Camarero, ¡¡¡hay un IoT en mi sopa!!!

El internet de las cosas es probablemente la tecnología que mayor desarrollo experimentará en los próximos 3 años. Las aplicaciones industriales y comerciales son cada vez más amplias y no dejan de desarrollarse soluciones que gracias a IoT ayudan a gestionar la logística, reducir las emisiones de carbono o automatizar procesos.

A raíz de la pandemia el mercado de IoT ha demostrado una creciente madured al evolucionar desde la venta de componentes hacia la venta de productos acabados. De esta forma pasa de ser un suministro industrial ha ser un servicio comercializable (y comercializado) que se integra en la oferta de muchos productos finales.

Como toda nueva tecnología, el internet de la cosas crea grandes incertidumbres en la aplicación de la normativa aplicable a su desarrollo. Sin embargo el derecho de nuevas tecnologías responde de forma eficaz ante los problemas que plantea el IoT desde el punto de vista jurídico:

• Privacidad: El internet de las cosas obtiene datos de todos y de todo. Es por ello que resulta difícil saber qué información esta recopilándose por qué dispositivos se está recopilando a quién se está comunicando y para qué se está tratando. El paso de tener que dar la información a un operador jurídico a que el operador capte datos de forma automatizada es un triple salto mortal en materia de protección de datos personales.
• Elaboración de perfiles: la creación de patrones de conducta previstos por parte de usuarios o clientes (o de ciudadanos que pasaban por allí) aplicando técnicas analíticas a los datos almacenados, no sólo es un tratamiento oscuro para el interesado (que no entiende claramente la consecuencia de su consentimiento y hasta dónde puede llegar el tratamiento consentido) sino que también en muchos casos no se ha procurado la adecuada información a los interesados.

Para responder jurídicamente a la adecuación de las soluciones de Iot a la legislación reguladora del Derecho Fundamental a la Privacidad debemos atender a la propia organización interna del producto comercializado. La configuración de los procesos en los que se incluyen los datos recabados a través de dispositivos de internet de la cosas dificulta enormemente el análisis del cumplimiento de la normativa aplicable.

Es por ello que en el propio desarrollo de la aplicación de internet de las cosas será necesario llevar a cabo una evaluación de riesgos siempre que el desarrollo incluya la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado. Esto implica poner el cumplimiento normativo como base del desarrollo del sistema, con una configuración garantista que permita asegurar la privacidad y la protección de datos de los usuarios desde el propio sistema y no dependiendo de la interrelación mantenidos con los sistemas.

En dicha evaluación, deberá atenderse principalmente a

• Lograr un cumplimiento efectivo del principio de minimización del tratamiento. El hecho de poder conocerlo no es causa para captar ese dato. Esta obligación legal es frontalmente contraria a la intención técnica de recopilar toda la información posible para después lograr analizar parámetros que no habían sido planificados originariamente. Si a estas aplicaciones de IoT les añadimos tratamientos de datos basados en Inteligencia Artificial, la discrepancia entre la finalidad inicialmente perseguida y la efectivamente desarrollada puede ser abismal.
• Asegurar la información completa los usuarios respecto de los tratamientos a realizar conforme a lo establecido en los artículo 13 y 14 del Reglamento General de Protección de Datos.
• Asegurar la recogida anónima de los datos recopilados de personas que no sean usuarias.
• Garantizar la imposibilidad de tratamientos de datos personales sin el consentimiento expreso del afectado.
• Asegurar que las finalidades para las que son tratados los datos son en todo momento compatibles con la finalidad inicial y por ello conformes con el consentimiento informado recabado.
• Establecer las medidas de seguridad necesarias para garantizar la confidencialidad de los datos correspondientes a categorías especialmente protegidas.
• Establecer sistemas eficaces, sencillos y accesibles para ejercitar los derechos ARSOPL para todos los que hayan aportado datos al dispositivo de IoT, ya sea como usuarios o sin serlo.
• Conseguir la adecuada anonimización de los datos personales en aquellos casos en los que las finalidades del tratamiento no requieran identificación de los individuos. En estos casos más que anonimización debemos conseguir la recopilación anónima, estableciendo así un sistema anónimo by default que verdaderamente responda a las premisas de nuestro sistema de Derechos Fundamentales.
• Verificar que la seguridad del sistema es adecuada a los datos recopilados. Este es un punto clave en el desarrollo de las tecnologías de internet de las cosas en tanto en cuanto la necesidad de facilitar la trasmisión de grandes volúmenes de datos en muchos casos redunda en la rebaja de las exigencias de seguridad en el sistema.

Hablar del derecho aplicable al internet de las cosas obviamente nos obliga a generalizar, no pudiendo tener la misma exigencia aquellos dispositivos que van a adaptar el color de un tejido a la intensidad lumínica que aquellos que decidan sobre la administración de fármacos en función de las constantes vitales. No obstante todos ellos nos plantean dudas jurídicas profundas sobre la forma de garantizar la adecuada información de los usuarios así como de aquello que pueden interactuar con los usuarios (sabiendo o no que portan dispositivos de IoT) y generar datos con esa interacción.

Se abren grandes oportunidades que no sólo deben ser definidas desde la parte técnica sino que van a requerir de una aportación jurídica profunda y una reflexión legal intensa para garantizar que el cruce de tecnologías con IoT con el metaverso, la inteligencia artificial o el big data será plenamente cumplidor de los Derechos Fundamentales de todos los ciudadanos.