Smart Cities: videovigilancia, Internet de las Cosas y big data
Discurso de Introducción de la jornada Diálogos TIC-APEP 15 de enero de 2015
Mª Àngels Barbarà Fondevila, directora de la Autoridad Catalana de Protección de Datos
Generar “diálogo” entre profesionales expertos en los puntos objeto de debate (Smart Cities: videovigilancia, Internet de las Cosas y big data) es una herramienta perfecta para encontrar soluciones creativas a los problemas de privacidad que se generan de forma continuada
Sin duda, si hablamos de privacidad es imprescindible hacerlo desde una perspectiva integral e integradora. Por ello, hay que reflexionar desde una doble perspectiva jurídica y tecnológica, e incorporar la perspectiva organizativa, para lograr elementos que permitan una gestión sólida de la información.
Sólo así podemos entender el alcance y el impacto que las tecnologías tienen en nuestro día a día y, por tanto, en nuestros derechos. Desde una perspectiva integradora podremos encontrar herramientas útiles para garantizar los derechos de las personas, a la vez que explotamos al máximo las posibilidades que nos ofrecen las tecnologías.
Hablar de Smart Cities, videovigilancia, Internet de las Cosas y big data exige hacerlo no perdiendo de vista que están íntimamente relacionadas entre sí. Hay un aspecto común a todas ellas: el tratamiento de datos es la base, la energía -el petróleo-, que utilizan estas tecnologías para crear valor y generar y distribuir productos y servicios cada vez más personalizados.
La Autoridad Catalana de Protección de Datos ha abierto un debate en el ámbito de las ciudades inteligentes, dadas las implicaciones que su desarrollo tiene para el tratamiento de la información de carácter personal de las personas.
En nuestra página web se puede encontrar un primer Documento para el Debate[1], junto con otros materiales y referencias bibliográficas sobre el tema. Esta vía está permanentemente abierta para compartir experiencias, plantear dudas, hacer aportaciones y explorar otras vías de colaboración.
Las ciudades inteligentes son modelos de desarrollo urbano, enfocados a una mejora de las ciudades en muchos ámbitos para hacerlas más sostenibles. Así, entran en juego aspectos muy diversos, como el crecimiento y la gestión sostenible de las áreas urbanas, la prosperidad económica en términos “de economía inteligente, sostenible e integradora” [2], la utilización más eficiente de la energía y de otros recursos, la mejora de la educación, el transporte público, la salud o el medio ambiente. Y, además, lograr una mayor implicación de los ciudadanos en este desarrollo. Todo ello, mediante el uso de las TIC y una gestión clara de la información que se genera.
Así, el término smart city va necesariamente ligado a términos como big data e Internet de las Cosas, ya que es imprescindible recoger información y gestionarla para alcanzar estos objetivos. Y esto, en muchos casos, exige la recogida y el tratamiento de datos personales.
El Internet de las Cosas supone la interconexión en red de objetos, que cada vez son más de uso cotidiano. Sin ir más lejos, la semana pasada tuvo lugar en Las Vegas la feria CES, centrada en el sector de la electrónica de consumo. En esta feria, se mostraron las principales propuestas tecnológicas para 2015 y uno de los productos estrella han sido los wearables. También cabe destacar, por ejemplo, que Samsung quiere que todos los dispositivos que fabrica (teléfonos, hornos o aspiradoras) estén conectados a Internet y sean “inteligentes” en 2020[3].
Así pues, vemos que estamos casi destinados a vivir en una ciudad inteligente utilizando herramientas y dispositivos inteligentes, desde que nos levantamos hasta que nos vamos a dormir (y, probablemente, también mientras dormimos).
Se hace, por tanto, imprescindible asegurar la privacidad de las personas y establecer medidas de seguridad adecuadas.
En el ámbito de las smart cities también hay que tener presentes otras tecnologías que, aunque no se tratarán hoy, tienen un impacto directo en la privacidad. Por ejemplo: NFC (comunicación de campo cercano), RFID (identificación por radiofrecuencia), geolocalización; también entrarán en juego conceptos como el open data, las apps o el profiling.
Todas estas tecnologías, que permitirán impulsar las smart cities y mejorar la calidad de vida de los ciudadanos, deben ser analizadas a la vista de los principios de protección de datos, como por ejemplo el principio de minimización. Y deben incorporar elementos de la privacidad en el diseño (pensemos, por ejemplo, en las evaluaciones de impacto sobre la privacidad -PIA-).
Otro de los ámbitos que se tratará hoy es el de la videovigilancia. Esta cuestión también se analiza en el documento elaborado por la Autoridad Catalana de Protección de Datos sobre las smart cities. En este sentido, se plantea la necesidad de valorar los riesgos que se pueden generar, a partir de la capacidad de correlacionar la información extraída de diferentes sensores (instalados para fines concretos en un entorno de smart cities), al obtener y tratar una información con fines distintos a los que justificaron la obtención y el tratamiento de los datos.
En un contexto de sensores instalados en las ciudades inteligentes, que recogen información de todo tipo y de manera “invisible” o imperceptible para las personas, en determinados casos se podría generar una potencial vigilancia continuada de los ciudadanos. Este “seguimiento” (o, de alguna manera, este perfil en el que el objeto es “lo que hace” el usuario) podría provocar que, en caso de necesidad, determinadas informaciones que a priori no identifican a ninguna persona concreta puedan pasar a ser datos personales, modificando la configuración de ciertos dispositivos (p. ej. cámaras cuya configuración inicial no permitía la identificación de personas, después de determinadas reconfiguraciones sí pudiesen permitirlo).
Tenemos el ejemplo de la utilización de smart cards para desplazarse por una ciudad con fines turísticos. En estos casos, podemos entender como legítima la recogida y el tratamiento de datos identificativos y bancarios (número de tarjeta a efectos de cobro). Ahora bien, ¿sería legítimo hacer un tratamiento de los lugares visitados por un turista, haciéndolo identificable, con fines de ofrecer determinados servicios sin una habilitación adecuada? Creemos que no, a menos que se pueda considerar este tratamiento como “indispensable” para el funcionamiento del sistema y como parte de la finalidad que habilita el tratamiento, esto es, la prestación de un determinado servicio.
En cuanto a Internet de las Cosas, que este año 2015 es uno de los temas estrella en el ámbito tecnológico, ya hemos visto que constituye uno de los ejes para la consolidación de las smart cities.
De hecho, ya en la 36ª Conferencia Internacional de Autoridades de Protección de Datos se aprobó una Declaración sobre el Internet de las Cosas, que subraya algunos aspectos a tener presentes en el momento de valorar cómo puede impactar en la privacidad:
- La posibilidad de que se revelen datos íntimos sobre comportamiento y acciones, sin que seamos conscientes de ello.
- Su proliferación puede incrementar el riesgo de que el desarrollo personal sea condicionado o determinado por lo que las grandes empresas o los gobiernos saben de nosotros.
- Su valor no se encuentra únicamente en los dispositivos (quizás éste sea el valor menos importante), sino en los nuevos servicios relacionados con el Internet de las Cosas y, muy especialmente, en los datos.
En relación con el valor de los datos, en la Opinión preliminar del Supervisor Europeo de Protección de Datos sobre privacidad y competitividad en la era del big data[4], se hace referencia a cuatro elementos en la cadena de valor de los datos personales. Así, tenemos: recogida y acceso, almacenamiento y agregación, análisis y distribución y, finalmente, el uso de los conjuntos de datos. A través de esta cadena de valor, múltiples personas, empresas, administraciones y otros podrán utilizar esta información. Se generan nuevos modelos de negocio basados en los nuevos usos de los datos. Datos que no agotan su valor en el primer uso.
Volviendo a la Declaración sobre el Internet de las Cosas, se recuerda que, en un mundo interconectado, la transparencia debe ser un elemento clave: qué información se recoge, con qué finalidad y cuánto tiempo se conservará (hay que eliminar sorpresas).
Otro aspecto fundamental a tener en cuenta cuando analizamos el Internet de las Cosas es el de la seguridad. En un reciente artículo[5] sobre tendencias en ciberseguridad para 2015, se indicaba que con la incorporación del Internet de las Cosas a nuestras casas podrían aumentar los ciberataques a los hogares y la necesidad de incorporar los controles de seguridad desde el origen, en la arquitectura de los dispositivos inteligentes, para minimizar los riesgos derivados de las fugas / los robos de datos.
También en el marco del CES, la presidenta de la Federal Trade Comission[6] ha recordado la importancia de analizar y valorar el Internet de las Cosas a la luz de la privacidad en el diseño, así como la necesidad de que las entidades sean más transparentes. Se prevé que en 2015 haya en el mundo 25 billones de dispositivos conectados y que las casas con dispositivos inteligentes estén alrededor de los 25 millones. Destaca, en este marco, que el Internet de las Cosas plantea tres importantes retos: la ubiquidad de la recogida de datos, el potencial de los usos secundarios y mayores riesgos de seguridad.
Aspectos que pueden hacer tambalear la confianza de los usuarios y, por tanto, limitar las posibilidades de las tecnologías. En este sentido, desde la Federal Trade Comission, las claves que se plantean para afrontar con éxito estos retos pasan por aspectos que hace tiempo que se trabajan en Europa:
- Adopción de la seguridad por diseño
- Uso del principio de minimización
- Aumento de la transparencia e información a los usuarios sobre usos secundarios
Finalmente, quisiera hacer referencia al big data no en el sentido de grandes bases de datos, sino como tecnologías que facilitan nuevas formas de entender estos datos. Hace un año, ya me refería a cómo la tecnología está convirtiendo a las personas en una fuente inagotable de información para terceros y la necesidad replantearse qué hacer para garantizar que la privacidad sea parte indisoluble de esta tecnología.
El big data permite el tratamiento masivo de información personal con objetivos no previstos en el momento de la recogida de los datos y, por tanto, desconocidos para los titulares de la información. Uno de los temas que se está debatiendo a nivel internacional es si este nuevo fenómeno modificará las relaciones de poder entre gobierno, empresas y ciudadanos.
Uno de los puntos conflictivos o de riesgo en el ámbito del big data es el de la discriminación. En un informe de la EPIC[7] de abril de 2014 ya se decía que los análisis predictivos, hechos tanto por el sector público como por el sector privado, podrían servir para tomar decisiones que afecten de forma directa a las personas, por ejemplo en relación con obtener un trabajo, dar un crédito o coger un avión. Diferentes autores se plantean que podría llegar a ser un sistema de discriminación automatizada que, además, en la mayoría de las situaciones sería invisible para las personas[8].
La preocupación generada a nivel global por el impacto que el big data puede tener en la privacidad se ha manifestado mediante la elaboración de informes, como por ejemplo el informe Podesta[9] o el Informe PCAST[10] (elaborados a petición del presidente Obama), que han identificado una serie de ámbitos de reflexión y de estudio. Se parte de la base de que en un mundo interconectado, donde el big data toma el relevo como herramienta de tratamiento de datos personales que permite convertirlos en un activo, en un recurso que no pierde valor en cada uso, la privacidad debe ser un valor inherente a cualquier actuación para garantizar los principios democráticos.
También el Grupo del Artículo 29 ha elaborado un documento para realizar una primera aproximación al impacto del big data en los derechos de los individuos[11].
Uno de los principales retos que nos encontramos es la dificultad de aplicar los principios tradicionales inherentes a la protección de datos personales al contexto de las potencialidades del big data. Principios como el de finalidad, minimización de datos, consentimiento e información, pilares en la regulación de la privacidad y aceptados universalmente como elementos imprescindibles de ella, tienen importantes dificultades de aplicación en el big data tal como se está planteando. Por tanto, hay que valorar otras formas de realizar los análisis big data sin que entren en conflicto con estos principios de forma tan directa. Sin embargo, en Europa, los principios que les he indicado son esenciales para la garantía del derecho a la protección de datos (también denominado derecho a la autodeterminación informativa) tal como lo entendemos. Y no podemos olvidar que, por muy “atractivas” que sean las aportaciones de las tecnologías actuales, deben ser interpretadas conforme a esos principios que defienden un derecho fundamental básico en nuestro sistema democrático.
Finalmente, quiero hacer mención de las cinco áreas que se identifican en el informe Podesta como ámbitos sobre los que reflexionar y debatir, para maximizar los beneficios y minimizar los perjuicios para las personas en la era del big data:
- Preservar los valores inherentes a la privacidad
- Promover una educación responsable
- Prevenir nuevas formas de discriminación
- Garantizar un uso responsable de las tecnologías big data
- Y partir de la premisa de que los datos son un recurso público
Estos sólo serían algunos de los elementos relacionados con las tecnologías de nueva generación y que hay que analizar de forma rigurosa, pero sin perder de vista la realidad que nos rodea.
_______________________________________________________________________________
[2] Europa 2020. Una estrategia para un crecimiento inteligente, sostenible e integrador. Comunicación de la Comisión Europea. Bruselas, 3 de marzo de 2010, COM (2010)2020.
[4] Preliminary Opinion of the European Data Protection Supervisor Privacy and competitiveness in the age of big data. www.europa.eu.
[5] Tendencias de ciberseguridad en 2015. www.ticbeat.com.
[6] Opening Remarks of FTC Chairwoman Edith Ramirez. Privacy and the IoT: Navigating Policy Issues. International Consumer Electronics Show. Las Vegas, Nevada, 6 de enero de 2015. www.ftc.gov.
[7] Comments of the Electronic Privacy Information Center to the Office of Science and Technology Policy Request for Information: Big Data and the Future of Privacy, 4 de abril de 2014. www.epic.org.
[8] The 5 worst Big Data Privacy risks (and how to guard against them). www.csoonline.com.
[9] Big data: seizing opportunities, preserving vàlues. www.whitehouse.gov.
[10] Report to the President. Big data and privacy: a technological perspective. www.whitehouse.gov.
[11] Statement on Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU. www.europa.eu