Dictamen del GT29 sobre privacidad e Internet de las Cosas (IoT)

Resumen: Las autoridades europeas de proteccin de datos conocidas como Grupo deTrabajo del Artculo 29 (GT29) han aprobado en 2014 el primer Dictamen conjuntosobre internet de las cosas (IoT) catalogado como la Opinin 8/2014, de 16 deseptiembre.[1] El documento, cuya elaboracin ha sido liderada por la AgenciaEspaola de Proteccin de Datos (AEPD) junto con la Autoridad francesa (CNIL),contempla tanto las perspectivas de beneficios econmicos y sociales que puedesuponer esta tecnologa, como identifica y alerta de los riesgos que estos productos yservicios emergentes pueden suponer para la privacidad de las personas, definiendo unmarco de responsabilidades. Por su inters y encaje en la temtica del blog presentoesta traduccin no oficial, del Ingls al Espaol, adaptada al estilo y formato editorialdel mismo.

Autor del artculo Colaboracin

Grupo de Trabajo del Artculo 29Comisin Europea

Actualizado 14 de febrerode 2015

ndice

1. Sntesis2. Introduccin3. mbito del Dictamen: Foco especfico en 3 desarrollos de la IoT3.1 Wearable Computing (Informtica para llevar encima)3.2 Quantified Self (Auto-cuantificadores)3.3 Domtica (Automatizacin del hogar)4. Desafos en privacidad relacionados con la IoT4.1 La falta de control y asimetra de la informacin4.2 Calidad del consentimiento del usuario4.3 Inferencias derivadas de los datos y de su reproceso4.4 Trazar de forma intrusiva patrones de comportamiento y perfiles4.5 Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizanservicios4.6 Riesgos de seguridad: Seguridad frente a eficiencia5. Aplicacin de la legislacin comunitaria para el tratamiento de datos personales enla IoT5.1 Legislacin aplicable5.2 El concepto de dato personal5.3 Partes interesadas de la IoT, consideradas responsables del tratamiento en la UE5.4 Las personas como titulares de los datos: abonados, usuarios, no-usuarios6. Las obligaciones que pesan sobre las partes interesadas de la IoT6.1 Aplicacin del artculo 5(3) de la Directiva sobre e-privacidad

6.2 Fundamento jurdico para el tratamiento (artculo 7 de la Directiva 95/46/CE)6.3 Principios relativos a la calidad de los datos6.4 Tratamiento de datos sensibles (artculo 8)6.5 Los requisitos de transparencia (artculos 10 y 11)6.6 Seguridad (artculo 17)7. Derechos del interesado7.1 Derecho de acceso7.2 Posibilidad de retirar su consentimiento y de oponerse8. Conclusiones y recomendaciones8.1 Recomendaciones comunes a todas las partes interesadas8.2 OS y fabricantes de dispositivos8.3 Los desarrolladores de aplicaciones8.4 Las plataformas sociales8.5 dueos de dispositivos IoT y usuarios adicionales8.6 Organismos de normalizacin y plataformas de datos9. Bibliografa consultada10. Derechos de autor

1. Sntesis

La Internet de las Cosas (IoT) se encuentra enel umbral de integrarse en la vida de losciudadanos europeos. La viabilidad demuchos proyectos de IoT todava estpendiente de confirmar, pero ya se estnfabricando "objetos inteligentes" disponiblespara monitorizar y comunicarse con nuestrascasas, coches, entorno laboral y actividadesfsicas.Actualmente, los dispositivos conectados

afrontan con xito las necesidades de los ciudadanos de la UE en los mercados a granescala de auto-chequeo y domtica. As, la IoT mantiene importantes perspectivas decrecimiento para un gran nmero de empresas innovadoras y creativas de la UE, yasean grandes o pequeas, que operan en estos mercados.

El GT29 desea se cumplan esas expectativas en inters de los ciudadanos y de laindustria en la UE. Sin embargo, adems de proporcionar estos beneficios esperadostambin deben respetar los muchos retos de seguridad y privacidad que se puedenasociar con la IoT. Surgen muchas dudas en torno a la vulnerabilidad de estosdispositivos, a menudo con sus funciones fuera de una estructura tradicional de TI,careciendo de suficiente nivel de seguridad integrada en ellos.

Las prdidas de datos, la infeccin por el malware, tambin el acceso no autorizado alos datos personales, el uso intrusivo de dispositivos wereables o llevables, o la

vigilancia ilegal son los principales riesgos que las partes interesadas involucradas en laIoT deben tratar de encarar para atraer a los posibles usuarios finales de sus productoso servicios. Ms all del cumplimiento legal y tcnico, lo que est en juego es, dehecho, la consecuencia que puede tener en la sociedad en general.

Las organizaciones que coloquen la privacidad y proteccin de datos en la vanguardiadel desarrollo de productos, estarn en condiciones de asegurar que sus productos yservicios respeten los principios de privacidad desde el diseo (PbD) y estn equipadascon privacidad por defecto de forma amigable, que respete la intimidad de la formaesperada por los ciudadanos de la UE.

Por ahora, este anlisis slo se ha manifestado en trminos muy generales, por algunode los reguladores y partes interesadas, en la UE y en otros lugares. El G29 ha decididotomar cartas en el asunto mediante la adopcin de esta opinin.

De esta forma se pretende contribuir a la aplicacin uniforme del marco legal deproteccin de datos respecto a la IoT, as como al desarrollo de un alto nivel deproteccin con respecto a la proteccin de los datos personales en la UE. Elcumplimiento de este marco no solo es clave para hacerlo a nivel jurdico y tcnicosino tambin, basndose en la calificacin de la proteccin de datos como un derechohumano fundamental, solventar los retos sociales que se han descrito anteriormente.

En consecuencia, el presente dictamen identifica los principales riesgos de proteccinde datos que se encuentran dentro del ecosistema de la IoT antes de proporcionarorientacin sobre la forma de aplicar el marco jurdico de la UE en este contexto. ElGrupo de Trabajo apoya la incorporacin de las mximas garantas posibles para losusuarios individuales en el ncleo de los proyectos por parte de las partes interesadaspertinentes.

En particular, los usuarios deben poseer el completo control de sus datos personalesen todo el ciclo de vida del producto y, cuando las organizaciones se basan en elconsenso como base para la elaboracin, el consentimiento debe ser plenamenteinformado, libre y especfico. Para ayudarles a cumplir con este fin, el Grupo deTrabajo ha diseado un amplio conjunto de recomendaciones prcticas dirigidas a lasdiferentes partes interesadas:

Fabricantes de dispositivos.

Desarrolladores de aplicaciones.

Plataformas sociales.

Destinatarios de datos.

Plataformas de datos.

Organismos de normalizacin,

para ayudarles a implementar la privacidad y la proteccin de datos en sus productosy servicios.

De hecho, el empoderamiento de los individuos para mantenerlos informados, libres yseguros, es la clave para apoyar la confianza y la innovacin y, por lo tanto, para elxito en estos mercados. El Grupo de Trabajo cree firmemente que si los interesadosven cumplidas estas expectativas, representar una fuerte ventaja competitiva sobreotros jugadores cuyos modelos de negocio se basan en ocultar a sus clientes cmo setrata y se comparte su informacin personal, atrapndola en sus ecosistemas.

Teniendo en cuenta los grandes desafos de proteccin de datos planteadas por la IoT,el GT29 seguir vigilando su evolucin. Con este fin, se mantiene abierta a lacooperacin con otros reguladores y legisladores nacionales o internacionales sobreestas cuestiones. Tambin queda abierto a la discusin con los representantes de lasociedad civil, as como de la industria en cuestin, en particular cuando dichas partesinteresadas estn operando como responsable o encargado del tratamiento de datospersonales en la UE.

2. Introduccin

El concepto de Internet de las Cosas (IoT) se refiere a una infraestructura en la quemiles de millones de sensores embebidos en dispositivos cotidianos, comunes -"objetos" en s mismos, o los objetos en relacin con otros objetos o individuos - estndiseados para registrar, procesar, almacenar y transferir datos y, ya que estnasociados con identificadores nicos, interactuar con otros dispositivos o sistemas queutilizan las capacidades de red. Como la IoT se basa en el principio del tratamientomasivo de los datos recogidos a travs de sensores que estn diseados paracomunicarse discretamente mediante el intercambio de datos en modo transparente,est estrechamente vinculada a las nociones de computacin ubicua.

El objetivo de las partes interesadas de la IoT es ofrecer nuevas aplicaciones y serviciosa travs del recabado y la combinacin adicional de estos datos sobre las personas - yasea con el fin de medir los datos propios del entorno del usuario "nicamente", o paraobservar y analizar sus hbitos especficamente. En otras palabras, la IoT generalmenteimplica el tratamiento de los datos que se refieren a personas fsicas identificadas oidentificables, y por lo tanto debe calificarse como tratamiento de datos personales enel sentido del artculo 2 de la Directiva de proteccin de datos de la UE.

Artculo 2 directiva 95/46/CE. Definiciones. A efectos de la presente Directiva, seentender por: a) datos personales: toda informacin sobre una persona fsica

identificada o identificable (el interesado); se considerar identificable todapersona cuya identidad pueda determinarse, directa o indirectamente, en particularmediante un nmero de identificacin o uno o varios elementos especficos,caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural osocial; ().

El tratamiento de dichos datos en este contexto se basa en la intervencin coordinadade un nmero significativo de partes interesadas como pueden ser los fabricantes dedispositivos -que a veces tambin actan como plataformas de datos, agregadores dedatos o intermediarios-, los desarrolladores de aplicaciones, plataformas sociales, losprestamistas o arrendatarios de dispositivos, etc. Las funciones respectivas de estosinteresados se examinan tambin en la opinin.

Estas diferentes partes interesadas pueden participar por varias razones:

Creando funcionalidades adicionales o interfaces de control fciles de usarque permiten la gestin de configuraciones tcnicas y de privacidad.

El usuario normalmente tiene acceso a sus datos recogidos a travs de unainterfaz web distinta.

Una vez que los datos se almacenan de forma remota, pueden sercompartidos con terceros, a veces sin que la persona afectada sea conscientede ello.

En estos casos, la transmisin adicional de sus datos se impone al usuario que nopuede impedirlas sin desactivar la mayor parte de las funcionalidades del dispositivo.Como resultado de esta cadena de acciones, la IoT puede poner fabricantes dedispositivos y sus socios comerciales en condiciones de construir o tener acceso aperfiles muy detallados de los usuarios.

A la luz de lo anterior, el desarrollo de la IoT plantea claramente nuevos y significativosdesafos a la privacidad y proteccin de datos personales. De hecho, si no se controla,algunos desarrollos de la IoT podran llegar tan lejos como a significar una forma devigilancia de personas que pueden ser consideradas como ilegales bajo la legislacinde la UE.

La IoT tambin plantea problemas de seguridad importantes como son las brechas deseguridad que pueden entraar riesgos significativos para la privacidad de las personascuyos datos se tratan en esos contextos.

Por tanto, el G29 ha decidido emitir el presente dictamen con el fin de contribuir a laidentificacin y el seguimiento de los riesgos derivados de esas actividades, donde losderechos fundamentales de los ciudadanos de la UE estn en juego.

3. mbito del Dictamen: Foco especfico en 3 desarrollos de la IoT

En esta etapa, es imposible predecir con certeza el grado en que la IoT se desarrollar.Esto es en parte debido al desconocimiento de cmo se llevar a cabo latransformacin de todos los datos procedentes de la IoT en algo til y, por lo tanto,comercialmente viable. Tampoco estn claras la posible convergencia y las sinergias dela IoT con otros desarrollos tecnolgicos como la Computacin en la Nube y el anlisispredictivo que, en esta etapa, slo se refieren a la evolucin del mercado emergente.

En consecuencia, el GT29 ha decidido centrarse esencialmente en el presentedictamen en tres desarrollos especficos de la IoT:

Wearables o Informtica para llevar encima.

Quantified Self o Auto-cuantificadores.

Domtica o Automatizacin del Hogar.

Estn directamente enlazados mediante una interfaz con el usuario y corresponden adispositivos y servicios que estn actualmente en uso, por lo que se prestan a unanlisis bajo las actuales leyes de proteccin de datos.

El presente dictamen de este modo no se ocupa especficamente de aplicaciones B2B ylas cuestiones ms globales como desarrollos de "ciudades inteligentes", "transportesinteligentes", as como M2M (mquina a mquina). No obstante, se pueden aplicarlos principios y recomendaciones de este dictamen fuera de su mbito estricto y cubrirestos otros desarrollos en la IoT.

3.1 Wearable Computing (Informtica para llevar encima)

Wearable Computing se refiere a la ropa dediario y los complementos llevables, talescomo relojes y gafas, en los que se incluyensensores para extender sus funcionalidades.Los objetos Wearable son susceptibles de serrpidamente adoptados en la medida en queextienden la utilidad ofrecida por los objetoscotidianos que ya son familiares a la persona -ms an ya que apenas pueden diferenciarsede sus anlogos inconexos.

Pueden integrar cmaras, micrfonos ysensores que permiten grabar y transferir los

datos al fabricante del dispositivo. Por otra parte, la disponibilidad de una API paradispositivos porttiles (por ejemplo Android Wear) tambin es compatible con la

creacin de aplicaciones de terceros que pueden obtener de este modo el acceso a losdatos recogidos por esos objetos.

3.2 Quantified Self (Auto-cuantificadores)

Objetos auto-cuantificadores estn diseados para ser llevados regularmente porpersonas que quieren registrar informacin sobre sus propios hbitos y estilos de vida.Por ejemplo, una persona puede querer usar un rastreador de sueo cada noche paraobtener una amplia visin de los patrones de sueo. Otros dispositivos se centran enlos movimientos de seguimiento, tales como contadores de actividad que midencontinuamente y reportan indicadores cuantitativos relacionados con la actividadfsica del individuo, como caloras quemadas o distancias recorridas, entre otros.

Algunos objetos miden adems el peso, pulso y otros indicadores de salud.

Mediante la observacin de las tendencias y cambios en el comportamiento a travsdel tiempo, los datos recogidos pueden ser analizados para inferir informacinrelacionada con la salud cualitativa incluyendo evaluaciones sobre la calidad y losefectos de la actividad fsica sobre la base de umbrales predefinidos y la probablepresencia de sntomas de enfermedades, hasta cierto punto.

A menudo se requieren sensores autnomos cuantificados para ser usados encondiciones especficas, para extraer informacin relevante. Por ejemplo, unacelermetro colocado en el cinturn de un interesado, con los algoritmos apropiados,podra medir los movimientos abdomen (datos en bruto), extraer informacin sobre elritmo de la respiracin (agregado de datos y la informacin extrada) y mostrar el nivelde estrs del titular de los datos (datos visualizables). En algunos dispositivos, slo estaltima informacin se divulga para el usuario, pero el fabricante del dispositivo o elproveedor de servicios pueden tener acceso a muchos ms datos que podran seranalizados en una etapa posterior.

Los auto-cuantificadores son un reto respecto a los tipos de datos recogidos que estnrelacionados con la salud y, por lo tanto, potencialmente sensibles, as como a laextensa coleccin de estos datos. De hecho, ya que este movimiento se centra enmotivar a los usuarios a permanecer saludables, tiene muchas conexiones con elecosistema e-salud. No obstante, investigaciones recientes han cuestionado laprecisin real de las medidas y las inferencias realizadas a partir ellos.

3.3 Domtica (Automatizacin del hogar)

Hoy en da, los dispositivos IoT tambin se pueden colocar en oficinas u hogares comobombillas de luz conectadas, termostatos, detectores de humo, estacionesmeteorolgicas, lavadoras u hornos que pueden ser controlados de forma remota atravs de Internet. Por ejemplo, los objetos que contienen sensores de movimiento

puede detectar y registrar cuando un usuarioest en casa, cuales son sus patrones demovimiento y, tal vez, desencadenar accionesespecficas previamente determinadas (porejemplo, encender una luz o la alteracin dela temperatura ambiente). La mayora de losdispositivos de domtica estnconstantemente conectados y puedentransmitir datos de nuevo al fabricante.

Obviamente, la domtica plantea desafosespecficos de privacidad y proteccin de

datos. Un anlisis de los patrones de uso en este contexto es probable que reveledetalles de estilo de vida de los habitantes, hbitos u opciones o simplemente supresencia en el pas.

Las tres categoras de los dispositivos mencionados anteriormente son ejemplarizantesde la mayora de los principales problemas de privacidad relacionados con la IoT en suestado actual. Cabe sealar, sin embargo, que estas categoras no son excluyentes: porejemplo, un dispositivo wearable como un reloj inteligente podra ser usado para elcontrol de la frecuencia cardiaca, es decir, para auto-cuantificacin de la salud.

4. Desafos en privacidad relacionados con la IoT

El GT29 ha decidido emitir este especfico Dictamen sobre la consideracin de que laIoT plantea una serie de importantes desafos de privacidad y proteccin de datos,algunos nuevos, otros ms tradicionales, pero ambos amplificados con respecto alaumento exponencial de procesamiento de datos que implica su evolucin. Laimportancia de la aplicacin del marco jurdico de proteccin de datos de la UE y lascorrespondientes recomendaciones prcticas que siguen a continuacin debe ser vistaa la luz de estos desafos.

4.1 La falta de control y asimetra de la informacin

Como resultado de la necesidad de proporcionar servicios generalizados de formadiscreta, los usuarios pueden encontrarse en la prctica bajo la supervisin de terceros.Esto puede dar lugar a situaciones en las que el usuario puede perder el control sobrela difusin de sus propios datos, en funcin de que el recabado y el tratamiento deestos datos se haga de forma transparente o no.

Generalmente, la interaccin entre los objetos, entre los objetos y dispositivosindividuales, entre individuos y otros objetos, y entre los objetos y sistemas back-enddar lugar a la generacin de flujos de datos que difcilmente se pueden manejar conlas herramientas clsicas utilizadas para garantizar la adecuada proteccin de losintereses y derechos de los interesados.

Por ejemplo, a diferencia de otros tipos de contenido, los datos subidos provenientesde la IoT pueden no estar adecuadamente sujetos al control del titular antes de supublicacin, lo que sin duda genera un riesgo de falta de control y auto-exposicinexcesiva para el usuario. Adems, la comunicacin entre objetos puede ser activadaautomticamente, as como por defecto, sin que el individuo sea consciente de ello.

En la ausencia de la posibilidad de controlar eficazmente cmo interactan los objetoso de ser capaz de definir lmites virtuales mediante la definicin de zonas activas o noactivas para objetos especficos, ser extraordinariamente difcil de controlar el flujo dedatos generado. Ser an ms difcil de controlar su utilizacin posterior, y de esemodo prevenir la funcin de fluencia potencial.

Este problema de la falta de control, que se refiere tambin a otros avances tcnicoscomo la Computacin en Nube o de Big Data, es an ms desafiante cuando se piensaque estas diferentes tecnologas emergentes pueden ser utilizadas en combinacin.

4.2 Calidad del consentimiento del usuario

En muchos casos, el usuario puede no ser consciente del tratamiento de datos llevadoa cabo por los objetos especficos. Esa falta de informacin constituye una barreraimportante para demostrar el consentimiento vlido en virtud de la legislacincomunitaria, ya que el interesado debe ser informado. En tales circunstancias, elconsentimiento no puede ser considerado como una base legal para el tratamiento dela informacin correspondiente en virtud de la legislacin comunitaria.

Dispositivos wearables, tales como relojes inteligentes, pueden no serperceptibles: [2]la mayora de los observadores no podran distinguir un reloj normalde uno conectado, cuando ste puede incrustar cmaras, micrfonos y sensores demovimiento que pueden grabar y transferir datos sin los individuos ser conscientes, yan menos consentir, a dicho tratamiento. Esto plantea la cuestin de la identificacinde procesamiento de datos a travs del Wearable Computing, que podra resolversepreviendo sealizacin adecuada que fuera realmente visible a los titulares de losdatos.

Adems, al menos en algunos casos, la posibilidad de renunciar a ciertos servicios ocaractersticas de un dispositivo de la IoT es ms un concepto terico que unaalternativa real. Esas situaciones llevan a la pregunta de si el consentimiento delusuario para el tratamiento de datos subyacente puede ser considerado como libre,por lo tanto, vlido en virtud de la legislacin comunitaria.

Adems, los mecanismos clsicos utilizados para obtener el consentimiento de losindividuos pueden ser difciles de aplicar en la IoT, lo que resulta en un consentimiento

"de baja calidad", basado en la falta de informacin o la imposibilidad fctica para darsu consentimiento ajustado de acuerdo con el las preferencias expresadas por losindividuos. En la prctica, hoy en da, parece que los dispositivos sensores se diseangeneralmente ni para proporcionar informacin por s mismos ni para ofrecer unmecanismo vlido para obtener el consentimiento del interesado.

No obstante, las nuevas formas de obtener un consentimiento vlido del usuariodeben ser considerados por las partes interesadas de la IoT, incluyendo la aplicacin demecanismos de consentimiento a travs de los propios dispositivos. Ejemplosespecficos, como Privacy Proxies y Sticky Policies, se mencionan ms adelante en estedocumento.

4.3 Inferencias derivadas de los datos y de su reproceso

El aumento de la cantidad de datos generados por el IoT en combinacin con lastcnicas modernas relacionadas con el anlisis de datos y pruebas cruzadas puedenutilizar esos datos para usos secundarios, ya sea relacionada o no con el propsitoasignado al tratamiento inicial. Las terceras partes que soliciten el acceso a los datosrecogidos inicialmente por otras partes pueden desear hacer uso de esos datos parafines totalmente distintos.

Los datos aparentemente insignificantes recogidos originalmente a travs de undispositivo (por ejemplo el acelermetro y el giroscopio de un telfono inteligente),entonces pueden utilizarse para inferir otra informacin con un significado totalmentediferente (por ejemplo, los hbitos de conduccin del individuo). Esta posibilidad dederivar inferencias a partir de esa informacin "en bruto" se debe combinar con losriesgos clsicos analizados en relacin a la agregacin de sensores, un fenmeno quees bien conocido en informtica.

Los Auto-cuantificables tambin ilustran la cantidad de informacin que se puedeinferir de los sensores de movimiento mediante la agregacin y el anlisis avanzado.Estos dispositivos suelen utilizar sensores elementales para capturar datos en bruto(por ejemplo, los movimientos de los sujetos) y se basan en algoritmos sofisticadospara extraer informacin sensible (por ejemplo, el nmero de pasos) y deducirinformacin potencialmente sensible que se mostrar a los usuarios finales (porejemplo, su condicin fsica).

Tal tendencia pone de manifiesto retos especficos. De hecho, mientras que el usuariose siente cmodo con el intercambio de la informacin original para un propsitoespecfico, puede no querer compartir esa informacin secundaria que podraemplearse para fines totalmente distintos. Por lo tanto es importante que, en cadanivel (ya sea en bruto, o mediante datos extractados o visualizables), las partesinteresadas de la IoT se aseguren de que los datos se utiliza para fines que sontotalmente compatibles con el propsito original y que ese propsito es conocido por

el usuario.

4.4 Trazar de forma intrusiva patrones de comportamiento y perfiles

A pesar de que diferentes objetos recogern por separadopiezas aisladas de informacin, una cantidad suficiente dedatos recogidos y analizados puede revelar aspectosespecficos de hbitos, comportamientos y preferencias delindividuo. Como se ha visto anteriormente, la generacin deconocimiento a partir de datos annimos triviales se verfacilitada por la importante proliferacin de sensores, y lamejora de la capacidad de anlisis.

Ms all de esto, el anlisis basado en la informacinatrapada en un entorno IoT podra permitir la deteccin de patrones de forma de viday de comportamiento an ms detallados y completos de un individuo.

De hecho, esta tendencia es probable que tenga un impacto en la forma en que elindividuo se comporte realmente, de la misma manera que se ha demostrado que eluso intensivo de circuito cerrado de televisin ha influido en la conducta de losciudadanos en los espacios pblicos. Con la IoT, dicha vigilancia potencial puede ahorallegar a la esfera ms ntima de la vida de los individuos, incluidos los hogares. Estopondr presin en el individuo para evitar un comportamiento no habitual a fin deevitar la deteccin de lo que podra ser percibido como anomalas. Esta tendencia seramuy intrusiva en la vida privada y la intimidad de las personas y debe ser vigilado muyde cerca.

4.5 Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizanservicios

El pleno desarrollo de las capacidades de la IoT puede poner tensin en lasposibilidades actuales de uso annimo de los servicios y, en general limitar laposibilidad de permanecer inadvertido.

Por ejemplo, los objetos usables en las proximidades de los interesados, a resultasde disponer de una gama de identificadores, como las direcciones MAC de losdispositivos, podran ser tiles para generar datos de seguimiento de localizacin delinteresado a partir de sus huellas digitales. El recabado de mltiples direcciones MACprocedentes de mltiples sensores de dispositivos, ayudar a crear huellas digitalesnicas e identificadores ms estables, que las partes interesadas de la IoT podrnatribuir a individuos especficos. Estas huellas digitales identificadoras pueden serutilizadas para una variedad de propsitos, incluyendo el anlisis de laubicacin o elanlisis de los patrones de movimiento de las multitudes y las personas.

Esta tendencia se debe considerar junto al hecho de que dichos datos se puedencombinar despus con otros datos emitidos desde otros sistemas (por ejemplo, CCTV oen los registros de Internet).

En tales circunstancias, algunos datos de los sensores son particularmente vulnerablesa los ataques de re-identificacin.

A la luz de lo anterior, es claro que permanecer en el anonimato y la preservacin de lavida privada en la IoT ser cada vez ms difcil. El desarrollo de la IoT implicaimportantes preocupaciones de proteccin de datos y privacidad en ese sentido.

4.6 Riesgos de seguridad: Seguridad frente a eficiencia

La IoT plantea varios desafos en los dispositivos, concretamente relacionados conproblemas de seguridad y de optimizacin de recursos, que obligan a los fabricantes aequilibrar la eficiencia de la batera y la seguridad del dispositivo. En particular, todavano est claro cmo los fabricantes de dispositivos equilibrarn la implementacin demedidas de confidencialidad, integridad y disponibilidad para todos los niveles de lasecuencia de procesamiento, con la necesidad de optimizar el uso de recursoscomputacionales - y energa de los objetos y sensores.

En consecuencia, existe el riesgo de que la IoT puede transformar un objeto diario enun objetivo potencial, en relacin a la privacidad y seguridad de la informacin, siendola visibilidad de esos objetivos mucho ms amplia que la realidad actual de Internet.Dispositivos conectados menos seguros representan nuevas formas potencialmenteeficientes de ataque, incluyendo la facilidad de las prcticas de vigilancia, lasviolaciones de datos resultantes en que los datos personales sean robados ocomprometidos, lo que pueden tener efectos generalizados sobre derechos de losconsumidores y la percepcin del individuo en relacin a la seguridad de la IoT.

Tambin se espera que los dispositivos y plataformas de la IoT intercambien datos ylos almacenen en infraestructuras de proveedores de servicios. Por lo tanto laseguridad de la IoT no debe ser concebida considerando nicamente la seguridad delos dispositivos, sino tambin los enlaces de comunicacin, la infraestructura dealmacenamiento y otros insumos de este ecosistema.

De la misma manera, la presencia de diferentes niveles de procesamiento, cuya tcnicade diseo e implementacin son proporcionados por diferentes grupos de inters, nogarantiza la adecuada coordinacin entre todos ellos y puede dar lugar a la presenciade puntos dbiles que pueden ser utilizados para explotar vulnerabilidades.

Por ejemplo, la mayora de los sensores presentes actualmente en el mercado no soncapaces de establecer un vnculo cifrado de las comunicaciones ya que las necesidades

adicionales de computacin tendr gran impacto en un dispositivo limitado per se porunas bateras de baja potencia. Con respecto a la seguridad extremo a extremo, elresultado de la integracin de los componentes fsicos y lgicos proporcionados por unconjunto de diferentes actores slo garantiza el nivel de seguridad que ofrece elcomponente ms dbil.

5. Aplicacin de la legislacin comunitaria para el tratamiento de datospersonales en la IoT

5.1 Legislacin aplicable

El marco jurdico relevante para evaluar los problemas de privacidad y proteccin dedatos planteados por la IoT en la UE se compone de la Directiva 95/46/CE, as como lasdisposiciones especficas de la Directiva 2002/58/CE, modificada por la Directiva2009/136/CE.

Este marco es de aplicacin cuando se cumplen las condiciones de su vigencia comose establece en el artculo 4 de la Directiva 95/46/CE. El Grupo de Trabajo haproporcionado una amplia orientacin sobre la interpretacin de las disposiciones delartculo 4, es decir, en su dictamen 8/20108 en la legislacin aplicable.

En particular, de acuerdo con el artculo 1.4 (a) de la Directiva, la legislacin nacionalde un Estado miembro es aplicable a todo tratamiento de datos personales llevado acabo "en el contexto de un establecimiento" del tratamiento en el territorio de eseEstado miembro. Esta nocin de establecimiento en el contexto de la economabasada en Internet ha sido recientemente objeto de una interpretacin muy completapor el Tribunal Europeo de Justicia (TJUE).

La ley nacional de un Estado miembro tambin es aplicable en los casos en que eltratamiento no est establecido en el territorio comunitario, pero hace uso de"equipos", situados en el territorio de dicho Estado miembro (artculo 1.4 (c)). Por lotanto, aun cuando una de las partes interesadas de la IoT calificado como unresponsable del tratamiento segn la Directiva 95/46/CE, no est establecido en la UEen el sentido del artculo 1.4 (a), si participa en el desarrollo, la distribucin o elfuncionamiento de los dispositivos de la IoT, seguir estando probablemente sujeto ala legislacin de la UE en la medida en que procesa los datos recogidos a travs de los"equipos" de los usuarios ubicados en la UE.

De hecho, todos los objetos que se utilizan para recopilar y procesar datos de lapersona en el contexto de la prestacin de servicios en la IoT califican como equipos enel sentido de la Directiva. Esta calificacin se aplica obviamente a los propiosdispositivos: Ccontadores de pasos, rastreadores del sueo, dispositivos caseros"conectados" como termostatos, detectores de humo, gafas de realidad aumentada

que estn conectadas o relojes inteligentes, etc. Tambin se aplica a los dispositivosterminales de usuario (por ejemplo, telfonos inteligentes o tabletas) en los que elsoftware o aplicaciones previamente instaladas en ambos monitorear el entorno delusuario a travs de sensores integrados o interfaces de red, y luego envan los datosrecogidos por estos dispositivos a los distintos controladores de datos implicados.

La identificacin del papel de los diferentes actores involucrados en la IoT ser esencialpara calificar su estado legal como de tratamiento de datos, y as identificar el Derechonacional aplicable al tratamiento que corresponda, as como sus respectivasresponsabilidades. Se analizar la identificacin del papel de las partes interesadas,involucradas en la IoT, ms adelante en la seccin 5.3.

5.2 El concepto de dato personal

El Derecho de la UE se aplica al tratamiento de los datos personales segn lo definidoen el artculo 2 de la Directiva 95/46/CE. El Grupo de Trabajo ha proporcionado unaamplia orientacin sobre la interpretacin de este concepto, es decir, en su Dictamen4/2007 sobre el concepto de dato personal.En el contexto de la IoT, a menudo se da el caso de que un individuo pueda seridentificado sobre la base de los datos que se originan en "cosas". De hecho, estosdatos pueden permitir discernir el patrn de vida de un determinado individuo ofamiliar -por ejemplo, datos generados por el control centralizado de iluminacin,calefaccin, ventilacin y aire acondicionado-.

Por otra parte, incluso los datos relativos a las personas que vayan a ser tratados slodespus de la implementacin de apcrifos, o incluso de tcnicas de anonimizacinpuede tener que ser considerado como un dato personal. De hecho, la gran cantidadde datos procesados de forma automtica en el contexto de la IoT implica riesgos dere-identificacin. En este punto, el Grupo de Trabajo se refiere a los acontecimientosrelevantes descritos en su reciente dictamen sobre tcnicas de anonimizacin, queayuda a la identificacin de estos riesgos y formula recomendaciones sobre laaplicacin de estas tcnicas.

5.3 Partes interesadas de la IoT, consideradas responsables del tratamiento en la UE

El concepto de tratamiento de datos y su interaccin con el concepto de responsabledel tratamiento son fundamentales en la aplicacin de la Directiva 95/46/CE, ya quecondicionan las responsabilidades respectivas de las distintas organizaciones queparticipan en la implementacin de un proceso de datos con respecto a las normas deproteccin de la UE.

Los interesados pueden consultar en el Dictamen 1/2010 WP29 los conceptos de"responsable" y "encargado", que proporcionan orientacin sobre la aplicacin de esteconcepto a los sistemas complejos con mltiples actores, donde muchos escenarios

implican responsables y encargados, solos o conjuntamente, con diferentes grados deautonoma y responsabilidad.

De hecho, la aplicacin de la IoT implica casualmente la intervencin combinada demltiples partes interesadas - como los fabricantes de dispositivos, plataformassociales, aplicaciones de terceros, los prestamistas de dispositivo o losarrendatarios,data brokers o plataformas de datos.

El complejo entramado de actores involucrados pide / implica la necesidad de unaasignacin precisa de responsabilidades legales entre ellos en lo que respecta altratamiento de datos personales del interesado, en base a las caractersticasespecficas de sus respectivas intervenciones.

5.3.1 Los fabricantes de dispositivos

Los fabricantes de dispositivos en la IoT hacen ms que nicamente vender artculosfsicos a sus clientes o productos de marca blanca a otras organizaciones. Tambinpueden haber desarrollado o modificado el sistema operativo del "objeto" o unprograma que garantice su funcionalidad en general, incluidos los datos y la frecuenciade recogida, el cundo y a quin se transmiten los datos, y con qu efectos (porejemplo, las empresas podran fijar el precio del seguro de sus empleados basndoseen los datos reportados por dispositivos wearables seguidores de lo que hacen).La mayor parte de ellos en realidad recogen y procesan los datos personales que segeneran por el dispositivo, con fines y medios que han decidido en su totalidad. Deeste modo, se califican como responsables del tratamiento en virtud la legislacin de laUE.

5.3.2 Las plataformas sociales

Los interesados son an ms propensos a hacer uso de las cosas conectadas cuandopueden compartir esos datos pblicamente o con otros usuarios. En particular, losusuarios de dispositivos calificados como autnomos tienden a compartir los datoscon otros en redes sociales para fomentar una forma de competencia positiva dentrodel grupo.

Esa comparticin de los datos recogidos y agregados por "objetos" en las redessociales, a menudo se llevar a cabo de forma automtica, una vez que el usuario haconfigurado la aplicacin en ese sentido. Entonces, la capacidad de compartircomnmente pertenece a la configuracin predeterminada como estndar deaplicaciones proporcionadas por el fabricante.

La agregacin de estos informes en las plataformas sociales implica responsabilidadesespecficas de proteccin de datos ahora se aplican a ellos. Estos datos subidos por elusuario en ellas, cuando son procesados por las redes sociales para fines distintos de

los que hayan acordado ambos se califican como responsables del tratamiento dedatos en su propio derecho en virtud de la legislacin comunitaria.

Por ejemplo, una red social puede utilizar la informacin recopilada por un podmetropara inferir que un usuario en particular es un corredor regular y muestra sus anunciossobre los zapatos para correr. Las consecuencias de esta calificacin se han detalladoen el anterior Dictamen WP9 sobre redes sociales.

5.3.3 Terceros desarrolladores de aplicaciones

Muchos sensores proporcionan APIs parafacilitar el desarrollo de aplicaciones. Parautilizar estas aplicaciones, los interesadostienen que instalar las aplicaciones deterceros que les permitan acceder a sus datos,almacenados por el fabricante del dispositivo.La instalacin de estas aplicaciones a menudoconsiste en proporcionar al desarrollador dela aplicacin un acceso a los datos a travs dela API.Algunas aplicaciones pueden recompensar alos usuarios de objetos concretos. Porejemplo, una aplicacin desarrollada por unacompaa de seguros de salud podra

recompensar a los usuarios de objetos de auto-cuantificacin, o una compaa deseguros de hogar podra desarrollar una aplicacin especfica para asegurarse de quelas alarmas de incendio conectadas de sus clientes estuvieran correctamenteconfiguradas.

A menos que estos datos sean completamente annimos, tal acceso constituye unatransformacin en el marco del artculo 2 de la Directiva 95/46/CE, por lo que eldesarrollador de la aplicacin que ha decidido este acceso a los datos debe serconsiderado como un responsable del tratamiento en virtud de la legislacincomunitaria.

Dichas aplicaciones se instalan tradicionalmente en base al opt-in. De hecho, enrelacin al acceso, ste debe estar sometido a la exigencia de obtener elconsentimiento previo del usuario, debiendo estar claramente determinado,especficado e informado. La experiencia demuestra, sin embargo, que muchas veceslas solicitudes de autorizacin realizadas por los desarrolladores de aplicaciones deterceros no muestran suficiente informacin para que el consentimiento del usuariopueda ser considerado como especfico y suficientemente informado y, por lo tantovlido segn la legislacin de la UE (vase ms adelante).

5.3.4 Otros terceros

Los terceros que no sean los fabricantes de dispositivos ni desarrolladores deaplicaciones pueden utilizar dispositivos IoT para recoger y procesar informacin sobrelos individuos. Por ejemplo, los seguros de salud pueden desear dar podmetros a losclientes para controlar la frecuencia con que realizan ejercicio y adaptar sus primas deseguro en consecuencia.A diferencia de los fabricantes de dispositivos, tales terceros no tienen control sobre eltipo de datos recogidos por el objeto. Sin embargo, ellos son calificados comoresponsables del tratamiento para el proceso concreto de esos datos, en la medida enque recogen y almacenan los datos generados por estos dispositivos IoT para finesespecficos que han decidido ellos mismos.

Ejemplo: Una compaa de seguros lanza un nuevo desafo y ofrece un contador depasos a los abonados que deseen solicitar cuotas ms bajas. Los suscriptores queacepten la oferta recibirn un contador de pasos configurado y registrado por lacompaa. Mientras que los suscriptores pueden acceder a los datos registrados porsu contador de pasos, los propios dispositivos son propiedad de "FeelGood", quetambin tiene acceso a los datos de sus suscriptores. En ese contexto, los suscriptoresdeben ser considerados como interesados titulares de los datos y tener acceso a sucuenta en la aplicacin de conteo de pasos, mientras que la compaa de seguros secalifica como un responsable del tratamiento.

5.3.5 plataformas de datos IoT

Debido a la falta de estandarizacin e interoperabilidad, la Internet de los Objetos esa veces vista como una "Intranet de los objetos" en la que cada fabricante ha definidosu propio conjunto de interfaces y formatos de datos. Los datos se encuentran alojadoentonces en entornos de paredes, lo que impide de manera efectiva a los usuarios latransferencia (ni siquiera combinando) sus datos de un dispositivo a otro.

Sin embargo, los telfonos inteligentes y las tabletas se han convertido enlaspasarelas naturales de los datos recogidos a travs de muchos dispositivos IoT ainternet. Como resultado, los fabricantes han desarrollado progresivamenteplataformas que tienen como objetivo alojar los datos recogidos a travs de este tipode dispositivos diferentes, con el fin de centralizar y simplificar su gestin.

Estas plataformas tambin se pueden calificar como responsables del tratamiento envirtud de la legislacin de proteccin de datos de la UE, cuando el desarrollo de estetipo de servicios efectivamente implica que recogen datos personales de los usuariospara sus propios fines.

5.4 Las personas como titulares de los datos: abonados, usuarios, no-usuarios

Los suscriptores y ms generalmente los usuarios de la IoT se califican como titularesde los datos en virtud de la legislacin comunitaria.

Si los datos que se recogen y almacenan se utilizan exclusivamente para sus finespersonales o domsticos, caern bajo la llamada "exencin domstica" de la Directiva95/46/CE. Sin embargo, en la prctica, el modelo de negocio de la IoT implica que losdatos del usuario se transfieren de forma sistemtica a los fabricantes de dispositivos,desarrolladores de aplicaciones y otros terceros que se califican como responsables deltratamiento. La "exencin domstica" ser por lo tanto de aplicacin limitada en elcontexto de la IoT.

El tratamiento de los datos en la IoT tambin puede referirse a las personas que no sonni los suscriptores ni los usuarios reales de la IoT. Por ejemplo, los dispositivosporttiles como gafas inteligentes tienden a recopilar datos sobre otros titulares de losdatos adems del propietario del dispositivo. Es importante destacar que este factorno impide que la legislacin comunitaria se aplique a este tipo de situaciones. Laaplicacin de las normas de proteccin de datos de la UE no est condicionada por lapropiedad de un dispositivo o terminal, sino por el tratamiento de los datos personalesen s mismos, sea quien sea la persona fsica a quin pertenezca ese dato.

6. Las obligaciones que pesan sobre las partes interesadas de la IoT

Las partes interesadas de la IoT se califican como responsables del tratamiento (ya seaindividualmente o conjuntamente con otros) en virtud de la legislacin comunitariadeben cumplir con las diferentes obligaciones que pesan sobre ellos en aplicacin de laDirectiva 95/46/CE y las disposiciones pertinentes de la Directiva 2002/58/CE, en sucaso. El presente dictamen slo se ocupa de la aplicacin de disposiciones quemerecen una atencin especial en este contexto, pero este enfoque limitado noexcluye la aplicacin de otras disposiciones restantes.

6.1 Aplicacin del artculo 5(3) de la Directiva sobre e-privacidad

El artculo 5(3) de la Directiva 2002/58/CE se aplica a situaciones en las que un actoralmacena o dispone de acceso a la informacin ya almacenada en un dispositivo IoT,en tanto que los dispositivos IoT se califican como un "equipo terminal" a efectos de ladisposicin. Esta disposicin exige que el suscriptor o usuario en cuestin preste suconsentimiento a dicho acceso al almacenamiento para que estas acciones seanlegtimas, a menos que sean "estrictamente necesarias a fin de proporcionar unservicio expresamente solicitado por el abonado o usuario".

Este requisito es especialmente importante cuando partes interesadas distintas delusuario o suscriptor puedan tener acceso a la informacin sensible de carcterpersonal almacenada en dicho equipo terminal.

El requisito del consentimiento en el artculo 5(3) se refiere principalmente al

fabricante del dispositivo, pero tambin a todas las partes interesadas que deseentener acceso a estos datos agregados en bruto almacenados en esta infraestructura.Tambin se aplica a cualquier responsable del tratamiento que desee almacenar datosadicionales en el dispositivo del usuario.

En tales circunstancias, las partes interesadas en la IoT deben asegurarse de que elinteresado haya dado su consentimiento efectivo a dicho almacenamiento y/o acceso,despus de obtener informacin clara y completa del responsable del tratamientosobre, entre otras cosas, los fines del tratamiento.

Por lo tanto, el consentimiento del usuario debe ser obtenido antes de acceder a lainformacin del dispositivo que se puede utilizar para generar una huella digital(incluyendo dispositivos porttiles). El Grupo de Trabajo ya emiti orientacin sobre elconcepto de consentimiento para las cookies o tecnologas de rastreo similares en suDocumento de Trabajo 02/2013 (WP-208) y que proporcionar ms orientacin sobreesta cuestin en su futuro dictamen sobre huellas dactilares.

Ejemplo: Un podmetro registra el nmero de pasos dados por su usuario y almacenaesta informacin en su memoria interna. El usuario instala una aplicacin en suordenador para descargar directamente el nmero de pasos de su dispositivo. Si elfabricante del dispositivo quiere cargar los datos de los podmetros en susservidores, tiene que obtener el consentimiento del usuario en virtud del artculo 5(3) de la Directiva 2002/58/CE. Una vez que el fabricante del dispositivo ha cargadolos datos en sus servidores, slo mantiene los datos agregados sobre el nmero depasos por minuto. Una aplicacin que solicita el acceso a tales datos, en la medida enque se almacena en el servidor del fabricante del dispositivo, a continuacin, no estsujeta al artculo 5 (3) de la Directiva sobre e-privacidad, pero si a lo dispuesto en laDirectiva 95/46/CE relativa a la legitimidad del tratamiento posterior.

Adems, el propietario de un dispositivo IoT y la persona cuyos datos sernmonitorizados (el interesado) podran ser diferentes personas. Esta situacin puedeconducir a una aplicacin distribuida del artculo 5 (3) de la Directiva 2002/58/CE y dela Directiva 95/46/CE.

Ejemplo: un servicio de alquiler de coches instala un dispositivo inteligente deseguimiento de vehculos en sus coches de alquiler. Aunque el servicio de alquiler decoches considerar al propietario/suscriptor del servicio de dispositivo/seguimiento,el individuo que alquile el coche se califica como usuario del dispositivo. El artculo 5(3), exige al fabricante del dispositivo (al menos) obtener el consentimientodelusuario del dispositivo, en este caso el individuo que alquila el coche. Por otraparte, la legitimidad del tratamiento de datos personales relativos a las personas quealquilan coches ser sometido a los distintos requerimientos del artculo 7 de laDirectiva 95/46/CE.

6.2 Fundamentos jurdicos para el tratamiento (artculo 7 de la Directiva 95/46/CE)

Las partes interesadas en la IoT calificadas comoresponsables del tratamiento (ver seccin 6.3) tienen quecumplir uno de los requisitos, enumerados en el artculo 7de la presente Directiva para el tratamiento de los datospersonales, para que ste sea legtimo. Estos requisitos seaplican a algunos de estos grupos de inters en la partesuperior de la aplicacin del artculo 5 (3), cuando eltratamiento que est en juego va ms all delalmacenamiento de, o el acceso a, la informacinalmacenada en los equipos terminales del

usuario/abonado.

En la prctica, tres fundamentos jurdicos son relevantes en este contexto:

El primer fundamento jurdico en el que se debe confiar especialmente en elmarco de la IoT es el principio de Consentimiento (Artculo 7 (a)), ya seacumplido por los fabricantes de dispositivos, plataformas sociales o de datos,arrendadores de dispositivos o terceros desarrolladores. En varias ocasiones,el Grupo de Trabajo tambin ha publicado orientaciones sobre la aplicacinsimultnea de los requisitos del artculo 7 (a) y el artculo 5 (3) de la Directiva2002/58/CE. Las condiciones para que tal consentimiento sea vlido bajo lalegislacin comunitaria tambin se han especificado en un anterior opinindel Grupo de Trabajo.

El segundo fundamento jurdico corresponde al artculo 7 (b). Dispone que elprocesamiento es legtima cuando es necesario para el cumplimiento de uncontrato en el que el interesado sea parte. El alcance de este fundamentojurdico est limitada por el criterio de "necesidad", que requiere una relacindirecta y objetiva entre el propio tratamiento y el propsito de la relacincontractual que espera el interesado titular de los datos.

El tercer fundamento jurdico se corresponde con el artculo 7 (f). Permite eltratamiento de datos personales cuando ste es necesario para la satisfaccindel inters legtimo perseguido por el responsable del tratamiento o por eltercero o terceros a los que se comuniquen los datos, excepto cuando antedichos intereses prevalezcan los intereses o los derechos fundamentales y laslibertades de las personas afectadas - en especial su derecho a la privacidadcon respecto al tratamiento de datos personales - que requieren la proteccindel artculo 1 (1) de la Directiva.

En su sentencia en el caso Google Espaa, el Tribunal Europeo de Justicia (TJUE) haproporcionado orientaciones fundamentales sobre la interpretacin de estadisposicin, adems de la ya prevista con anterioridad en los casos conjuntos ASNEF y

FECEMD (C-468/10 y C-469/10).

El tratamiento de los datos personales de un individuo en el contexto de la IoT esprobable que afecte de forma significativa a sus derechos fundamentales a la intimidady a la proteccin de datos personales que en otras situaciones, sin dispositivos IoT, losdatos no estaran interconectados o nicamente con gran dificultad. Estas situacionespueden ocurrir cuando los datos recogidos se refieren a la salud de un individuo, alhogar o a su intimidad, a su ubicacin y a muchos otros aspectos de su vida privada.

A la luz de la gravedad potencial de esta interferencia, es evidente que dichotratamiento apenas se justifica por el inters econmico que un actor pueda tener delprocesamiento de la IoT. Otros intereses perseguidos por el responsable deltratamiento o por el tercero o terceros a los que se comuniquen los datos deben entraren juego.

Ejemplo: En el marco de un plan para promover el uso del transporte pblico yreducir la contaminacin, el Ayuntamiento quiere regular el aparcamiento en elcentro de la ciudad mediante la imposicin de restricciones de acceso, as comotarifas de estacionamiento. La cuanta de la tasa depende de varios parmetros,incluyendo el tipo de motor (disel, gasolina, elctrico) y la edad del vehculo. Unavez que el vehculo se acerca a una plaza de aparcamiento gratuito, un sensor puedeleer la placa de matrcula con el fin de averiguar, a instancias de una base de datos, elrecargo o descuento que se aplicar de forma automtica en funcin de criteriospredefinidos. En este caso, el procesamiento de la informacin de la placa de licenciapara la determinacin de la cuota podra satisfacer el inters legtimo del responsabledel tratamiento. El tratamiento posterior, como la obtencin de informacin no-anonimizada en la circulacin de vehculos a travs de la zona restringida requerira eluso de otro fundamento jurdico.

6.3 Principios relativos a la calidad de los datos

Tomados en conjunto, los principios consagrados en el artculo 6 de la Directiva95/46/CE constituyen una piedra angular de la ley de proteccin de datos de la UE.

Los datos personales deben ser recogidos y tratados de manera leal y lcita. El principiode equidad requiere especficamente que los datos personales no deben ser recogidosy procesados sin que el individuo realmente sea consciente de ello. Este requisito estanto ms importante en relacin con la IoT al estar los sensores realmente diseadopara no ser invasivos, es decir, tan invisibles como sea posible.

No obstante, los responsables del tratamiento que actan en la IoT (primero y antetodo los fabricantes de dispositivos) deben informar a todas las personas en lavecindad geogrfica, o vecindad digital, de los dispositivos conectados cuando se

recogen los datos relacionados con ellos o su entorno.

El cumplimiento de esta disposicin va ms all de un requisito legal estricto: Elrecabado justo pertenece a las expectativas ms importantes de los usuarios enrelacin con la IoT, en particular en cuanto a Wearable Computing.

Ejemplo: Un dispositivo relacionado con la salud utiliza una pequea luz paracontrolar el flujo de sangre en las venas, y para obtener informacin del latido. Eldispositivo incluye otro sensor que mide el nivel de oxgeno en la sangre, pero no hayinformacin disponible sobre esta coleccin de datos ni en el dispositivo ni en lainterfaz de usuario. Incluso si el sensor de oxgeno en sangre es completamentefuncional, no se debe activar primero sin informar al usuario. Se requerir elconsentimiento expreso para habilitar ese sensor.

El principio de limitacin de la finalidad implica que los datos slo pueden serrecogidos con fines determinados, explcitos y legtimos. Cualquier otro tratamientoque fuera incompatible con estos propsitos originales sera ilegal en virtud de lalegislacin comunitaria.

Este principio tiene por objeto permitir a los usuarios saber cmo y con qu fines seestn utilizando sus datos y decidir si se debe confiar a un responsable del tratamientolos datos. Estos efectos se deben definir antes de que el tratamiento de datos se lleve acabo, lo que excluye los cambios bruscos de las condiciones fundamentales de lacontratacin. Esto implica que las partes interesadas de la IoT deben tener una buenavisin general de su modelo de negocio antes de comenzar la recoleccin de los datospersonales.

Adems, los datos recogidos sobre el titular de los datos deben ser los estrictamentenecesarios para la finalidad especfica determinada previamente por el responsable deltratamiento (el principio de "minimizacin de los datos").

Los datos que son innecesarios para tal fin no deben ser recogido y almacenados "porsi acaso" o porque "podra ser til ms adelante". Algunas partes interesadasconsideran que el principio de minimizacin de los datos puede limitar lasoportunidades potenciales de la IoT y, en consecuencia, ser una barrera para lainnovacin basndose en la idea de que los beneficios potenciales del tratamiento dedatos vendran del anlisis exploratorio con el objetivo de encontrar correlaciones noobvias y tendencias.

El Grupo de Trabajo no puede compartir este criterio, e insiste en que el principio deminimizacin de los datos juega un papel esencial en la proteccin de los derechos deproteccin de datos otorgados por la legislacin comunitaria a las personas, por lo que

debe ser respetado como tal. Este principio implica especficamente que cuando losdatos personales no son necesarios para proporcionar un servicio especfico a ejecutaren la IoT, se le ofrecer al menos al usuario la posibilidad de utilizar el servicio deforma annima.

El artculo 6 tambin exige que los datos personales recogidos y tratados en elcontexto de la IoT se mantengan por un perodo no superior al necesario para los finespara los que fueron recogidos y tratados posteriormente. Esa prueba de necesidaddebe ser realizada por todos y cada uno de los interesados en la prestacin de unservicio especfico en la IoT, ya que los efectos del tratamiento respectivo de hecho,puede ser diferente. Por ejemplo, los datos personales comunicados por un usuariocuando se suscribe a un servicio especfico en la IoT deben eliminarse tan pronto comoel usuario pone fin a su suscripcin. Del mismo modo, la informacin borrada por elusuario en su cuenta no debe mantenerse. Cuando un usuario no utiliza el servicio oaplicacin por un perodo de tiempo definido, el perfil de usuario se debe establecercomo inactivo. Despus de otro perodo de tiempo se deben eliminar los datos. Elusuario debe ser notificado antes de que se tomen estas medidas, lo que significa quela parte interesada relevante las tiene a su disposicin.

6.4 Tratamiento de datos sensibles (artculo 8)

Aplicaciones en la IoT pueden procesar datos personales que pueden revelar el origenracial o tnico, opiniones polticas, creencias religiosas o filosficas, la pertenencia asindicatos, la salud o la vida sexual, que en realidad estn calificados como "datossensibles", por la proteccin especial que merecen en el sentido del artculo 8 de laDirectiva 95/46/CE.

En la prctica, la aplicacin del artculo 8 a datos sensibles en la IoT requiere que losresponsables del tratamiento obtengan el consentimiento explcito del usuario, amenos que el interesado haya hecho pblicos los datos.

Tal situacin es probable que surja en los contextos especficos como endispositivosauto-cuantificadores. En estos casos, los dispositivos pertinentes estnregistrando principalmente datos en relacin con el bienestar del individuo. Estosdatos no constituye necesariamente datos de salud como tales, sin embargo, puedenproporcionar rpidamente informacin acerca de la salud del individuo ya que losdatos se han registrado a lo largo del tiempo, por lo que es posible derivar inferenciasa partir de su variabilidad durante un perodo determinado. Los responsables deltratamiento deberan anticipar este posible cambio en la calificacin y tomar lasmedidas oportunas en consecuencia.

Ejemplo: X Company ha desarrollado una aplicacin que, mediante el anlisis de losdatos en bruto de las seales de electrocardiogramas generados por sensorescomerciales comnmente disponibles para los consumidores, es capaz de detectar

patrones de adiccin a las drogas. El motor de la aplicacin puede extraercaractersticas especficas de electrocardiogramas (ECG) en bruto que, segn losresultados de investigaciones anteriores, estn vinculados con el consumo de drogas.El producto, compatible con la mayora de los sensores en el mercado, se podrautilizar como una aplicacin independiente o a travs de una interfaz web querequiere la carga de los datos. El consentimiento expreso del usuario debe serrecogido para tratar los datos para ese propsito. El cumplimiento de este requisitodel consentimiento puede ser satisfecho en las mismas condiciones y en el momentoque cuando el consentimiento se recoge del interesado con arreglo al artculo 7 (a).

6.5 Los requisitos de transparencia (artculos 10 y 11)

Ms all de la exigencia de un recabado adecuado de datos en el artculo 6 (a), losresponsables del tratamiento deben comunicar informacin especfica a losinteresados en la aplicacin de los artculos 10 y 11: la identidad del responsable deltratamiento, los fines del tratamiento, los destinatarios de los datos, la existencia delos derechos de acceso y derecho de oposicin (que incluye informacin sobre cmodesconectar el objeto para evitar la divulgacin de datos adicionales).

Dependiendo de las aplicaciones, esta informacin podra ser proporcionada, porejemplo, en el objeto en s utilizando la conectividad inalmbrica para transmitir lainformacin, o el uso de localizacin a travs de pruebas de preservacin de laprivacidad en proximidad efectuadas por un servidor centralizado para informar a losusuarios que se encuentran cerca del sensor.

Esta informacin adicional se debe proporcionar de manera clara y comprensible, deconformidad con el principio de tratamiento leal. Por ejemplo, el fabricante deldispositivo puede imprimir en los objetos equipados con sensores un cdigo QR, o unaflashcode que describe el tipo de sensores y la informacin que captura, as como losefectos de estas recolecciones de datos.

6.6 Seguridad (artculo 17)

El artculo 17 de la Directiva de Proteccin de Datos establece que el responsable deltratamiento debe "aplicar las medidas tcnicas y de organizacin adecuadas, para laproteccin de los datos personales" y que "el responsable del tratamiento, en caso detratamiento por cuenta del mismo, deber elegir un encargado del tratamiento querena garantas suficientes en relacin con las medidas de seguridad tcnica y deorganizacin de los tratamientos que deban efectuarse, y se asegure de que secumplen dichas medidas".En consecuencia, cualquier grupo de inters que se califique como un responsable deltratamiento sigue siendo plenamente responsable de la seguridad del tratamiento dedatos procesados.

Si los fallos de seguridad que resultan enviolaciones del principio de seguridad son elresultado de un diseo inadecuado o falta demantenimiento de los dispositivos utilizados, secompromete la responsabilidad del responsabledel tratamiento. En ese sentido, es necesario queestos responsables del tratamiento lleven a caboevaluaciones de seguridad de los sistemas comoun todo, incluso a nivel de componentes,aplicando los principios de seguridad componible.

En la misma lnea, el uso de la certificacin dedispositivos, as como la armonizacin con lasnormas de seguridad internacionalmente

reconocidas, debe implementarse para mejorar la seguridad general del ecosistema dela IoT.

Subcontratistas que disean y fabrican componentes de hardware en nombre de otraspartes interesadas sin realmente tratar sus datos personales no pueden, en rigor, serresponsables en virtud del artculo 17 de la Directiva 95/46/CE en el caso de que seproduzca una infraccin de proteccin de datos debido a una falla en la seguridad enestos dispositivos. Sin embargo, estos grupos de inters juegan un papel clave en elmantenimiento de la seguridad del ecosistema IoT. Las partes interesadas que llevanresponsabilidades directas de proteccin de datos frente a los interesados debenasegurarse de que estn en manos de subcontratistas que aplican altos niveles deseguridad con respecto a la privacidad en el diseo (PbD) y la fabricacin de susproductos.

Como se dijo antes, las medidas de seguridad se llevarn a cabo teniendo en cuenta laslimitaciones operativas especficas de los dispositivos IoT. Por ejemplo, hoy en da, lamayora de los sensores no son capaces de establecer un vnculo cifrado debido a laprioridad que se da a la autonoma fsica del dispositivo o al control de costes.

Adems, los dispositivos que operan en la IoT tambin son difciles de conseguir, tantopor razones tcnicas como de negocios. Como sus componentes suelen utilizar lainfraestructura de comunicaciones inalmbricas y se caracterizan por los recursoslimitados en trminos de energa y potencia de clculo, los dispositivos son vulnerablesa los ataques fsicos, las escuchas o ataques proxy. Tecnologas ms comunesactualmente en uso - es decir, las infraestructuras PKI - no se estn migrandofcilmente en los dispositivos IoT ya que la mayora de los dispositivos no tienen lapotencia de clculo necesaria para hacer frente a las tareas de procesamientorequeridos.

La IoT implica una compleja cadena de suministro con mltiples partes interesadasasumiendo diferentes grados de responsabilidad. Un fallo de seguridad podra tener suorigen en cualquiera de ellos, sobre todo cuando se consideran entornos M2Mbasados en el intercambio de datos entre dispositivos. Por lo tanto, debe tenerse encuenta la necesidad de emplear protocolos seguros y ligeros que pueden utilizarse enentornos de bajos recursos.

En este contexto en el que la precariedad de la capacidad de cmputo puede poner enriesgo la comunicacin segura y eficiente, el GT29 subraya que es an ms importanteel cumplir con el principio de minimizacin de los datos y restringir el tratamiento dedatos personales, y en particular su almacenamiento en el dispositivo, al mnimorequerido.

Adems, los dispositivos que estn diseados para acceder directamente a travs deInternet no siempre son configurables por el usuario. De este modo podrn ofrecer uncamino de fcil acceso para los intrusos si siguen funcionando con la configuracinpredeterminada.

Prcticas de seguridad basadas en restricciones de la red, la desactivacin por defectode funcionalidades no crticas, la prevencin del uso de fuentes de actualizacin desoftware no sean de confianza (limitando as los ataques de malware basado en laalteracin cdigo) podra contribuir a limitar el impacto y el alcance de las posiblesviolaciones de datos. Tales protecciones de privacidad deben ser incorporadas desde elprimer momento, en aplicacin de los principios de la "privacidad desde el diseo".

Adicionalmente, la ausencia de actualizaciones automticas revierte en la existencia devulnerabilidades frecuentes no corregidas que pueden ser fcilmente descubiertas atravs de motores de bsqueda especializados. Incluso en los casos en que los usuariossean conscientes de las vulnerabilidades que afectan a sus propios dispositivos, esposible que no tengan acceso a las actualizaciones del proveedor, ya sea debido a laslimitaciones de hardware o de tecnologas obsoletas que impiden al dispositivo sersoportados mediante actualizaciones de software.

En caso de que un fabricante de dispositivos dejar de dar soporte a un dispositivo,conviene prever soluciones alternativas de soporte (por ejemplo, abrir el software a lacomunidad de cdigo abierto). Los usuarios deben ser notificados de que susdispositivos pueden llegar a ser vulnerables a errores no corregidos.

Algunos de los sistemas de auto-comprobacin en el mercado (por ejemplo,podmetros y seguidores del sueo), tambin sufren fallos de seguridad que permitena los atacantes manipular los valores observados que son reportados a las aplicacionesy fabricantes de dispositivos. Es esencial que estos dispositivos reciban proteccin

adecuada contra la manipulacin de datos, en particular, si los valores reportados porestos sensores impactan indirectamente en decisiones relacionadas con la salud de losusuarios.

Por ltimo, pero no menos importante, una poltica adecuada de notificacin deviolaciones de datos tambin puede ayudar a contener los efectos negativos del diseodel software y sus vulnerabilidades mediante la difusin de conocimiento yproporcionando orientacin sobre esas cuestiones.

7. Derechos del interesado

Las partes interesadas de la IoT deben respetar los derechos de los interesados, deconformidad con las disposiciones establecidas en los artculos 12 y 14 de la Directiva95/46/CE y adoptar las medidas organizativas en consecuencia. Estos derechos no selimitan a los suscriptores de los servicios de la IoT o propietarios de dispositivos,concerniendo a cualquier persona cuyos datos personales sean tratados.

7.1 Derecho de acceso

Artculo 12 (a) establece que los interesados tienen derecho a obtener de losresponsables del tratamiento comunicacin en forma inteligible, de los datos que sesometen a un tratamiento y toda la informacin disponible sobre el origen.

En la prctica, los usuarios de la IoT tienden a ser bloqueado a sistemas especficos. Losdispositivos generalmente envan primero datos al fabricante del dispositivo, el cualhace que estos datos sean accesibles para el usuario a travs de un portal web o unaaplicacin. Este diseo permite a los fabricantes ofrecer servicios en lnea queaprovechan las capacidades del dispositivo, pero tambin pueden impedir que losusuarios elijan libremente el servicio que interacta con su dispositivo.

Adems, hoy en da, los usuarios finales estn raramente en condiciones de teneracceso a los datos en bruto que estn registrados por los dispositivos IoT. Claramente,los titulares muestran un inters ms inmediato en los datos interpretados que enlosdatos en bruto que pueden no tener sentido para ellos. Sin embargo, el acceso aestos datos puede resultar til para los usuarios finales para entender lo que elfabricante del dispositivo puede inferir acerca de ellos.

Tambin, hacer uso de estos datos en bruto les dara la capacidad para transferir susdatos a otro responsable del tratamiento e interrumpir los servicios de datos, porejemplo, si el responsable del tratamiento original cambia su poltica de privacidad deuna manera que no les satisface. Hoy, en la prctica, estas personas no tienen ningunaotra posibilidad que dejar de usar sus dispositivos la no proporcionar los responsablesdel tratamiento esta funcionalidad, permitiendo el acceso slo a una versindegradada de los datos crudos almacenados.

El GT29 cree que tales actitudes impiden el ejercicio efectivo del derecho de accesoconcedido a los particulares por el artculo 12 (a) de la Directiva 95/46/CE. Se cree que,por el contrario, las partes interesadas en la IoT deben tomar medidas para permitir alos usuarios la aplicacin efectiva de este derecho, y ofrecer a los usuarios laposibilidad de elegir otro servicio que pudiera no ser provisto por el fabricante deldispositivo. Estndares de interoperabilidad de datos se podran desarrollar de maneratil a tal efecto.

Tales pasos seran an ms relevantes de tomar, como el llamado "derecho deportabilidad", que es probable que se consagrare como una variacin del derecho deacceso en el proyecto de Reglamento General de Proteccin de Datos (RGPD/UE), ytiene como objetivo poner un claro final a las situaciones "lock-in" de usuarios. Laambicin del legislador europeo en este punto consiste en desbloquear los obstculosde competencia y ayudar a los nuevos jugadores para innovar en este mercado.

7.2 Posibilidad de retirar su consentimiento y de oponerse

Los interesados deben tener la posibilidad de revocar el consentimiento previo dado altratamiento de informacin especfica y de oponerse al tratamiento de los datosrelativos a ellos mismos. El ejercicio de estos derechos debe ser posible sinrestricciones o impedimentos tcnicos u organizativos, y las herramientasproporcionadas para registrar esta retirada deben ser accesibles, visibles y eficazes.

Esquemas de retirada deben ser de grano fino y deben cubrir:

Los datos recogidos por un objeto especfico (por ejemplo, solicitando que laestacin meteorolgica deje de recoger datos de humedad, temperatura ysonidos.

Un tipo especfico de datos recogidos por cualquier cosa (por ejemplo, unusuario debe ser capaz de interrumpir la recogida de datos por cualquierdispositivo de grabacin de sonido, ya sea un seguidor del sueo o unaestacin meteorolgica).

Un tratamiento de datos especficos (por ejemplo, un usuario podra requerirque tanto su podmetro como su reloj dejaran ambos de contar los pasos).

Adems, dado que los Wearables "objetos conectados" es probable que sustituyan alos objetos existentes que proporcionan funcionalidades habituales, los responsablesdel tratamiento deberan ofrecer una opcin para desactivar la funcin de "conectado"del nuevo objeto y permitir que funcione limitado como el objeto original al quesustituyen (es decir desactivar la funcionalidad del reloj inteligente o la funcionalidadde conectividad de las gafas).

El Grupo de Trabajo ya ha especificado que los interesados deben tener la posibilidadde "retirar continuamente (su) consentimiento, sin tener que salir del servicioprovisto.

Ejemplo: un usuario instala una alarma de incendios conectada en su apartamento. Laalarma utiliza un sensor de ocupacin, un sensor de calor, un sensor ultrasnico y unsensor de luz. Algunos de estos sensores son necesarios para detectar el fuego,mientras que algunos de ellos slo ofrecen caractersticas adicionales sobre el que seinform anteriormente. El usuario debe ser capaz de desactivar estas caractersticaspara hacer uso de slo la alarma de incendios, por lo tanto, desconectar los sensoresutilizados para proporcionar estas caractersticas adicionales.

Curiosamente, algunos desarrollos recientes en este campo estn tratando decapacitar a los interesados, dndoles un mayor control sobre las funciones deadministracin del consentimiento, por ejemplo, mediante el uso de sticky-policies oprivacy proxies.

8. Conclusiones y recomendaciones

A continuacin se indican una serie de recomendacionesque el GT29 ha considerado tiles con el fin de facilitar laaplicacin de los requisitos legales de la UE respecto a laIoT, mencionados anteriormente.

Las recomendaciones que siguen slo proporcionanorientaciones que son adicionales a los documentos que

fueron aprobados previamente por el GT29.

En este sentido, el Grupo de Trabajo desea llamar la atencin especfica a susrecomendaciones anteriores en aplicaciones en dispositivos inteligentes. Debido a quelos telfonos inteligentes son parte del entorno de la IoT y los ecosistemas implican unconjunto comparable de grupos de inters, estas recomendaciones son directamenterelevantes para la IoT. En particular, los desarrolladores de aplicaciones y fabricantesde dispositivos deben proporcionar un nivel adecuado de informacin a los usuariosfinales, ofrecer opciones de exclusin simples y/o consentimiento granular, en su caso.Adems, cuando no se haya obtenido el consentimiento, el responsable deltratamiento debe anonimizar los datos antes de reutilizarlos o compartirlos con otrospartidos.

8.1 Recomendaciones comunes a todas las partes interesadas

Deben realizarse Evaluaciones de Impacto en la Privacidad (PIA) antes de quelas nuevas aplicaciones se inicien en la IoT. La metodologa a seguir para talesPIA se puede basar en la privacidad y el Marco de Evaluacin de Impacto de

Proteccin de Datos que el G29 ha adoptado el 12 de enero de 2011 paraaplicaciones RFID. Cuando proceda y sea factible, las partes interesadasdeberan considerar la posibilidad de poner el PIA correspondiente adisposicin del pblico en general. Marcos especficos de PIA podran serdesarrollados para determinados ecosistemas IoT (por ejemplo, ciudadesinteligentes

Muchas partes interesadas de la IoT slo necesitan datos agregados y notienen necesidad de los datos en bruto recogidos por los dispositivos IoT. Laspartes interesadas deben borrar los datos en bruto en cuanto hayan extradolos datos necesarios para su procesamiento de datos. Como principio, laeliminacin debe tener lugar en el punto de recogida de datos de los datos enbruto ms cercano (por ejemplo, en el mismo dispositivo despus delprocesamiento).

Cada parte interesada en la IoT debe aplicar los principios de privacidad desdeel diseo (PbD) y la privacidad por defecto.

La capacitacin del usuario es esencial en el contexto de la IoT. Losinteresados y los usuarios deben ser capaces de ejercer sus derechos y, enconsecuencia, tener "en control" de los propios datos en cualquier momentode acuerdo con el principio de auto determinacin de los datos (habeasdata).

Los mtodos de mostrar la informacin, otorgando el derecho a rechazar osolicitar el consentimiento debe ser tan fcil de usar como sea posible. Enparticular, las polticas de informacin y consentimiento deben centrarse enproveer informacin que sea comprensible para el usuario y no debe limitarsea una poltica de privacidad general ubicada en la pgina web de losresponsables.

Dispositivos y aplicaciones deben disearse a fin de informar a los usuarios ya los no-usuarios titulares de los datos, por ejemplo a travs de la interfazfsica del dispositivo o mediante la difusin de una seal en un canalinalmbrico.

8.2 OS y fabricantes de dispositivos

Los fabricantes de dispositivos debern informar a los usuarios sobre el tipode datos que son recogidos por los sensores y tratados posteriormente, lostipos de datos que reciben y cmo van a ser procesados y combinados.

Los fabricantes de dispositivos deben ser capaces de comunicar a todos losdems actores involucrados en cuanto un interesado retira su consentimientoo se opone al tratamiento de datos.

Los fabricantes de dispositivos deben proporcionar opciones granulares en laconcesin de acceso a las aplicaciones. La granularidad debe aplicarse no sloal tipo de los datos recogidos, sino tambin el tiempo y la frecuencia en laque se capturan los datos. De manera similar a la caracterstica de "nomolestar" en los telfonos inteligentes, los dispositivos IoT deberan ofrecer

una opcin de "no recogen" para programar o desactivar rpidamentesensores.

Para evitar el seguimiento de localizacin, los fabricantes de dispositivosdeben limitar la huella dactilar del dispositivo mediante la desactivacin delas interfaces inalmbricas cuando no se utilicen o deban utilizaridentificadores aleatorios (como direcciones MAC aleatorias para escanearredes wifi) para evitar un identificador persistente de sea utilizado para elseguimiento de la ubicacin.

Para cumplir con la transparencia y el control del usuario, los fabricantes dedispositivos deben proporcionar herramientas para leer localmente, editar ymodificar los datos antes de ser transferidos a cualquier responsable deltratamiento. Adems, los datos personales tratados por un dispositivo debenser almacenados en un formato que permita la portabilidad.

A los usuarios les corresponde el derecho de acceso a sus datos personales.Deben contar con herramientas que les permitan exportar fcilmente susdatos en un formato estructurado y de uso comn. Por lo tanto, losfabricantes de dispositivos deben proporcionar una interfaz fcil de usar paralos usuarios que quieren obtener tanto los datos agregados y/o los datos enbruto que todava almacene.

Los fabricantes de dispositivos deben proporcionar herramientas sencillaspara notificar a los usuarios y para actualizar los dispositivos cuando sedescubren vulnerabilidades de seguridad. Cuando un dispositivo se vuelveobsoleto y ya no se actualiza, el fabricante del dispositivo debe notificar alusuario y asegrese de que es consciente de la situacin. Todas las partesinteresadas que puedan verse afectadas por la vulnerabilidad tambin debenser informadas.

Los fabricantes de dispositivos deben seguir un proceso de seguridad pordiseo y dedicar algunos componentes a las primitivas criptogrficas clave.

Los fabricantes de dispositivos deben limitar tanto como sea posible lacantidad de datos almacenados en los dispositivos mediante latransformacin de los datos en bruto en los datos agregados directamente enel dispositivo. Los datos agregados deben estar en un formato estandarizado.

A diferencia de los telfonos inteligentes, los dispositivos de IoT pueden sercompartidos por varios titulares de los datos o incluso alquilar (por ejemplo,hogares inteligentes). Un parmetro de ajuste debe ser capaz de distinguirentre diferentes personas que utilizan el mismo dispositivo de modo que nopuedan aprender acerca de las actividades del otro.

Los fabricantes de dispositivos deben trabajar con los organismos denormalizacin y las plataformas de informacin para apoyar un protocolocomn para expresar sus preferencias con respecto a la recogida ytratamiento de datos por los responsables del tratamiento, especialmentecuando tales datos son recogidos por dispositivos discretos.

Los fabricantes de dispositivos deben permitir a las entidades responsables y

encargadas locales (los llamados proxies de privacidad personal) quepermitan a los usuarios tener una idea clara de los datos recogidos por susdispositivos y facilitar el almacenamiento y el procesamiento local sin tenerque transmitir los datos al fabricante del dispositivo.

8.3 Los desarrolladores de aplicaciones

Los avisos o advertencias deben ser diseados para recordar a los usuariosfrecuentemente que los sensores estn recopilando datos. Cuando eldesarrollador de la aplicacin no tiene un acceso directo al dispositivo, laaplicacin debe enviar peridicamente una notificacin al usuario parahacerle saber que sigue grabando datos.

Las solicitudes deben facilitar el ejercicio de los derechos de los interesadosde acceso, rectificacin y cancelacin de sus datos personales recogidos porlos dispositivos IoT.

Los desarrolladores de aplicaciones deben proporcionar las herramientas paraque los titulares de los datos pueden exportar tanto datos en crudo, como losdatos agregados, en un formato estndar y utilizable.

Los desarrolladores deben prestar especial atencin a los tipos de datos queestn siendo procesados y de la posibilidad de deducir datos personalessensibles de ellos.

Los desarrolladores de aplicaciones deben aplicar un principio deminimizacin de los datos. Cuando el objetivo se puede lograr utilizando losdatos agregados, los desarrolladores no deben acceder a los datos en bruto.De manera ms general, los desarrolladores deben seguir un enfoque dePrivacidad por Diseo (PbD) y minimizar la cantidad de datos recogidosnecesarios para prestar el servicio.

8.4 Las plataformas sociales

La configuracin predeterminada de aplicaciones sociales basadas endispositivos de IoT deben preguntar a los usuarios, revisar, editar y decidirsobre la informacin generada por su dispositivo antes de su publicacin enlas plataformas sociales.

La informacin publicada por los dispositivos IoT en las plataformas socialesdebe, por defecto, no ser convertida en pblica o ser indexada por losmotores de bsqueda.

8.5 dueos de dispositivos IoT y usuarios adicionales

El consentimiento para el uso de un dispositivo conectado y al tratamiento dedatos resultante debe ser informado y dado libremente. Los usuarios nodeben ser penalizados econmicamente o ver degradado el acceso a lascapacidades de sus dispositivos si deciden no utilizar un dispositivo o un

servicio especfico.

El interesado cuyos datos se estn procesando en el contexto de una relacincontractual con el usuario de un dispositivo conectado (es decir, del hotel, deseguros de salud o inquilino del coche) debe estar en condiciones deadministrar el dispositivo. Con independencia de la existencia de cualquierrelacin contractual, cualquier no-usuario debe tener la capacidad de ejercersus derechos de acceso y oposicin.

Los usuarios de dispositivos IoT deben informar a los interesados no-usuariosque sus datos se recogen de la presencia de dispositivos IoT y el tipo de datosrecogidos. Tambin deben respetar la preferencia del interesado de no cedersus datos recogidos por el dispositivo.

8.6 Organismos de normalizacin y plataformas de datos

Los organismos de normalizacin y las plataformas de datos deben promoverformatos de datos claros y fciles de entender, portables e interoperables,facilitando as tanto las transferencias de datos entre las diferentes partesinteresadas, como el ayudar a que los interesados entiendan lo querealmente se est recopilando sobre ellos por los dispositivos IoT.

Los organismos de normalizacin y las plataformas de datos no debencentrarse nicamente en el formato de datos en bruto, sino tambin en laaparicin de formatos para los datos agregados.

Los organismos de normalizacin y las plataformas de datos deben promoverlos formatos de datos que contengan el menor nmero de identificadoresfuertes como sea posible, con el fin de facilitar la anonimizacin adecuada delos datos de la IoT.

Los organismos de normalizacin deberan trabajar en estndares certificadosen que figuren la lnea de base de las garantas de seguridad y privacidad paralos interesados.

Organismos de normalizacin deben desarrollar protocolos de cifrado ycomunicacin ligeros adaptados a las especificidades de la IoT, garantizandola confidencialidad, integridad, autenticacin y control de acceso.

9. Bibliografa consultada

- [1] ARTICLE 29 DATA PROTECTION WORKING PARTY.Opinion 8/2014 on the onRecent Developments on the Internet of Things. Adopted on 16 September 2014.14/EN WP 223.

Dictamen 8/2014

- [2] GRUPO DE TRABAJO DEL ARTCULO 29 SOBRE PROTECCIN DE DATOS.Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes. Adoptado

el 27 de febrero de 2013. 00461/13/ES WP 202.

Dictamen 02/2013

- NOTA del editor: Puede consultarse en este mismo blogun artculo relacionado bajo el ttulo La IoT (Internet delas cosas) y sus implicaciones ticas, legales y deseguridad que escrib junto al Dr. en Derecho Luis FelipeLpez lvarez.

La IoT y sus implicaciones ticas, legales y de seguridad

10. Derechos de autor

This Working Party was set up under Article 29 of Directive95/46/EC. It is an independent European advisory body ondata protection and privacy. Its tasks are described inArticle 30 of Directive 95/46/EC and Article 15 of Directive2002/58/EC.

Copyright notice: European Union, 1995-2014

Reuse is authorised, provided the source is acknowledged. The reuse policy of theEuropean Commission is implemented by a Decision of 12 December 2011.

The general principle of reuse can be subject to conditions which may be specified inindividual copyright notices. Therefore users are advised to refer to the copyrightnotices of the individual websites maintained under Europa and of the individualdocuments. Reuse is not applicable to documents subject to intellectual propertyrights of third parties.