Presentación utilizada en el curso #uik2018, organizado por la @UPVeranoEHUdan y el @bilbao_udala, dedicado a "Bilbao, ciudad y futuro", con la cooperación de la @avpd_dbeb
6. Niveles de
Madurez de la “IoT”
http://www.avpd.eus Privacidad y "Smart Cities" 6
Contexto
Estado
Ubicación
Identidad
7. La fiebre del “Big Data”
http://www.avpd.eus Privacidad y "Smart Cities" 7
8. La gestión de las
“Ciuades Inteligentes”
http://www.avpd.eus Privacidad y "Smart Cities" 8
Datos Información Conocimiento Inteligencia Decisiones
9. CASOS DE USO EN LAS
“CIUDADES INTELIGENTES”
http://www.avpd.eus Privacidad y "Smart Cities" 9
10. Movilidad y Transporte
• Infraestructura viaria
– (semáforos, paneles informativos…dinámicos)
• Gestión de flotas (GPS)
– (buses, taxis, bicis… en tiempo real)
• Control de Accesos
– (zonas excluidas, restringidas, peaje…personalizados)
• Uso de transporte público
– (bono tarjeta personal “contactless”…) trazables
• Gestión/Uso de Estacionamiento
– (cuántas cuáles quiénes)
http://www.avpd.eus Privacidad y "Smart Cities" 10
11. Medio ambiente y energía
• Calidad del aire
– (umbrales de alarma restricciones de tráfico)
• Gestión y uso del agua
– (tasas consumos analítica)
• Gestión de residuos
– (recogida separación vigilancia/sanción)
• “Smart Grid” // “Smart Metering”
– (Contadores inteligentes)
http://www.avpd.eus Privacidad y "Smart Cities" 11
12. Servicios y Gobernanza
• Promoción de la “Ciudadanía Digital”
• Conectividad TIC (WiFi libre, …)
• Servicios gestionables desde APPs
– eAdmin,
– eTurismo,
– eComercio,
– eConsumo,
– eSalud,
http://www.avpd.eus Privacidad y "Smart Cities" 12
22. principios #RGPD
relativos al tratamiento
A. Licitud, lealtad y transparencia
B. Limitación de la finalidad
C. Pertinencia y Minimización de datos
D. Exactitud y vigencia
E. Limitación del plazo de conservación
F. Integridad y confidencialidad
Corolario: Responsabilidad proactiva
Art. 5 #RGPD
http://www.avpd.eus Privacidad y "Smart Cities" 22
23. …Licitud (o Legitimidad)…
• El tratamiento solo será lícito si se cumple
al menos una de las siguientes condiciones:
a) consentimiento
b) contrato
c) obligación legal;
d) intereses vitales;
e) interés público / ejercicio de poderes públicos
f) interés legítimo (excepto Autoridades Públicas)
http://www.avpd.eus Privacidad y "Smart Cities" 23
Art.6#RGPD
24. Cautelas /
Motivos de preocupación
• Falta de control por el usuario
–Recolección inconsciente
• Difícil gestión del consentimiento
–Abuso de consentimiento tácito
• Tratamiento excesivo de datos
–recogidos + inferidos
–finalidades adicionales
http://www.avpd.eus Privacidad y "Smart Cities" 24
25. Pérdida del control en un mundo
“hiperconectado”
http://www.avpd.eus Privacidad y "Smart Cities" 25
26. Cautelas /
Motivos de preocupación
• Perfiles intrusivos
–Patrones de comportamiento
• Dificultades para “ser anónimo”
–Disponibilidad condicionada
–Posibilidades de reidentificación
• Seguridad sacrificada a eficiencia
http://www.avpd.eus Privacidad y "Smart Cities" 26
29. En resumen:
1. Incluir la gestión de la privacidad desde
el diseño de las soluciones “inteligentes”
2. Evaluar anticipadamente el impacto
sobre la privacidad de las personas.
3. Respetar las expectativas de
privacidad de los ciudadanos
http://www.avpd.eus Privacidad y "Smart Cities" 29
(39)
Todo tratamiento de datos personales debe ser lícito y leal.
Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.
El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.
Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento.
En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.
Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados.
Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación.
Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.
Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.
Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
Artículo 6
Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a)el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b)el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e)el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f)el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.