"Wearables" y la protección de datos personales

"... parece mentira que no hayamos conseguido una navegación segura, que comprar online signifique pasar a formar parte de una base de datos, se quiera o no, o que usar nuestro correo electrónico pueda ser todavia una excelente via de entrada para el malware y los virus".

"El consumidor recibe mensajes del tipo: 'No ejecute aplicaciones peligrosas'... pero ¿cómo puede saber cuáles lo son? ¡Si además, potencialmente, todas lo son realmente!".

                         Radia Perlman "DISI 2008: Adventures in Network Security"[i]

Esto lo decia la Dr. -en Ciencias de la Computación por el MIT- Radia Perlman [ii] en el año 2008, en Madrid con motivo de las jornadas organizadas por la Cátedra UPM (Universidad Politecnica de Madrid ) Applus+ de Seguridad y Desarrollo de la Sociedad de la Información "Dia Internacional de la Seguridad de la Información, DISI". 

A pesar de las leyes de protección de datos, en realidad, tal y como afirma la Dr. Perlman, no somos dueños de los datos que "voluntariamente" dejamos en Internet cuando interactuamos con la Red. Podriamos, por ejemplo, una vez conseguido el objetivo de nuestra interacción, ser capaces de borrar nuestro rastro, si asi lo deseáramos, y no que todo lo que hacemos queda registrado y perdemos el control sobre ello. 

Utilizamos herramientas que no sabemos muy bien que es lo que hacen, además de para lo que se supone que están hechas, y recibimos mensajes ominosos acerca del peligro que podemos correr utilizandolas. 

Y aún hay más. En esta misma sección y en el otoño del 2014 ya apunté, bajo el titulo '"Internet de las cosas” o la peligrosa transformación del mundo real en virtual"[iii], que la conectividad de los objetos cotidianos a internet ampliaba el margen de inseguridad de la vida misma al poder ser “manipulados” de forma remota, ellos mismos o los datos que se intercambian, violando el principio de 'integridad' de la seguridad de la información. 

Un subconjunto de dichos dispositivos lo constituyen los "wearables" o, en español, lo que podemos llevar encima, como relojes, pulseras, gafas, etc., integrando cámaras, micrófonos y sensores que pueden constituir medidores de nuestros parámetros biológicos y de nuestro entorno próximo. Y en el caso de dispositivos como marca-pasos y prótesis activas varias, no sólo medidores, sino actuadores.

A los objetos cotidianos se les provee de más funcionalidades, permiten grabar y transferir datos, están hechos para ser llevados regularmente y para registrar información sobre nuestros propios hábitos y estilos de vida, y, una vez que los datos se almacenan de forma remota, pueden ser compartidos con terceros, a veces sin que la persona afectada sea consciente de ello.

Como ejemplo podemos citar rastreadores de movimiento, indicadores cuantitativos relacionados con la actividad fisica, calorias quemadas o distancias recorridas, pulso u otros indicadores de salud. Estos son datos que se refieren a personas fisicas -nosotros- que se pueden identificar, por tanto son datos personales y como tales hay que tratarlos. Pasamos, entonces a otro principio de la seguridad de la información, el de la 'confidencialidad'.

Las vulnerabilidades de dichos dispositivos entrañan riesgos significativos para nuestra privacidad y, además, dado que los tenemos con nosotros casi permanentemente, puede crear un sentimiento de estar siempre vigilados.

Para paliar estos desafios de privacidad, el órgano consultivo europeo de protección de datos conocido como Grupo de Trabajo del Articulo 29 (GT29/ WP29)[iv] aprobó en el pasado año 2014 el primer Dictamen conjunto sobre internet de las cosas (IoT)[v].

De dicho Dictamen se puede resaltar lo siguiente: 

"Las organizaciones que coloquen la privacidad y protección de datos en la vanguardia del desarrollo de productos, estarán en buenas condiciones para asegurar que sus productos y servicios respetan los principios de privacidad desde el diseño (PbD) y están dotados de la privacidad por defecto de forma amigable, que esperan los ciudadanos de la UE."[vi]

"Los datos personales deben ser recogidos y tratados de manera leal y licita. El principio de equidad requiere especificamente que los datos personales nunca se recojan y procesen sin que el individuo realmente sea consciente de ello. Este requisito es tanto más importante en relación con la IoT al estar los sensores realmente diseñado para no ser invasivos, es decir, tan invisibles como sea posible."[vii]

Debemos dotarnos de una serie de normas para un uso adecuado de la tecnologia y conseguir para todos un acceso digital de calidad en todas las facetas de la vida, apoyando la confianza y la innovación.

Poco a poco ...

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 05/07/2015. 

--------------------------------------

[i] Véase el siguiente vídeo: https://www.youtube.com/watch?v=zDyQ5TleDYg 

[ii] A Radia Perlman se la conoce como "la madre de Internet" por su desarrollo en 1985 del STP (spanning tree protocol) y a lo largo de su carrera ha desarrollado más de 100 patentes, muchas de ellas dedicadas a la seguridad en Internet. http://solutionists.ieee.org/radia-perlman/ 

[iii] María José de la Calle. Magazcitum, Oct-2014. http://www.magazcitum.com.mx/?p=2697 / http://www.ittrendsinstitute.org/perspectives/item/internet-de-las-cosas 

[iv] Véase http://www.agpd.es/portalwebAGPD/internacional/Europa/grupo_29_europeo/index-ides-idphp.php 

[v] Véase https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1 

[vi] "Organisations which place privacy and data protection at the forefront of product development will be well placed to ensure that their goods and services respect the principles of privacy by design and are equipped with the privacy friendly defaults expected by EU citizens." https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1 

[vii] "Personal data should be collected and processed fairly and lawfully. The fairness principle specifically requires that personal data should never be collected and processed without the individual being actually aware of it. This requirement is all the more important in relation to the IoT as sensors are actually designed to be non-obtrusive, i.e. as invisible as possible."  https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1