Artículo publicado inicialmente en la web de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, en la Sección «Los expertos opinan»
La falta de virtualidad de las políticas de protección de datos y de las cláusulas de información previas al consentimiento, unido a los problemas técnicos de recogida del consentimiento en los objetos conectados, parece recomendable la adopción de medidas tendentes a obligar a que los dispositivos IoT sean Privacy conformance desde su diseño y por defecto que se basen en Privacy-enhancing technologies (PET).
Este es el camino que transita el Reglamento de ePrivacy (Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE), que establece limitaciones del uso de los datos y metadatos recabados a los meramente necesarios para la prestación del servicio, habiendo de optar por la anonimización siempre que el servicio lo permita. Los datos y metadatos que no entren en esta excepción han de ser suprimidos, a no ser que sean necesarios para la facturación, o se cuente con el consentimiento del usuario para su tratamiento, en cuyo caso habrá que aplicarles las medidas técnicas y organizativas apropiadas a su riesgo de conformidad con el RGPD.
Dicho reglamento, pertenece al paquete “telecom” y es el documento que regula las medidas que en materia de privacidad van a tener que adoptar las ITTs, pero no únicamente ellos. La legislación en materia de telecomunicaciones ha ido evolucionando desde las normas sobre telefonía fija, transporte de datos y acceso a internet, a la más amplia definición de comunicaciones electrónicas, que se ha visto superada por la aparición de la panconectividad de la que es el más claro exponente la IoT. Así, mientras el RGPD sería aplicable a los OTTs, esta norma está pensada para ser aplicada, entre otras, al mundo de las cosas interconectadas y, curiosamente, al de la publicidad en tanto traquean a los usuarios con la finalidad de tratar la información que de su comportamiento obtienen.
Así pues, el Reglamento se aplica al tratamiento de datos de comunicaciones electrónicas llevado a cabo en relación con la prestación y utilización de servicios de comunicaciones electrónicas, así como a la información relacionada con los equipos terminales de los usuarios finales.
El Reglamento ePrivacy dedica un artículo específico, el 8, a la protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos, que resulta de plena aplicación a la IoT. Así, el uso de las capacidades de tratamiento y almacenamiento de los equipos terminales y la recopilación de información del equipo terminal de los usuarios finales, incluida la relativa a su soporte físico y lógico, excepto por parte del usuario final, estarán prohibidos, salvo:
- Cuando sean necesarios con el fin exclusivo de efectuar la transmisión de una comunicación electrónica a través de una red de comunicaciones electrónicas, o
- Cuando el usuario final haya dado su consentimiento, o
- Cuando sean necesarios para la prestación de un servicio de la sociedad de la información solicitado por el usuario final, o
- Cuando sean necesarios para medir la audiencia en la web, siempre que esa medición corra a cargo del proveedor del servicio de la sociedad de la información solicitado por el usuario final.
Como se ve, este artículo es heredero de aquél en el que se basó toda la obligación de información en materia de cookies, pero ampliándolo y extendiéndolo a un mundo de dispositivos contactados y de máxima movilidad.
El Reglamento de ePrivacy, además, prohíbe la recopilación de la información emitida por un equipo terminal para poder conectarse a otro dispositivo o a un equipo de red, excepto en los siguientes casos:
·Cuando se lleve a cabo con el fin exclusivo de establecer una conexión y solamente durante el tiempo necesario para ello, o
·Cuando se muestre una advertencia clara y destacada que informe, como mínimo, de las modalidades de recopilación, su finalidad, las personas responsables de ella y la información restante requerida de conformidad con el artículo 13 del Reglamento (UE) 2016/679 en caso de que se recojan datos personales, así como de cualquier medida que pueda adoptar el usuario final del equipo terminal para interrumpir o reducir al mínimo la recopilación.
La recopilación de esta información en los casos exceptuado queda supeditada a la aplicación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos, según lo establecido en el RGPD.
La advertencia antes referida podrá proporcionarse en combinación con el uso de iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto, quedando encargada la Comisión para determinar la información que se ha de presentar mediante iconos normalizados y los procedimientos para suministrar dichos iconos.
Uno de los problemas incontestables que ya hemos señalado es el de la recogida del consentimiento informado en el mundo IoT en el que las posibilidades de entregar la información al usuario con carácter previo se encuentran, a menudo, limitadas. Teniendo esto en mente, el artículo 9 del Reglamento de ePrivacy establece que cuando sea técnicamente posible y factible, el consentimiento podrá expresarse mediante la configuración técnica adecuada de una aplicación informática que permita acceder a Internet. Los usuarios finales que hayan dado su consentimiento para el tratamiento de datos de comunicaciones electrónicas dispondrán de la posibilidad de retirar su consentimiento en cualquier momento, según lo dispuesto en el artículo 7, apartado 3, del Reglamento (UE) 2016/679, y se les recordará esta posibilidad a intervalos regulares de seis meses mientras continúe el tratamiento.
Los programas informáticos comercializados que permiten comunicaciones electrónicas, incluyendo la recuperación y presentación de información de Internet, ofrecerán la posibilidad de impedir a terceros almacenar información sobre el equipo terminal de un usuario final o el tratamiento de información ya almacenada en ese equipo. Al iniciarse la instalación, los programas deberán informar a los usuarios finales acerca de las opciones de configuración de confidencialidad y, para que pueda proseguir la instalación, solicitar el consentimiento del usuario final respecto de una configuración determinada.
Pensando en una próxima aprobación, el Reglamento establece que los programas que ya se hayan instalado a fecha 25 de mayo de 2018 deberán cumplir los requisitos de consentimiento en el momento de la primera actualización de los programas, que habría de producirse, en todo caso, antes del 25 de agosto de 2018.