lunes, 29 de septiembre de 2014

Internet de las cosas y protección de datos

Cada vez más los dispositivos conectados a Internet son objetos diseñados para comunicar y compartir información personal sin necesidad de que el afectado inicie el proceso de transmisión o ejerza un control estricto sobre los datos comunicados a través de la red. Esta evolución es fruto de la progresiva expansión de aparatos que recopilan información sobre el usuario, incluido su estilo de vida y hábitos, y que los transmiten para hacer posible la utilización de servicios o aplicaciones interconectados a través de Internet que facilitan ciertos resultados al afectado o le permiten interactuar con otros usuarios. Se trata ya de una evolución bien conocida en relación con ciertos dispositivos tradicionales, como el reloj, las gafas (o el teléfono), que ahora pueden estar conectados a la Red, u otros más novedosos como medidores de ciertos indicadores personales (sueño, ejercicio, nivel de stress, salud) o instrumentos en el campo de la domótica capaces de tratar datos muy relevantes del estilo de vida o los hábitos cotidianos del afectado. Es un fenómeno en claro crecimiento que afecta a un gran número de parcelas de la vida diaria (por ejemplo, en relación con los parquímetros, mediante el tratamiento de las matrículas de los coches –que permite conocer su ubicación en un momento dado- para calcular el precio del estacionamiento tras su interconexión con otros datos). Además de condicionar decisivamente el desarrollo futuro de Internet, esta realidad plantea grandes retos en relación con la tutela del derecho fundamental a la protección de datos personales, ámbito en el que reviste peculiar interés el Dictamen que acaba de adoptar el Grupo de Trabajo sobre Protección de Datos creado en virtud del artículo 29 Directiva 95/46/CE (GTPD) bajo el título “Opinion 8/2014 on Recent Developments on the Internet of Things” (de momento tan sólo la versión en inglés está disponible).  


El Dictamen expone cómo este fenómeno va unido a un incremento exponencial del tratamiento de datos personales en circunstancias en las que los usuarios de algunos de estos dispositivos pueden quedar sometidos a un estricto control por terceros, de una manera en la que el volumen de datos personales transmitidos y la utilización posterior de los mismos por los fabricantes de los dispositivos o terceros, incluso para finalidades totalmente diferentes a las previstas inicialmente, puede quedar por completo fuera del control del usuario del dispositivo. Entre los riesgos específicos, el Dictamen analiza la facilidad para elaborar perfiles sobre aspectos muy sensibles desde la perspectiva de la vida privada y la intimidad de los afectados, así como las restricciones a la posibilidad de utilizar servicios de manera anónima y los potenciales problemas de seguridad asociados a la conexión a Internet de dispositivos con menores niveles de seguridad. 
Desde la perspectiva jurídica, el Dictamen presenta el interés de que aporta importantes claves sobre cómo el actual marco de protección de datos personales existente en la UE se proyecta sobre el funcionamiento de los dispositivos de este tipo y su interconexión a través de Internet, incluyendo al final del documento un conjunto de recomendaciones a los diversos actores implicados con respecto al cumplimiento de sus obligaciones en esta materia. En lo relativo a la aplicabilidad del marco normativo al Internet de las cosas, cabe destacar las consideraciones sobre el ámbito de aplicación de la legislación europea, la determinación de los actores que pueden ser responsables del tratamiento de datos personales en relación con los objetos interconectados, las obligaciones de los responsables y los derechos de los usuarios.
Con respecto a la concreción de en qué medida resulta aplicable la legislación europea, la conclusión de mayor interés, una vez recordada la adopción por el Tribunal de Justicia (en su célebre sentencia Google Spain) de un concepto amplio de establecimiento del responsable como elemento determinante de que el tratamiento de datos personales quede sometido a la legislación europea, es la constatación de que los operadores implicados en el desarrollo distribución o funcionamiento de aparatos del Internet de los objetos que sean responsables del tratamiento quedarán típicamente sometidos a la legislación europea, aunque se hallen establecidos en un tercer Estado en la medida en que los usuarios de los aparatos se encuentren en la UE. Tal conclusión es el resultado de considerar que dichos aparatos constituyen típicamente “medios” en el sentido del artículo 4.1.c) de la Directiva 95/46/CE, que se encuentran en un Estado miembro cuando ahí está su usuario. En consecuencia, su utilización para recopilar datos por el operador en cuestión resulta determinante de que su tratamiento quede sometido a las normas nacionales de transposición de la Directiva.  
Varios son los actores relevantes en este entorno que pueden llegar a ser considerados como responsables del tratamiento de los datos generados y comunicados por los aparatos que participan en el Internet de las cosas. Los fabricantes de los objetos lo serán en la medida en que, como es frecuente, ellos recopilen y traten datos generados por los aparatos habiendo determinado los fines y medios de tal tratamiento. Ese puede ser también el caso de redes sociales o plataformas a las que se comunican, con frecuencia de manera automática, los datos generados en la medida en que la plataforma los trate para fines que ella misma determina (por ejemplo, seleccionar la publicidad que se muestra al usuario). También terceros desarrolladores de aplicaciones pueden ser responsables del tratamiento de datos recogidos por estos objetos en la medida en que los traten en el marco de la utilización de la aplicación; así como otros terceros que traten datos generados por esos aparatos para fines que ellos mismos han determinado; y los titulares de plataformas que recogen los datos generados.
En relación con cada uno de estos actores que pueden llegar a ser responsables del tratamiento, el Dictamen incluye ciertas precisiones sobre el alcance de sus obligaciones en este entorno, como las relativas al consentimiento para el empleo de cookies en esos aparatos (art. 5.3 de la Directiva 2002/58 y art. 22.2 LSSI); la comprobación de la legitimación del tratamiento, bien por haber obtenido del interesado el consentimiento inequívoco, por ser necesario para la ejecución de un contrato o para la satisfacción de un interés legítimo en los términos del artículo 7 Directiva 95/46/CE; y los principios relativos a la calidad de los datos, con especial referencia al principio de minimización de datos, de modo que sólo sean recabados los estrictamente necesarias para los concretos fines determinados y sin que se conserven por un periodo más largo del necesario para esos fines. Con respecto a los derechos de los afectados, el Dictamen se centra en analizar las implicaciones en este entorno del derecho de acceso, poniendo relieve que en la práctica la mayor parte de los responsables del tratamiento no lo garantizan, así como del derecho a revocar el consentimiento y oponerse al tratamiento. Como conclusión de su análisis, el Dictamen incluye una serie de recomendaciones, unas comunes para todos los operadores relevantes, otras específicas para cada uno de ellos, que aparecen recogidas en las páginas 21 a 24 de este documento. 
     Más allá de la importancia de esas recomendaciones para facilitar la adaptación de los responsables a las obligaciones derivadas de la legislación europea, así como del interés del documento para conocer mejor los derechos de los afectados y especialmente para favorecer una aplicación uniforme de las normativa sobre protección de datos por las autoridades nacionales de los Estados miembros, la lectura del Dictamen genera también importantes dudas, bien conocidas en este ámbito. Esas dudas tienen que ver con si el rigor y amplio ámbito de aplicación de la legislación europea en la materia no continuarán unidos en la práctica, también en este concreto sector, a grandes lagunas en su efectividad.