IoT y privacidad, ¿estamos preparados?

El riesgo para la seguridad de la conectividad masiva

¿Cuánto distan los servicios IoT de ser una realidad? Tenemos la conectividad, las técnicas, la capacidad de almacenamiento y análisis, los dispositivos, la velocidad de respuesta, ¿qué falta? IoT es una tecnología con fuerza disruptiva que aporta tanto progreso como riesgo si no se aborda con la correspondiente precaución.

En cualquier proceso que funcione mediante este sistema está implícito el tratamiento de grandes volúmenes de datos que, al ser compartidos y enviados de manera masiva entre un elevado número de dispositivos y redes, pueden verse fácilmente comprometidos si no se incorporan las técnicas adecuadas de supervisión y control con una mínima base de estandarización.

A estos efectos y a fin de abordar los riesgos de ciberseguridad derivados del uso de IoT, desde la Unión Europea se han promovido diferentes iniciativas como la creación de la Alianza para la Innovación en el Internet de las cosas (AIOTI) o la Estrategia para el Mercado Único Digital.

Con motivo de la publicación del Informe sobre IoT en industria y manufactura por parte de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), en Aphaia hemos destacado los riesgos principales que pueden afectar a la privacidad de los datos a través de procesos IoT, a fin de desarrollar en nuestro siguiente post las medidas de seguridad que podrían aplicarse y su relación con el RGPD.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Ámbito territorial del RGPD

El Comité Europeo de Protección de Datos publica un informe sobre la aplicación territorial del RGPD.

El último informe publicado por el Comité Europeo de Protección de Datos (EDPB) clarifica los casos en los que un determinado tratamiento de datos se encuentra bajo el ámbito de aplicación del RGPD conforme al artículo 3. Con el RGPD, el criterio de “establecimiento” (1) alcanza un ámbito más amplio y se añade uno adicional: “targeting” u objetivo (2).

De esta forma, el RGPD se aplicará en las siguientes circunstancias:

  • -Tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la UE, con independencia del lugar de tratamiento.

El término de establecimiento abarca cualquier actividad real y efectiva respaldada por acuerdos permanentes, aunque sea mínima, incluidas aquellas desarrolladas de forma exclusiva mediante internet que cuentan con un único agente o empleado en la UE.

El concepto de “en el contexto de” hace referencia a aquellos casos en los que un establecimiento en la UE lleve a cabo actividades que estén unidas de manera intrínseca e indisoluble a las actividades del responsable o encargado fuera de la UE, también si se generan ingresos a través de las mismas e independientemente de que incluya o no tratamiento de datos personales.

EDPB destaca que el hecho de que un responsable no establecido en la UE contrate un encargado establecido en la UE no implica que el responsable esté bajo el contexto de un establecimiento en la UE y por tanto automáticamente bajo los requisitos del RGPD, pues el encargado únicamente provee un servicio, lo cual no califica como actividad inextricablemente unida.

  • -Tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios, independientemente de si media pago, o el control de su comportamiento.

Para este punto, el EDPB puntualiza que sólo se tendrá en cuenta la presencia de los sujetos en la UE, independientemente de su nacionalidad o situación legal, en el momento temporal exacto en el que la actividad correspondiente tenga lugar. EDPB enfatiza que este criterio no se aplicará si la oferta y el tratamiento se dirige a un único individuo.

Para determinar la oferta de bienes y servicios se valorará la intención real de dirigirse a usuarios de la UE, con elementos como referencias a Estados Miembros, uso de buscadores de la UE, campañas de marketing, direcciones o teléfonos específicos, dominios web, monedas aceptadas y opciones de idioma. El control de comportamiento será tanto por internet como por otros medios como dispositivos inteligentes.

  • -Además, también procederá la aplicación cuando se realice un tratamiento de datos personales por parte de un responsable que no esté establecido en la UE sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Una evaluación de impacto realizada a Microsoft revela riesgos para la privacidad

A través del producto Microsoft Office ProPlus para empresas, la compañía ha estado recopilando datos a gran escala sobre el comportamiento de los sujetos.

La gravedad de los hechos radica en el tipo de información que Microsoft está recogiendo, que se realiza además en flujo codificado, lo que agrava la completa falta de información sobre dicha práctica y priva a los usuarios de toda posibilidad de elección o configuración. Los datos afectados incluyen, entre otros, cualquier aspecto relativo al sistema de telemetría incorporado en el programa, como las teclas pulsadas y la frecuencia, además de información sobre los servicios conectados, como el de traducción.

La evaluación de impacto promovida por la autoridad de control de Holanda subraya, además de la falta de transparencia, la violación por parte de Microsoft de los principios del RGPD sobre limitación a la finalidad y licitud del tratamiento. Debe destacarse también el uso dado a dichos datos, pues gran parte de ellos son enviados a servidores de Estados Unidos sin contar con ninguna de las garantías exigidas en el RGPD para ello. En las políticas de privacidad disponibles de Microsoft existe además una confusión entre los términos y roles de Responsable-Encargado, y se establece un tiempo indefinido para el almacenamiento de datos de diagnóstico. Esta falta de cumplimiento es más remarcada por el hecho de que la misma autoridad de control ya apuntó a Microsoft el incorrecto tratamiento que estaba realizando con respecto de algunos datos personales en 2017.

Como respuesta, Microsoft afirma que ya está trabajando en mitigar los riegos y solucionar los elementos que han conducido a ello, como el desarrollo de políticas de información adecuadas y la implementación de una herramienta de visor de datos. Si bien, y hasta que tales alternativas se incorporen de manera efectiva, los riesgos persisten y deberán ser los propios usuarios los que apliquen medidas adicionales para proteger su privacidad.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Consecuencias Del RGPD Para La Inteligencia Artificial

Protección de datos en algoritmos

El desarrollo tecnológico está permitiendo la automatización de todos los procesos, como ya hizo Henry Ford en 1914; la diferencia es que ahora en lugar de coches tenemos decisiones sobre la privacidad. Desde la entrada en vigor del RGPD se ha consolidado un debate en torno al bloqueo que las restricciones legales pueden suponer para el estudio de datos y, en consecuencia, la viabilidad de cualquier proyecto basado en Big Data o machine learning.

Lanzamos esta entrada con motivo de la publicación del informe “Inteligencia Artificial y Privacidad” de la Agencia noruega de Protección de Datos -Datatilsynet-, a fin de esclarecer los principales aspectos que pueden afectar al tratamiento de grandes volúmenes de información y la toma automatizada de decisiones.

La inteligencia artificial y los elementos sobre los que se sostiene tales como algoritmos y machine/deep learning son objeto de regulación directa por el RGPD por tres motivos principales: el gran flujo de datos que implica, la necesidad de tener un conjunto de datos de entrenamiento como punto de partida y la capacidad de decisión automática sin intervención humana. Estos tres conceptos se traducen en cuatro principios básicos sostenidos en el RGPD: riesgo de discriminación, limitación a la finalidad, minimización de datos y transparencia. A continuación se desarrollan de manera breve los conceptos de tal modo que el primer párrafo de cada uno de ellos plantea la problemática y, el segundo, como tratarla conforme al RGPD.

La premisa para poder entrar a valorar los siguientes matices es contar con una base legal para poder aplicar decisiones automatizadas (contrato o consentimiento explícito de los sujetos), sin lo cual el tratamiento mediante inteligencia artificial o machine learning por parte de una empresa inserto en su modelo de negocio no estaría permitido desde la perspectiva de protección de datos.

Riesgo de discriminación: Un resultado discriminatorio tras un tratamiento automatizado de datos puede derivar tanto del modo en que los datos de entrenamiento hayan sido clasificados (aprendizaje supervisado) como de las propias características del conjunto de datos en sí mismo (aprendizaje no supervisado). En el primero de los escenarios, el resultado que el algoritmo busca es equivalente al que se le ha introducido, con lo que, si en el origen y entrenamiento existía sesgo, se tenderá a reproducirlo con la consecuente intensificación del mismo. Para la segunda de las situaciones puede ocurrir que en un dataset con dos grupos uno de ellos tenga menor representación que el otro, lo que conducirá a la discriminación de los individuos que pertenezcan a éste si el algoritmo ha sido programado como adverso al riesgo.

Para cumplir con los requisitos del RGPD en este extremo bastaría en principio con la adopción de un procedimiento de testeo del algoritmo tanto previo a su puesta en funcionamiento como a través de revisiones regulares, para controlar así de manera parametrizada la distorsión en el entrenamiento y aprendizaje del modelo, corregir los factores que introducen inexactitudes en los datos personales y reducir al máximo el riesgo de error.

Limitación a la finalidad: Este punto es de especial relevancia para el uso de algoritmos, dado que en muchas ocasiones su creación se basa en algunas prácticas comerciales como lo son la reutilización de datos, tanto mediante su venta como dentro de una misma empresa. Los datos sólo pueden emplearse de acuerdo al propósito con el que originariamente se recogieron o de modo compatible con el mismo. Al margen de dichas circunstancias únicamente será admisible su uso en términos de investigación científica o histórica o con fines estadísticos o de archivo, y, si bien el desarrollo de un algoritmo podría considerarse investigación científica por su configuración, realmente no sería aplicable debido al aprendizaje por experiencia, lo que imposibilita la diferenciación entre “desarrollo” y “uso efectivo”.

Sería preciso a este respecto por tanto que los datos usados para el entrenamiento de algoritmos hubiesen sido recogidos originariamente con ese fin, o bien se cuente con el consentimiento de los interesados o, en su defecto, se trate de datos anonimizados.

Minimización de datos: La necesidad de recoger y mantener únicamente los datos que estrictamente sean necesarios y sin duplicaciones precisa de una planificación previa y estudio detallado antes del desarrollo del algoritmo, de tal manera que su finalidad y utilidad estén bien explicadas y definidas.

Si bien la eliminación de información no es factible en este tipo de aplicaciones debido al aprendizaje continuo, la privacidad por defecto y por diseño debe regir todo proceso de machine learning, de tal modo que se aplique encriptado o uso de datos anonimizados siempre que sea posible.

Transparencia, información y derecho de explicación: Todo tratamiento de datos personales debe estar sujeto a plena información previa a disposición de los individuos, además de una serie de garantías adicionales para la toma automatizada de decisiones y la elaboración de perfiles, como lo son el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista, a impugnar la decisión y recibir una explicación de la decisión tomada después de la evaluación.

El RGPD no especifica si la explicación ha de referirse a la lógica general sobre la que se construye el algoritmo o el recorrido lógico concreto que se ha seguido para alcanzar una decisión específica, pero sí configura un deber de accountabilityque requiere en estas circunstancias el estudio singular del caso y una respuesta proporcionada al mismo, con lo que podrán incluirse desde las características de los datos empleados como las variables, el proceso de extracción y transformación, el grado de incertidumbre o las fechas hasta las características de la inferencia o el propio modelo aplicado. Se recomienda la elaboración de una política específica para ello.

La valoración de todos estos principios y la decisión sobre la viabilidad de creación y aplicación de un algoritmo ha de efectuarse mediante una evaluación de impacto previa llevada a cabo por el DPO de tal manera que se analicen todos los posibles riesgos para los derechos y libertades de los sujetos y se ajuste en consecuencia el proyecto a los requisitos de privacidad.

 

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.