Por: Rodrigo Suzuki, gerente de seguridad de la información y continuidad de negocios de Logicalis Latam
Con el incremento de las nuevas tecnologías y su inserción en el día a día de las personas, cada vez es más fácil recolectar datos con el objetivo de tener un mayor conocimiento del consumidor y del propio negocio. Una de las tecnologías que se usa en este proceso es la llamada Internet de las cosas (IoT, por sus siglas en inglés) que, a través de diversos tipos de dispositivos, permite la infinita posibilidad de capturar datos.
Sin embargo, la Norma General de Protección de Datos (GDPR, por sus siglas en inglés) –la ley europea que entró en vigencia en mayo de este año y establece normas para garantizar la privacidad de la información de los ciudadanos europeos en cualquier lugar del mundo y de datos personales capturados o procesados en los países miembros de la Comunidad Europea– genera nuevos desafíos para los proyectos de IoT.
El GDPR describe los derechos que poseen las personas sobre sus propios datos, que incluye la posibilidad de solicitar el uso que una empresa hace de ellos, su completa remoción, criptografía de la información e, incluso, conocer si los comparte con otra compañía. Por esto, las empresas precisan saber dónde y cómo son capturados y procesados los datos –de forma directa e indirecta–, y que éstos sean almacenados y utilizados correctamente durante su ciclo de vida.
Los dispositivos que capturan datos personales, hábitos y que pueden generar información que identifique a una persona, deben respetar el consentimiento de su titular. Uno de los desafíos para los proyectos de IoT es la prohibición del desvío de su propósito, es decir, el uso de los datos personales con fines diferentes a los autorizados por su titular.
Un ejemplo de la posibilidad de la captura de datos se da en el sector de seguros. Las aseguradoras podrían monitorear los autos asegurados utilizando sensores con el objetivo de conocer los hábitos del conductor y ofrecer descuentos en base a su estilo y modo de manejo, horario de uso del vehículo o lugares por donde se mueve. Sin embargo, sin el consentimiento de la persona, no se permitirían otros usos, como la publicidad, por ejemplo. Si el uso de las coordenadas geográficas no es aprobado por el usuario, se configura como un claro desvío del propósito del uso de datos personales.
A partir de esta ley, algunos servicios pueden restringirse, pero también crea oportunidades para la innovación. Conceptos como Privacy by Design –cuando una solución se crea teniendo en cuenta los requisitos de privacidad– son especialmente importantes cuando se trata de proyectos de IoT. De esta manera, funcionalidades que podrían poner en riesgo la privacidad de las personas se pueden tratar desde el diseño del producto evitando futuros ajustes que pueden ser costosos o incluso hacer inviable su aplicación.
Sin embargo, la GDPR posibilita que los datos personales sean capturados, almacenados y procesados en determinadas situaciones como, por ejemplo, para fines de seguridad pública, la garantía del desempeño de un contrato de prestación de servicios e incluso por interés legítimo de la persona, incluso sin su consentimiento, siempre que se respete el derecho a la libertad y no discriminación de un individuo, una posibilidad que debe tenerse en cuenta en proyectos de IoT.
Las leyes de privacidad llegaron para quedarse y son importantes para la definición de cómo las soluciones tecnológicas van a evolucionar, para ofrecer servicios sin el uso abusivo de los datos personales. Usted, su empresa y, principalmente, sus proveedores necesitan estar preparados.