de una organización. Y los proyectos de Smart cities no iban a ser diferentes.
Por ello, y a pesar de las ventajas que, en la práctica, pueden llegar a tener estos proyectos, es importante que las AAPP, en tanto responsables del tratamiento, identifiquen aquellos riesgos a los que pueda estar expuesto el tratamiento para poder evaluar, gestionar y minimizar las consecuencias negativas que los mismos pueden traer para los derechos y libertades de los ciudadanos mediante la imposición de medidas técnicas y organizativas que permitan eliminar o al menos mitigar a un nivel aceptable esos daños.
