El loT, coneguda com l’Internet de les coses, es refereix als bilions de dispositius electrònics que estan connectats a Internet, recollint i compartint dades. En son alguns exemples: els vehicles, joguines, rellotges, robots de cuina, polseres, pulsòmetres, tensiòmetres, robots aspiradors, altaveus i televisions. En la majoria dels casos, l’ús d’aquests dispositius intel·ligents implica el tractament de dades personals, amb la qual cosa existeixen uns riscos associats.
El Comitè Europeu de Protecció de Dades defineix la loT com aquella infraestructura en la que múltiples sensors incorporats als dispositius, registren, sotmeten a tractament, emmagatzemen i transfereixen dades i interactuen amb altres dispositius o sistemes fent ús de les capacitats de connexió amb la xarxa.
Existeixen 3 capes en les que es poden dur a terme tractament de dades personals:
- 1a capa: es refereix al dispositiu, capturar dades, processar-les, comunicar-les i interactuar.
- 2a capa: possibilita l’intercanvi de dades entre el dispositiu i la capa de servei, o intercanvi de dades entre diferents dispositius.
- 3a capa: ofereix capacitats analítiques centralitzades per al tractament de les dades obtingudes.
El tipus de dades que es poden tractar a través de la loT són molt àmplies: dades de contacte, de geolocalització, hàbits d’ús de l’Internet, interessos, imatges, veu, entre d’altres.
Els principals riscos que hi pot haver amb el loT en quant a privacitat i protecció de dades són els següents:
- Revelació invasiva de pautes de comportament i perfils, atès que els anàlisis basats en informació captada en un entorn IoT fa possible la detecció de pautes de vida i comportament d’una persona, de forma molt detallada i completa. Es produeix una vigilància potencial que pot aconseguir l’esfera més privada de la vida de les persones i generar situacions on l’expectativa de privacitat es torna en fictícia.
- Falta de control i asimetria de la informació, destacant les greus dificultats perquè l’interessat pugui revisar adequadament les dades que genera, una exposició excessiva i una falta de control que encara és major respecte a l’ús posterior de les dades, especialment de dades derivades i dades inferides.
- La falta de transparència unit al fet que els mecanismes clàssics d’obtenció de consentiment no són fàcilment aplicables en alguns tipus de dispositius IoT.
- La participació de múltiples actors amb diferents rols de responsabilitat, coresponsabilitat o com a encarregats de tractament augmenta el risc que la “responsabilitat” es dilueixi o es presentin asimetries en el nivell de compliment de cadascuna de les parts.
- Els sistemes IoT afecten tant els usuaris directes de les mateixes com a aquells que en algun moment puguin trobar-se “pròxims” al sistema, encara que ni tan sols tinguin la intenció d’interactuar amb aquest.
- La falta de mesures de seguretat apropiades en qualsevol de les capes.
- Limitacions a la possibilitat de romandre en l’anonimat quant es fa ús d’aquests serveis.
L’ús del IoT, amplia la empremta digital de les persones i gran part de la vida es “datifica”. El perfil que pot construir-se sobre una persona pot aconseguir una gran exactitud i profunditat, abastant no sols els aspectes parcials sinó la globalitat de la persona.
Complir la implementació de tractaments basats en el IoT precisa models complexos que incorporen requisits normatius estàndards i mecanismes de certificació que garanteixen un nivell de protecció de drets i llibertats dels interessats.
S’hauria de poder utilitzar solucions IoT amb la confiança de que no seran una amenaça a la privacitat.