Empresas que desarrollan o utilizan soluciones IoT: ¿Cómo tratar y proteger adecuadamente los datos personales?

Recientemente, desde Vadillo Asesores hemos participado, junto a Euskaltel, en la jornada organizada por SEA Empresas Alavesas ‘¿Cómo adecuar su protección de datos las empresas que quieran desarrollar/utilizar tecnologías IoT?’. A continuación, os compartimos un resumen del contenido más destacado y principales conclusiones de la sesión.

En muy pocos años, hemos pasado de tratar únicamente datos aportados voluntariamente por el interesado al incremento exponencial de información observada por su huella digital, ya sea vía dispositivos IoT, cookies, geolocalización, los derivados (por ejemplo, por haber accedido a una tienda online); y los inferidos, aquellos obtenidos mediante un proceso analítico basado en probabilidades.

¿Qué deben tener en cuenta las empresas desarrolladoras o usuarias de tecnología IoT?

IoT es una tecnología disruptiva que genera riesgos en diversos aspectos:

• Privacidad y protección de datos.
• En el resto de derechos fundamentales y que el RGPD exige protegerlos más allá de la estricta protección de datos personales.
• Ciberseguridad: el despliegue masivo de dispositivos IoT aumenta la superficie de exposición a ataques y el perímetro a proteger cada vez mayor.

Por tanto, quien desarrolle y utilice estas tecnologías debe tener muy en cuenta, desde el diseño y por defecto, aspectos tanto éticos como legales.

Ello requiere conocer y aplicar no solo normativa existente en materia de protección de datos, sino hacer un seguimiento a la nueva regulación que viene y estar preparado para ello: Reglamento e-privacy; Reglamento UE sobre Gobierno de Dato, Reglamento Europeo IA … pudiendo demostrar “accountability”; es decir, que la empresa vela, en el desarrollo de este tipo de soluciones, por la ética, la equidad, la protección de la privacidad y la seguridad en tratamiento masivo de datos.

Hay que diseñar, desarrollar y utilizar estas tecnologías desde una óptica de gestión de riesgos. Téngase en cuenta que, como dice la Agencia de Protección de Datos en su guía sobre Big Data, (pero que es perfectamente extrapolable a IoT) “el que toma la decisión de realizar el tratamiento es responsable y no puede escudarse en la carencia de información o el desconocimiento técnico para evadir su responsabilidad a la hora de auditar y decidir la adecuación del sistema” y “lo que en ningún caso resulta aceptable es trasladar la responsabilidad al propio sistema”.

Medidas previas a poner en marcha una solución IoT

Es esencial que antes de poner en marcha una solución basada en IoT, se adopten las medidas necesarias en materia de:

• Privacidad y seguridad desde el diseño y por defecto.
• Cumplimiento con el deber de transparencia informando al interesado, especialmente en el caso de decisiones automatizadas y elaboración de perfiles.
• Realizar análisis de riesgos y evaluaciones de impacto en protección de datos y análisis de ponderación de interés legítimo cuando procedan.

Estas son solo algunas de las conclusiones de la jornada sobre protección de datos en empresas que desarrollen soluciones IoT. Si estás interesado en saber más sobre cómo afectan este tipo de tecnologías disruptivas a la protección de datos y la privacidad y qué medidas son necesarias poner en marcha, ponte en contacto con nosotros.