El funcionamiento de las Smart Cities implica el tratamiento de grandes volúmenes de datos y la existencia de una red de dispositivos interconectados que los transmiten, lo que crea grandes riesgos y retos para la privacidad.
Una definición sencilla de las Smart Cities sería describirlas como una ciudad, distrito o área que incorpora tecnología digital y realiza una recogida y tratamiento de datos que se aplicará a todas las funciones públicas con el fin de mejorar los servicios del Gobierno y la vida de sus ciudadanos.
Reflejamos en el siguiente cuadro las categorías de datos que pueden recoger las Smart Cities:
Infraestructura |
Datos de tráfico, tiempos de espera, gestión de multitudes, coches autónomos, parking |
Medio ambiente |
Clima y tiempo, contaminación, gestión de residuos |
Información civil de los ciudadanos |
Censo, elecciones, trabajo |
Educación y salud |
Notas de la escuela, absentismo, visitas al médico, enfermedades más comunes |
Entretenimiento y consumo |
Tiendas, teatros, cines (por popularidad y dinero desembolsado) |
Seguridad y vigilancia |
Videovigilancia, datos policiales |
Conforme a Cristina Contero, Socia de Aphaia, la recogida, uso e interconexión de todos estos datos es justo el motivo por el que las Smart Cities crean grandes riesgos y retos para la privacidad.
En la Octava Conferencia de Fibra Óptica en Redes de Acceso (FOAN2019) que tuvo lugar en Sarajevo esta semana, Cristina destacó dos problemas principales de privacidad:
Identificar la base legítima para el tratamiento
Aunque la mayor parte de la información recogida por las Smart Cities serán datos agregados, Cristina afirma que existe igualmente un riesgo -que es incluso mayor en las ciudades pequeñas- de que los interesados sean identificados, tanto por los grandes volúmenes de datos recogidos como por el cruce de fuentes.
“¿Cuántos ciudadanos de 28 años, con un coche rojo, que viven cerca de un determinado barrio, tienen dos niños pequeños y son diabéticos podemos encontrar en una ciudad con 200.000 habitantes? Quizá no tantos como podemos imaginar”.
En consecuencia, el cumplimiento con el RGPD cuando se construye una Smart City es esencial, en primer lugar en la búsqueda de una base legal para el tratamiento.
El RGPD prevé seis bases para el tratamiento:
(a) Consentimiento.
(b) Cumplimiento de un contrato.
(c) Obligación legal.
(d) Intereses vitales.
(e) Interés público.
(f) Interés legítimo.
Cristina afirma que la base legítima más apropiada en consideración de las características de las Smart Cities sería el interés público.
“El interés público se aplica cuando:
Cristina también explicó que para basarse en el interés público, el Gobierno previamente deberá:
Retos para la seguridad
Como algunas de las fuentes de riesgo en las Smart Cities encontramos: grandes cantidades de datos, muchos agentes implicados y recogida y envío de información en tiempo real.
A estos efectos resulta esencial contar con un presupuesto adecuado que garantice la construcción de una Smart City segura, pues “prescindir de medidas de seguridad por falta de recursos puede resultar mucho más costoso a largo plazo que proceder de manera óptima desde el principio, con lo que si no tienes el respaldo económico suficiente desde el primer momento, entonces no comiences un proyecto de Smart City”.
En relación al cumplimiento con el RGPD, los Gobiernos también tendrán que implementar medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad coherente con los riesgos.
Entre tanto, Cristina expuso como solución la adopción de un Sistema de seguridad que consta de tres capas de protección, que puede ayudar a la efectividad de las Smart Cities y a prevenir y minimizar las brechas de seguridad y sus consecuencias, como por ejemplo el hackeo.
“Algunos modelos de seguridad muy útiles incluyen una aproximación por capas, que consiste en un Sistema donde todos los dispositivos de una red inteligente cuentan con un identificador único y funcionan con tres capas de seguridad:
✓ aplicación de protección de datos para el servidor (para identificar contenido malicioso);
✓ capa de seguridad (como un cortafuegos para proteger los servidores); y
✓ software inteligente seguro para los dispositivos (para prevenir que software malicioso sea instalado en los dispositivos).” Explicó Cristina.