Dictamen del GT29 sobre privacidad e Internet de las Cosas (IoT)

Resumen: Las autoridades europeas de proteccin de datos conocidas como Grupo de

Trabajo del Artculo 29 (GT29) han aprobado en 2014 el primer Dictamen conjunto
sobre internet de las cosas (IoT) catalogado como la Opinin 8/2014, de 16 de
septiembre.[1] El documento, cuya elaboracin ha sido liderada por la Agencia
Espaola de Proteccin de Datos (AEPD) junto con la Autoridad francesa (CNIL),
contempla tanto las perspectivas de beneficios econmicos y sociales que puede
suponer esta tecnologa, como identifica y alerta de los riesgos que estos productos y
servicios emergentes pueden suponer para la privacidad de las personas, definiendo un
marco de responsabilidades. Por su inters y encaje en la temtica del blog presento
esta traduccin no oficial, del Ingls al Espaol, adaptada al estilo y formato editorial
del mismo.
Autor del artculo

Colaboracin

Grupo de Trabajo del Artculo 29

Comisin Europea
Actualizado
14 de febrero
de 2015

ndice
1. Sntesis
2. Introduccin
3. mbito del Dictamen: Foco especfico en 3 desarrollos de la IoT
3.1 Wearable Computing (Informtica para llevar encima)
3.2 Quantified Self (Auto-cuantificadores)
3.3 Domtica (Automatizacin del hogar)
4. Desafos en privacidad relacionados con la IoT
4.1 La falta de control y asimetra de la informacin
4.2 Calidad del consentimiento del usuario
4.3 Inferencias derivadas de los datos y de su reproceso
4.4 Trazar de forma intrusiva patrones de comportamiento y perfiles
4.5 Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizan
servicios
4.6 Riesgos de seguridad: Seguridad frente a eficiencia
5. Aplicacin de la legislacin comunitaria para el tratamiento de datos personales en
la IoT
5.1 Legislacin aplicable
5.2 El concepto de dato personal
5.3 Partes interesadas de la IoT, consideradas responsables del tratamiento en la UE
5.4 Las personas como titulares de los datos: abonados, usuarios, no-usuarios
6. Las obligaciones que pesan sobre las partes interesadas de la IoT
6.1 Aplicacin del artculo 5(3) de la Directiva sobre e-privacidad

6.2 Fundamento jurdico para el tratamiento (artculo 7 de la Directiva 95/46/CE)

6.3 Principios relativos a la calidad de los datos
6.4 Tratamiento de datos sensibles (artculo 8)
6.5 Los requisitos de transparencia (artculos 10 y 11)
6.6 Seguridad (artculo 17)
7. Derechos del interesado
7.1 Derecho de acceso
7.2 Posibilidad de retirar su consentimiento y de oponerse
8. Conclusiones y recomendaciones
8.1 Recomendaciones comunes a todas las partes interesadas
8.2 OS y fabricantes de dispositivos
8.3 Los desarrolladores de aplicaciones
8.4 Las plataformas sociales
8.5 dueos de dispositivos IoT y usuarios adicionales
8.6 Organismos de normalizacin y plataformas de datos
9. Bibliografa consultada
10. Derechos de autor

1. Sntesis
La Internet de las Cosas (IoT) se encuentra en
el umbral de integrarse en la vida de los
ciudadanos europeos. La viabilidad de
muchos proyectos de IoT todava est
pendiente de confirmar, pero ya se estn
fabricando "objetos inteligentes" disponibles
para monitorizar y comunicarse con nuestras
casas, coches, entorno laboral y actividades
fsicas.
Actualmente, los dispositivos conectados
afrontan con xito las necesidades de los ciudadanos de la UE en los mercados a gran
escala de auto-chequeo y domtica. As, la IoT mantiene importantes perspectivas de
crecimiento para un gran nmero de empresas innovadoras y creativas de la UE, ya
sean grandes o pequeas, que operan en estos mercados.
El GT29 desea se cumplan esas expectativas en inters de los ciudadanos y de la
industria en la UE. Sin embargo, adems de proporcionar estos beneficios esperados
tambin deben respetar los muchos retos de seguridad y privacidad que se pueden
asociar con la IoT. Surgen muchas dudas en torno a la vulnerabilidad de estos
dispositivos, a menudo con sus funciones fuera de una estructura tradicional de TI,
careciendo de suficiente nivel de seguridad integrada en ellos.
Las prdidas de datos, la infeccin por el malware, tambin el acceso no autorizado a
los datos personales, el uso intrusivo de dispositivos wereables o llevables, o la

vigilancia ilegal son los principales riesgos que las partes interesadas involucradas en la
IoT deben tratar de encarar para atraer a los posibles usuarios finales de sus productos
o servicios. Ms all del cumplimiento legal y tcnico, lo que est en juego es, de
hecho, la consecuencia que puede tener en la sociedad en general.
Las organizaciones que coloquen la privacidad y proteccin de datos en la vanguardia
del desarrollo de productos, estarn en condiciones de asegurar que sus productos y
servicios respeten los principios de privacidad desde el diseo (PbD) y estn equipadas
con privacidad por defecto de forma amigable, que respete la intimidad de la forma
esperada por los ciudadanos de la UE.
Por ahora, este anlisis slo se ha manifestado en trminos muy generales, por alguno
de los reguladores y partes interesadas, en la UE y en otros lugares. El G29 ha decidido
tomar cartas en el asunto mediante la adopcin de esta opinin.
De esta forma se pretende contribuir a la aplicacin uniforme del marco legal de
proteccin de datos respecto a la IoT, as como al desarrollo de un alto nivel de
proteccin con respecto a la proteccin de los datos personales en la UE. El
cumplimiento de este marco no solo es clave para hacerlo a nivel jurdico y tcnico
sino tambin, basndose en la calificacin de la proteccin de datos como un derecho
humano fundamental, solventar los retos sociales que se han descrito anteriormente.
En consecuencia, el presente dictamen identifica los principales riesgos de proteccin
de datos que se encuentran dentro del ecosistema de la IoT antes de proporcionar
orientacin sobre la forma de aplicar el marco jurdico de la UE en este contexto. El
Grupo de Trabajo apoya la incorporacin de las mximas garantas posibles para los
usuarios individuales en el ncleo de los proyectos por parte de las partes interesadas
pertinentes.
En particular, los usuarios deben poseer el completo control de sus datos personales
en todo el ciclo de vida del producto y, cuando las organizaciones se basan en el
consenso como base para la elaboracin, el consentimiento debe ser plenamente
informado, libre y especfico. Para ayudarles a cumplir con este fin, el Grupo de
Trabajo ha diseado un amplio conjunto de recomendaciones prcticas dirigidas a las
diferentes partes interesadas:
Fabricantes de dispositivos.
Desarrolladores de aplicaciones.
Plataformas sociales.
Destinatarios de datos.
Plataformas de datos.

Organismos de normalizacin,
para ayudarles a implementar la privacidad y la proteccin de datos en sus productos
y servicios.
De hecho, el empoderamiento de los individuos para mantenerlos informados, libres y
seguros, es la clave para apoyar la confianza y la innovacin y, por lo tanto, para el
xito en estos mercados. El Grupo de Trabajo cree firmemente que si los interesados
ven cumplidas estas expectativas, representar una fuerte ventaja competitiva sobre
otros jugadores cuyos modelos de negocio se basan en ocultar a sus clientes cmo se
trata y se comparte su informacin personal, atrapndola en sus ecosistemas.
Teniendo en cuenta los grandes desafos de proteccin de datos planteadas por la IoT,
el GT29 seguir vigilando su evolucin. Con este fin, se mantiene abierta a la
cooperacin con otros reguladores y legisladores nacionales o internacionales sobre
estas cuestiones. Tambin queda abierto a la discusin con los representantes de la
sociedad civil, as como de la industria en cuestin, en particular cuando dichas partes
interesadas estn operando como responsable o encargado del tratamiento de datos
personales en la UE.

2. Introduccin
El concepto de Internet de las Cosas (IoT) se refiere a una infraestructura en la que
miles de millones de sensores embebidos en dispositivos cotidianos, comunes "objetos" en s mismos, o los objetos en relacin con otros objetos o individuos - estn
diseados para registrar, procesar, almacenar y transferir datos y, ya que estn
asociados con identificadores nicos, interactuar con otros dispositivos o sistemas que
utilizan las capacidades de red. Como la IoT se basa en el principio del tratamiento
masivo de los datos recogidos a travs de sensores que estn diseados para
comunicarse discretamente mediante el intercambio de datos en modo transparente,
est estrechamente vinculada a las nociones de computacin ubicua.
El objetivo de las partes interesadas de la IoT es ofrecer nuevas aplicaciones y servicios
a travs del recabado y la combinacin adicional de estos datos sobre las personas - ya
sea con el fin de medir los datos propios del entorno del usuario "nicamente", o para
observar y analizar sus hbitos especficamente. En otras palabras, la IoT generalmente
implica el tratamiento de los datos que se refieren a personas fsicas identificadas o
identificables, y por lo tanto debe calificarse como tratamiento de datos personales en
el sentido del artculo 2 de la Directiva de proteccin de datos de la UE.
Artculo 2 directiva 95/46/CE. Definiciones. A efectos de la presente Directiva, se
entender por: a) datos personales: toda informacin sobre una persona fsica

identificada o identificable (el interesado); se considerar identificable toda

persona cuya identidad pueda determinarse, directa o indirectamente, en particular
mediante un nmero de identificacin o uno o varios elementos especficos,
caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o
social; ().
El tratamiento de dichos datos en este contexto se basa en la intervencin coordinada
de un nmero significativo de partes interesadas como pueden ser los fabricantes de
dispositivos -que a veces tambin actan como plataformas de datos, agregadores de
datos o intermediarios-, los desarrolladores de aplicaciones, plataformas sociales, los
prestamistas o arrendatarios de dispositivos, etc. Las funciones respectivas de estos
interesados se examinan tambin en la opinin.
Estas diferentes partes interesadas pueden participar por varias razones:
Creando funcionalidades adicionales o interfaces de control fciles de usar
que permiten la gestin de configuraciones tcnicas y de privacidad.
El usuario normalmente tiene acceso a sus datos recogidos a travs de una
interfaz web distinta.
Una vez que los datos se almacenan de forma remota, pueden ser
compartidos con terceros, a veces sin que la persona afectada sea consciente
de ello.
En estos casos, la transmisin adicional de sus datos se impone al usuario que no
puede impedirlas sin desactivar la mayor parte de las funcionalidades del dispositivo.
Como resultado de esta cadena de acciones, la IoT puede poner fabricantes de
dispositivos y sus socios comerciales en condiciones de construir o tener acceso a
perfiles muy detallados de los usuarios.
A la luz de lo anterior, el desarrollo de la IoT plantea claramente nuevos y significativos
desafos a la privacidad y proteccin de datos personales. De hecho, si no se controla,
algunos desarrollos de la IoT podran llegar tan lejos como a significar una forma de
vigilancia de personas que pueden ser consideradas como ilegales bajo la legislacin
de la UE.
La IoT tambin plantea problemas de seguridad importantes como son las brechas de
seguridad que pueden entraar riesgos significativos para la privacidad de las personas
cuyos datos se tratan en esos contextos.
Por tanto, el G29 ha decidido emitir el presente dictamen con el fin de contribuir a la
identificacin y el seguimiento de los riesgos derivados de esas actividades, donde los
derechos fundamentales de los ciudadanos de la UE estn en juego.

3. mbito del Dictamen: Foco especfico en 3 desarrollos de la IoT

En esta etapa, es imposible predecir con certeza el grado en que la IoT se desarrollar.
Esto es en parte debido al desconocimiento de cmo se llevar a cabo la
transformacin de todos los datos procedentes de la IoT en algo til y, por lo tanto,
comercialmente viable. Tampoco estn claras la posible convergencia y las sinergias de
la IoT con otros desarrollos tecnolgicos como la Computacin en la Nube y el anlisis
predictivo que, en esta etapa, slo se refieren a la evolucin del mercado emergente.
En consecuencia, el GT29 ha decidido centrarse esencialmente en el presente
dictamen en tres desarrollos especficos de la IoT:
Wearables o Informtica para llevar encima.
Quantified Self o Auto-cuantificadores.
Domtica o Automatizacin del Hogar.
Estn directamente enlazados mediante una interfaz con el usuario y corresponden a
dispositivos y servicios que estn actualmente en uso, por lo que se prestan a un
anlisis bajo las actuales leyes de proteccin de datos.
El presente dictamen de este modo no se ocupa especficamente de aplicaciones B2B y
las cuestiones ms globales como desarrollos de "ciudades inteligentes", "transportes
inteligentes", as como M2M (mquina a mquina). No obstante, se pueden aplicar
los principios y recomendaciones de este dictamen fuera de su mbito estricto y cubrir
estos otros desarrollos en la IoT.
3.1 Wearable Computing (Informtica para llevar encima)
Wearable Computing se refiere a la ropa de
diario y los complementos llevables, tales
como relojes y gafas, en los que se incluyen
sensores para extender sus funcionalidades.
Los objetos Wearable son susceptibles de ser
rpidamente adoptados en la medida en que
extienden la utilidad ofrecida por los objetos
cotidianos que ya son familiares a la persona ms an ya que apenas pueden diferenciarse
de sus anlogos inconexos.
Pueden integrar cmaras, micrfonos y
sensores que permiten grabar y transferir los
datos al fabricante del dispositivo. Por otra parte, la disponibilidad de una API para
dispositivos porttiles (por ejemplo Android Wear) tambin es compatible con la

creacin de aplicaciones de terceros que pueden obtener de este modo el acceso a los
datos recogidos por esos objetos.
3.2 Quantified Self (Auto-cuantificadores)
Objetos auto-cuantificadores estn diseados para ser llevados regularmente por
personas que quieren registrar informacin sobre sus propios hbitos y estilos de vida.
Por ejemplo, una persona puede querer usar un rastreador de sueo cada noche para
obtener una amplia visin de los patrones de sueo. Otros dispositivos se centran en
los movimientos de seguimiento, tales como contadores de actividad que miden
continuamente y reportan indicadores cuantitativos relacionados con la actividad
fsica del individuo, como caloras quemadas o distancias recorridas, entre otros.
Algunos objetos miden adems el peso, pulso y otros indicadores de salud.
Mediante la observacin de las tendencias y cambios en el comportamiento a travs
del tiempo, los datos recogidos pueden ser analizados para inferir informacin
relacionada con la salud cualitativa incluyendo evaluaciones sobre la calidad y los
efectos de la actividad fsica sobre la base de umbrales predefinidos y la probable
presencia de sntomas de enfermedades, hasta cierto punto.
A menudo se requieren sensores autnomos cuantificados para ser usados en
condiciones especficas, para extraer informacin relevante. Por ejemplo, un
acelermetro colocado en el cinturn de un interesado, con los algoritmos apropiados,
podra medir los movimientos abdomen (datos en bruto), extraer informacin sobre el
ritmo de la respiracin (agregado de datos y la informacin extrada) y mostrar el nivel
de estrs del titular de los datos (datos visualizables). En algunos dispositivos, slo esta
ltima informacin se divulga para el usuario, pero el fabricante del dispositivo o el
proveedor de servicios pueden tener acceso a muchos ms datos que podran ser
analizados en una etapa posterior.
Los auto-cuantificadores son un reto respecto a los tipos de datos recogidos que estn
relacionados con la salud y, por lo tanto, potencialmente sensibles, as como a la
extensa coleccin de estos datos. De hecho, ya que este movimiento se centra en
motivar a los usuarios a permanecer saludables, tiene muchas conexiones con el
ecosistema e-salud. No obstante, investigaciones recientes han cuestionado la
precisin real de las medidas y las inferencias realizadas a partir ellos.
3.3 Domtica (Automatizacin del hogar)
Hoy en da, los dispositivos IoT tambin se pueden colocar en oficinas u hogares como
bombillas de luz conectadas, termostatos, detectores de humo, estaciones
meteorolgicas, lavadoras u hornos que pueden ser controlados de forma remota a
travs de Internet. Por ejemplo, los objetos que contienen sensores de movimiento

puede detectar y registrar cuando un usuario

est en casa, cuales son sus patrones de
movimiento y, tal vez, desencadenar acciones
especficas previamente determinadas (por
ejemplo, encender una luz o la alteracin de
la temperatura ambiente). La mayora de los
dispositivos
de
domtica
estn
constantemente conectados y pueden
transmitir datos de nuevo al fabricante.
Obviamente, la domtica plantea desafos
especficos de privacidad y proteccin de
datos. Un anlisis de los patrones de uso en este contexto es probable que revele
detalles de estilo de vida de los habitantes, hbitos u opciones o simplemente su
presencia en el pas.
Las tres categoras de los dispositivos mencionados anteriormente son ejemplarizantes
de la mayora de los principales problemas de privacidad relacionados con la IoT en su
estado actual. Cabe sealar, sin embargo, que estas categoras no son excluyentes: por
ejemplo, un dispositivo wearable como un reloj inteligente podra ser usado para el
control de la frecuencia cardiaca, es decir, para auto-cuantificacin de la salud.

4. Desafos en privacidad relacionados con la IoT

El GT29 ha decidido emitir este especfico Dictamen sobre la consideracin de que la
IoT plantea una serie de importantes desafos de privacidad y proteccin de datos,
algunos nuevos, otros ms tradicionales, pero ambos amplificados con respecto al
aumento exponencial de procesamiento de datos que implica su evolucin. La
importancia de la aplicacin del marco jurdico de proteccin de datos de la UE y las
correspondientes recomendaciones prcticas que siguen a continuacin debe ser vista
a la luz de estos desafos.
4.1 La falta de control y asimetra de la informacin
Como resultado de la necesidad de proporcionar servicios generalizados de forma
discreta, los usuarios pueden encontrarse en la prctica bajo la supervisin de terceros.
Esto puede dar lugar a situaciones en las que el usuario puede perder el control sobre
la difusin de sus propios datos, en funcin de que el recabado y el tratamiento de
estos datos se haga de forma transparente o no.
Generalmente, la interaccin entre los objetos, entre los objetos y dispositivos
individuales, entre individuos y otros objetos, y entre los objetos y sistemas back-end
dar lugar a la generacin de flujos de datos que difcilmente se pueden manejar con
las herramientas clsicas utilizadas para garantizar la adecuada proteccin de los
intereses y derechos de los interesados.

Por ejemplo, a diferencia de otros tipos de contenido, los datos subidos provenientes
de la IoT pueden no estar adecuadamente sujetos al control del titular antes de su
publicacin, lo que sin duda genera un riesgo de falta de control y auto-exposicin
excesiva para el usuario. Adems, la comunicacin entre objetos puede ser activada
automticamente, as como por defecto, sin que el individuo sea consciente de ello.
En la ausencia de la posibilidad de controlar eficazmente cmo interactan los objetos
o de ser capaz de definir lmites virtuales mediante la definicin de zonas activas o no
activas para objetos especficos, ser extraordinariamente difcil de controlar el flujo de
datos generado. Ser an ms difcil de controlar su utilizacin posterior, y de ese
modo prevenir la funcin de fluencia potencial.
Este problema de la falta de control, que se refiere tambin a otros avances tcnicos
como la Computacin en Nube o de Big Data, es an ms desafiante cuando se piensa
que estas diferentes tecnologas emergentes pueden ser utilizadas en combinacin.
4.2 Calidad del consentimiento del usuario
En muchos casos, el usuario puede no ser consciente del tratamiento de datos llevado
a cabo por los objetos especficos. Esa falta de informacin constituye una barrera
importante para demostrar el consentimiento vlido en virtud de la legislacin
comunitaria, ya que el interesado debe ser informado. En tales circunstancias, el
consentimiento no puede ser considerado como una base legal para el tratamiento de
la informacin correspondiente en virtud de la legislacin comunitaria.
Dispositivos wearables, tales como relojes inteligentes, pueden no ser
perceptibles: [2]la mayora de los observadores no podran distinguir un reloj normal
de uno conectado, cuando ste puede incrustar cmaras, micrfonos y sensores de
movimiento que pueden grabar y transferir datos sin los individuos ser conscientes, y
an menos consentir, a dicho tratamiento. Esto plantea la cuestin de la identificacin
de procesamiento de datos a travs del Wearable Computing, que podra resolverse
previendo sealizacin adecuada que fuera realmente visible a los titulares de los
datos.
Adems, al menos en algunos casos, la posibilidad de renunciar a ciertos servicios o
caractersticas de un dispositivo de la IoT es ms un concepto terico que una
alternativa real. Esas situaciones llevan a la pregunta de si el consentimiento del
usuario para el tratamiento de datos subyacente puede ser considerado como libre,
por lo tanto, vlido en virtud de la legislacin comunitaria.
Adems, los mecanismos clsicos utilizados para obtener el consentimiento de los
individuos pueden ser difciles de aplicar en la IoT, lo que resulta en un consentimiento

"de baja calidad", basado en la falta de informacin o la imposibilidad fctica para dar
su consentimiento ajustado de acuerdo con el las preferencias expresadas por los
individuos. En la prctica, hoy en da, parece que los dispositivos sensores se disean
generalmente ni para proporcionar informacin por s mismos ni para ofrecer un
mecanismo vlido para obtener el consentimiento del interesado.
No obstante, las nuevas formas de obtener un consentimiento vlido del usuario
deben ser considerados por las partes interesadas de la IoT, incluyendo la aplicacin de
mecanismos de consentimiento a travs de los propios dispositivos. Ejemplos
especficos, como Privacy Proxies y Sticky Policies, se mencionan ms adelante en este
documento.
4.3 Inferencias derivadas de los datos y de su reproceso
El aumento de la cantidad de datos generados por el IoT en combinacin con las
tcnicas modernas relacionadas con el anlisis de datos y pruebas cruzadas pueden
utilizar esos datos para usos secundarios, ya sea relacionada o no con el propsito
asignado al tratamiento inicial. Las terceras partes que soliciten el acceso a los datos
recogidos inicialmente por otras partes pueden desear hacer uso de esos datos para
fines totalmente distintos.
Los datos aparentemente insignificantes recogidos originalmente a travs de un
dispositivo (por ejemplo el acelermetro y el giroscopio de un telfono inteligente),
entonces pueden utilizarse para inferir otra informacin con un significado totalmente
diferente (por ejemplo, los hbitos de conduccin del individuo). Esta posibilidad de
derivar inferencias a partir de esa informacin "en bruto" se debe combinar con los
riesgos clsicos analizados en relacin a la agregacin de sensores, un fenmeno que
es bien conocido en informtica.
Los Auto-cuantificables tambin ilustran la cantidad de informacin que se puede
inferir de los sensores de movimiento mediante la agregacin y el anlisis avanzado.
Estos dispositivos suelen utilizar sensores elementales para capturar datos en bruto
(por ejemplo, los movimientos de los sujetos) y se basan en algoritmos sofisticados
para extraer informacin sensible (por ejemplo, el nmero de pasos) y deducir
informacin potencialmente sensible que se mostrar a los usuarios finales (por
ejemplo, su condicin fsica).
Tal tendencia pone de manifiesto retos especficos. De hecho, mientras que el usuario
se siente cmodo con el intercambio de la informacin original para un propsito
especfico, puede no querer compartir esa informacin secundaria que podra
emplearse para fines totalmente distintos. Por lo tanto es importante que, en cada
nivel (ya sea en bruto, o mediante datos extractados o visualizables), las partes
interesadas de la IoT se aseguren de que los datos se utiliza para fines que son
totalmente compatibles con el propsito original y que ese propsito es conocido por

el usuario.
4.4 Trazar de forma intrusiva patrones de comportamiento y perfiles
A pesar de que diferentes objetos recogern por separado
piezas aisladas de informacin, una cantidad suficiente de
datos recogidos y analizados puede revelar aspectos
especficos de hbitos, comportamientos y preferencias del
individuo. Como se ha visto anteriormente, la generacin de
conocimiento a partir de datos annimos triviales se ver
facilitada por la importante proliferacin de sensores, y la
mejora de la capacidad de anlisis.
Ms all de esto, el anlisis basado en la informacin
atrapada en un entorno IoT podra permitir la deteccin de patrones de forma de vida
y de comportamiento an ms detallados y completos de un individuo.
De hecho, esta tendencia es probable que tenga un impacto en la forma en que el
individuo se comporte realmente, de la misma manera que se ha demostrado que el
uso intensivo de circuito cerrado de televisin ha influido en la conducta de los
ciudadanos en los espacios pblicos. Con la IoT, dicha vigilancia potencial puede ahora
llegar a la esfera ms ntima de la vida de los individuos, incluidos los hogares. Esto
pondr presin en el individuo para evitar un comportamiento no habitual a fin de
evitar la deteccin de lo que podra ser percibido como anomalas. Esta tendencia sera
muy intrusiva en la vida privada y la intimidad de las personas y debe ser vigilado muy
de cerca.
4.5 Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizan
servicios
El pleno desarrollo de las capacidades de la IoT puede poner tensin en las
posibilidades actuales de uso annimo de los servicios y, en general limitar la
posibilidad de permanecer inadvertido.
Por ejemplo, los objetos usables en las proximidades de los interesados, a resultas
de disponer de una gama de identificadores, como las direcciones MAC de los
dispositivos, podran ser tiles para generar datos de seguimiento de localizacin del
interesado a partir de sus huellas digitales. El recabado de mltiples direcciones MAC
procedentes de mltiples sensores de dispositivos, ayudar a crear huellas digitales
nicas e identificadores ms estables, que las partes interesadas de la IoT podrn
atribuir a individuos especficos. Estas huellas digitales identificadoras pueden ser
utilizadas para una variedad de propsitos, incluyendo el anlisis de la
ubicacin o elanlisis de los patrones de movimiento de las multitudes y las personas.

Esta tendencia se debe considerar junto al hecho de que dichos datos se pueden
combinar despus con otros datos emitidos desde otros sistemas (por ejemplo, CCTV o
en los registros de Internet).
En tales circunstancias, algunos datos de los sensores son particularmente vulnerables
a los ataques de re-identificacin.
A la luz de lo anterior, es claro que permanecer en el anonimato y la preservacin de la
vida privada en la IoT ser cada vez ms difcil. El desarrollo de la IoT implica
importantes preocupaciones de proteccin de datos y privacidad en ese sentido.
4.6 Riesgos de seguridad: Seguridad frente a eficiencia
La IoT plantea varios desafos en los dispositivos, concretamente relacionados con
problemas de seguridad y de optimizacin de recursos, que obligan a los fabricantes a
equilibrar la eficiencia de la batera y la seguridad del dispositivo. En particular, todava
no est claro cmo los fabricantes de dispositivos equilibrarn la implementacin de
medidas de confidencialidad, integridad y disponibilidad para todos los niveles de la
secuencia de procesamiento, con la necesidad de optimizar el uso de recursos
computacionales - y energa de los objetos y sensores.
En consecuencia, existe el riesgo de que la IoT puede transformar un objeto diario en
un objetivo potencial, en relacin a la privacidad y seguridad de la informacin, siendo
la visibilidad de esos objetivos mucho ms amplia que la realidad actual de Internet.
Dispositivos conectados menos seguros representan nuevas formas potencialmente
eficientes de ataque, incluyendo la facilidad de las prcticas de vigilancia, las
violaciones de datos resultantes en que los datos personales sean robados o
comprometidos, lo que pueden tener efectos generalizados sobre derechos de los
consumidores y la percepcin del individuo en relacin a la seguridad de la IoT.
Tambin se espera que los dispositivos y plataformas de la IoT intercambien datos y
los almacenen en infraestructuras de proveedores de servicios. Por lo tanto la
seguridad de la IoT no debe ser concebida considerando nicamente la seguridad de
los dispositivos, sino tambin los enlaces de comunicacin, la infraestructura de
almacenamiento y otros insumos de este ecosistema.
De la misma manera, la presencia de diferentes niveles de procesamiento, cuya tcnica
de diseo e implementacin son proporcionados por diferentes grupos de inters, no
garantiza la adecuada coordinacin entre todos ellos y puede dar lugar a la presencia
de puntos dbiles que pueden ser utilizados para explotar vulnerabilidades.
Por ejemplo, la mayora de los sensores presentes actualmente en el mercado no son
capaces de establecer un vnculo cifrado de las comunicaciones ya que las necesidades

adicionales de computacin tendr gran impacto en un dispositivo limitado per se por

unas bateras de baja potencia. Con respecto a la seguridad extremo a extremo, el
resultado de la integracin de los componentes fsicos y lgicos proporcionados por un
conjunto de diferentes actores slo garantiza el nivel de seguridad que ofrece el
componente ms dbil.

5. Aplicacin de la legislacin comunitaria para el tratamiento de datos

personales en la IoT
5.1 Legislacin aplicable
El marco jurdico relevante para evaluar los problemas de privacidad y proteccin de
datos planteados por la IoT en la UE se compone de la Directiva 95/46/CE, as como las
disposiciones especficas de la Directiva 2002/58/CE, modificada por la Directiva
2009/136/CE.
Este marco es de aplicacin cuando se cumplen las condiciones de su vigencia como
se establece en el artculo 4 de la Directiva 95/46/CE. El Grupo de Trabajo ha
proporcionado una amplia orientacin sobre la interpretacin de las disposiciones del
artculo 4, es decir, en su dictamen 8/20108 en la legislacin aplicable.
En particular, de acuerdo con el artculo 1.4 (a) de la Directiva, la legislacin nacional
de un Estado miembro es aplicable a todo tratamiento de datos personales llevado a
cabo "en el contexto de un establecimiento" del tratamiento en el territorio de ese
Estado miembro. Esta nocin de establecimiento en el contexto de la economa
basada en Internet ha sido recientemente objeto de una interpretacin muy completa
por el Tribunal Europeo de Justicia (TJUE).
La ley nacional de un Estado miembro tambin es aplicable en los casos en que el
tratamiento no est establecido en el territorio comunitario, pero hace uso de
"equipos", situados en el territorio de dicho Estado miembro (artculo 1.4 (c)). Por lo
tanto, aun cuando una de las partes interesadas de la IoT calificado como un
responsable del tratamiento segn la Directiva 95/46/CE, no est establecido en la UE
en el sentido del artculo 1.4 (a), si participa en el desarrollo, la distribucin o el
funcionamiento de los dispositivos de la IoT, seguir estando probablemente sujeto a
la legislacin de la UE en la medida en que procesa los datos recogidos a travs de los
"equipos" de los usuarios ubicados en la UE.
De hecho, todos los objetos que se utilizan para recopilar y procesar datos de la
persona en el contexto de la prestacin de servicios en la IoT califican como equipos en
el sentido de la Directiva. Esta calificacin se aplica obviamente a los propios
dispositivos: Ccontadores de pasos, rastreadores del sueo, dispositivos caseros
"conectados" como termostatos, detectores de humo, gafas de realidad aumentada

que estn conectadas o relojes inteligentes, etc. Tambin se aplica a los dispositivos
terminales de usuario (por ejemplo, telfonos inteligentes o tabletas) en los que el
software o aplicaciones previamente instaladas en ambos monitorear el entorno del
usuario a travs de sensores integrados o interfaces de red, y luego envan los datos
recogidos por estos dispositivos a los distintos controladores de datos implicados.
La identificacin del papel de los diferentes actores involucrados en la IoT ser esencial
para calificar su estado legal como de tratamiento de datos, y as identificar el Derecho
nacional aplicable al tratamiento que corresponda, as como sus respectivas
responsabilidades. Se analizar la identificacin del papel de las partes interesadas,
involucradas en la IoT, ms adelante en la seccin 5.3.
5.2 El concepto de dato personal
El Derecho de la UE se aplica al tratamiento de los datos personales segn lo definido
en el artculo 2 de la Directiva 95/46/CE. El Grupo de Trabajo ha proporcionado una
amplia orientacin sobre la interpretacin de este concepto, es decir, en su Dictamen
4/2007 sobre el concepto de dato personal.
En el contexto de la IoT, a menudo se da el caso de que un individuo pueda ser
identificado sobre la base de los datos que se originan en "cosas". De hecho, estos
datos pueden permitir discernir el patrn de vida de un determinado individuo o
familiar -por ejemplo, datos generados por el control centralizado de iluminacin,
calefaccin, ventilacin y aire acondicionado-.
Por otra parte, incluso los datos relativos a las personas que vayan a ser tratados slo
despus de la implementacin de apcrifos, o incluso de tcnicas de anonimizacin
puede tener que ser considerado como un dato personal. De hecho, la gran cantidad
de datos procesados de forma automtica en el contexto de la IoT implica riesgos de
re-identificacin. En este punto, el Grupo de Trabajo se refiere a los acontecimientos
relevantes descritos en su reciente dictamen sobre tcnicas de anonimizacin, que
ayuda a la identificacin de estos riesgos y formula recomendaciones sobre la
aplicacin de estas tcnicas.
5.3 Partes interesadas de la IoT, consideradas responsables del tratamiento en la UE
El concepto de tratamiento de datos y su interaccin con el concepto de responsable
del tratamiento son fundamentales en la aplicacin de la Directiva 95/46/CE, ya que
condicionan las responsabilidades respectivas de las distintas organizaciones que
participan en la implementacin de un proceso de datos con respecto a las normas de
proteccin de la UE.
Los interesados pueden consultar en el Dictamen 1/2010 WP29 los conceptos de
"responsable" y "encargado", que proporcionan orientacin sobre la aplicacin de este
concepto a los sistemas complejos con mltiples actores, donde muchos escenarios

implican responsables y encargados, solos o conjuntamente, con diferentes grados de

autonoma y responsabilidad.
De hecho, la aplicacin de la IoT implica casualmente la intervencin combinada de
mltiples partes interesadas - como los fabricantes de dispositivos, plataformas
sociales, aplicaciones de terceros, los prestamistas de dispositivo o los
arrendatarios,data brokers o plataformas de datos.
El complejo entramado de actores involucrados pide / implica la necesidad de una
asignacin precisa de responsabilidades legales entre ellos en lo que respecta al
tratamiento de datos personales del interesado, en base a las caractersticas
especficas de sus respectivas intervenciones.
5.3.1 Los fabricantes de dispositivos
Los fabricantes de dispositivos en la IoT hacen ms que nicamente vender artculos
fsicos a sus clientes o productos de marca blanca a otras organizaciones. Tambin
pueden haber desarrollado o modificado el sistema operativo del "objeto" o un
programa que garantice su funcionalidad en general, incluidos los datos y la frecuencia
de recogida, el cundo y a quin se transmiten los datos, y con qu efectos (por
ejemplo, las empresas podran fijar el precio del seguro de sus empleados basndose
en los datos reportados por dispositivos wearables seguidores de lo que hacen).
La mayor parte de ellos en realidad recogen y procesan los datos personales que se
generan por el dispositivo, con fines y medios que han decidido en su totalidad. De
este modo, se califican como responsables del tratamiento en virtud la legislacin de la
UE.
5.3.2 Las plataformas sociales
Los interesados son an ms propensos a hacer uso de las cosas conectadas cuando
pueden compartir esos datos pblicamente o con otros usuarios. En particular, los
usuarios de dispositivos calificados como autnomos tienden a compartir los datos
con otros en redes sociales para fomentar una forma de competencia positiva dentro
del grupo.
Esa comparticin de los datos recogidos y agregados por "objetos" en las redes
sociales, a menudo se llevar a cabo de forma automtica, una vez que el usuario ha
configurado la aplicacin en ese sentido. Entonces, la capacidad de compartir
comnmente pertenece a la configuracin predeterminada como estndar de
aplicaciones proporcionadas por el fabricante.
La agregacin de estos informes en las plataformas sociales implica responsabilidades
especficas de proteccin de datos ahora se aplican a ellos. Estos datos subidos por el
usuario en ellas, cuando son procesados por las redes sociales para fines distintos de

los que hayan acordado ambos se califican como responsables del tratamiento de
datos en su propio derecho en virtud de la legislacin comunitaria.
Por ejemplo, una red social puede utilizar la informacin recopilada por un podmetro
para inferir que un usuario en particular es un corredor regular y muestra sus anuncios
sobre los zapatos para correr. Las consecuencias de esta calificacin se han detallado
en el anterior Dictamen WP9 sobre redes sociales.
5.3.3 Terceros desarrolladores de aplicaciones
Muchos sensores proporcionan APIs para
facilitar el desarrollo de aplicaciones. Para
utilizar estas aplicaciones, los interesados
tienen que instalar las aplicaciones de
terceros que les permitan acceder a sus datos,
almacenados por el fabricante del dispositivo.
La instalacin de estas aplicaciones a menudo
consiste en proporcionar al desarrollador de
la aplicacin un acceso a los datos a travs de
la API.
Algunas aplicaciones pueden recompensar a
los usuarios de objetos concretos. Por
ejemplo, una aplicacin desarrollada por una
compaa de seguros de salud podra
recompensar a los usuarios de objetos de auto-cuantificacin, o una compaa de
seguros de hogar podra desarrollar una aplicacin especfica para asegurarse de que
las alarmas de incendio conectadas de sus clientes estuvieran correctamente
configuradas.
A menos que estos datos sean completamente annimos, tal acceso constituye una
transformacin en el marco del artculo 2 de la Directiva 95/46/CE, por lo que el
desarrollador de la aplicacin que ha decidido este acceso a los datos debe ser
considerado como un responsable del tratamiento en virtud de la legislacin
comunitaria.
Dichas aplicaciones se instalan tradicionalmente en base al opt-in. De hecho, en
relacin al acceso, ste debe estar sometido a la exigencia de obtener el
consentimiento previo del usuario, debiendo estar claramente determinado,
especficado e informado. La experiencia demuestra, sin embargo, que muchas veces
las solicitudes de autorizacin realizadas por los desarrolladores de aplicaciones de
terceros no muestran suficiente informacin para que el consentimiento del usuario
pueda ser considerado como especfico y suficientemente informado y, por lo tanto
vlido segn la legislacin de la UE (vase ms adelante).

5.3.4 Otros terceros

Los terceros que no sean los fabricantes de dispositivos ni desarrolladores de
aplicaciones pueden utilizar dispositivos IoT para recoger y procesar informacin sobre
los individuos. Por ejemplo, los seguros de salud pueden desear dar podmetros a los
clientes para controlar la frecuencia con que realizan ejercicio y adaptar sus primas de
seguro en consecuencia.
A diferencia de los fabricantes de dispositivos, tales terceros no tienen control sobre el
tipo de datos recogidos por el objeto. Sin embargo, ellos son calificados como
responsables del tratamiento para el proceso concreto de esos datos, en la medida en
que recogen y almacenan los datos generados por estos dispositivos IoT para fines
especficos que han decidido ellos mismos.
Ejemplo: Una compaa de seguros lanza un nuevo desafo y ofrece un contador de
pasos a los abonados que deseen solicitar cuotas ms bajas. Los suscriptores que
acepten la oferta recibirn un contador de pasos configurado y registrado por la
compaa. Mientras que los suscriptores pueden acceder a los datos registrados por
su contador de pasos, los propios dispositivos son propiedad de "FeelGood", que
tambin tiene acceso a los datos de sus suscriptores. En ese contexto, los suscriptores
deben ser considerados como interesados titulares de los datos y tener acceso a su
cuenta en la aplicacin de conteo de pasos, mientras que la compaa de seguros se
califica como un responsable del tratamiento.
5.3.5 plataformas de datos IoT
Debido a la falta de estandarizacin e interoperabilidad, la Internet de los Objetos es
a veces vista como una "Intranet de los objetos" en la que cada fabricante ha definido
su propio conjunto de interfaces y formatos de datos. Los datos se encuentran alojado
entonces en entornos de paredes, lo que impide de manera efectiva a los usuarios la
transferencia (ni siquiera combinando) sus datos de un dispositivo a otro.
Sin embargo, los telfonos inteligentes y las tabletas se han convertido en
laspasarelas naturales de los datos recogidos a travs de muchos dispositivos IoT a
internet. Como resultado, los fabricantes han desarrollado progresivamente
plataformas que tienen como objetivo alojar los datos recogidos a travs de este tipo
de dispositivos diferentes, con el fin de centralizar y simplificar su gestin.
Estas plataformas tambin se pueden calificar como responsables del tratamiento en
virtud de la legislacin de proteccin de datos de la UE, cuando el desarrollo de este
tipo de servicios efectivamente implica que recogen datos personales de los usuarios
para sus propios fines.
5.4 Las personas como titulares de los datos: abonados, usuarios, no-usuarios

Los suscriptores y ms generalmente los usuarios de la IoT se califican como titulares

de los datos en virtud de la legislacin comunitaria.
Si los datos que se recogen y almacenan se utilizan exclusivamente para sus fines
personales o domsticos, caern bajo la llamada "exencin domstica" de la Directiva
95/46/CE. Sin embargo, en la prctica, el modelo de negocio de la IoT implica que los
datos del usuario se transfieren de forma sistemtica a los fabricantes de dispositivos,
desarrolladores de aplicaciones y otros terceros que se califican como responsables del
tratamiento. La "exencin domstica" ser por lo tanto de aplicacin limitada en el
contexto de la IoT.
El tratamiento de los datos en la IoT tambin puede referirse a las personas que no son
ni los suscriptores ni los usuarios reales de la IoT. Por ejemplo, los dispositivos
porttiles como gafas inteligentes tienden a recopilar datos sobre otros titulares de los
datos adems del propietario del dispositivo. Es importante destacar que este factor
no impide que la legislacin comunitaria se aplique a este tipo de situaciones. La
aplicacin de las normas de proteccin de datos de la UE no est condicionada por la
propiedad de un dispositivo o terminal, sino por el tratamiento de los datos personales
en s mismos, sea quien sea la persona fsica a quin pertenezca ese dato.

6. Las obligaciones que pesan sobre las partes interesadas de la IoT

Las partes interesadas de la IoT se califican como responsables del tratamiento (ya sea
individualmente o conjuntamente con otros) en virtud de la legislacin comunitaria
deben cumplir con las diferentes obligaciones que pesan sobre ellos en aplicacin de la
Directiva 95/46/CE y las disposiciones pertinentes de la Directiva 2002/58/CE, en su
caso. El presente dictamen slo se ocupa de la aplicacin de disposiciones que
merecen una atencin especial en este contexto, pero este enfoque limitado no
excluye la aplicacin de otras disposiciones restantes.
6.1 Aplicacin del artculo 5(3) de la Directiva sobre e-privacidad
El artculo 5(3) de la Directiva 2002/58/CE se aplica a situaciones en las que un actor
almacena o dispone de acceso a la informacin ya almacenada en un dispositivo IoT,
en tanto que los dispositivos IoT se califican como un "equipo terminal" a efectos de la
disposicin. Esta disposicin exige que el suscriptor o usuario en cuestin preste su
consentimiento a dicho acceso al almacenamiento para que estas acciones sean
legtimas, a menos que sean "estrictamente necesarias a fin de proporcionar un
servicio expresamente solicitado por el abonado o usuario".
Este requisito es especialmente importante cuando partes interesadas distintas del
usuario o suscriptor puedan tener acceso a la informacin sensible de carcter
personal almacenada en dicho equipo terminal.
El requisito del consentimiento en el artculo 5(3) se refiere principalmente al

fabricante del dispositivo, pero tambin a todas las partes interesadas que deseen
tener acceso a estos datos agregados en bruto almacenados en esta infraestructura.
Tambin se aplica a cualquier responsable del tratamiento que desee almacenar datos
adicionales en el dispositivo del usuario.
En tales circunstancias, las partes interesadas en la IoT deben asegurarse de que el
interesado haya dado su consentimiento efectivo a dicho almacenamiento y/o acceso,
despus de obtener informacin clara y completa del responsable del tratamiento
sobre, entre otras cosas, los fines del tratamiento.
Por lo tanto, el consentimiento del usuario debe ser obtenido antes de acceder a la
informacin del dispositivo que se puede utilizar para generar una huella digital
(incluyendo dispositivos porttiles). El Grupo de Trabajo ya emiti orientacin sobre el
concepto de consentimiento para las cookies o tecnologas de rastreo similares en su
Documento de Trabajo 02/2013 (WP-208) y que proporcionar ms orientacin sobre
esta cuestin en su futuro dictamen sobre huellas dactilares.
Ejemplo: Un podmetro registra el nmero de pasos dados por su usuario y almacena
esta informacin en su memoria interna. El usuario instala una aplicacin en su
ordenador para descargar directamente el nmero de pasos de su dispositivo. Si el
fabricante del dispositivo quiere cargar los datos de los podmetros en sus
servidores, tiene que obtener el consentimiento del usuario en virtud del artculo 5
(3) de la Directiva 2002/58/CE. Una vez que el fabricante del dispositivo ha cargado
los datos en sus servidores, slo mantiene los datos agregados sobre el nmero de
pasos por minuto. Una aplicacin que solicita el acceso a tales datos, en la medida en
que se almacena en el servidor del fabricante del dispositivo, a continuacin, no est
sujeta al artculo 5 (3) de la Directiva sobre e-privacidad, pero si a lo dispuesto en la
Directiva 95/46/CE relativa a la legitimidad del tratamiento posterior.
Adems, el propietario de un dispositivo IoT y la persona cuyos datos sern
monitorizados (el interesado) podran ser diferentes personas. Esta situacin puede
conducir a una aplicacin distribuida del artculo 5 (3) de la Directiva 2002/58/CE y de
la Directiva 95/46/CE.
Ejemplo: un servicio de alquiler de coches instala un dispositivo inteligente de
seguimiento de vehculos en sus coches de alquiler. Aunque el servicio de alquiler de
coches considerar al propietario/suscriptor del servicio de dispositivo/seguimiento,
el individuo que alquile el coche se califica como usuario del dispositivo. El artculo 5
(3), exige al fabricante del dispositivo (al menos) obtener el consentimiento
delusuario del dispositivo, en este caso el individuo que alquila el coche. Por otra
parte, la legitimidad del tratamiento de datos personales relativos a las personas que
alquilan coches ser sometido a los distintos requerimientos del artculo 7 de la
Directiva 95/46/CE.

6.2 Fundamentos jurdicos para el tratamiento (artculo 7 de la Directiva 95/46/CE)

usuario/abonado.

Las partes interesadas en la IoT calificadas como

responsables del tratamiento (ver seccin 6.3) tienen que
cumplir uno de los requisitos, enumerados en el artculo 7
de la presente Directiva para el tratamiento de los datos
personales, para que ste sea legtimo. Estos requisitos se
aplican a algunos de estos grupos de inters en la parte
superior de la aplicacin del artculo 5 (3), cuando el
tratamiento que est en juego va ms all del
almacenamiento de, o el acceso a, la informacin
almacenada
en
los
equipos
terminales
del

En la prctica, tres fundamentos jurdicos son relevantes en este contexto:

El primer fundamento jurdico en el que se debe confiar especialmente en el
marco de la IoT es el principio de Consentimiento (Artculo 7 (a)), ya sea
cumplido por los fabricantes de dispositivos, plataformas sociales o de datos,
arrendadores de dispositivos o terceros desarrolladores. En varias ocasiones,
el Grupo de Trabajo tambin ha publicado orientaciones sobre la aplicacin
simultnea de los requisitos del artculo 7 (a) y el artculo 5 (3) de la Directiva
2002/58/CE. Las condiciones para que tal consentimiento sea vlido bajo la
legislacin comunitaria tambin se han especificado en un anterior opinin
del Grupo de Trabajo.
El segundo fundamento jurdico corresponde al artculo 7 (b). Dispone que el
procesamiento es legtima cuando es necesario para el cumplimiento de un
contrato en el que el interesado sea parte. El alcance de este fundamento
jurdico est limitada por el criterio de "necesidad", que requiere una relacin
directa y objetiva entre el propio tratamiento y el propsito de la relacin
contractual que espera el interesado titular de los datos.
El tercer fundamento jurdico se corresponde con el artculo 7 (f). Permite el
tratamiento de datos personales cuando ste es necesario para la satisfaccin
del inters legtimo perseguido por el responsable del tratamiento o por el
tercero o terceros a los que se comuniquen los datos, excepto cuando ante
dichos intereses prevalezcan los intereses o los derechos fundamentales y las
libertades de las personas afectadas - en especial su derecho a la privacidad
con respecto al tratamiento de datos personales - que requieren la proteccin
del artculo 1 (1) de la Directiva.
En su sentencia en el caso Google Espaa, el Tribunal Europeo de Justicia (TJUE) ha
proporcionado orientaciones fundamentales sobre la interpretacin de esta
disposicin, adems de la ya prevista con anterioridad en los casos conjuntos ASNEF y

FECEMD (C-468/10 y C-469/10).

El tratamiento de los datos personales de un individuo en el contexto de la IoT es
probable que afecte de forma significativa a sus derechos fundamentales a la intimidad
y a la proteccin de datos personales que en otras situaciones, sin dispositivos IoT, los
datos no estaran interconectados o nicamente con gran dificultad. Estas situaciones
pueden ocurrir cuando los datos recogidos se refieren a la salud de un individuo, al
hogar o a su intimidad, a su ubicacin y a muchos otros aspectos de su vida privada.
A la luz de la gravedad potencial de esta interferencia, es evidente que dicho
tratamiento apenas se justifica por el inters econmico que un actor pueda tener del
procesamiento de la IoT. Otros intereses perseguidos por el responsable del
tratamiento o por el tercero o terceros a los que se comuniquen los datos deben entrar
en juego.
Ejemplo: En el marco de un plan para promover el uso del transporte pblico y
reducir la contaminacin, el Ayuntamiento quiere regular el aparcamiento en el
centro de la ciudad mediante la imposicin de restricciones de acceso, as como
tarifas de estacionamiento. La cuanta de la tasa depende de varios parmetros,
incluyendo el tipo de motor (disel, gasolina, elctrico) y la edad del vehculo. Una
vez que el vehculo se acerca a una plaza de aparcamiento gratuito, un sensor puede
leer la placa de matrcula con el fin de averiguar, a instancias de una base de datos, el
recargo o descuento que se aplicar de forma automtica en funcin de criterios
predefinidos. En este caso, el procesamiento de la informacin de la placa de licencia
para la determinacin de la cuota podra satisfacer el inters legtimo del responsable
del tratamiento. El tratamiento posterior, como la obtencin de informacin noanonimizada en la circulacin de vehculos a travs de la zona restringida requerira el
uso de otro fundamento jurdico.
6.3 Principios relativos a la calidad de los datos
Tomados en conjunto, los principios consagrados en el artculo 6 de la Directiva
95/46/CE constituyen una piedra angular de la ley de proteccin de datos de la UE.
Los datos personales deben ser recogidos y tratados de manera leal y lcita. El principio
de equidad requiere especficamente que los datos personales no deben ser recogidos
y procesados sin que el individuo realmente sea consciente de ello. Este requisito es
tanto ms importante en relacin con la IoT al estar los sensores realmente diseado
para no ser invasivos, es decir, tan invisibles como sea posible.
No obstante, los responsables del tratamiento que actan en la IoT (primero y ante
todo los fabricantes de dispositivos) deben informar a todas las personas en la
vecindad geogrfica, o vecindad digital, de los dispositivos conectados cuando se

recogen los datos relacionados con ellos o su entorno.

El cumplimiento de esta disposicin va ms all de un requisito legal estricto: El
recabado justo pertenece a las expectativas ms importantes de los usuarios en
relacin con la IoT, en particular en cuanto a Wearable Computing.
Ejemplo: Un dispositivo relacionado con la salud utiliza una pequea luz para
controlar el flujo de sangre en las venas, y para obtener informacin del latido. El
dispositivo incluye otro sensor que mide el nivel de oxgeno en la sangre, pero no hay
informacin disponible sobre esta coleccin de datos ni en el dispositivo ni en la
interfaz de usuario. Incluso si el sensor de oxgeno en sangre es completamente
funcional, no se debe activar primero sin informar al usuario. Se requerir el
consentimiento expreso para habilitar ese sensor.
El principio de limitacin de la finalidad implica que los datos slo pueden ser
recogidos con fines determinados, explcitos y legtimos. Cualquier otro tratamiento
que fuera incompatible con estos propsitos originales sera ilegal en virtud de la
legislacin comunitaria.
Este principio tiene por objeto permitir a los usuarios saber cmo y con qu fines se
estn utilizando sus datos y decidir si se debe confiar a un responsable del tratamiento
los datos. Estos efectos se deben definir antes de que el tratamiento de datos se lleve a
cabo, lo que excluye los cambios bruscos de las condiciones fundamentales de la
contratacin. Esto implica que las partes interesadas de la IoT deben tener una buena
visin general de su modelo de negocio antes de comenzar la recoleccin de los datos
personales.
Adems, los datos recogidos sobre el titular de los datos deben ser los estrictamente
necesarios para la finalidad especfica determinada previamente por el responsable del
tratamiento (el principio de "minimizacin de los datos").
Los datos que son innecesarios para tal fin no deben ser recogido y almacenados "por
si acaso" o porque "podra ser til ms adelante". Algunas partes interesadas
consideran que el principio de minimizacin de los datos puede limitar las
oportunidades potenciales de la IoT y, en consecuencia, ser una barrera para la
innovacin basndose en la idea de que los beneficios potenciales del tratamiento de
datos vendran del anlisis exploratorio con el objetivo de encontrar correlaciones no
obvias y tendencias.
El Grupo de Trabajo no puede compartir este criterio, e insiste en que el principio de
minimizacin de los datos juega un papel esencial en la proteccin de los derechos de
proteccin de datos otorgados por la legislacin comunitaria a las personas, por lo que

debe ser respetado como tal. Este principio implica especficamente que cuando los
datos personales no son necesarios para proporcionar un servicio especfico a ejecutar
en la IoT, se le ofrecer al menos al usuario la posibilidad de utilizar el servicio de
forma annima.
El artculo 6 tambin exige que los datos personales recogidos y tratados en el
contexto de la IoT se mantengan por un perodo no superior al necesario para los fines
para los que fueron recogidos y tratados posteriormente. Esa prueba de necesidad
debe ser realizada por todos y cada uno de los interesados en la prestacin de un
servicio especfico en la IoT, ya que los efectos del tratamiento respectivo de hecho,
puede ser diferente. Por ejemplo, los datos personales comunicados por un usuario
cuando se suscribe a un servicio especfico en la IoT deben eliminarse tan pronto como
el usuario pone fin a su suscripcin. Del mismo modo, la informacin borrada por el
usuario en su cuenta no debe mantenerse. Cuando un usuario no utiliza el servicio o
aplicacin por un perodo de tiempo definido, el perfil de usuario se debe establecer
como inactivo. Despus de otro perodo de tiempo se deben eliminar los datos. El
usuario debe ser notificado antes de que se tomen estas medidas, lo que significa que
la parte interesada relevante las tiene a su disposicin.
6.4 Tratamiento de datos sensibles (artculo 8)
Aplicaciones en la IoT pueden procesar datos personales que pueden revelar el origen
racial o tnico, opiniones polticas, creencias religiosas o filosficas, la pertenencia a
sindicatos, la salud o la vida sexual, que en realidad estn calificados como "datos
sensibles", por la proteccin especial que merecen en el sentido del artculo 8 de la
Directiva 95/46/CE.
En la prctica, la aplicacin del artculo 8 a datos sensibles en la IoT requiere que los
responsables del tratamiento obtengan el consentimiento explcito del usuario, a
menos que el interesado haya hecho pblicos los datos.
Tal situacin es probable que surja en los contextos especficos como en
dispositivosauto-cuantificadores. En estos casos, los dispositivos pertinentes estn
registrando principalmente datos en relacin con el bienestar del individuo. Estos
datos no constituye necesariamente datos de salud como tales, sin embargo, pueden
proporcionar rpidamente informacin acerca de la salud del individuo ya que los
datos se han registrado a lo largo del tiempo, por lo que es posible derivar inferencias
a partir de su variabilidad durante un perodo determinado. Los responsables del
tratamiento deberan anticipar este posible cambio en la calificacin y tomar las
medidas oportunas en consecuencia.
Ejemplo: X Company ha desarrollado una aplicacin que, mediante el anlisis de los
datos en bruto de las seales de electrocardiogramas generados por sensores
comerciales comnmente disponibles para los consumidores, es capaz de detectar

patrones de adiccin a las drogas. El motor de la aplicacin puede extraer

caractersticas especficas de electrocardiogramas (ECG) en bruto que, segn los
resultados de investigaciones anteriores, estn vinculados con el consumo de drogas.
El producto, compatible con la mayora de los sensores en el mercado, se podra
utilizar como una aplicacin independiente o a travs de una interfaz web que
requiere la carga de los datos. El consentimiento expreso del usuario debe ser
recogido para tratar los datos para ese propsito. El cumplimiento de este requisito
del consentimiento puede ser satisfecho en las mismas condiciones y en el momento
que cuando el consentimiento se recoge del interesado con arreglo al artculo 7 (a).
6.5 Los requisitos de transparencia (artculos 10 y 11)
Ms all de la exigencia de un recabado adecuado de datos en el artculo 6 (a), los
responsables del tratamiento deben comunicar informacin especfica a los
interesados en la aplicacin de los artculos 10 y 11: la identidad del responsable del
tratamiento, los fines del tratamiento, los destinatarios de los datos, la existencia de
los derechos de acceso y derecho de oposicin (que incluye informacin sobre cmo
desconectar el objeto para evitar la divulgacin de datos adicionales).
Dependiendo de las aplicaciones, esta informacin podra ser proporcionada, por
ejemplo, en el objeto en s utilizando la conectividad inalmbrica para transmitir la
informacin, o el uso de localizacin a travs de pruebas de preservacin de la
privacidad en proximidad efectuadas por un servidor centralizado para informar a los
usuarios que se encuentran cerca del sensor.
Esta informacin adicional se debe proporcionar de manera clara y comprensible, de
conformidad con el principio de tratamiento leal. Por ejemplo, el fabricante del
dispositivo puede imprimir en los objetos equipados con sensores un cdigo QR, o una
flashcode que describe el tipo de sensores y la informacin que captura, as como los
efectos de estas recolecciones de datos.
6.6 Seguridad (artculo 17)
El artculo 17 de la Directiva de Proteccin de Datos establece que el responsable del
tratamiento debe "aplicar las medidas tcnicas y de organizacin adecuadas, para la
proteccin de los datos personales" y que "el responsable del tratamiento, en caso de
tratamiento por cuenta del mismo, deber elegir un encargado del tratamiento que
rena garantas suficientes en relacin con las medidas de seguridad tcnica y de
organizacin de los tratamientos que deban efectuarse, y se asegure de que se
cumplen dichas medidas".
En consecuencia, cualquier grupo de inters que se califique como un responsable del
tratamiento sigue siendo plenamente responsable de la seguridad del tratamiento de
datos procesados.

Si los fallos de seguridad que resultan en

violaciones del principio de seguridad son el
resultado de un diseo inadecuado o falta de
mantenimiento de los dispositivos utilizados, se
compromete la responsabilidad del responsable
del tratamiento. En ese sentido, es necesario que
estos responsables del tratamiento lleven a cabo
evaluaciones de seguridad de los sistemas como
un todo, incluso a nivel de componentes,
aplicando los principios de seguridad componible.
En la misma lnea, el uso de la certificacin de
dispositivos, as como la armonizacin con las
normas de seguridad internacionalmente
reconocidas, debe implementarse para mejorar la seguridad general del ecosistema de
la IoT.
Subcontratistas que disean y fabrican componentes de hardware en nombre de otras
partes interesadas sin realmente tratar sus datos personales no pueden, en rigor, ser
responsables en virtud del artculo 17 de la Directiva 95/46/CE en el caso de que se
produzca una infraccin de proteccin de datos debido a una falla en la seguridad en
estos dispositivos. Sin embargo, estos grupos de inters juegan un papel clave en el
mantenimiento de la seguridad del ecosistema IoT. Las partes interesadas que llevan
responsabilidades directas de proteccin de datos frente a los interesados deben
asegurarse de que estn en manos de subcontratistas que aplican altos niveles de
seguridad con respecto a la privacidad en el diseo (PbD) y la fabricacin de sus
productos.
Como se dijo antes, las medidas de seguridad se llevarn a cabo teniendo en cuenta las
limitaciones operativas especficas de los dispositivos IoT. Por ejemplo, hoy en da, la
mayora de los sensores no son capaces de establecer un vnculo cifrado debido a la
prioridad que se da a la autonoma fsica del dispositivo o al control de costes.
Adems, los dispositivos que operan en la IoT tambin son difciles de conseguir, tanto
por razones tcnicas como de negocios. Como sus componentes suelen utilizar la
infraestructura de comunicaciones inalmbricas y se caracterizan por los recursos
limitados en trminos de energa y potencia de clculo, los dispositivos son vulnerables
a los ataques fsicos, las escuchas o ataques proxy. Tecnologas ms comunes
actualmente en uso - es decir, las infraestructuras PKI - no se estn migrando
fcilmente en los dispositivos IoT ya que la mayora de los dispositivos no tienen la
potencia de clculo necesaria para hacer frente a las tareas de procesamiento
requeridos.

La IoT implica una compleja cadena de suministro con mltiples partes interesadas
asumiendo diferentes grados de responsabilidad. Un fallo de seguridad podra tener su
origen en cualquiera de ellos, sobre todo cuando se consideran entornos M2M
basados en el intercambio de datos entre dispositivos. Por lo tanto, debe tenerse en
cuenta la necesidad de emplear protocolos seguros y ligeros que pueden utilizarse en
entornos de bajos recursos.
En este contexto en el que la precariedad de la capacidad de cmputo puede poner en
riesgo la comunicacin segura y eficiente, el GT29 subraya que es an ms importante
el cumplir con el principio de minimizacin de los datos y restringir el tratamiento de
datos personales, y en particular su almacenamiento en el dispositivo, al mnimo
requerido.
Adems, los dispositivos que estn diseados para acceder directamente a travs de
Internet no siempre son configurables por el usuario. De este modo podrn ofrecer un
camino de fcil acceso para los intrusos si siguen funcionando con la configuracin
predeterminada.
Prcticas de seguridad basadas en restricciones de la red, la desactivacin por defecto
de funcionalidades no crticas, la prevencin del uso de fuentes de actualizacin de
software no sean de confianza (limitando as los ataques de malware basado en la
alteracin cdigo) podra contribuir a limitar el impacto y el alcance de las posibles
violaciones de datos. Tales protecciones de privacidad deben ser incorporadas desde el
primer momento, en aplicacin de los principios de la "privacidad desde el diseo".
Adicionalmente, la ausencia de actualizaciones automticas revierte en la existencia de
vulnerabilidades frecuentes no corregidas que pueden ser fcilmente descubiertas a
travs de motores de bsqueda especializados. Incluso en los casos en que los usuarios
sean conscientes de las vulnerabilidades que afectan a sus propios dispositivos, es
posible que no tengan acceso a las actualizaciones del proveedor, ya sea debido a las
limitaciones de hardware o de tecnologas obsoletas que impiden al dispositivo ser
soportados mediante actualizaciones de software.
En caso de que un fabricante de dispositivos dejar de dar soporte a un dispositivo,
conviene prever soluciones alternativas de soporte (por ejemplo, abrir el software a la
comunidad de cdigo abierto). Los usuarios deben ser notificados de que sus
dispositivos pueden llegar a ser vulnerables a errores no corregidos.
Algunos de los sistemas de auto-comprobacin en el mercado (por ejemplo,
podmetros y seguidores del sueo), tambin sufren fallos de seguridad que permiten
a los atacantes manipular los valores observados que son reportados a las aplicaciones
y fabricantes de dispositivos. Es esencial que estos dispositivos reciban proteccin

adecuada contra la manipulacin de datos, en particular, si los valores reportados por

estos sensores impactan indirectamente en decisiones relacionadas con la salud de los
usuarios.
Por ltimo, pero no menos importante, una poltica adecuada de notificacin de
violaciones de datos tambin puede ayudar a contener los efectos negativos del diseo
del software y sus vulnerabilidades mediante la difusin de conocimiento y
proporcionando orientacin sobre esas cuestiones.

7. Derechos del interesado

Las partes interesadas de la IoT deben respetar los derechos de los interesados, de
conformidad con las disposiciones establecidas en los artculos 12 y 14 de la Directiva
95/46/CE y adoptar las medidas organizativas en consecuencia. Estos derechos no se
limitan a los suscriptores de los servicios de la IoT o propietarios de dispositivos,
concerniendo a cualquier persona cuyos datos personales sean tratados.
7.1 Derecho de acceso
Artculo 12 (a) establece que los interesados tienen derecho a obtener de los
responsables del tratamiento comunicacin en forma inteligible, de los datos que se
someten a un tratamiento y toda la informacin disponible sobre el origen.
En la prctica, los usuarios de la IoT tienden a ser bloqueado a sistemas especficos. Los
dispositivos generalmente envan primero datos al fabricante del dispositivo, el cual
hace que estos datos sean accesibles para el usuario a travs de un portal web o una
aplicacin. Este diseo permite a los fabricantes ofrecer servicios en lnea que
aprovechan las capacidades del dispositivo, pero tambin pueden impedir que los
usuarios elijan libremente el servicio que interacta con su dispositivo.
Adems, hoy en da, los usuarios finales estn raramente en condiciones de tener
acceso a los datos en bruto que estn registrados por los dispositivos IoT. Claramente,
los titulares muestran un inters ms inmediato en los datos interpretados que en
losdatos en bruto que pueden no tener sentido para ellos. Sin embargo, el acceso a
estos datos puede resultar til para los usuarios finales para entender lo que el
fabricante del dispositivo puede inferir acerca de ellos.
Tambin, hacer uso de estos datos en bruto les dara la capacidad para transferir sus
datos a otro responsable del tratamiento e interrumpir los servicios de datos, por
ejemplo, si el responsable del tratamiento original cambia su poltica de privacidad de
una manera que no les satisface. Hoy, en la prctica, estas personas no tienen ninguna
otra posibilidad que dejar de usar sus dispositivos la no proporcionar los responsables
del tratamiento esta funcionalidad, permitiendo el acceso slo a una versin
degradada de los datos crudos almacenados.

El GT29 cree que tales actitudes impiden el ejercicio efectivo del derecho de acceso
concedido a los particulares por el artculo 12 (a) de la Directiva 95/46/CE. Se cree que,
por el contrario, las partes interesadas en la IoT deben tomar medidas para permitir a
los usuarios la aplicacin efectiva de este derecho, y ofrecer a los usuarios la
posibilidad de elegir otro servicio que pudiera no ser provisto por el fabricante del
dispositivo. Estndares de interoperabilidad de datos se podran desarrollar de manera
til a tal efecto.
Tales pasos seran an ms relevantes de tomar, como el llamado "derecho de
portabilidad", que es probable que se consagrare como una variacin del derecho de
acceso en el proyecto de Reglamento General de Proteccin de Datos (RGPD/UE), y
tiene como objetivo poner un claro final a las situaciones "lock-in" de usuarios. La
ambicin del legislador europeo en este punto consiste en desbloquear los obstculos
de competencia y ayudar a los nuevos jugadores para innovar en este mercado.
7.2 Posibilidad de retirar su consentimiento y de oponerse
Los interesados deben tener la posibilidad de revocar el consentimiento previo dado al
tratamiento de informacin especfica y de oponerse al tratamiento de los datos
relativos a ellos mismos. El ejercicio de estos derechos debe ser posible sin
restricciones o impedimentos tcnicos u organizativos, y las herramientas
proporcionadas para registrar esta retirada deben ser accesibles, visibles y eficazes.
Esquemas de retirada deben ser de grano fino y deben cubrir:
Los datos recogidos por un objeto especfico (por ejemplo, solicitando que la
estacin meteorolgica deje de recoger datos de humedad, temperatura y
sonidos.
Un tipo especfico de datos recogidos por cualquier cosa (por ejemplo, un
usuario debe ser capaz de interrumpir la recogida de datos por cualquier
dispositivo de grabacin de sonido, ya sea un seguidor del sueo o una
estacin meteorolgica).
Un tratamiento de datos especficos (por ejemplo, un usuario podra requerir
que tanto su podmetro como su reloj dejaran ambos de contar los pasos).
Adems, dado que los Wearables "objetos conectados" es probable que sustituyan a
los objetos existentes que proporcionan funcionalidades habituales, los responsables
del tratamiento deberan ofrecer una opcin para desactivar la funcin de "conectado"
del nuevo objeto y permitir que funcione limitado como el objeto original al que
sustituyen (es decir desactivar la funcionalidad del reloj inteligente o la funcionalidad
de conectividad de las gafas).

El Grupo de Trabajo ya ha especificado que los interesados deben tener la posibilidad

de "retirar continuamente (su) consentimiento, sin tener que salir del servicio
provisto.
Ejemplo: un usuario instala una alarma de incendios conectada en su apartamento. La
alarma utiliza un sensor de ocupacin, un sensor de calor, un sensor ultrasnico y un
sensor de luz. Algunos de estos sensores son necesarios para detectar el fuego,
mientras que algunos de ellos slo ofrecen caractersticas adicionales sobre el que se
inform anteriormente. El usuario debe ser capaz de desactivar estas caractersticas
para hacer uso de slo la alarma de incendios, por lo tanto, desconectar los sensores
utilizados para proporcionar estas caractersticas adicionales.
Curiosamente, algunos desarrollos recientes en este campo estn tratando de
capacitar a los interesados, dndoles un mayor control sobre las funciones de
administracin del consentimiento, por ejemplo, mediante el uso de stickypolicies oprivacy proxies.

8. Conclusiones y recomendaciones
A continuacin se indican una serie de recomendaciones
que el GT29 ha considerado tiles con el fin de facilitar la
aplicacin de los requisitos legales de la UE respecto a la
IoT, mencionados anteriormente.
Las recomendaciones que siguen slo proporcionan
orientaciones que son adicionales a los documentos que
fueron aprobados previamente por el GT29.
En este sentido, el Grupo de Trabajo desea llamar la atencin especfica a sus
recomendaciones anteriores en aplicaciones en dispositivos inteligentes. Debido a que
los telfonos inteligentes son parte del entorno de la IoT y los ecosistemas implican un
conjunto comparable de grupos de inters, estas recomendaciones son directamente
relevantes para la IoT. En particular, los desarrolladores de aplicaciones y fabricantes
de dispositivos deben proporcionar un nivel adecuado de informacin a los usuarios
finales, ofrecer opciones de exclusin simples y/o consentimiento granular, en su caso.
Adems, cuando no se haya obtenido el consentimiento, el responsable del
tratamiento debe anonimizar los datos antes de reutilizarlos o compartirlos con otros
partidos.
8.1 Recomendaciones comunes a todas las partes interesadas
Deben realizarse Evaluaciones de Impacto en la Privacidad (PIA) antes de que
las nuevas aplicaciones se inicien en la IoT. La metodologa a seguir para tales
PIA se puede basar en la privacidad y el Marco de Evaluacin de Impacto de

Proteccin de Datos que el G29 ha adoptado el 12 de enero de 2011 para

aplicaciones RFID. Cuando proceda y sea factible, las partes interesadas
deberan considerar la posibilidad de poner el PIA correspondiente a
disposicin del pblico en general. Marcos especficos de PIA podran ser
desarrollados para determinados ecosistemas IoT (por ejemplo, ciudades
inteligentes
Muchas partes interesadas de la IoT slo necesitan datos agregados y no
tienen necesidad de los datos en bruto recogidos por los dispositivos IoT. Las
partes interesadas deben borrar los datos en bruto en cuanto hayan extrado
los datos necesarios para su procesamiento de datos. Como principio, la
eliminacin debe tener lugar en el punto de recogida de datos de los datos en
bruto ms cercano (por ejemplo, en el mismo dispositivo despus del
procesamiento).
Cada parte interesada en la IoT debe aplicar los principios de privacidad desde
el diseo (PbD) y la privacidad por defecto.
La capacitacin del usuario es esencial en el contexto de la IoT. Los
interesados y los usuarios deben ser capaces de ejercer sus derechos y, en
consecuencia, tener "en control" de los propios datos en cualquier momento
de acuerdo con el principio de auto determinacin de los datos (habeas
data).
Los mtodos de mostrar la informacin, otorgando el derecho a rechazar o
solicitar el consentimiento debe ser tan fcil de usar como sea posible. En
particular, las polticas de informacin y consentimiento deben centrarse en
proveer informacin que sea comprensible para el usuario y no debe limitarse
a una poltica de privacidad general ubicada en la pgina web de los
responsables.
Dispositivos y aplicaciones deben disearse a fin de informar a los usuarios y
a los no-usuarios titulares de los datos, por ejemplo a travs de la interfaz
fsica del dispositivo o mediante la difusin de una seal en un canal
inalmbrico.
8.2 OS y fabricantes de dispositivos
Los fabricantes de dispositivos debern informar a los usuarios sobre el tipo
de datos que son recogidos por los sensores y tratados posteriormente, los
tipos de datos que reciben y cmo van a ser procesados y combinados.
Los fabricantes de dispositivos deben ser capaces de comunicar a todos los
dems actores involucrados en cuanto un interesado retira su consentimiento
o se opone al tratamiento de datos.
Los fabricantes de dispositivos deben proporcionar opciones granulares en la
concesin de acceso a las aplicaciones. La granularidad debe aplicarse no slo
al tipo de los datos recogidos, sino tambin el tiempo y la frecuencia en la
que se capturan los datos. De manera similar a la caracterstica de "no
molestar" en los telfonos inteligentes, los dispositivos IoT deberan ofrecer

una opcin de "no recogen" para programar o desactivar rpidamente

sensores.
Para evitar el seguimiento de localizacin, los fabricantes de dispositivos
deben limitar la huella dactilar del dispositivo mediante la desactivacin de
las interfaces inalmbricas cuando no se utilicen o deban utilizar
identificadores aleatorios (como direcciones MAC aleatorias para escanear
redes wifi) para evitar un identificador persistente de sea utilizado para el
seguimiento de la ubicacin.
Para cumplir con la transparencia y el control del usuario, los fabricantes de
dispositivos deben proporcionar herramientas para leer localmente, editar y
modificar los datos antes de ser transferidos a cualquier responsable del
tratamiento. Adems, los datos personales tratados por un dispositivo deben
ser almacenados en un formato que permita la portabilidad.
A los usuarios les corresponde el derecho de acceso a sus datos personales.
Deben contar con herramientas que les permitan exportar fcilmente sus
datos en un formato estructurado y de uso comn. Por lo tanto, los
fabricantes de dispositivos deben proporcionar una interfaz fcil de usar para
los usuarios que quieren obtener tanto los datos agregados y/o los datos en
bruto que todava almacene.
Los fabricantes de dispositivos deben proporcionar herramientas sencillas
para notificar a los usuarios y para actualizar los dispositivos cuando se
descubren vulnerabilidades de seguridad. Cuando un dispositivo se vuelve
obsoleto y ya no se actualiza, el fabricante del dispositivo debe notificar al
usuario y asegrese de que es consciente de la situacin. Todas las partes
interesadas que puedan verse afectadas por la vulnerabilidad tambin deben
ser informadas.
Los fabricantes de dispositivos deben seguir un proceso de seguridad por
diseo y dedicar algunos componentes a las primitivas criptogrficas clave.
Los fabricantes de dispositivos deben limitar tanto como sea posible la
cantidad de datos almacenados en los dispositivos mediante la
transformacin de los datos en bruto en los datos agregados directamente en
el dispositivo. Los datos agregados deben estar en un formato estandarizado.
A diferencia de los telfonos inteligentes, los dispositivos de IoT pueden ser
compartidos por varios titulares de los datos o incluso alquilar (por ejemplo,
hogares inteligentes). Un parmetro de ajuste debe ser capaz de distinguir
entre diferentes personas que utilizan el mismo dispositivo de modo que no
puedan aprender acerca de las actividades del otro.
Los fabricantes de dispositivos deben trabajar con los organismos de
normalizacin y las plataformas de informacin para apoyar un protocolo
comn para expresar sus preferencias con respecto a la recogida y
tratamiento de datos por los responsables del tratamiento, especialmente
cuando tales datos son recogidos por dispositivos discretos.
Los fabricantes de dispositivos deben permitir a las entidades responsables y

encargadas locales (los llamados proxies de privacidad personal) que

permitan a los usuarios tener una idea clara de los datos recogidos por sus
dispositivos y facilitar el almacenamiento y el procesamiento local sin tener
que transmitir los datos al fabricante del dispositivo.
8.3 Los desarrolladores de aplicaciones
Los avisos o advertencias deben ser diseados para recordar a los usuarios
frecuentemente que los sensores estn recopilando datos. Cuando el
desarrollador de la aplicacin no tiene un acceso directo al dispositivo, la
aplicacin debe enviar peridicamente una notificacin al usuario para
hacerle saber que sigue grabando datos.
Las solicitudes deben facilitar el ejercicio de los derechos de los interesados
de acceso, rectificacin y cancelacin de sus datos personales recogidos por
los dispositivos IoT.
Los desarrolladores de aplicaciones deben proporcionar las herramientas para
que los titulares de los datos pueden exportar tanto datos en crudo, como los
datos agregados, en un formato estndar y utilizable.
Los desarrolladores deben prestar especial atencin a los tipos de datos que
estn siendo procesados y de la posibilidad de deducir datos personales
sensibles de ellos.
Los desarrolladores de aplicaciones deben aplicar un principio de
minimizacin de los datos. Cuando el objetivo se puede lograr utilizando los
datos agregados, los desarrolladores no deben acceder a los datos en bruto.
De manera ms general, los desarrolladores deben seguir un enfoque de
Privacidad por Diseo (PbD) y minimizar la cantidad de datos recogidos
necesarios para prestar el servicio.
8.4 Las plataformas sociales
La configuracin predeterminada de aplicaciones sociales basadas en
dispositivos de IoT deben preguntar a los usuarios, revisar, editar y decidir
sobre la informacin generada por su dispositivo antes de su publicacin en
las plataformas sociales.
La informacin publicada por los dispositivos IoT en las plataformas sociales
debe, por defecto, no ser convertida en pblica o ser indexada por los
motores de bsqueda.
8.5 dueos de dispositivos IoT y usuarios adicionales
El consentimiento para el uso de un dispositivo conectado y al tratamiento de
datos resultante debe ser informado y dado libremente. Los usuarios no
deben ser penalizados econmicamente o ver degradado el acceso a las
capacidades de sus dispositivos si deciden no utilizar un dispositivo o un

servicio especfico.
El interesado cuyos datos se estn procesando en el contexto de una relacin
contractual con el usuario de un dispositivo conectado (es decir, del hotel, de
seguros de salud o inquilino del coche) debe estar en condiciones de
administrar el dispositivo. Con independencia de la existencia de cualquier
relacin contractual, cualquier no-usuario debe tener la capacidad de ejercer
sus derechos de acceso y oposicin.
Los usuarios de dispositivos IoT deben informar a los interesados no-usuarios
que sus datos se recogen de la presencia de dispositivos IoT y el tipo de datos
recogidos. Tambin deben respetar la preferencia del interesado de no ceder
sus datos recogidos por el dispositivo.
8.6 Organismos de normalizacin y plataformas de datos
Los organismos de normalizacin y las plataformas de datos deben promover
formatos de datos claros y fciles de entender, portables e interoperables,
facilitando as tanto las transferencias de datos entre las diferentes partes
interesadas, como el ayudar a que los interesados entiendan lo que
realmente se est recopilando sobre ellos por los dispositivos IoT.
Los organismos de normalizacin y las plataformas de datos no deben
centrarse nicamente en el formato de datos en bruto, sino tambin en la
aparicin de formatos para los datos agregados.
Los organismos de normalizacin y las plataformas de datos deben promover
los formatos de datos que contengan el menor nmero de identificadores
fuertes como sea posible, con el fin de facilitar la anonimizacin adecuada de
los datos de la IoT.
Los organismos de normalizacin deberan trabajar en estndares certificados
en que figuren la lnea de base de las garantas de seguridad y privacidad para
los interesados.
Organismos de normalizacin deben desarrollar protocolos de cifrado y
comunicacin ligeros adaptados a las especificidades de la IoT, garantizando
la confidencialidad, integridad, autenticacin y control de acceso.

9. Bibliografa consultada
- [1] ARTICLE 29 DATA PROTECTION WORKING PARTY.Opinion 8/2014 on the on
Recent Developments on the Internet of Things. Adopted on 16 September 2014.
14/EN WP 223.
Dictamen 8/2014
- [2] GRUPO DE TRABAJO DEL ARTCULO 29 SOBRE PROTECCIN DE DATOS.
Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes. Adoptado

el 27 de febrero de 2013. 00461/13/ES WP 202.

Dictamen 02/2013
- NOTA del editor: Puede consultarse en este mismo blog
un artculo relacionado bajo el ttulo La IoT (Internet de
las cosas) y sus implicaciones ticas, legales y de
seguridad que escrib junto al Dr. en Derecho Luis Felipe
Lpez lvarez.
La IoT y sus implicaciones ticas, legales y de seguridad

10. Derechos de autor

This Working Party was set up under Article 29 of Directive
95/46/EC. It is an independent European advisory body on
data protection and privacy. Its tasks are described in
Article 30 of Directive 95/46/EC and Article 15 of Directive
2002/58/EC.
Copyright notice: European Union, 1995-2014
Reuse is authorised, provided the source is acknowledged. The reuse policy of the
European Commission is implemented by a Decision of 12 December 2011.
The general principle of reuse can be subject to conditions which may be specified in
individual copyright notices. Therefore users are advised to refer to the copyright
notices of the individual websites maintained under Europa and of the individual
documents. Reuse is not applicable to documents subject to intellectual property
rights of third parties.