Privacidad en la Internet de las Cosas - Presentación
1. • Pedro Alberto González
http://www.avpd.es
Privacidad en la
“Internet de las cosas”
2. Átomos y Bits
http://www.avpd.eus Privacidad e "Internet de las Cosas" 2
1995 – Nicholas Negroponte
“Mover BITS, no átomos”
“Usar ONDAS, no Cables”
MIT: Media Lab // “Wired”
1999 – Neil Gershenfelf
“Unir lo físico y lo digital”
“Vincular los objetos desde la Red”
MIT: Center for Bits and Atoms
3. Guión de la sesión
1. “La internet de las cosas”
2. Los principios de la privacidad
3. Tensión y equilibrio
4. Conclusiones
http://www.avpd.eus Privacidad e "Internet de las Cosas" 3
4. El origen del término “IoT”
(Internet Of Things)
• Aparece en 1999, en un PPT de P&G
– Autor: Kevin Ashton
– Posteriormente en el Auto-ID Center del M.I.T.
– http://www.howtoFLYaHORSE.com/about-the-author/
http://www.avpd.eus Privacidad e "Internet de las Cosas" 4
6. Gartner 2014:
“Curva de expectativas”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 6
7. Definición de IoT (GT-29)
• “…infraestructura en la que miles de millones
de sensores embebidos en dispositivos
comunes y cotidianos, - "objetos" en sí mismos,
u objetos vinculados a otros objetos o
individuos - están diseñados para registrar,
procesar, almacenar y transferir datos e
interactuar con otros dispositivos o sistemas
que utilizan las capacidades de red, a través de
identificadores únicos.”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 7
8. Lo que es la
“Internet de las Cosas”
“Aparatos”…
… Identificables…
… Intercomunicados
http://www.avpd.eus Privacidad e "Internet de las Cosas" 8
16. “La Internet de los Barcos”
http://www.marinetraffic.com/
http://www.avpd.eus Privacidad e "Internet de las Cosas" 16
17. “La Internet de los aviones”
http://www.flightradar24.com/
http://www.avpd.eus Privacidad e "Internet de las Cosas" 17
18. “El Buscador de las Cosas”
https://thingful.net
http://www.avpd.eus Privacidad e "Internet de las Cosas" 18
19. Otro buscador de “cosas”:
https://www.shodan.io/
http://www.avpd.eus Privacidad e "Internet de las Cosas" 19
(…PortCalypso…) (…taller…) (…oficina…)
20. Ámbitos de
aplicación de la “IoT”
• Industria
• “Smart cities”
• Domótica
• Vehículos
• “Wearables”
– “El YO cuantificado”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 20
23. El móvil,
“Mando a Distancia Universal”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 23
24. El Móvil:
“El Sensor definitivo”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 24
25. … y “gateway” para infinidad de
sensores externos
http://www.avpd.eus Privacidad e "Internet de las Cosas" 25
26. “Quantified Self” &
“Wearable devices”
• Info-entretenimiento
– relojes, pulseras, gafas, kinect…
• Estilo de vida
– ejercicio, alimentación, hábitos…)
• Salud
– monitor de sueño, de glucemia,
ritmo cardiaco…
http://www.avpd.eus Privacidad e "Internet de las Cosas" 26
27. Preocupación por la Privacidad y la
Seguridad
http://www.avpd.eus Privacidad e "Internet de las Cosas" 27
29. LOS PRINCIPIOS DE LA
PRIVACIDAD / PROTECCIÓN
DE DATOS
http://www.avpd.eus Privacidad e "Internet de las Cosas" 29
30. http://www.avpd.eus Privacidad e "Internet de las Cosas" 30
Derechos Humanos de
Cuarta Generación
1. Derechos Civiles y Políticos
• Vida, Libertad, dignidad, …
2. Derechos socioeconómicos y culturales
• Educación, Salud, Trabajo, prot. Social, …
3. Derechos de solidaridad
• Medio ambiente, consumo, …
4. Ciberderechos
31. http://www.avpd.eus Privacidad e "Internet de las Cosas" 31
La Protección de Datos:
un Derecho Fundamental
• Art. 18.4 de la Constitución (1978):
– “La Ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y familiar
de los ciudadanos y el pleno ejercicio en su derecho”
• Art. 1 de la Ley Orgánica 15/1999:
– “La presente Ley Orgánica tiene por objeto
garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e
intimidad personal y familiar”
32. http://www.avpd.eus Privacidad e "Internet de las Cosas" 32
La Protección de Datos:
un Derecho Fundamental Europeo
• Carta de los Derechos Fundamentales de la
Unión Europea (2000)
– Artículo 1: Dignidad humana
– Artículo 2: Derecho a la vida
– Artículo 3: Derecho a la integridad de la persona
– Artículo 4: Prohibición de la tortura y de las penas o los tratos
inhumanos o degradantes
– Artículo 5: Prohibición de la esclavitud y del trabajo forzado
– Artículo 6: Derecho a la libertad y a la seguridad
– Artículo 7: Respeto de la vida privada y familiar
– Artículo 8: Protección de datos de carácter
personal
33. http://www.avpd.eus Privacidad e "Internet de las Cosas" 33
Framework de la Privacidad
(Principios de la LOPD)
1. Calidad de los datos (minimización)
2. Especial protección de algunos datos
3. Información en la recogida
4. Consentimiento del afectado
5. Limitación de las cesiones de datos
6. Deber de secreto
7. Seguridad de los datos
8. Cumplimiento derechos A-R-C-O-
34. http://www.avpd.eus Privacidad e "Internet de las Cosas" 34
Calidad de los datos
• Los datos de carácter personal sólo se podrán
recoger o tratar, cuando sean adecuados,
pertinentes, no excesivos y puestos al día
en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las
que se hayan obtenido.
• Los datos de carácter personal objeto de
tratamiento no podrán usarse para finalidades
incompatibles con aquellas para las que los
datos hubieran sido recogidos.
35. http://www.avpd.eus Privacidad e "Internet de las Cosas" 35
Derecho de información
• Nos deben informar de:
– la existencia de un fichero de tratamiento de datos
de carácter personal, de la finalidad de la recogida
de éstos y de los destinatarios de la información.
– si es obligatoria o facultativa la respuesta a las
preguntas que nos sean planteadas.
– las consecuencias de la obtención de los datos o de
la negativa a suministrarlos.
– la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición.
– la identidad y dirección del responsable del
tratamiento o, en su caso, de su representante....
36. http://www.avpd.eus Privacidad e "Internet de las Cosas" 36
Consentimiento previo
del afectado
• El tratamiento de los datos de
carácter personal requerirá el
consentimiento inequívoco del
afectado
• El consentimiento podrá ser
revocado cuando exista causa
justificada para ello y no se le
atribuyan efectos retroactivos.
37. http://www.avpd.eus Privacidad e "Internet de las Cosas" 37
Habilitación para el tratamiento de datos
Tratamiento de datos
por
Consentimiento
por
Habilitación
Legal
38. http://www.avpd.eus Privacidad e "Internet de las Cosas" 38
Condiciones para las cesiones
• Los datos sólo podrán ser comunicados a un
tercero:
– para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente
y del cesionario
– con el previo consentimiento del interesado.
• El consentimiento para la comunicación de
datos tiene carácter de revocable.
– Será nulo el consentimiento, cuando la información
facilitada no permita conocer la finalidad o el tipo de
actividad a que destinarán los datos cuya
comunicación se autoriza.
42. Cesión de datos
en un mundo “IoT”
http://www.avpd.eus Privacidad e "Internet de las Cosas" 42
43. Opinión 8/2014 del
“Grupo del Artículo 29”
• Órgano consultivo independiente, creado por la
Directiva 95/46/CE, integrado por:
– las Autoridades de Protección de Datos de los Estados miembros,
– el Supervisor Europeo de Protección de Datos
• Las funciones atribuidas por la Directiva incluyen:
– estudiar las disposiciones nacionales que aplican la Directiva,
– dictaminar sobre el nivel de protección existente en países terceros,
– asesorar a la Comisión sobre cualquier proyecto de modificación de la
Directiva, y
– formular recomendaciones sobre cualquier asunto relacionado con la
protección de datos.
• http://ec.europa.eu/justice/data-protection/article-29/
http://www.avpd.eus Privacidad e "Internet de las Cosas" 43
44. También: “Working Paper del
“Grupo de Berlín” (2015)
• Alcance:
– “Wearable computing”
– “Quantified Self”
– Domótica
• No se ocupa específicamente de
– B2B / M2M
– “Smart cities” / Transporte inteligente
Aunque recomienda aplicar los mismos principios
• http://www.datenschutz-berlin.de/content/europa-international/international-
working-group-on-data-protection-in-telecommunications-iwgdpt
http://www.avpd.eus Privacidad e "Internet de las Cosas" 44
45. Cautelas /
Motivos de preocupación
• Falta de control por el usuario
–Recolección inconsciente
• Difícil gestión del consentimiento
–Abuso de consentimiento tácito
• Tratamiento excesivo de datos
–recogidos + inferidos
–finalidades adicionales
http://www.avpd.eus Privacidad e "Internet de las Cosas" 45
46. Cautelas /
Motivos de preocupación
• Perfiles intrusivos
–Patrones de comportamiento
• Dificultades para “ser anónimo”
–Disponibilidad condicionada
–Posibilidades de reidentificación
• Seguridad sacrificada a eficiencia
– IoT, objetivo creciente de atacantes
http://www.avpd.eus Privacidad e "Internet de las Cosas" 46
47. Recomendaciones
respecto de…
• Fabricantes de dispositivos
• Desarrolladores de Apps de terceros
• Propietarios y/o usuarios de dispositivos
• Plataformas de recolección de datos
• Plataformas Sociales
http://www.avpd.eus Privacidad e "Internet de las Cosas" 47
48. Recomendaciones
generales …
1. Evaluar el Impacto sobre la Privacidad (PIAs)
2. Minimización / agregación de datos
3. Privacidad desde el diseño y por defecto (PbD)
4. Capacitar al usuario para facilitar su
“autodeterminación informativa”
5. Ofrecer información clara y comprensible sobre
la finalidad y la obtención del consentimiento
6. Ser transparente a la hora de capturar datos,
especialmente respecto de los usuarios pasivos
http://www.avpd.eus Privacidad e "Internet de las Cosas" 48
49. Recomendaciones para Fabricantes
de dispositivos
1. Informar clara y lealmente de los sensores
existentes y los datos que recogen
2. Gestionar la retirada del consentimiento /
oposición al tratamiento (“do not collect”)
3. Dificultar la trazabilidad pasiva (wifi, …)
4. Procurar el uso de datos agregados en lugar
de los datos brutos
http://www.avpd.eus Privacidad e "Internet de las Cosas" 49
50. Recomendaciones para
desarrolladores de Apps
1. Avisar / recordar frecuentemente cuando
los sensores estén recopilando datos
2. Deben facilitar el acceso, rectificación y
borrado de datos por el usuario
3. Deben aplicar el principio de
minimización de datos y de PbD
http://www.avpd.eus Privacidad e "Internet de las Cosas" 50
51. Recomendaciones para Propietarios
y/o usuarios
1. El consentimiento debe ser obtenido de forma
libre e informada
– No ser penalizados en la calidad del servicio ni
económicamente por no facilitar datos
2. El interesado cuyos datos son procesados en
el curso de una relación contractual con el
propietario de un dispositivo, debe poder
administrarlo.
http://www.avpd.eus Privacidad e "Internet de las Cosas" 51
52. En resumen:
1. Evaluar anticipadamente el impacto de
las soluciones IoT en la privacidad de
las personas.
2. Incluir la gestión de la privacidad en el
diseño de las soluciones IoT desde el
primer momento
3. Respetar las expectativas de privacidad
de los usuarios de soluciones IoT
http://www.avpd.eus Privacidad e "Internet de las Cosas" 52
53. 1.- Evaluaciones de impacto sobre la
Privacidad
http://www.avpd.eus Privacidad e "Internet de las Cosas" 53
54. Referencias
• AEPD: Guía para una evaluación del Impacto en la
Protección de Datos Personales
– http://www.agpd.es/portalwebAGPD/canaldocumentacion/public
aciones/common/Guias/GuiaEIPDPBorrador.pdf
• CN-RFID: Évaluation de l’impact des applications RFID
sur la vie privée
– http://www.centrenational-
rfid.com/docs/users/file/Livret%202013%20v5%20web(2).pdf
• INTECO: Guía sobre seguridad y privacidad de la
tecnología RFID
– http://www.inteco.es/guias_estudios/guias/guia_RFID
http://www.avpd.eus Privacidad e "Internet de las Cosas" 54
55. http://www.avpd.eus Privacidad e "Internet de las Cosas" 55
Reglamento Europeo de Protección de
Datos
• Art. 33.- Evaluación de impacto relativa a los
datos
– Cuando sea necesario de conformidad con el
artículo 32 bis, apartado 3, letra c), el
responsable o el encargado del tratamiento que
actúe por cuenta del responsable llevarán a cabo
una evaluación del impacto de las operaciones
de tratamiento previstas en los derechos y las
libertades de los interesados, en especial su
derecho a la protección de datos personales. .
– (…)
56. http://www.avpd.eus Privacidad e "Internet de las Cosas" 56
Reglamento Europeo de Protección de
Datos
• Art. 33.- Evaluación de impacto relativa a los
datos - Deberá incluir, como mínimo:
– a) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el
interés legítimo perseguido por el responsable del tratamiento;
– b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
– c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación
se integre en las operaciones o se refuerce con estas;
– d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos
personales tratados;
– e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales,
como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses
legítimos de los interesados y de otras personas afectadas;
– f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;
– g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se
han aplicado;
– h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;
– i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el
nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el
artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;
– j) una evaluación del contexto del tratamiento de datos.
59. 7 Principios fundamentales de la
Privacidad desde el Diseño
1. Diseño Proactivo, no Reactivo;
• Preventivo, no Correctivo
2. Privacidad como configuración por defecto
3. Privacidad incrustada en el diseño
4. Funcionalidad total:
• “Suma-Positiva”, no “Suma-Zero”
5. Seguridad en todo el ciclo de vida (“end-to-end”)
6. Visibilidad y transparencia – “Keep it Open”
7. Respeto a la privacidad personal (“User-centric”)
http://www.avpd.eus Privacidad e "Internet de las Cosas" 59
60. http://www.avpd.eus Privacidad e "Internet de las Cosas" 60
PbD en el “Reglamento Europeo de
Protección de Datos”
• Art. 23.- Protección de datos desde el diseño
y por defecto
– (…) La protección de los datos desde el
diseño prestará especial atención a toda la
gestión del ciclo de vida de los datos
personales desde su recogida hasta su
tratamiento y supresión, centrándose
sistemáticamente en proporcionar amplias
garantías procesales respecto de la exactitud,
la confidencialidad, la integridad, la seguridad
física y la supresión de los datos personales.
– (…)
61. 3.- Respertar la
“expectativa de privacidad”
• Informar claramente de los fines y usos
• No utilizar para fines no declarados
• Obtener consentimiento de los afectados
• Minimizar la información recolectada
• No ceder datos a terceros
• Garantizar la seguridad de los datos
• Limitar el plazo de conservación
http://www.avpd.eus Privacidad e "Internet de las Cosas" 61
62. http://www.avpd.eus Privacidad e "Internet de las Cosas" 62
http://www.flickr.com/photos/rosino/3658259716/
Presentación disponible en:
http://www.slideshare.net/paGonzalez
Notas del editor
www.avpd.es
www.avpd.es
www.avpd.es
www.avpd.es
3. La evaluación deberá tener en cuenta la gestión de los datos personales durante todo el ciclo de vida, desde la recogida y el tratamiento hasta la supresión. Deberá incluir, como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación se integre en las operaciones o se refuerce con estas;
d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos personales tratados;
e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales, como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;
f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;
g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se han aplicado;
h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;
i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;
j) una evaluación del contexto del tratamiento de datos.