privacidad en la internet de las cosas - presentación
TRANSCRIPT
• Pedro Alberto Gonzálezhttp://www.avpd.es
Privacidad en la “Internet de las cosas”
Privacidad e "Internet de las Cosas" 2
Átomos y Bits
http://www.avpd.eus
1995 – Nicholas Negroponte“Mover BITS, no átomos”“Usar ONDAS, no Cables”MIT: Media Lab // “Wired”
1999 – Neil Gershenfelf“Unir lo físico y lo digital”
“Vincular los objetos desde la Red”MIT: Center for Bits and Atoms
Privacidad e "Internet de las Cosas" 3
Guión de la sesión1. “La internet de las cosas”2. Los principios de la privacidad3. Tensión y equilibrio4. Conclusiones
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 4
El origen del término “IoT”(Internet Of Things)
• Aparece en 1999, en un PPT de P&G– Autor: Kevin Ashton – Posteriormente en el Auto-ID Center del M.I.T.– http://www.howtoFLYaHORSE.com/about-the-author/
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 5
Interés / curiosidadde la “IoT”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 6
Gartner 2014: “Curva de expectativas”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 7
Definición de IoT (GT-29)• “…infraestructura en la que miles de millones
de sensores embebidos en dispositivos comunes y cotidianos, - "objetos" en sí mismos, u objetos vinculados a otros objetos o individuos - están diseñados para registrar, procesar, almacenar y transferir datos e interactuar con otros dispositivos o sistemas que utilizan las capacidades de red, a través de identificadores únicos.”
http://www.avpd.eus
Lo que es la “Internet de las Cosas”
“Aparatos”…
… Identificables…
… Intercomunicados
http://www.avpd.eus Privacidad e "Internet de las Cosas" 8
Privacidad e "Internet de las Cosas" 9
¡¡Sensores!!
http://www.avpd.eus
Sistemas “HVAC”
Privacidad e "Internet de las Cosas" 10
Códigos de Barras
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 11
RFID(Radio-Frequency IDentification)
http://www.avpd.eus
Niveles de Madurez de la “IoT”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 12
Contexto
Estado
Ubicación
Identidad
Privacidad e "Internet de las Cosas" 13
Tecnologías inalámbricas
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 14
RFID / NFC + GPSTransporte / Logística
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 15
Necesidad de Estándares en “IoT”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 16
“La Internet de los Barcos”http://www.marinetraffic.com/
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 17
“La Internet de los aviones”http://www.flightradar24.com/
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 18
“El Buscador de las Cosas”https://thingful.net
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 19
Otro buscador de “cosas”:https://www.shodan.io/
http://www.avpd.eus
(…PortCalypso…) (…taller…) (…oficina…)
Privacidad e "Internet de las Cosas" 20
Ámbitos de aplicación de la “IoT”
• Industria• “Smart cities”• Domótica• Vehículos• “Wearables”
– “El YO cuantificado”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 21
Vehículos conectados(Via-T + EDR + eCall)
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 22
Domótica
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 23
El móvil, “Mando a Distancia Universal”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 24
El Móvil: “El Sensor definitivo”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 25
… y “gateway” para infinidad de sensores externos
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 26
“Quantified Self” &“Wearable devices”
• Info-entretenimiento– relojes, pulseras, gafas, kinect…
• Estilo de vida– ejercicio, alimentación, hábitos…)
• Salud – monitor de sueño, de glucemia,
ritmo cardiaco…
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 27
Preocupación por la Privacidad y la Seguridad
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 28http://www.avpd.eus
Privacidad e "Internet de las Cosas" 29
LOS PRINCIPIOS DE LA PRIVACIDAD / PROTECCIÓN DE DATOShttp://www.avpd.eus
http://www.avpd.eus Privacidad e "Internet de las Cosas" 30
Derechos Humanos de Cuarta Generación
1. Derechos Civiles y Políticos• Vida, Libertad, dignidad, …
2. Derechos socioeconómicos y culturales• Educación, Salud, Trabajo, prot. Social, …
3. Derechos de solidaridad• Medio ambiente, consumo, …
4. Ciberderechos
http://www.avpd.eus Privacidad e "Internet de las Cosas" 31
La Protección de Datos:un Derecho Fundamental
• Art. 18.4 de la Constitución (1978):– “La Ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio en su derecho”
• Art. 1 de la Ley Orgánica 15/1999:– “La presente Ley Orgánica tiene por objeto
garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 32
La Protección de Datos:un Derecho Fundamental Europeo• Carta de los Derechos Fundamentales de la
Unión Europea (2000)– Artículo 1: Dignidad humana– Artículo 2: Derecho a la vida– Artículo 3: Derecho a la integridad de la persona– Artículo 4: Prohibición de la tortura y de las penas o los tratos
inhumanos o degradantes– Artículo 5: Prohibición de la esclavitud y del trabajo forzado– Artículo 6: Derecho a la libertad y a la seguridad– Artículo 7: Respeto de la vida privada y familiar– Artículo 8: Protección de datos de carácter
personal
http://www.avpd.eus Privacidad e "Internet de las Cosas" 33
Framework de la Privacidad (Principios de la LOPD)
1. Calidad de los datos (minimización)2. Especial protección de algunos datos3. Información en la recogida4. Consentimiento del afectado5. Limitación de las cesiones de datos6. Deber de secreto7. Seguridad de los datos8. Cumplimiento derechos A-R-C-O-
http://www.avpd.eus Privacidad e "Internet de las Cosas" 34
Calidad de los datos• Los datos de carácter personal sólo se podrán
recoger o tratar, cuando sean adecuados, pertinentes, no excesivos y puestos al día en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
• Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.
http://www.avpd.eus Privacidad e "Internet de las Cosas" 35
Derecho de información• Nos deben informar de:
– la existencia de un fichero de tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
– si es obligatoria o facultativa la respuesta a las preguntas que nos sean planteadas.
– las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
– la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
– la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....
http://www.avpd.eus Privacidad e "Internet de las Cosas" 36
Consentimiento previo del afectado
• El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado
• El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
http://www.avpd.eus Privacidad e "Internet de las Cosas" 37
Habilitación para el tratamiento de datos
Tratamiento de datos
por
Consentimiento
por
HabilitaciónLegal
http://www.avpd.eus Privacidad e "Internet de las Cosas" 38
Condiciones para las cesiones• Los datos sólo podrán ser comunicados a un
tercero:– para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario
– con el previo consentimiento del interesado.• El consentimiento para la comunicación de
datos tiene carácter de revocable.– Será nulo el consentimiento, cuando la información
facilitada no permita conocer la finalidad o el tipo de actividad a que destinarán los datos cuya comunicación se autoriza.
Privacidad e "Internet de las Cosas" 39
IOT / PRIVACIDAD:TENSIÓN Y EQUILIBRIO
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 40
Preocupación por la Privacidad y la Seguridad
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 41
Contexto de las cesiones de Datos
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 42
Cesión de datos en un mundo “IoT”
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 43
Opinión 8/2014 del “Grupo del Artículo 29”
• Órgano consultivo independiente, creado por la Directiva 95/46/CE, integrado por:– las Autoridades de Protección de Datos de los Estados miembros, – el Supervisor Europeo de Protección de Datos
• Las funciones atribuidas por la Directiva incluyen:– estudiar las disposiciones nacionales que aplican la Directiva, – dictaminar sobre el nivel de protección existente en países terceros, – asesorar a la Comisión sobre cualquier proyecto de modificación de la
Directiva, y – formular recomendaciones sobre cualquier asunto relacionado con la
protección de datos.• http://ec.europa.eu/justice/data-protection/article-29/
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 44
También: “Working Paper del “Grupo de Berlín” (2015)
• Alcance:– “Wearable computing”– “Quantified Self”– Domótica
• No se ocupa específicamente de– B2B / M2M– “Smart cities” / Transporte inteligenteAunque recomienda aplicar los mismos principios
• http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protection-in-telecommunications-iwgdpt
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 45
Cautelas /Motivos de preocupación
• Falta de control por el usuario–Recolección inconsciente
• Difícil gestión del consentimiento–Abuso de consentimiento tácito
• Tratamiento excesivo de datos– recogidos + inferidos– finalidades adicionales
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 46
Cautelas /Motivos de preocupación
• Perfiles intrusivos–Patrones de comportamiento
• Dificultades para “ser anónimo”–Disponibilidad condicionada–Posibilidades de reidentificación
• Seguridad sacrificada a eficiencia– IoT, objetivo creciente de atacantes
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 47
Recomendaciones respecto de…
• Fabricantes de dispositivos• Desarrolladores de Apps de terceros• Propietarios y/o usuarios de dispositivos• Plataformas de recolección de datos• Plataformas Sociales
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 48
Recomendaciones generales …
1. Evaluar el Impacto sobre la Privacidad (PIAs)2. Minimización / agregación de datos3. Privacidad desde el diseño y por defecto (PbD)4. Capacitar al usuario para facilitar su
“autodeterminación informativa”5. Ofrecer información clara y comprensible sobre
la finalidad y la obtención del consentimiento6. Ser transparente a la hora de capturar datos,
especialmente respecto de los usuarios pasivos
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 49
Recomendaciones para Fabricantes de dispositivos
1. Informar clara y lealmente de los sensores existentes y los datos que recogen
2. Gestionar la retirada del consentimiento / oposición al tratamiento (“do not collect”)
3. Dificultar la trazabilidad pasiva (wifi, …)4. Procurar el uso de datos agregados en lugar
de los datos brutos
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 50
Recomendaciones para desarrolladores de Apps
1. Avisar / recordar frecuentemente cuando los sensores estén recopilando datos
2. Deben facilitar el acceso, rectificación y borrado de datos por el usuario
3. Deben aplicar el principio de minimización de datos y de PbD
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 51
Recomendaciones para Propietarios y/o usuarios
1. El consentimiento debe ser obtenido de forma libre e informada
– No ser penalizados en la calidad del servicio ni económicamente por no facilitar datos
2. El interesado cuyos datos son procesados en el curso de una relación contractual con el propietario de un dispositivo, debe poder administrarlo.
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 52
En resumen:1. Evaluar anticipadamente el impacto de
las soluciones IoT en la privacidad de las personas.
2. Incluir la gestión de la privacidad en el diseño de las soluciones IoT desde el primer momento
3. Respetar las expectativas de privacidad de los usuarios de soluciones IoT
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 53
1.- Evaluaciones de impacto sobre la Privacidad
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 54
Referencias• AEPD: Guía para una evaluación del Impacto en la
Protección de Datos Personales– http://
www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GuiaEIPDPBorrador.pdf
• CN-RFID: Évaluation de l’impact des applications RFID sur la vie privée– http://www.centrenational-rfid.com/docs/users/file/Livret%20201
3%20v5%20web(2).pdf
• INTECO: Guía sobre seguridad y privacidad de la tecnología RFID– http://www.inteco.es/guias_estudios/guias/guia_RFID
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 55http://www.avpd.eus
Reglamento Europeo de Protección de Datos
• Art. 33.- Evaluación de impacto relativa a los datos– Cuando sea necesario de conformidad con el
artículo 32 bis, apartado 3, letra c), el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en los derechos y las libertades de los interesados, en especial su derecho a la protección de datos personales. .
– (…)
Privacidad e "Internet de las Cosas" 56http://www.avpd.eus
Reglamento Europeo de Protección de Datos
• Art. 33.- Evaluación de impacto relativa a los datos - Deberá incluir, como mínimo:
– a) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
– b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;– c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación
se integre en las operaciones o se refuerce con estas;– d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos
personales tratados;– e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales,
como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;
– f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;– g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se
han aplicado;– h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;– i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el
nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;
– j) una evaluación del contexto del tratamiento de datos.
Privacidad e "Internet de las Cosas" 57
2.- La privacidad, desde el diseño
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 58http://www.avpd.eus
Privacidad e "Internet de las Cosas" 59
7 Principios fundamentales de la Privacidad desde el Diseño
1. Diseño Proactivo, no Reactivo; • Preventivo, no Correctivo
2. Privacidad como configuración por defecto3. Privacidad incrustada en el diseño4. Funcionalidad total:
• “Suma-Positiva”, no “Suma-Zero”5. Seguridad en todo el ciclo de vida (“end-to-end”)6. Visibilidad y transparencia – “Keep it Open”7. Respeto a la privacidad personal (“User-centric”)
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 60http://www.avpd.eus
PbD en el “Reglamento Europeo de Protección de Datos”
• Art. 23.- Protección de datos desde el diseño y por defecto– (…) La protección de los datos desde el
diseño prestará especial atención a toda la gestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión, centrándose sistemáticamente en proporcionar amplias garantías procesales respecto de la exactitud, la confidencialidad, la integridad, la seguridad física y la supresión de los datos personales.
– (…)
Privacidad e "Internet de las Cosas" 61
3.- Respertar la “expectativa de privacidad”• Informar claramente de los fines y usos• No utilizar para fines no declarados• Obtener consentimiento de los afectados• Minimizar la información recolectada• No ceder datos a terceros• Garantizar la seguridad de los datos• Limitar el plazo de conservación
http://www.avpd.eus
Privacidad e "Internet de las Cosas" 62http://www.avpd.eus
http://www.flickr.com/photos/rosino/3658259716/
Presentación disponible en:http://www.slideshare.net/paGonzalez