LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN LAS CIUDADES INTELIGENTES (“SMART CITIES”) -Documento para el debate- Barcelona, febrero de 2013
LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN LAS CIUDADES INTELIGENTES
(“SMART CITIES”)
-Documento para el debate-
Barcelona, febrero de 2013
2
ÍNDICE 1. Introducción 2. Objetivos del Documento de Trabajo 3. Conceptos 3.1. ¿Qué es una Smart City? 3.2. Otros conceptos relacionados 4. La aplicación de los principios de la protección de datos en el contexto de las Smart Cities. 4.1 Principio de legitimidad y consentimiento. 4.2 Principio de finalidad. 4.3 Principio de calidad. Principio de minimización. 4.4 Principio de información o transparencia. 4.5 Ejercicio de derechos por parte de las personas interesadas. 4.6 Medidas de seguridad. 5. Los instrumentos para la protección de la privacidad: evaluaciones de impacto sobre la privacidad, tecnologías para la protección de la privacidad, Privacidad en el Diseño y Privacidad por Defecto. 6. La necesidad de un marco normativo específico 7. Conclusiones
3
1. INTRODUCCIÓN Este documento de trabajo constituye un punto de partida en el estudio del impacto en
la privacidad de las personas, de la implantación de las llamadas ciudades inteligentes
o “Smart cities”1 . Para hacerlo habrá que definir, en primer lugar, qué se entiende por
Smart City y cuáles son los ejes de interés de las Smart Cities. Como veremos, en
este contexto muchas ciudades están desarrollando diferentes servicios y prestaciones
que se ponen a disposición de los ciudadanos y que pretenden conseguir un modelo
de ciudad más habitable, más eficiente y más sostenible.
El desarrollo de las Smart Cities genera (y es previsible que en el futuro esto se
incremente exponencialmente) un tratamiento de información de todo tipo
(medioambiental, de recursos energéticos, de consumo, de tráfico y movimientos
urbanos, etc.). En este trabajo no nos referiremos a toda la información vinculada al
desarrollo de las Smart Cities sino que nos centraremos sólo en analizar si en el
contexto de las Smart Cities se produce un “tratamiento de datos personales” (artículo
3.a y 3.c) de la Ley Orgánica de Protección de Datos, LOPD), de qué tipo, y qué
afectaciones puede tener este tratamiento desde la perspectiva de la protección de
datos y la privacidad, en concreto, en atención a los principios y obligaciones de la
normativa de protección de datos (Directiva 95/46/CE, así como la LOPD y el RLOPD,
especialmente)2 .
En este análisis se han tenido en cuenta varios ejemplos de lo que denominaremos
“experiencias Smart City” con el fin de examinar qué dificultades existen para aplicar
adecuadamente los principios de la protección de datos, aunque obviamente las
1 Dado que en este documento se hace referencia a varios conceptos que se conocen y se utilizan de forma generalizada en inglés, se considera adecuado mantener ciertas referencias en su versión inglesa. 2 Normativa citada: Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DOCE L 281, de 23.11.1995), Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (BOE núm. 298, de 14.12.1999) y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (BOE núm. 17, de 19.1.2008).
4
aplicaciones y los servicios que se pueden incluir en el concepto de Smart City pueden
ir mucho más allá.
Para fundamentar las consideraciones y reflexiones que se hacen a continuación, que
sólo pretenden ser un “punto de partida” o un apunte sobre varios aspectos clave
sobre los que habrá que reflexionar desde la perspectiva de la protección de datos, se
ha tenido en cuenta la normativa reguladora de la protección de datos y también la
relativa al desarrollo de cuestiones relacionadas con las Smart Cities, principalmente
en el marco de la UE (Recomendaciones, Grupos de trabajo...), así como varios
documentos que consideramos relevantes, por proceder de grupos de expertos y
autoridades relevantes en materia de protección de datos personales.
2. OBJETIVOS DEL DOCUMENTO DE TRABAJO
Este Documento de Trabajo se configura como un elemento que ayude a valorar
posibles actuaciones que esta Autoridad3 puede llevar a cabo en relación con las
Smart Cities y otros temas relacionados, en el sentido de abrir el debate y el análisis
sobre la cuestión desde la perspectiva de la protección de datos personales, y también
como un elemento de reflexión tanto para las administraciones públicas de Cataluña
que quieren implantar alguno de los servicios que se engloban dentro de las Smart
Cities, como para las empresas que llevan a cabo el diseño y la implantación de estas
tecnologías. En este sentido, resulta conveniente abrir la posibilidad que las diferentes
“partes interesadas” -stakeholders- (Ayuntamientos y otras administraciones, sector
público y privado implicado en desarrollos de experiencias Smart City, grupos de
trabajo, universidades...) puedan hacer aportaciones y comentarios a este Documento
de Trabajo o abrir otras vías de colaboración con vistas a contribuir a la mejora, desde
la perspectiva de la protección de datos personales, del despliegue de las Smart
Cities.
En cualquier caso, ya avanzamos que en este Documento de Trabajo pondremos
algunos ejemplos de Smart Cities, de aplicaciones concretas que se han llevado a
cabo y que podemos englobar en este concepto amplio (que pueden afectar al tráfico -
carriles VAO, Teletacs, etc-, al aparcamiento, sistemas de geolocalización de plazas
3 Ver la Ley 32/20010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos (DOGC núm. 5731, de 8.10.2010).
5
de aparcamiento disponibles, gestión de flotas de vehículos o bicicletas, alumbrado
público, recogida de basura, localización de espacios o comercios, títulos de
transporte público personalizados, etc), y trataremos con detalle lo referente al
desarrollo energético sostenible, en el contexto de las Smart Cities. Actualmente, uno
de los puntos clave de las Smart Cities es el aprovechamiento sostenible de recursos
energéticos. Esto ha llevado a la UE a elaborar una serie de documentos
(recomendaciones y comunicaciones que citaremos en detalle más adelante) que
tratan precisamente de la progresiva implantación de redes inteligentes y de
contadores inteligentes. Esto puede comportar un tratamiento de datos importante, y
por eso estas redes y contadores, y los textos que desde la UE se van elaborando,
han sido objeto de análisis por parte de los expertos en protección de datos
(Supervisor Europeo de Protección de Datos “SEPD”, el Grupo de Trabajo del Artículo
29 “GT29”, o el Grupo de Trabajo en Protección de Datos y Telecomunicaciones
“Grupo de Berlín”). Dado que estos textos analizan cuestiones importantes en relación
con la protección de datos, nos referiremos a ellos en diferentes puntos de este
Documento de Trabajo. Ciertamente, buena parte de estos documentos se centran en
las redes y los contadores inteligentes, pero las cuestiones apuntadas (aplicación de
principios de protección de datos, seguridad de los datos, advertencias al legislador...)
pensamos que son extrapolables, al menos en parte, a otros ejemplos o concreciones
de las Smart Cities que pueden generar un importante tratamiento de datos
personales.
3. CONCEPTOS
Si bien no se dispone de una definición cerrada o uniforme de lo que son las “ciudades
inteligentes” o Smart Cities, se puede considerar que hay una serie de elementos que
deberían estar presentes en mayor o menor medida, para catalogar a una ciudad o a
un determinado servicio como “smart”.
La definición o, al menos, la enumeración de los elementos que deberían concurrir
para definir una Smart City es relevante, porque nos permitirá diferenciar las Smart
Cities de otros conceptos que pueden tener mayor o menor relevancia desde la
perspectiva de la protección de datos personales.
6
Situar adecuadamente estos conceptos permitirá centrar el objeto de estudio, esto es,
el impacto o incidencia de las Smart Cities en la protección de datos personales, así
como dejar de lado otras cuestiones que no tienen especial repercusión en la materia
que nos ocupa (por ejemplo, utilización de información medioambiental o de estado del
tráfico en un municipio sin ninguna relación con personas concretas, que se pone a
disposición de los ciudadanos y del público en general).
3.1. Qué es una Smart City?
Como primera aproximación al concepto de Smart City4, se puede afirmar que se trata
de un modelo de desarrollo urbano que en los últimos años ha despertado el interés
de varios sectores (administraciones públicas, autoridades locales, sector privado,
etc.), que tiene que ver con cuestiones tan diversas como por ejemplo el crecimiento y
la gestión sostenible de las áreas urbanas, la prosperidad económica en términos “de
economía inteligente, sostenible e integradora”5, la utilización más eficiente de la
energía –apostando claramente por las energías renovables- y otros recursos en el
entorno urbano, la mejora de las condiciones de vida de sus habitantes en relación con
ámbitos tan diversos como la educación, el transporte público, la salud o el medio
ambiente, así como la mayor implicación de los propios habitantes de cascos urbanos
en este desarrollo. Se busca, en este sentido, profundizar en el concepto clásico de
“comunidad”.
Algunos autores definen como smart aquella ciudad en la que las inversiones en
capital humano y social y las infraestructuras de comunicación (con especial referencia
a las Tecnologías de la Información y la Comunicación, “TIC”), están enfocadas al
desarrollo económico sostenible, y en las que hay –o se persigue- una alta calidad de
vida, una gestión inteligente de los recursos naturales y una governanza participativa a
nivel social y cultural6. Ciertamente, el término de “governanza”, entendida como la
manera de gobernar que se fundamenta en la interrelación de los organismos
encargados de la dirección política de un territorio y la sociedad civil, para dar poder,
4 Especialmente ilustrativo, por los ejemplos expuestos de Smart Cities en varias ciudades españolas, es: "Smart Cities: un primero paso hacia la internet de las cosas". Fund. Telefónica, Ed. Ariel. 5 Comunicación de la Comisión Europea “Europa 2020. Una estrategia para un crecimiento inteligente, sostenible e integrador”. Bruselas, 3.3.2010, COM (2010)2020. 6 “Smart Cities in Europe”. A. Caragliu, C. del Po, P. Nijkamp (2009). http://ideas.repec.org/p/dgr/vuarem/2009-48.html
7
autoridad e influencia a la sociedad sobre las decisiones que afectan la vida pública,
parece que debe tomar un claro protagonismo en el entorno de las Smart Cities.
Podemos relacionar las Smart Cities con el concepto de ”Eco-barrio”, que tiene la
virtud de ser un entorno lo bastante amplio como para hacer determinadas
transformaciones que buscan el desarrollo sostenible y ser, al mismo tiempo, lo
suficientemente acotado como para fomentar más fácilmente la implicación de sus
habitantes7.
En definitiva, hay un cierto consenso a la hora de considerar que la habitabilidad, la
eficiencia energética, los recursos tecnológicos avanzados y la iniciativa económica y
empresarial de innovación, entre otros elementos, son premisas que deberían estar
presentes, en mayor o menor medida, cuando nos referimos a las Smart Cities. Se
habla también de los “ejes” principales de las Smart Cities, en concreto, la economía
inteligente; movilidad inteligente; medio ambiente inteligente; población inteligente;
manera de vivir inteligente y governanza inteligente. Estos ejes se basan en teorías de
competitividad regional, transporte y TIC, recursos naturales, capital humano y social,
calidad de vida y participación de los ciudadanos en la governanza de las ciudades8.
Así pues, ámbitos como el de la demografía, los aspectos sociales y económicos, el
desarrollo cívico, la educación, el medio ambiente (tanto a nivel de espacios públicos
como, por ejemplo, a través del desarrollo de edificios inteligentes), el transporte y la
movilidad, la sociedad de la información, el ocio y la cultura, parece que pueden estar
(o tienen que estar), en mayor o menor proporción, presentes en la agenda de una
ciudad que se quiera considerar “smart”.
De entrada, hay actualmente un gran número de ciudades que pueden ser
catalogadas -o que, como mínimo, se consideran a ellas mismas- como Smart Cities.
Son muchos los ejemplos de Smart Cities que se pueden mencionar. Algunos autores
hacen, incluso, una clasificación según el ámbito priorizado en cada caso (transporte o
movilidad urbana, gestión energética, medio ambiente o e-gobierno, entre otros)9 .
7 MORÁN ALONSO, N. “Ecobarrio”.Madrid, 9.6.2008, citando la definición de RUDIN, D. FALK, N. (1999) “Building the 21st century home. The Sustainable Urban Neighbourhood.” Architectural Press. (http://habitat.aq.upm.es ). 8 Font: Varios artículos extraídos de la documentación incluida en el Dossier “Smart City:vivere meglio in città piú intel.ligenti” (disponibles en inglés) del “FORUM PA 2010”: http://portal.forumpa.it/ 9 “¿Qué son las smart cities o ciudades inteligentes?”. J. M. Hernández Muñoz, http://sociedadinformacion.fundacion.telefonica.com :
8
En cualquier caso, a día de hoy no hay un “registro oficial” de ciudades smart, ni
ninguna autoridad o ente, público o privado, que se encargue de dar un sello de
validez a una ciudad para convertirse en smart. En este sentido debemos tener en
cuenta que se trata de un proceso abierto donde los cambios y los avances, a veces
significativos y a veces pequeños pero constantes, se van produciendo de forma
incesante.
Son diversos los foros, grupos de trabajo e iniciativas, tanto públicas como promovidas
desde el sector privado empresarial, que en los últimos años focalizan su interés en el
fenómeno de las Smart Cities y en las experiencias e iniciativas que se llevan a cabo
en varios países. Sin perjuicio de que, si resulta oportuno, se harán comentarios o
valoraciones más concretas al respeto, a efectos ilustrativos citamos algún proyecto,
por incluir listados de ciudades, con detalle de las “experiencias Smart City” llevadas a
cabo o planificadas10 :
A nivel de la UE destaca el Proyecto “European Smart Cities”11, que nuevamente
recurre a los “ejes” citados (economía, movilidad, medio ambiente, personas, modo de
vida, governanza), y establece incluso un ranking de ciudades smart europeas, en
función de su posición según el “benchmarking” (estándar de comparación)
predefinido. Tomaremos como referencia este estudio, para poner algunos ejemplos
de experiencias Smart Cities en el apartado correspondiente de nuestro estudio. En
este Proyecto se estudian 70 ciudades europeas, sin que esto implique, ni mucho
menos, que sean las únicas ciudades a las que se pueda considerar como Smart
Cities. En cuanto a España, incluye las ciudades de Pamplona, Oviedo y Valladolid.
En cuanto a Cataluña, varias ciudades han emprendido proyectos relacionados con las
Smart Cities, entre otros, Barcelona, Sabadell, Figueres, Sant Vicenç dels Horts, Sant
“- Eficiencia y gestión energética: Málaga, Amsterdam. - Entornos de negocio y ‘economía del conocimiento’: Luxemburgo, Dubai, Malta, Kochi. - Transporte y movilidad urbana: Singapur, Brisbane, Estocolmo, Maastricht. - e-Gobierno y participación ciudadana: Tampere, Turku, Alburquerque. - Medio-ambiente: Copenhague, Vancouver, Melbourne, Montpellier. - Urbanismo (también energías y entornos de negocio): Masdar, Sondgo. - Turismo y actividad cultural: París, Londres, Salzburgo, Brujas, Sidney, Zurich, etc. - Sanidad y atención personal: París, Granada, (...).” 10 Algunos otros son: - SETIS “European Initiative donde Smart Cities”: http://setis.ec.europa.eu/about-setis/technology-roadmap/european-initiative-on-smart-cities 11 Toda la documentación citada se encuentra en: http://www.smart-cities.eu
9
Cugat del Vallès, Viladecans o Tarragona. Las ciudades catalanas han apostado en
los últimos años para involucrarse en el desarrollo de proyectos relacionados, entre
otros, con el Open Data12; sensorización de plazas de aparcamiento; la gestión
eficiente y sostenible en los campos de la iluminación urbana, el agua, la movilidad, la
energía o la gestión y recogida de residuos; la medición de magnitudes
medioambientales (temperatura, humedad, lluvia...); la medición del tráfico de
vehículos a través de sensores; la reducción de consumo energético en viviendas; el
uso de bicicletas y de vehículos eléctricos; las redes de fibra óptica y las redes
inalámbricas “Wi-Fi”, etc13.
Varias ciudades catalanas también se han involucrado en los últimos años en la
organización y participación en varios foros y grupos de debate sobre el desarrollo de
experiencias de Smart City14.
Otro Proyecto que querríamos destacar es el Proyecto “Smart Cities”15, puesto que se
utiliza un concepto que puede tener cierta relevancia en relación con la protección de
datos (o mejor, puede ser un instrumento para proteger la privacidad). Se trata del
concepto de “personas” (palabra en castellano, utilizada así en el documento original
en inglés)16, que se refiere no a “personas físicas identificadas o identificables”, sino a
12 En cuanto a ejemplos de Open Data, también hay que citar el portal de la Generalitat de Cataluña: http://www20.gencat.cat/portal/site/dadesobertes 13 Además de ejemplos que citaremos en otros apartados, mencionamos las siguientes referencias: Barcelona: Sobre varias acciones previstas: http://smartbarcelona.cat ; “SMARTGEO: TIC/SIG y smart cities”, a www.gencat.cat (Departamento de Territorio y Sostenibilidad) ; sobre el Open Data: http://w20.bcn.cat/opendata/ ; consultar el documento “Compromiso ciudadano por la sostenibilidad 2012-2020”, a: http://w110.bcn.cat ; sobre la red wifi: http://www.bcn.cat/barcelonawifi.ca Sabadell: Sobre el servicio Open Data: www.sabadell.cat Figueres: Instalación de sensores para recoger datos sobre la circulación de vehículos, el alumbrado o la gestión de residuos (www.figueres.cat ) Sant Vicenç dels Horts: Participación en el Proyecto “Sanvi Sens” (www.smartcities.es ; http://www.i2cat.net/es/projecte/sanvi-sens-0 ). Sant Cugat del Vallès: Participación en el Proyecto europeo “3e-houses”, de reducción de consumo energético (www.upc.es ) ; Proyecto piloto de calle inteligente integral (http://smartcity.santcugat.cat ). Viladecans: Ver varios proyectos en: http://europa2020.cviladecans.cat y www.smartcityviladecans.com 14 “2nd Smart City Expo World Congress”, Barcelona, 13-15.11.2012 (http://www.smartcityexpo.com/ca/congress ); “Y Congreso Mediterráneo de Eficiencia Energética y Smart Green Cities”, Tarragona, 7-8.11.2012 (www.tarragona.cat ); Jornada: “Una ciudad inteligente para una sociedad del bienestar” (S. Vicenç dels Horts, 24.11.2011); Jornada: “Estrategia Smart City para los municipios de Cataluña”, Viladecans, 27.3.2012 (www.viladecans.cat ; www.smartcityviladecans.com ); “Sabadell Smart Congress”, 8-9.4.2013 (www.sabadellsmartcongress.com ); 15 “North Sea Region Programme”, proyecto de un grupo de investigación que recibe apoyo de la “European Regional Development Fund.” Font: http://www.smartcities.info 16 Concepto creado por Alan Cooper, experto en software. Sobre este concepto y sus aplicaciones, ver: “Making customer groups real – using Personas”. www.smartcities.info
10
arquetipos o modelos de personas que reúnen una serie de características concretas.
A dicho arquetipo se le atribuye un nombre, edad, profesión, intereses y aficiones... en
definitiva, un “perfil”, incluyendo sus capacidades para interactuar con TICs..., sin
hacer referencia a ninguna persona “real”. Al margen de que este concepto pueda ser
objeto de mayor estudio, a los efectos que nos interesan, es decir, del tratamiento de
datos personales en Smart Cities y de la mejor protección posible de los principios de
la protección de datos, se podría reflexionar sobre la posibilidad de utilizar “personas”
o arquetipos en diferentes experiencias Smart Cities (como mínimo, en su fase de
estudio y diseño17, en que se podría trabajar con estos arquetipos y no con datos
personales “de personas reales”). Incluso una vez puesta en marcha una determinada
experiencia de Smart City y recordando la idea que las personas tienen que poder
utilizar, en algunos casos, “diferentes identidades digitales”, no descartamos que
determinados servicios de Smart City puedan llevarse a cabo sin utilizar la identidad
“real”, sino un arquetipo. Volveremos sobre esta cuestión más adelante.
En cualquier caso, está claro que el progresivo desarrollo de las iniciativas urbanas
inteligentes podría suponer una interconexión de servicios e infraestructuras cada vez
más importante. Si las ciudades tienden a ofrecer más servicios a los habitantes de
cascos urbanos, y si estos servicios tienen que ser “inteligentes” en los términos
apuntados, es fácil inferir que se tenderá a un mayor uso de las TIC, cualitativamente y
cuantitativamente. Las TIC pueden aportar rentabilidad de esfuerzos, eficiencia
energética, optimización de recursos, factores, en definitiva, que encajan
especialmente en el modelo Smart Cities.
Sin querer focalizar en las TIC toda la relevancia que desde la perspectiva de la
protección de datos puede tener el desarrollo de las Smart Cities, es evidente que las
tecnologías que se aplican –o pueden llegar a aplicarse- a los servicios e
infraestructuras de las Smart Cities pueden llegar a tener un claro impacto en la
privacidad de los ciudadanos, principales beneficiarios, al mismo tiempo, de los
mencionados servicios e infraestructuras.
17 Este grupo de investigadores pone el ejemplo del municipio de Karlstad, en Suecia, en que se utilizan estos “prototipos” para diseñar un producto o servicio, en el contexto de las Smart Cities. No se afecta, así, a datos personales “reales”, cosa que desde la perspectiva del principio de minimización, entre otros, parece bastante interesante.
11
Citaremos algunas tecnologías (RFID, NFC, geolocalización, redes de sensores y
contadores inteligentes...) el uso de las cuales amplía de forma relevante las
posibilidades de mejora y eficacia en la gestión y prestación de servicios en ámbito
municipal. El potencial que esto representa, unido a la dinámica emprendedora de
muchas ciudades que quieren ser smart, más allá del factor “moda”18 que parece
inevitable en el tema que nos ocupa, implica que las “experiencias Smart City” tengan
que tener especialmente en cuenta qué tratamiento de datos personales se hará (si
hay que hacer alguno), y cómo afectará a la privacidad de los ciudadanos el uso de
estas tecnologías en el desarrollo de las Smart Cities.
3.2. Otros conceptos relacionados
Smart grids (redes inteligentes) y Smart metering (contadores inteligentes).
Las redes inteligentes se utilizan para optimizar la red de distribución de energía
eléctrica, básicamente, de forma que se busca un uso sostenible y eficiente del
recurso (agua, gas, electricidad, son servicios que se pueden ver optimizados a través
de la utilización de redes inteligentes). Se trata, pues, de un sistema que permite la
comunicación bidireccional entre el consumidor final, ya sea una persona física o
jurídica, y las compañías suministradoras del servicio. La información que se obtiene
en este proceso de comunicación permite a las compañías suministradoras realizar un
uso más eficiente de los recursos.
Según la Recomendación de la Comisión Europea de 9 de marzo de 201219 , relativa a
los preparativos para el despliegue de los sistemas de contador inteligente, la red
inteligente es:
“Red energética mejorada con la adición de comunicaciones digitales bidireccionales entre el proveedor y el consumidor, contadores inteligentes y sistemas de seguimiento y control”.
18 Sin perjuicio del desarrollo, en los últimos años, de este concepto de Smart City, el tema no es nuevo, pues ya en 1994 la Carta de Ciudades y Villas Europeas hacia la Sostenibilidad, (Carta de Aalborg), apuntaba en esta dirección. La Carta de Aalborg se aprobó en la Conferencia Europea sobre Ciudades y Villas sostenibles (mayo de 1994), bajo el patrocinio de la Comisión Europea, organizada por el Consejo Int. para Iniciativas Ambientales. 19 DOUE L/73 de 13.3.2012
12
En relación a las redes inteligentes, nos interesa especialmente, dentro del marco
europeo, citar los trabajos llevados a cabo desde la Unión Europea, en concreto,
desde la Comisión de Europea (Dirección Gral. de Energía)20. Además de lo que se
mencionará de la Recomendación de 9.3.2012, citada, destacamos que desde esta
D.G. se ha difundido el documento “Guidelines for conducting a coste-benefit analysis
of Smart Grid projects” (autor: Joint Research Centre), en el que se dan pautas a
seguir para realizar el análisis de coste-beneficio de estas redes. Si bien la privacidad
y la protección de datos no es, francamente, uno de los ejes principales de este
documento, se hace mención que, entre las áreas “de impacto social” que puede tener
el desarrollo de estas redes, se encuentran la privacidad y la seguridad, que el análisis
de coste-beneficio de las redes tiene que procurar que en el desarrollo de estas redes
se asegure la privacidad de los datos y la ciber-seguridad, y que se deberían incluir los
costes adicionales estimados para implementar medidas de prevención. Como
mínimo, pues, está claro que la perspectiva de la protección de datos está presente en
los objetivos de los organismos de la UE implicados en la progresiva implantación de
las redes inteligentes21. Del conjunto de documentos que citamos de la D.G. de
Energía, también queremos mencionar el “Set of common functional requirements of
the SMART METER”22. Resulta particularmente interesante el establecimiento de una
serie de “funcionalidades para la seguridad y la privacidad” en el ámbito de las redes
inteligentes (partiendo de que existen dudas acerca de la manera de tratar los datos y
de los riesgos que presentan los tratamientos que generan las redes), que
consideramos que podrían extrapolarse a otros análisis de privacidad desde el diseño
o a evaluaciones del impacto sobre la privacidad (Privacy impact assesments o PIAs)
referidos a otras experiencias Smart City. Entre otras funcionalidades, se hace
referencia a la necesidad de que las comunicaciones de datos entre suministradores
de energía y operadores sea segura, que se valore si la seguridad y la privacidad se
tienen en cuenta en el diseño de la red, que se estudien las notificaciones que hay que
hacer en relación con ataques a la seguridad de los datos, que se controlen los
20 Se puede encontrar la documentación citada, en la web: http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm 21 Encontramos referencias más explícitas a la necesidad de asegurar los derechos de privacitat de los ciudadanos, y de aplicar estándares de seguridad adecuados, para evitar las consecuencias de un tratamiento incorrecto de datos tratados en las redes inteligentes, así como la necesidad de tener en cuenta la Directiva de 1995 de protección de datos y la Directiva 2002/58/CE sobre comunicaciones electrónicas en el desarrollo de redes inteligentes, en el documento de la D.G. de Energía de la Comisión Europea: “Smart Grid Mandate: Standardisation Mandate to European Standardisation Organisations (ESOs) to support European Smart Grid deployment”, de marzo de 2011. 22 Documento de octubre de 2011, de la D.G. de Energía, mencionada.
13
accesos a la información.... En definitiva, son cuestiones que están presentes en el
“diseño” de las redes inteligentes, y que no dejan de ser elementos que reconocemos
como propios de un análisis relacionado con otros muchos tratamientos de datos
personales.
El concepto de red inteligente se tiene que relacionar, necesariamente, con el
concepto de “contador inteligente” (smart metering), puesto que es a través de estos
contadores, principalmente, que se recoge información sobre el consumo de energía
por parte de los usuarios.
Hay que subrayar que el uso y desarrollo en Europa de los “contadores inteligentes”23
ha sido motivo de atención especial por parte de la UE, así como de los operadores de
protección de datos (principalmente, Supervisor Europeo de Protección de Datos
“SEPD”, Grupo de Trabajo del Artículo 29 “GT29”, y Grupo de Trabajo en Protección
de Datos y Telecomunicaciones “Grupo de Berlín”). En este Documento de Trabajo se
hace especial atención a varios textos y recomendaciones emanados de los citados
operadores.
Según la Recomendación de 9 de marzo de 2012, citada, un sistema de contador
inteligente es el:
“Sistema electrónico que puede medir el consumo de energía, añadiendo más información que un contador convencional, así como transmitir y recibir datos mediante comunicaciones electrónicas”. Desde el momento en que el consumidor final sea una o más personas físicas (un
particular, un núcleo familiar...), si la información obtenida contiene datos de carácter
personal, y si estos datos son objeto de tratamiento por parte de terceros –otras
personas físicas o jurídicas, públicas o privadas-, habrá que tener en cuenta las
obligaciones y principios de la normativa aplicable de protección de datos personales.
Ciertamente, el tratamiento de datos personales en el consumo energético por parte
de los consumidores finales (que pueden ser tanto personas físicas o grupos familiares
como empresas y otras personas jurídicas), no es nuevo. Con la utilización de
23 En cuanto al desarrollo normativo a nivel de Estados de la UE, se hace un estudio bastante detallado y actualizado, en el Documento: “European Smart Metering Landscape Report 2012”, AA.VV, (Viena, Octubre 2012). Font: www.smartregions.net
14
contadores de energía tradicionales ya se podía medir un consumo asociado a
personas físicas, con lo cual ya se hacía un cierto tratamiento de datos personales.
Ahora bien, los contadores inteligentes permiten recoger y tratar esta información con
un grado de detalle mucho mayor. Esto, unido al hecho que en el contexto de las
Smart Cities uno de los elementos clave es el consumo sostenible de recursos
energéticos por parte de los ciudadanos, hace que, desde la perspectiva de la
protección de datos, sea necesario hacer especial atención a esta cuestión.
En cualquier caso, partiremos de la base, como explicita el Considerando 7 de la
Recomendación 9.3.2012, que los derechos y obligaciones de la Directiva de
protección de datos de 1995 “son plenamente aplicables a los contadores inteligentes
que tratan datos personales, en particular en el uso de servicios de comunicaciones
electrónicas disponibles al público para las relaciones contractuales y comerciales con
los clientes.”
Según el Considerando 2 de la misma Recomendación, los Estados miembros de la
UE están obligados a garantizar la utilización de sistemas de contadores inteligentes
que contribuyan a la participación activa de los consumidores en el mercado del
suministro de electricidad y gas (...). Por lo tanto, parece inevitable la progresiva
implantación de estos sistemas, y el tratamiento de datos subsiguiente, también en el
marco de las Smart Cities.
El desarrollo de las redes y contadores inteligentes es una clara prioridad normativa
de la UE. Ello se demuestra por el hecho de que hay varios textos con diferente valor
normativo que se relacionan, entre otros:
- Proyecto de Directiva sobre eficiencia energética y de derogación de las Directivas
2004/8/CE y 2006/32/CE24 . Respecto de este proyecto, el SEPD ha advertido en una
carta dirigida al Comisario de Energía de la Comisión Europea que, si bien (el
Proyecto) no tiene un impacto directo en la protección de datos, hay que tener
presente que las redes y contadores inteligentes “tienen una particular importancia
para los derechos a la privacidad y a la protección de datos personales”, por lo cual
habrá que reflexionar a largo plazo25.
24 COM (2011)370 final. 25 www.edps.europa.eu
15
- Comunicación de la Comisión (...) sobre la Inversión en el desarrollo de tecnologías
con baja emisión de carbono (Plan EETE), y Comunicación de la Comisión (...)
“Energía 2020. Estrategia para una energía competitiva, sostenible y segura”26.
La primera de estas Comunicaciones establece que:
“2.2 Eficiencia energética – Iniciativa «Ciudades Inteligentes» La eficiencia energética es la forma más sencilla y más barata de garantizar la reducción de las emisiones de CO2. En los sectores del transporte, la construcción y la industria, las oportunidades tecnológicas disponibles deberán convertirse en oportunidades comerciales. Esta nueva iniciativa europea – Ciudades Inteligentes – tiene como finalidad crear las condiciones necesarias para poner en marcha la comercialización a gran escala de las tecnologías orientadas a mejorar la eficiencia energética. La iniciativa apoyará a las ciudades ambiciosas y pioneras (por ejemplo, las ciudades del Pacto de los Alcaldes) que conviertan sus edificios, redes de energía y sistemas de transporte en edificios, redes y sistemas del futuro, demostrando conceptos y estrategias de transición hacia una economía con baja emisión de carbono. Las ciudades y regiones que participan tendrán que poner a prueba y demostrar que es factible ir más allá de los actuales objetivos energéticos y climáticos de la UE, – por ejemplo, tender a una reducción del 40 % de las emisiones de gases con efecto invernadero mediante una producción, distribución y uso de la energía sostenibles, antes de 2020. Se calcula que la inversión pública y privada total que necesitará Europa en los próximos 10 años será de 11 000 millones de euros. De aquí al año 2020, la iniciativa «Ciudades Inteligentes» habrá situado a unas 25 o 30 ciudades europeas a la vanguardia de la transición hacia un futuro con baja emisión de carbono. Estas ciudades serán los centros a partir de los cuales las redes inteligentes, una nueva generación de edificios y las soluciones para el transporte con baja emisión de carbono, se convertirán en realidades a escala europea que transformarán nuestro sistema energético.”
Pero las redes inteligentes no sólo se implementan a través de contadores inteligentes
a efectos de medir y controlar consumos de energía como gas, electricidad, etc, en los
domicilios de los ciudadanos, sino que se relacionan también de forma directa con
otras “experiencias Smart City”. Por ejemplo, los servicios telemáticos de “road pricing”
(tasas por uso de carreteras o vías públicas), presentan similitudes, a los efectos que
nos interesan en nuestro estudio, con las redes y contadores inteligentes: uso de
“medidores” (o contadores) que se instalan en los vehículos que circulan por estas
vías o que se instalan en puntos fijos, comunicación de datos (también personales) a
un sistema central que los procesará, o determinados riesgos para la privacidad y la
protección de datos.27
26 Documentos COM (2009) 519 final y COM (2010) 639 final, respectivamente 27 Así se explicita en el Informe de 16.2.2011 del Grupo de Expertos 2 del Grupo especial sobre redes inteligentes (“Smart Grids Task Force”), al que nos referiremos con más detalle en el apartado 4.2 de nuestro Documento
16
Smart data (Datos inteligentes)
Vinculado con la PbD (“privacy by design”, a la que nos referiremos más adelante
ampliamente) y con sus postulados, se estudia la posibilidad de utilizar la inteligencia
artificial para proteger la privacidad y los derechos de los ciudadanos a través de los
“datos inteligentes”, que se podrían “autoproteger” en función de los requerimientos del
propio interesado y titular de la información personal tratada. Varios autores hablan de
tres componentes de los datos inteligentes, que serían: asegurar los datos de las
personas; fijar reglas de acceso a los datos; responder en consecuencia a peticiones
de acceso a esta información (siguiendo las “instrucciones” que habría dado o
predefinido el titular). De alguna manera, se pretende que el dato inteligente piense
por sí mismo y tome decisiones en función del nivel preestablecido de autoprotección.
El desarrollo de las “smart data”, bastante trabajado en el plano teórico28, tiene una
posible aplicación práctica en muchos aspectos del tratamiento de datos personales29.
Sobre todo, creemos, en el ámbito de los datos tratados por un tercero a través de
páginas web o Internet (en que se daría quizás cierta posibilidad de control al usuario,
incluso frente a las condiciones de tratamiento preestablecidas por el responsable de
la página). En cualquier caso, hay que ver las conexiones prácticas que esto podría
tener en aplicaciones o experiencias Smart City que implican una “cesión” de datos por
parte del usuario que quiere (o “tiene que”) participar.
Internet of things “IoT” (Internet de las cosas o de los objetos).
El desarrollo de las Smart Cities se relaciona, como se ha apuntado, con las TIC.
Dentro de esta vinculación, se puede establecer una relación directa entre las Smart
Cities y el llamado IoT, entendido como la interconexión en red de objetos de uso
cotidiano. Varios objetos cotidianos (teléfonos móviles, libros, electrodomésticos,
vehículos, ropa, alimentos, mobiliario urbano, etc), pueden cumplir diferentes
“funciones”, si se les dota de suficiente capacidad (con sensores de diferentes tipos,
28 “Smart Data: The Need, the Goal, the Challenge” AA.VV. Universidad de Toronto, marzo de 2012; “Smart Data: Make the data “think” for itself. Data protection for the 21st century”. AA.VV. Ambos textos disponibles en: www.ipsi.utoronto.ca 29 Del mismo modo que, pensamos, habría que estudiar posibles interacciones entre el desarrollo de experiencias Smart Cities y la utilización cada vez más extendida del “Cloud Computing”. Sobre esto, sin perjuicio de profundizar más adelante, nos remitimos al documento del Grupo de Trabajo del Artículo 29, citado: “Opinion 5/2012 on Cloud Computing”.
17
etiquetas de radiofrecuencia -tecnología de identificación por radiofrecuencia o RFID-,
NFC -Near Field Communication, es decir, comunicación de campo cercano-, códigos
de barras, etc, cuestiones a las que iremos haciendo referencia en este Documento de
Trabajo). Los ejemplos son muy diversos, como por ejemplo acceder a información
adicional sobre los productos que queremos comprar –caducidad, procedencia...-, o
sobre el estado del tráfico o la situación de un medio de transporte determinado,
sistemas de medición de energía, control de electrodomésticos a distancia,
localización de vehículos, etc.
La utilización de estos “objetos inteligentes” en el marco de las Smart Cities abre un
abanico de posibilidades enorme, y así se ha puesto de manifiesto desde las
autoridades europeas.30
Como se explica en la nota de prensa sobre la consulta pública (julio 2012) de la
Comisión Europea sobre la IoT31 :
“Son numerosos los ejemplos de esta evolución de los dispositivos en red: un automóvil podría informar sobre el estado de sus diferentes subsistemas, de tal modo que pueda hacerse un diagnóstico y una reparación a distancia mediante sensores de comunicación integrados; las personas en desplazamiento podrían recibir en sus teléfonos inteligentes información sobre el estado de la puerta de entrada o las persianas de su domicilio, o incluso el contenido del frigorífico, gracias a sensores instalados en sus hogares; un automóvil podría dar indicaciones sobre cómo sortear un atasco; dispositivos personales podrían transmitir a una central información actualizada sobre el estado de pacientes que reciben asistencia sanitaria a distancia.”
Según la Comisión Europea en su Comunicación de 18.6.2009:
“La conexión entre los objetos se efectúa habitualmente asignándoles un identificador y un medio para que se conecten a otros objetos o a la red. La cantidad de información en el mismo objeto suele ser limitada, y el resto reside en algún otro lugar de la red. En otras palabras: acceder a la información sobre un objeto implica establecer una comunicación en red. Se plantean las siguientes preguntas inmediatas: – ¿Cómo está estructurada esta identificación? (denominación del objeto) – ¿Quién asigna el identificador? (autoridad responsable de la asignación) – ¿Cómo y dónde puede obtenerse información adicional sobre el objeto, incluida su historia? (mecanismo de direccionamiento y depósito de información)
30 Son de especial interés la Resolución del Parlamento Europeo, de 15 de junio de 2010, “Internet de los objetos” (DOUE C236 E/24, de 12.8.2011), así como la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones “Internet de los objetos-Un plan de acción para Europa”, COM (2009) 278 final, de 18.6.2009. También hay que tener en cuenta la Resolución del Parlamento Europeo de 15.6.2010, sobre la Internet de los Objetos, DOUE C/236, de 12.8.2011. 31 http://europa.eu/rapid/press-release_ip-12-360_es.htm . Los resultados todavía no están disponibles: http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=iotgovernance
18
– ¿Cómo se garantiza la seguridad de la información? – ¿Qué partes interesadas son responsables de cada una de las cuestiones anteriores y cuál es el mecanismo de rendición de cuentas? – ¿Qué marco ético y jurídico se aplica a las diferentes partes interesadas? Los sistemas de IO que no hayan tratado adecuadamente estas cuestiones podrían acarrear graves consecuencias negativas, como las siguientes: – El mal tratamiento de la información podría dar lugar a la revelación de datos personales o comprometer la confidencialidad de datos empresariales.” Partiendo de la premisa de que la IoT se aplicará cada vez más para el desarrollo de
aplicaciones y servicios municipales de las Smart Cities32, y como se desprende de los
documentos citados, entre otros, habrá que hacer especial atención a cuestiones
como el asegurar la privacidad de las personas, la aplicación de medidas de seguridad
adecuadas, la confianza que el ciudadano–consumidor pondrá en la utilización de
estos sistemas, la atribución de responsabilidades a efectos de la Directiva de
protección de datos de 1995 y de otra normativa interna (LOPD), etc.
En este sentido y no sólo desde la perspectiva de la protección de datos, lógicamente,
la Comisión Europea establece en la Comunicación citada varias líneas de acción. En
una de ellas, la Comisión se remite expresamente a las directrices establecidas en la
Recomendación de la Comisión de 12 de mayo de 2009, sobre la aplicación de los
principios relativos a la protección de datos y la intimidad en las aplicaciones basadas
en identificación por radiofrecuencia (RFID).33
Tanto en aplicaciones de RFID como en la utilización de la IoT, se considera
especialmente relevante que los Estados velen por que los operadores hagan
evaluaciones de impacto sobre la protección de datos y la intimidad (PIAs) que
evalúen, entre otras cosas, si una aplicación en concreto puede utilizarse para hacer
seguimiento de las personas, para qué funciones está prevista una aplicación
32 De la web del Ayuntamiento de Santander: El proyecto de referencia en esta categoría es SmartSantander, que está desplegando 20.000 dispositivos IoT (Internet of Things), la mayor parte de ellos en el área urbana de Santander y sus alrededores. Las infraestructuras creadas permitirán validar nuevas alternativas tecnológicas, y evaluar de forma práctica servicios basados en la red desplegada para monitorizar lugares y servicios como los autobuses urbanos, los aparcamientos públicos, las playas y el puerto, los parcas municipales, los servicios de recogida y tratamiento de basuras, etc 33 DOUE L/122, de 16.5.2009.
19
concreta, quién se responsabiliza de su uso, qué medidas de seguridad se aplican,
cómo se informa a los ciudadanos34 , etc.
Estos y otros elementos que conformarían las PIAs en el contexto del RFID o el IoT,
podrían ser en buena parte aplicables al contexto de otros ejemplos de las Smart
Cities.
Tecnologías diversas: NFC, RFID, Geolocalización, Wireless sensor network:
La gran mayoría de experiencias de Smart City utilizan las TIC y, en concreto,
tecnologías que, como se pone de manifiesto a lo largo de este Documento de
Trabajo, pueden ser de una enorme utilidad para su desarrollo, pero que a la vez
hacen necesaria una evaluación de los riesgos que presentan para la privacidad y la
protección de datos.
Se ha hecho referencia a la tecnología NFC, que podemos traducir por “Comunicación
de Campo Cercano”. Esta tecnología se utiliza en muchos ejemplos de “tarjetas
inteligentes”, que en muchas ciudades se utilizan para finalidades de transporte o
turísticas (tipo “Oyster Card” en Londres, o el Amsterdam Card35). Se utiliza también
en las llamadas “smart tags”, utilizadas en comercio, “tarjetas de proximidad” o
“contactless”, especialmente utilizadas como sistema de pago, como por ejemplo para
pagar un billete de transporte público, entre otras, en la ciudad de Helsinki36. Las
tarjetas inteligentes incorporan un chip NFC que almacena cierta información, y
cuando es leído por un lector NFC permite hacer una anotación, cargar un gasto en
una cuenta, etc. A los efectos que nos ocupan, se trataría de conocer en cada caso
qué información se almacena, y qué prevenciones hay que aplicar (transparencia para
34 En este sentido la Recomendación citada, de 12.5.2009, se refiere a una “política de información concisa, exacta y fácil de comprender para cada una de sus aplicaciones”, que tendrá que incluir, como mínimo, información sobre la identidad y domicilio de los operadores, la finalidad de la aplicación, los datos tratados, si se controla la localización de las etiquetas, los riesgos para la privacitat, entre otros. 35 https://oyster.tfl.gov.uk/oyster/entry.do ; http://www.iamsterdam.com /. Sobre la NFC, también se puede encontrar documentación en: www.nfc.forum.org . 36 Ver: http://www.forumvirium.fi/en/news/helsinki-commuters-use-rfid-to-get-transit-updates-and-post-messages
20
las personas usuarias, medidas de seguridad, protección de la información ante
pérdidas o robos, accesos previstos, etc.)37.
También hay que hacer referencia a la tecnología RFID (Radio frequency
identification). Según la Recomendación de la Comisión de 12.5.2009, sobre la
aplicación de los principios relativos a la protección de datos y la intimidad en las
aplicaciones basadas en la identificación por radiofrecuencia, esta consiste en:
“el uso de ondas electromagnéticas radiantes o del acoplamiento de campo reactivo en la porción del espectro correspondiente a las radiofrecuencias para comunicarse en ambas direcciones con una etiqueta a través de varios sistemas de modulación y codificación a fin de leer unívocamente la identidad de una etiqueta de radiofrecuencia u otros datos almacenados en ella; «etiqueta RFID» o «etiqueta»: un dispositivo RFID con capacidad para producir una señal radioeléctrica o un dispositivo RFID que reacopla, retrodispersa o refleja (dependiendo del tipo de dispositivo) y modula una señal portadora procedente de un lector o grabador;”
La RFID no deja de ser una tecnología que permite la trazabilidad de un objeto, animal
o persona, que puede contener determinada información. Un campo en el que en los
últimos años se ha utilizado la RFID, a pesar de no formar parte de la Smart City, es el
campo de la medicina y el tratamiento y la asistencia a los pacientes38 . Un ejemplo de
RFID en Smart Cities podría ser el de gestión de residuos, a través de RFID integrada
en contenedores de basura o en productos de supermercados, de forma que se puede
saber si un producto se deposita en el contenedor adecuado39.
No parece, a día de hoy, que proliferen los ejemplos de RFID “asociado a personas
físicas” en el ámbito de las Smart Cities. Ahora bien, también es cierto que una de las
aplicaciones más extendidas de RFID se refiere al comercio (RFID en prendas de
vestir, objetos diversos...) y, en términos amplios, la mejora de la atención al cliente en
el comercio no deja de ser un elemento “smart”. En cualquier caso, si en el futuro
prolifera el uso de RFID en vinculación directa con Smart Cities, habría que estar,
desde la perspectiva de la protección de datos, a lo que expone la Recomendación de
la Comisión de 12 de mayo de 2009, citada (garantizar que la industria –en nuestro
caso, "autoridades y administraciones públicas" e industria implicada- elaboren las
37 En relación con la plena actualidad de la aplicación de tecnología NFC a las Smart Cities, ver la noticia “Barcelona instalará paneles inteligentes para interactuar con los móviles”, a www.elperiodico.cat , de 4 de febrero de 2013. 38 Uno entre muchos ejemplos: http://www.hidglobal.es/etiquetas-rfid-medicina 39 Ejemplo extraído de “SmartSantander”.
21
correspondientes PIAs, información y transparencia suficiente en el uso de la RFID,
seguimiento y campañas de sensibilización adecuadas, entre otros). También habría
que tener en cuenta las advertencias del Grupo del Artículo 29 en el Dictamen 9/2011,
de 11.2.2001, relativo a la propuesta revisada de la Industria para un marco de
evaluación del impacto sobre la protección de datos y la intimidad en las aplicaciones
basadas en RFID.
En cuanto a la Geolocalización, es el conjunto de tecnologías que permiten el
conocimiento de la propia ubicación geográfica. También denominada
“georeferenciación”, esta tecnología permite el posicionamiento y define la localización
de un objeto o persona en un sistema de coordenadas determinado. Entre los
dispositivos que permiten utilizar la geolocalización, destacan los teléfonos inteligentes
que integran receptores de GPS (Global Positioning System, o Sistema de
Posicionamiento Global), cuya utilización es un elemento presente en muchas
experiencias Smart City40. Las aplicaciones de geolocalización permiten, a través de
varios dispositivos, la obtención de información sobre la propia localización en tiempo
real, así como la localización de diferentes tipos de información en el mapa, con total
precisión.
Según la citada “Guía de seguridad y privacidad de las herramientas de
geolocalización”, del Observatorio INTECO, se pueden distinguir principalmente tres
categorías de usos comunes para la geolocalización:
“1) La localización física de un objeto o individúo en un sistema de coordenadas (proceso de georreferenciación), para posteriormente acceder a información específica. Un ejemplo de esto sería la utilización de un sistema de navegación mediante GPS. 2) La búsqueda de información y su localización física en un sistema de coordenadas (proceso de geocodificación). Un ejemplo de esto sería la utilización de un servicio de mapas para buscar museos en una ciudad determinada. 3) La adición de información geográfica a un contenido generado (proceso de geoetiquetado), usualmente como paso posterior a un proceso de georreferenciación. Un ejemplo de esto sería la creación de una fotografía, incluyendo en sus metadatos las coordenadas del lugar en que fue tomada. “
En definitiva, la geolocalización permite usos como por ejemplo localizar lugares que
queremos visitar en una determinada ciudad, mantener y consultar un registro histórico
40 Información extraída del Informe: “Guía de seguridad y privacidad de las herramientas de geolocalización”: Observatorio INTECO, marzo de 2011.
22
de lugares que hemos visitado o sobre los que hemos hecho alguna consulta, o
mantener una agenda de lugares recomendados en función de nuestros intereses o
aficiones. De hecho, ya se encuentran en el mercado varias Apps para disponer de
estos y otros servicios41 .
Desde la perspectiva de la protección de datos, en el mismo informe de INTECO se
apunta que:
“La extensión de estas tecnologías y su demanda, no obstante, lleva asociada la problemática de la naturaleza de la información – frecuentemente privada o sensible – asociada a ellas. Por ello, es importante tomar especial conciencia de los aspectos relacionados con la seguridad y la privacidad, de forma que sea posible ejercer un uso responsable de las herramientas de geolocalización, y asegurar su pleno disfrute.”
Por ejemplo, a través de geolocalización (georreferenciación) se puede comprobar la
localización física de una persona con un teléfono móvil, y acceder a información
específica vinculada con esta persona. También se permite la adición de información
de geolocalización a un determinado contenido, como podría ser una fotografía. Este
proceso de “geoetiquetaje” permitiría disponer de información –metadatos-, como por
ejemplo el lugar o la hora en que fue tomada la fotografía, con lo cual se podría
localizar a determinados individuos sin, podemos imaginar, su conocimiento (o
situarlos en un lugar y hora determinados). Este y otros casos se deben tener en
cuenta a la hora de informar a los usuarios de una determinada aplicación Smart City
que utilice geolocalización acerca de la información que, sin saberlo, éstos pueden
estar generando y poniendo a disposición de terceros.42
Aplicada a las Smart Cities, la geolocalización podría permitir la localización de
vehículos, lugares de interés turístico, de equipamientos o mobiliario urbano, e incluso
de personas. Las aplicaciones, pues, son muchas. Como apunta el Grupo del Artículo
29 en su Dictamen 13/2011, sobre servicios de geolocalización en los dispositivos
móviles inteligentes:
"El valor de la información aumenta cuando está ligada a una localización y toda localización puede ligarse a cualquier tipo de información: datos financieros, de salud, o sobre el comportamiento de los consumidores."
41 Ejemplos extraídos de: http://bitelia.com/2012/11/geolocalizacion-usos-utiles 42 Recordemos, en este sentido, la especial preocupación que ha generado desde la perspectiva de la protección de datos la utilización de algunas aplicaciones de imágenes y geoetiquetaje como Google Street View, ejemplo citado, junto con otros (Panoramio o Flickr Maps), en el informe de INTECO, mencionado.
23
La vinculación con ejemplos de Smart Cities es clara: mapas de navegación, servicios
geográficos personalizados (puntos de interés en una ciudad), control de personas
(enfermos, víctimas y agresores en casos de violencia de género, como medida
cautelar en ámbito penal o para personas que cumplen una condena, menores...),
rastreo de personas o lugares, sistemas electrónicos de venta de billetes, "teletacs" y
peajes, geolocalización de direcciones IP.... con todo lo que esto podría comportar, no
lo olvidemos, en cuanto a la creación de perfiles. Nuevamente algunas cuestiones que
afectan a principios de protección de datos tienen que ser objeto de reflexión: evaluar
si es necesario el consentimiento del interesado como punto de partida, informar
adecuadamente, fijar claramente los "límites" de uso de la geolocalización, definir muy
bien las responsabilidades (de operadores, gestores, ayuntamientos, empresas
instaladoras de los dispositivos en vehículos...). Entre otras cuestiones, nos parece
interesante el apunte del Dictamen 13/2011, citado, en el sentido de favorecer las
buenas prácticas que conlleven la utilización de tecnologías de protección de la
intimidad (Privacy enhancing technologies o “PET”) dirigido a los proveedores de
aplicaciones de geolocalización, lo cual nos parece plenamente aplicable a las
experiencias Smart Cities que utilizan esta tecnología:
"La aplicación que desee utilizar datos de geolocalización informará claramente al usuario sobre los fines para los que quiere utilizarlos y solicitará su consentimiento inequívoco para cada una de las posibles finalidades distintas. El usuario elegirá activamente el nivel de la geolocalización (por ejemplo, a escala de un país, ciudad, código postal o con la mayor precisión posible). Una vez que el servicio de localización es activo, un icono estará permanentemente visible en cada pantalla indicando dicha activación. El usuario podrá retirar su consentimiento en cualquier momento y sin tener que abandonar la aplicación y también podrá suprimir, fácil y permanentemente, cualquier dato de localización almacenado en el dispositivo."
Como se ha apuntado, hay un riesgo potencial para la privacidad de las personas, a
raíz de la utilización de dispositivos de geolocalización. De entrada, aunque parezca
una obviedad, por el mero hecho del incremento de la puesta a disposición de los
usuarios de estas aplicaciones. El hecho de que las aplicaciones de geolocalización
traten datos de posición georreferenciada de una persona, puede poner en
conocimiento de terceros los itinerarios, consumos, desplazamientos, horarios,
relaciones sociales, hábitos de ocio, etc, de este usuario. Desde esta perspectiva, el
propio usuario se podría estar convirtiendo, sin ser muy consciente de ello, en un
“distribuidor” de su propia información personal, haciéndola accesible a terceros.
Volvemos a citar como ejemplo las “fotografías georeferenciadas”: si hay un traspaso,
24
querido o no, de esta información, un número indeterminado –y probablemente amplio-
de terceros podría acceder a esta información. Así, una foto captada con un
smartphone puede ser codificada con parámetros de latitud y longitud, y cuando el
usuario envía la foto online, puede estar exponiendo más datos personales de los que
imagina43 .
También podemos imaginar como ejemplos de futuro la complementación de sistemas
actuales de "teletacs", pago de peajes o servicios de alquiler de bicicletas con algún
dispositivo instalado en los vehículos o bicicletas, que permitiera su geolocalización.
En el supuesto de que esto se llevara a la práctica (cosa que, de entrada, habría que
fundamentar en una finalidad legítima y, entendemos, en el consentimiento del
usuario), el riesgo potencial para la privacidad parece incuestionable. A pesar de que
es un simple ejemplo de futuro, cabría plantearse la proporcionalidad de poder
localizar en todo momento una bicicleta de alquiler, por ejemplo, para evitar pérdidas o
robos, si esto implica directa o indirectamente un tratamiento de los datos (y una
geolocalización) del usuario que hace uso de la bicicleta en un determinado momento.
Todo esto, en definitiva, plantea retos desde la perspectiva de la privacidad y de la
protección de datos personales. Entre otros, habrá que prestar atención a los riesgos
que puede suponer la carencia (o insuficiencia) de medidas técnicas de seguridad
suficientemente robustas para proteger la información, la utilización de información con
finalidades de “profiling” sin conocimiento ni consentimiento del interesado para
finalidades de marketing o publicidad, etc. El uso de esta tecnología en el contexto que
nos ocupa tendrá que ser analizado desde la perspectiva de los diferentes principios
de protección de datos.
La Wireless sensor network (Redes de sensores inalámbricos), es otra tecnología
que también podemos relacionar directamente con el desarrollo de Smart Cities44. Se
trata de crear una red distribuida de nodos de sensores que pueden medir varios
parámetros de interés para una gestión más eficiente de la ciudad. Todos estos datos
43 Así se apunta en los artículos disponibles en: www.tendencias21.net : “La geolocalización de los smartphones amenaza la privacidad”, y “La geolocalización a través del móvil, nuevo mercado emergente”. 44 Información obtenida de: http://www.libelium.com/smart_cities
25
se envían en modo inalámbrico y en tiempo real a los ciudadanos o a las autoridades
competentes.
Por ejemplo, a través de sistemas de monitorización, los ciudadanos pueden conocer
la concentración de la contaminación en cada calle de la ciudad o pueden recibir
alertas en su móvil o en otros dispositivos sobre niveles de contaminación. También
permite optimizar el riego de parques y la iluminación de las calles. Se pueden obtener
informaciones y alertas sobre escapes de agua, mapas de ruido o de contaminación
por zonas, etc. Incluso los contenedores de basura pueden enviar una alerta, mediante
una red de sensores, cuando están a punto de llenarse. La utilización de estos
sensores también puede permitir, en el contexto de las Smart Cities, controlar el
tráfico, recibir información de plazas de aparcamiento, etc.
A título de ejemplo, citamos la ciudad de Santander como una de las “pioneras” en la
utilización de sensores (se prevé el despliegue de 20.000 dispositivos para poder
transmitir información útil a los usuarios). Esta ciudad forma parte, junto con otras tres
ciudades (Guilford, Lübeck y Belgrado)45, de un proyecto de desarrollo de Smart Cities
a través de redes de sensores. Este es un Proyecto aprobado por la Comisión
Europea en el 7º Programa Marco de Investigación (7PM), concretamente, en el
ámbito de la Internet del futuro.46
Open data
Los “datos abiertos”, entendidos como “toda la información que los organismos
públicos (...) generan, recogen o sufragan”47 y que posteriormente se difunde y se
pone a disposición de la ciudadanía, suponen un flujo informativo importante que se ha
incrementado considerablemente en los últimos años. Ponemos como ejemplos la
información geográfica, estadísticas, información meteorológica, datos procedentes de
investigaciones financiadas con fondos públicos o libros digitalizados en bibliotecas
públicas, entre otros. Los expertos apuntan la tendencia hacia un tratamiento
45 Se puede encontrar información completa sobre este Proyecto en las cuatro ciudades citadas en: http://www.smartsantander.eu ; http://cordis.europa.eu ; http://portal.ayto-santander.es. 46 Decisión núm. 1982/2006/CE del Parlamento Europeo y del Consejo (DOUE L 412, de 30.12.2006). 47 Comunicación de la Comisión al Parlamento Europeo (...) “Datos abiertos. Un motor para la innovación, el crecimiento y la gobernanza transparente” (CÓMO (2011) 882 final).
26
progresivo de cantidades ingentes de información abierta, es decir, de “Big data”48,
concepto que se refiere a los archivos o conjunto de datos el contenido de los cuales
supera o excede la capacidad de las herramientas habituales de software para
recoger, almacenar, tratar y analizar información.49
El potencial de la utilización de información abierta para el desarrollo e implantación de
experiencias de Smart Citiy es claro. Además de los ejemplos citados, que podemos
relacionar claramente con los ejes propios de las Smart Cities, encontramos otros
como la utilización de aplicaciones (“Apps”50) que los ciudadanos pueden descargarse
en dispositivos móviles para obtener información muy diversa (estado del tráfico,
contaminación, cuestiones medioambientales, meteorología, transportes, turismo,
etc.).
Como se pone de manifiesto desde la Unión Europea51, la “información abierta”
conlleva importantes posibilidades de reutilización de esta información en nuevos
productos y servicios, así como importantes posibilidades de mejora de la eficiencia de
las administraciones públicas. La reutilización de información, la transparencia y la
mejora de la gestión pública son, pues, las aplicaciones fundamentales de la
información abierta.52
Hay varias normas que podemos relacionar con los datos abiertos, con la difusión de
información por parte del sector público y, en definitiva, con el acceso por parte de los
ciudadanos a esta información. A nivel estatal, habría que tener en cuenta las
previsiones de la Ley 11/2007, de 22 de junio, de acceso electrónico de los
ciudadanos a los servicios públicos, que remite a las previsiones de la LOPD, en
48 “Big Data for Smart Cities: How do we go from open data to big data for smart cities”. www.smartcities.es/tag/open-data 49 Según el McKinsey Global Institute, a “Big Data: The next frontier for innovation, competition and productivity” (www.mckinsey.com ). 50 Respecto a varias cuestiones relacionadas con la privacidad en el diseño de Apps para teléfonos móviles, nos remitimos al documento: “Mobile Privacy Disclosures. Building Trust Through Transparency”, de la Federal Trade Commission (FTC), USA, de febrero de 2013 (http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf ). 51 En la Comunicación de la Comisión Europea, citada. 52 De la Comunicación de la Comisión Europea, citada: “El impulso hacia la utilización de datos abiertos está cobrando fuerza en varios Estados miembros, los cuales están adoptando este concepto por razones de transparencia, eficiencia administrativa y potencial económico de la reutilización.(...). El Reino Unido ha creado el portal data.gov.uk que reúne información procedente de organizaciones gubernamentales a todos los niveles. Otros Estados miembros están creando portales similares, por ejemplo Francia a través de ETALAB. Los portales de datos también existen a nivel regional, como dadesobertes.gencat.cat en Cataluña y dati.piemonte.it en Piamonte, Italia.”
27
aquello que afecta al tratamiento de datos personales53 . En cuanto a Cataluña, hay
que tener presente la Ley 29/2010, del 3 de agosto, del uso de los medios electrónicos
en el sector público de Cataluña, que tiene por finalidad, entre otras, garantizar que el
uso de los medios electrónicos promueva una administración pública abierta,
transparente, accesible, eficaz y eficiente (artículo 3.a) de la ley citada). Por la especial
afectación que puede suponer para la difusión de información del sector público,
también hay que tener presente el borrador del Proyecto de ley de transparencia,
acceso a la información pública y buen gobierno, actualmente en proceso de
tramitación en el Congreso de los Diputados54. En cuanto a la reutilización de la
información del sector público, a nivel estatal debemos referirnos a la Ley 37/2007, de
16 de noviembre, que prevé expresamente que la reutilización de documentos que
contengan datos de carácter personal se regirá por la LOPD (artículo 4.6).
Desde la perspectiva de la protección de datos interesa subrayar que parte de la
información “abierta” que posteriormente será objeto de acceso público o de
reutilización, puede ser o haber sido, en origen, dato personal. La normativa
mencionada es consciente de ello y, como se ha apuntado, incluye referencias y
remisiones a la normativa de protección de datos. En este sentido, y en relación con el
proceso de revisión actualmente abierto en relación con la normativa europea sobre
reutilización de información pública, el SEPD ha considerado que hay que establecer
claramente la aplicabilidad de esta Directiva a los datos personales, y exigir a los
organismos del sector público una evaluación de cualquier información del sector
público que incluya datos personales que puedan estar disponibles para su
reutilización55.
53 Una de las finalidades de la Ley 11/2007 es: “Crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos” (art. 3.3). 54 Según el Proyecto de Ley: “Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 11 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 12. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad solo se llevará a cabo previa disociación de los mismos.” (art. 4.3). (BOCCGG Serie A, núm. 19-1, de 7.9.2012). 55 Ver el Proyecto de Directiva de modificación de la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (CÓM (2011) 877 final). Respecto a este Proyecto, destacamos las consideraciones del Dictamen del Comité Económico y Social Europeo (DOUE C 191, de 29.6.2012), y especialmente del Dictamen del SEPD, de 18.4.2012.
28
Por todo lo apuntado, no se tendría que dar por hecho que la "información abierta" y la
información reutilizable es inocua para la privacidad de los ciudadanos. En el marco de
las Smart Cities se podría dar el caso, por ejemplo, de información abierta que en
principio no afecta a personas concretas, pero que si se somete a un proceso de "Data
mining" (minería de datos), o si se refiere a un barrio muy concreto de una ciudad, se
puede llegar a relacionar con personas concretas sin esfuerzos desproporcionados.
Esto hace que sea necesario velar adecuadamente por la privacidad y analizar la
normativa citada, en relación con las Smart Cities, desde la perspectiva de la
protección de datos personales.
Profiling (creación de perfiles): El desarrollo de las Smart Cities puede comportar, al
menos parcialmente, la creación de perfiles de consumidores (“consumer profiling”) y
de usuarios de diferentes prestaciones, productos o servicios ofrecidos –
independientemente de que los ofrezca un Ayuntamiento o la compañía
suministradora de alguno de estos servicios-.
Desde hace años los actores en materia de protección de datos (Autoridades de
protección de datos, organismos de la UE, el Consejo de Europa, los propios
Estados...) han puesto de manifiesto que el “profiling” puede representar un riesgo
nada despreciable para la protección de datos y la privacidad.56
El “tratamiento” que supone hacer un perfil de las personas tiene unas connotaciones
que han preocupado, tradicionalmente, a los operadores de la protección de datos. El
Proyecto de Reglamento de protección de datos de la UE pone especial atención en la
creación de perfiles y en cómo puede afectar a los derechos del ciudadano, y deja
claro que se tiene que reforzar el derecho de acceso a la propia información y el
derecho a ser informado adecuadamente, especialmente cuando un tratamiento se
basa en la elaboración de perfiles (entre otros, Considerandos 21 y 51). El artículo
21.2 del Proyecto de Reglamento de la UE dispone, entre otros, que:
“A reserva de las demás disposiciones del presente Reglamento, una persona solo podrá ser objeto de una medida del tipo contemplado en el apartado 1 (relativo a la evaluación de perfiles) si el tratamiento: 56 Prueba de la preocupación por este tema, es la “Uruguay Declaration on profiling”, de la última 34ª Conferencia Int. de Autoridades de Protección de datos y Privacidad, en la que se afirma, entre otros, que para crear confianza las entidades públicas y privadas tienen que asegurar que informan a la sociedad, de la manera más extensa posible, de sus operaciones de creación de perfiles.
29
a) se lleva a cabo en el marco de la celebración o la ejecución de un contrato, cuando la solicitud de celebración o ejecución del contrato presentada por el interesado haya sido satisfecha o se hayan invocado medidas adecuadas para salvaguardar los intereses legítimos del interesado, como el derecho a obtener una intervención humana; o b) está expresamente autorizado por el Derecho de la Unión o de un Estado miembro que establezca igualmente medidas adecuadas para salvaguardar los intereses legítimos del interesado; o c) se basa en el consentimiento del interesado, a reserva de las condiciones establecidas en el artículo 7 y de garantías adecuadas. (...).” A través de títulos de transporte inteligentes (con tecnología NFC, por ejemplo) para
utilizar determinado transporte público urbano, o a través de la información relativa al
consumo de energía en un domicilio, se pueden hacer perfiles de desplazamientos,
hábitos, costumbres de una persona, e incluso de cuestiones como por ejemplo
cuántas personas pueden vivir en un domicilio, qué horarios tienen, su forma de vida,
etc.
Sobre ello, nos parece especialmente relevante tener en cuenta la Recomendación
CM/Rec (2010)13, del Comité de Ministros del Consejo de Europa, sobre la protección
de las personas respecto al tratamiento automatizado de datos de carácter personal
en el contexto de la creación de perfiles57, que hace referencia, específicamente, a
algunas de las tecnologías que comentamos (RFID, geolocalización...), en los
siguientes términos:
“Tomando nota de que esta recopilación y tratamiento pueden tener lugar en diferentes situaciones con diferentes fines y hacer referencia a diferentes tipos de datos, tales como datos sobre el tráfico y las preguntas de los usuarios de Internet; datos sobre los hábitos de compra, actividades, estilo de vida y comportamiento de los usuarios de los dispositivos de telecomunicaciones, incluidos datos de localización geográfica, así como datos provenientes en particular de las redes sociales, los sistemas de videovigilancia, los sistemas biométricos y los sistemas de identificación por radiofrecuencia (RFID) que prefiguran la “Internet de los objetos”; tomando nota de que conviene evaluar las diferentes situaciones y objetivos de una forma diferenciada;”
Nos parece especialmente importante que, en materia de “profiling”, como una
herramienta vinculada al desarrollo de experiencias Smart City, se tengan en cuenta
los límites legales que la normativa (actual y futura) impone, además de las
advertencias y recomendaciones existentes.
57 http://conventions.coe.int
30
De esta interesante Recomendación del Consejo de Europa podemos extraer
elementos útiles para nuestro estudio, en el contexto de las Smart Cities: entre otros,
que es necesario que los Estados pongan medios para evitar la “invisibilidad” de la
creación de perfiles (la invisibilidad se da, por ejemplo, cuando un usuario de un
contador inteligente o de un título de transporte inteligente desconoce que “alguien”
analizará sus desplazamientos o las horas de mayor consumo energético, y hará un
uso también desconocido de dicha información); la necesidad de preservar las
“esferas de vida diferentes e independientes de cada persona”, en el sentido que, por
ejemplo, para poder utilizar Apps de Smart City para disfrutar de determinados
servicios a su ciudad, una persona pueda “controlar” qué información da, pueda utilizar
incluso una “identidad” propia aunque diferente a la utilizada en otros servicios, o que
no se le exija más información de la debida de (principio de calidad); que hay que
proteger a los menores de edad de medidas de “profiling”, y también que hay que
vigilar la utilización de datos sensibles en este contexto.
En definitiva, dentro del concepto de Smart City tienen cabida una serie de
conceptos y tecnologías que deben ser objeto de especial atención, en base a los
principios de protección de datos. Especialmente, el principio de minimización, así
como la promoción de un correcto diseño desde la privacidad, y de la utilización de
técnicas favorables a la privacidad o PET (“Privacy Enhancing Technologies”)58, a las
que también nos referimos en este estudio, que pueden permitir, por ejemplo, utilizar
técnicas de anonimización o pesudoanonimización en determinadas experiencias
Smart City, o en relación con determinados accesos (por ejemplo, podría ser legítimo
que una empresa ajena a la prestación del servicio de energía eléctrica haga perfiles
de consumo de los usuarios, si lo hace con información anonimizada o utilizando
prototipos o "personas", salvando así la privacidad de los consumidores59 ).
La aplicación de estas y otras tecnologías a los “productos y servicios” que las Smart
Cities ofrecen al ciudadano comporta necesariamente, desde la perspectiva de la
58 Así se pone de manifiesto en el documento de CRID (Centre de Recherches Informatiques et Droit) “Rapport sur les lacunes de la Convention nº 108 pour la protéction des personnes à l’égard du traitement automatisé des données à caràctère personnel face aux développements technologiques”, disponible en la página web del Consejo de Europa. Del mismo CRID, y en relación con la creación de perfiles, citamos el estudio “L’application de la Convention 108 au mécanisme de profilage”, de varios autores, entre otros, Y. Poullet y J.M. Dinant 59 Incluso con la utilización de arquetipos o “personas”, concepto que comentamos en el apartado 3.1 de nuestro estudio.
31
protección de datos, no sólo aplicar los principios de la normativa de protección de
datos (consentimiento, información adecuada a los afectados, ejercicio de derechos,
etc...) sino en buena parte “volver a analizar” algunos de estos principios, o como
mínimo, aplicarlos de forma que se tengan en cuenta las características específicas de
dichas tecnologías.
Como ejemplo de esta consideración general, citamos el denominado “derecho al
silencio de los chips”60. Este “derecho” implicaría que una persona tiene que poder
abstraerse, “desconectarse” -“oponerse”, en terminología LOPD-, de la utilización de
estas tecnologías y del uso de sus datos a través de estas tecnologías. En definitiva,
este derecho tiene que aportar capacitación y control al usuario. Esta consideración,
que en términos abstractos es clara, hay que ver hasta qué punto se puede respetar
en términos prácticos: ¿podrá un ciudadano reclamar su derecho al “silencio de los
chips”, y por lo tanto negarse a que sus datos sean utilizados en relación con la
prestación de un servicio, sin tener que renunciar a la utilización de este servicio? Si
se vincula el suministro de gas o electricidad a la instalación en el domicilio de
contadores inteligentes, ¿qué efectos puede producir una denegación del
consentimiento del interesado? Y en caso de que la prestación del servicio no requiera
el consentimiento, ¿qué efectos puede tener un ejercicio del derecho de oposición?.
En definitiva, ¿es este “derecho”, simplemente, una manifestación más del derecho a
la autodeterminación informativa, o es algo nuevo que hay que definir
adecuadamente?.
Sirva esta referencia para ilustrar que en el contexto de las Smart Cities y del uso de
estas y otras tecnologías, probablemente habrá que formular cuestiones relativas a los
principios y garantías de la normativa de protección de datos desde una perspectiva
diferente a la “tradicional”.
Otro ejemplo ilustrativo nos lo aporta el propio concepto de privacidad: cada vez más
autores analizan el salto desde la privacidad hacia “las privacidades”, en el sentido que
hay que volver a analizar el concepto tradicional, en función de lo que comportan
60 Adam Greenfield: “Everyware: The Dawning Age of Ubiquitous Computing”. Este concepto ha sido objeto de atención de la Comisión Europea en la Comunicación citada, de 18.6.2009. También se refiere a ello expresamente el Parlamento Europeo en la Resolución, citada, de 12.8.2011.
32
dichas tecnologías.61 Es decir, en el entorno que examinamos, los ciudadanos dejan
diferentes rastros y trazas, en función del producto, aplicación o servicio que quieren
utilizar, comprar, etc. la persona no expone su “personalidad” en bloque, sino que
podríamos decir que puede gestionar “varias personalidades”. Esta idea no es nueva,
ni nace a partir de la IoT, pero sí que puede tener aplicaciones interesantes en el
contexto de estas y otras tecnologías, relacionadas con las Smart Cities. Sin perjuicio
de futuras aportaciones y reflexiones, de entrada podríamos considerar este concepto
como una oportunidad –desde la perspectiva de la protección de datos-, en el sentido
de reforzar la autodeterminación informativa, es decir, que el ciudadano pueda
gestionar los diferentes niveles de privacidad a su conveniencia, en función de uno u
otro entorno, servicio, prestación... etc. (Si el Ayuntamiento me ofrece un servicio,
¿puedo considerar aceptable que trate más datos que los que querrá tratar una
compañía que me suministra por ejemplo la electricidad? ¿Podré decidir qué grado de
privacidad expongo en cada caso, en función de la confianza que me merece el
responsable, o en función de la tecnología utilizada, o del soporte utilizado –teléfono,
aparato suministrado por el responsable...-? Por el contrario, ¿los responsables
estarán dispuestos o incluso obligados a informar de manera “reforzada”, es decir, en
el sentido de que la posible carencia o “ignorancia tecnológica” del ciudadano no
suponga una disminución de su control sobre la propia información?).
Volvemos a recuperar en este punto el concepto de “personas” o arquetipos que
hemos mencionado anteriormente. De entrada, puede ser habitual su utilización en el
diseño de un ejemplo de Smart City, sin tener que tratar datos personales (por
ejemplo, si se trata de diseñar una App de información destinada a familias que tienen
hijos menores, no sería necesario el tratamiento de datos personales si el grado de
detalle del arquetipo incluye un perfil de comportamiento, de frecuencia con la que el
arquetipo -un padre o madre con hijos menores- utilizará el servicio, sus objetivos o
intereses, sus motivaciones para utilizar aquel servicio, su capacidad o aptitudes para
entender y utilizar ciertas TIC o el propio servicio que se quiere ofrecer, etc.)
Pero no es sólo en esta fase de diseño, probablemente, donde se podría plantear la
utilización de estos arquetipos, sino también cuando el servicio Smart City ya está
disponible para los ciudadanos. Por ejemplo, el responsable del tratamiento de datos 61 Recogemos la expresión “from privacy to privacies”, utilizada por R. Van Kranenburg en: “The Internet of Things: A critique of ambient technology and the all-seeing network of RFID http://www.theinternetofthings.eu
33
de un ciudadano determinado que utiliza un servicio podría en un primer momento,
legítimamente, recoger y tratar un mínimo de datos de la persona para darlo de alta
como usuario de un servicio (de movilidad urbana, de información turística, de
suministro de un servicio o producto...), pero a partir de aquí se podrían utilizar
arquetipos para gestionar otras finalidades o usos secundarios al servicio, como por
ejemplo evaluar el servicio, incluir mejoras, ofrecer otros productos, realizar perfiles de
consumo, etc. Es decir, a partir de una primera recogida y tratamiento de los mínimos
datos imprescindibles (nos remitimos a las consideraciones hechas en relación con el
principio de calidad) al usuario se le podría otorgar un “arquetipo” a través del cual se
desarrollaría su relación con el responsable del servicio Smart City. La utilización de
arquetipos evitaría que, para estas otras finalidades (que pueden derivar de la
“finalidad principal” que legítimamente permite un tratamiento de datos) se trataran
datos personales, minimizando el riesgo para los derechos del afectado. Esto evitaría
problemas debidos a deficiencias en la recogida del consentimiento, en la información
que se le tiene que prestar al interesado cuando se tratan sus datos, en la aplicación
de medidas de seguridad, etc., pues realmente no se estarían afectando ni tratando
datos personales de los usuarios de aquel servicio. Obviamente, esta solución
implicaría proteger adecuadamente el vínculo con la identidad real del sujeto, es decir,
con los datos personales utilizados en un primer momento: o bien se rompe el vínculo
y la información ya no es “dato personal” en absoluto, o bien se mantiene el vínculo
debidamente protegido. Una u otra opción dependerá de la finalidad perseguida. En
definitiva lo que planteamos es que, en la línea de la anonimización de datos
personales para otros usos (sistema ampliamente empleado en muchos contextos62),
se analice también la utilización de arquetipos como alternativa a la utilización de
datos personales, en diferentes fases de desarrollo y aplicación de experiencias Smart
Cities.
En definitiva, estudiando las posibilidades que da, de cara a minimizar el tratamiento
de datos personales, el hecho de que una persona física “real y concreta” pueda
pertenecer a uno u otro arquetipo, o incluso que pueda formar parte de diferentes
arquetipos, se permitiría al individuo gestionar y controlar mejor su relación con
administraciones públicas, empresas prestadoras de servicios Smart City, y, sobre
62 El concepto de anonimización es especialmente relevante en materia de protección de datos. Una prueba más de la importancia de los conceptos de anonimización y de pseudoanonimitzación, es que en “el informe Albrecht” sobre el Proyecto de Reglamento UE (2012/2011 (COD), de 16.1.2013), se hacen constantes referencias a ellos.
34
todo -desde la perspectiva que nos interesa-, la información personal que cede y que
después será tratada por terceros. Cómo decíamos, así como una persona física tiene
que tener un cierto margen de actuación a la hora de utilizar varias identidades
digitales (y esto no deja de ser una manifestación del derecho a la autodeterminación
informativa), se podría evaluar la posibilidad de que también pudiera relacionarse con
empresas o administraciones suministradoras de ejemplos Smart City a través de
arquetipos.
Relacionamos esta cuestión con la práctica, especialmente recomendable, de utilizar
pseudónimos, que puede suponer una mayor protección de la información personal en
algunos contextos. La utilización de un pseudónimo, o de varios (para relacionarse con
varios responsables o utilizar diferentes servicios), puede favorecer el control por parte
del usuario sobre la información que da en cada caso, y sobre la utilización que harán
otros de dicha información. El pseudónimo permitiría establecer una “barrera de
protección” de los datos personales permitiendo, al mismo tiempo, la relación
individualizada entre el responsable del servicio o prestación Smart City y la persona
física.63
4. LA APLICACIÓN DE LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS EN EL
CONTEXTO DE LAS SMART CITIES
En este apartado haremos referencia a una serie de principios, presentes tanto en la
normativa europea (Directiva de protección de datos de 1995, principalmente, sin
olvidar el punto de partida que supone para la protección de datos en el marco
europeo el Convenio 108 del Consejo de Europa64 ) como en las normas estatales de
regulación del derecho a la protección de datos (LOPD y RLOPD, en nuestro caso). Lo
que interesa, más que describir estos principios, bastante definidos en dicha
normativa, es poner de manifiesto los puntos que pueden plantear dudas, problemas,
o, como mínimo, que merecen una reflexión, cuando nos referimos a las Smart Cities.
63 Prueba de la importancia del uso de pseudónimos, es que en el ”Informe Albrecht” al Proyecto de Reglamento UE se presenta una enmienda para introducir la definición de este concepto en el artículo 4 del Reglamento, con la siguiente redacción: “”pseudonym” means a unique identifier which is specific to one given context and which does not permit the direct identification of a natural person, but allows the singling out of a data subject”. Es decir, el pseudónimo permite establecer una barrera de protección de los datos personales, y permite la relación individualizada entre el responsable del servicio o prestación Smart City y la persona física. 64 Convenio para la protección de las personas en cuanto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981 (BOE núm. 274, de 15.11.1985).
35
Dado que a lo largo de este Documento de Trabajo ya se han ido apuntando algunas
cuestiones para la reflexión, en parte puestas de manifiesto por los expertos en
protección de datos en los documentos consultados, para no ser redundantes no
insistiremos en dichas cuestiones.
De entrada, conviene dejar claro que buena parte de las aplicaciones de las Smart
Cities no comportan un tratamiento de datos personales. Ciertamente, de los "ejes" de
las Smart Cities se derivan muchos ejemplos, algunos de los cuales no implican un
tratamiento de datos de carácter personal, entre otros:
Pantallas con información dinámica en transportes públicos; aprovechamiento
energético en edificios inteligentes; clústeres empresariales (barrios donde se prioriza
determinada actividad comercial o industrial); desarrollo de un barrio con energías
sostenibles; aplicaciones de movilidad inteligente a través de TIC para hacerlas más
eficientes (semáforos, vías urbanas, redes de transporte...); información del sector
público que, sin incluir datos personales, se reutiliza y se difunde a través de varios
canales, y que puede referirse al estado del tráfico, meteorología, contaminación por
barrios, localización de equipamientos culturales, entre otros.
Hay que recordar que el estudio de los supuestos o ejemplos de Smart City que no
implican ningún tratamiento de datos personales es ajeno al objeto de este
documento. Dentro de este capítulo -no afectación a información personal- situamos
también, en principio, aquellas ciudades que, para recoger información
medioambiental, por ejemplo, sitúan "nodos" o sensores en diferentes puntos de la
ciudad. Evidentemente, nos estamos refiriendo sólo al supuesto de que estas
tecnologías se usen sólo para captar "información" (volumen de tráfico, contaminación,
plazas de aparcamiento disponibles, etc.) y difundirla al público en general, sin
ninguna posibilidad de hacer ningún seguimiento de personas (grabar matrículas de
vehículos, seguimiento de vehículos o personas, etc)65. Por ejemplo, no es lo mismo
“anunciar" plazas de aparcamiento en un panel informativo que instalarse una "App"
en el ordenador o en otros dispositivos para localizar las plazas de aparcamiento
disponibles en una zona determinada; en este segundo caso, como mínimo, puede 65 Dentro de esta salvedad, ponemos de manifiesto que la videovigilancia, presente en los Smart Cities, evidentemente puede comportar un tratamiento de datos personales. Nos remitimos, sobre esta cuestión, a la normativa correspondiente y a la Instrucción 1/2009 de esta Autoridad.
36
haber un tratamiento de datos asociados a la IP o a un número de teléfono. En
cualquier caso, hay que tener en cuenta las consideraciones hechas en otros
apartados de este estudio, como por ejemplo las relativas al tratamiento de datos que
puede generar el IoT.
4.1 Principio de legitimidad y consentimiento.
Cualquier tratamiento de datos personales tiene que resultar legítimo, y para serlo,
tiene que dar correcto cumplimiento a los principios y obligaciones establecidos en la
normativa de protección de datos. Lo primero que hay que plantearse, pues, al llevar
a cabo una experiencia de Smart City que implique el tratamiento de información
personal, es si éste resulta legítimo en base a lo que dispone la normativa sobre
protección de datos. Concretamente, el artículo 7 de la Directiva de protección de
datos de 1995 configura los principios relativos a la legitimación del tratamiento de
datos en los siguientes términos:
“Los Estados miembros tienen que establecer que el tratamiento de datos personales sólo se
podrá efectuar sí:
a) el interesado ha dado el consentimiento de manera inequívoca,
b) es necesario para la ejecución de un contrato en que el interesado es una de las partes o
para la aplicación de medidas pre-contractuales adoptadas a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica a que esté sujeto el
responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio
del poder público conferido al responsable del tratamiento o a un tercero a quien se
comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo que persigue el responsable del
tratamiento o la tercera o terceras personas a quienes se comuniquen los datos, siempre que
no prevalezca el interés o los derechos y libertades fundamentales del interesado que
requieran protección de acuerdo con el apartado 1 del artículo 1 de esta directiva.”
Desde el momento en que un ejemplo de Smart City comporta un tratamiento de datos
personales, hay que analizar si los datos se recogen para el cumplimiento de una
finalidad legítima y si esta recogida y el tratamiento posterior se hacen de una forma
legítima. En concreto, si se dispone del consentimiento de las personas afectadas, si
procede. Habrá que analizar de forma precisa la legitimidad para realizar,
37
legítimamente, un determinado tratamiento de datos, en experiencias Smart City que
utilicen o puedan llegar a utilizar, ni que sea potencialmente, datos personales a las
que la normativa de protección de datos otorga un grado reforzado de protección
(artículo 7 LOPD y artículo 8 de la Directiva de protección de datos de 1995). Citamos
(además de otros ejemplos ya comentados, como por ejemplo la iniciativa E-call,
gestión de emergencias, etc.) a modo de ejemplo, las experiencias Smart City
relacionadas con la movilidad y la utilización de transportes públicos por parte de
personas invidentes66. A través de sensores de geolocalización y una brújula, una
aplicación permite a las personas invidentes saber dónde se encuentran y les facilita el
acceso en el transporte público. Ahora bien, ¿qué datos personales se recogen y
tratan en experiencias de este tipo? ¿Qué uso posterior se hace? ¿Qué medidas de
seguridad reforzadas habría que plantear en este caso?67 Sin olvidar que, en estos
casos (aplicaciones de localización de personas con alzheimer) el correcto
cumplimiento del principio de consentimiento también puede ser problemático e incidir
en la legitimidad del tratamiento de los datos personales correspondientes.
El artículo 6 de la LOPD configura el consentimiento inequívoco del titular de los datos
como el eje que legitima un tratamiento de datos, salvo que la ley disponga otra cosa,
en definitiva, que se den las circunstancias legales que habilitan un tratamiento de
datos sin tener que disponer del consentimiento. Habrá que tener en cuenta
especialmente las previsiones sobre diferentes tipos de consentimiento requerido, en
función de la información personal tratada (art. 7 LOPD). Ahora bien, tratándose de
administraciones públicas, que tienen encomendada por ley la consecución del interés
público, la misma LOPD habilita el tratamiento cuando se trate del “ejercicio de las
funciones propias de las administraciones públicas en el ámbito de sus competencias”
(art. 6.2).
En el contexto de las Smart City podemos encontrar muchos ejemplos e iniciativas que
se llevan a cabo desde el sector público. En estos casos, cuando una Administración
pública recoge datos personales de los ciudadanos para tratarlos en el contexto del
ejercicio de las funciones que le son propias, habría que partir de la base de que no
66 Ejemplo extraído del estudio de la Universidad de Almería respecto a la utilización de una App que facilita el acceso de personas invidentes a los autobuses urbanos. Font: http://cms.es/ual 67 Se hacen extensibles estas consideraciones a otros ejemplos, como por ejemplo la investigación llevada a cabo por la Universidad Carlos III de Madrid sobre el desarrollo de sistemas basados en localización por satélite empleados para localizar a personas que sufren alzheimer, o mujeres maltratadas. Fuente: http://www.uc3m.es .
38
sería necesario disponer del consentimiento previo del afectado. El tratamiento puede
ser legítimo sin el consentimiento previo de los afectados.
A modo de ejemplo, citamos la instalación de sistemas de geolocalización en
vehículos de cuerpos policiales, en servicios de emergencia (bomberos...) o servicios
de transporte público, entre otros, autobuses o taxis que circulan por una ciudad. En
estos casos, siempre que la instalación encuentre su justificación en la adecuada
prestación del propio servicio (en el sentido que conocer la situación y recorridos de la
flota de vehículos supone la mejora del propio servicio –reducción de tiempo de espera
en víctimas de accidentes, mejora en los tiempos de atención de llamadas de
emergencia...-, o bien porque aumenta la seguridad de los propios trabajadores68 y de
terceras personas, etc), podría resultar legítima una recogida y tratamiento de los
datos sin consentimiento. Por el contrario, otros supuestos de utilización de la
geolocalización a través de dispositivos móviles inteligentes (como por ejemplo
smartphones) o a través de tarjetas inteligentes, de forma generalizada para los
usuarios de un servicios público, que sea “prescindible”, es decir, no justificable en la
propia prestación del servicio o en el ejercicio de la función propia de la Administración
pública, podría requerir el consentimiento previo de los afectados.
Podemos encontrar otros ejemplos en determinadas medidas tomadas por una
administración pública municipal smart para mejorar el tráfico de vehículos a
determinadas zonas de la ciudad (regulación y optimización del tráfico, ahorro de
energía, reducción de accidentes y de contaminación atmosférica...), las cuales
podrían no requerir el consentimiento de los afectados, en caso de encontrarse el
tratamiento suficientemente amparado por previsiones normativas que hagan
innecesario disponer del dicho consentimiento. Así, se podría considerar que el
ejemplo de la grabación de matrículas de vehículos por motivos de seguridad
difícilmente podrá basarse en el consentimiento –siempre que haya la suficiente
habilitación legal-, mientras que si la finalidad fuera, por ejemplo, participar en un
estudio sobre la circulación de determinados tipo de vehículos (por ejemplo, vehículos
de bajo consumo, vehículos eléctricos... por una zona urbana determinada), puede ser
68 Por lo que se refiere estrictamente al ámbito laboral, especialmente, en cuanto a la problemática del consentimiento como fundamento del tratamiento legítimo de los datos de los trabajadores, nos remitimos a las consideraciones hechas por el Grupo del Artículo 29 en el Dictamen 8/2001, sobre el tratamiento de datos en el contexto laboral, y el Dictamen 13/2011, sobre los servicios de geolocalización en dispositivos móviles inteligentes .
39
cuestionable argumentar que un ciudadano tenga que soportar el tratamiento de su
información personal (y, quizás, la creación de perfiles) sin su consentimiento.
En algunos supuestos el tratamiento se tendrá que llevar a cabo en base a la
existencia del consentimiento de las personas afectadas, bien porque se trate de datos
especialmente protegidos (datos relativos a la ideología, creencias, afiliación sindical,
raza, salud o vida sexual) o por otros motivos, como pueda ser la especial afectación
que el tratamiento puede implicar para los datos del ciudadano. No debemos olvidar
en este sentido que el derecho a la protección de datos tiene un carácter instrumental
respecto al ejercicio de otros derechos de las personas, de forma que un tratamiento
inadecuado o excesivo puede acabar afectando a otros derechos o libertades (derecho
de reunión, libertad de circulación etc.)
Ponemos como ejemplo un proyecto de gestión inteligente de la movilidad urbana que
implicara la instalación en los vehículos de dispositivos de seguimiento o
monitorización, por ejemplo, para detectar una situación de peligro para la conducción
(somnolencia del conductor, alteración del ritmo cardíaco...). Proyectos como este
podrían combinarse con la instalación de sensores y cámaras inteligentes instalados
en la infraestructura viaria –semáforos, intersecciones...-, para gestionar y hacer más
ágil la circulación de vehículos en las ciudades o, incluso, en caso de accidente, para
activar llamadas de emergencia –tipo E-Call, mencionado-.69 No parece que en estos
casos, o en casos similares, se pudiera proceder al tratamiento de datos de un usuario
sin disponer de su consentimiento, por los motivos indicados (tipo sensible de datos
tratados y afectación de otros derechos y libertades de la persona afectada).
Cuando sea necesario el consentimiento este tendrá que ser comprensible (o
informado) y libre (en los términos en que lo plantea el Grupo del Artículo 29 en su
Dictamen 15/2011 sobre la definición del consentimiento), y específico para las
diferentes finalidades del tratamiento.70 Las personas afectadas tienen que conocer
69 Ejemplo ilustrativo, inspirado en el “Proyecto MARTA (Mobilidad y Automoción con Redes de Transporte Avanzada), citado en el documento “Smart Cities: un primer paso hacia la internet de las cosas”. Fund. Telefónica, Ariel, 2011. Ver, también, el artículo: “El Proyecto MARTA permitirá la gestión más inteligente de la movilidad urbana”, en www.idi.mineco.gob.es 70 Como apunta el Grupo del Artículo 29 en su Dictamen 13/2011, citado: “El consentimiento debe ser específico para los diferentes fines para los que se procesen los datos, por ejemplo para elaborar perfiles y orientaciones de comportamiento. Si la finalidad del tratamiento de los datos cambia de forma sustancial, el responsable del tratamiento deberá obtener la renovación del consentimiento específico.”
40
de forma clara las implicaciones del tratamiento, antes de dar su consentimiento. Por
otro lado, “el consentimiento tiene que ser libre”, y al respecto habrá que reflexionar
acerca de si un ciudadano está de hecho en disposición de consentir de forma libre en
relación con una aplicación de Smart City sin la cual no puede disfrutar de un servicio,
como por ejemplo el suministro de energía, o sin la cual no puede circular por el centro
de una ciudad.
Varias ciudades europeas han condicionado el acceso con vehículos motorizados a
determinadas zonas, a través de sistemas de "road princing". Por ejemplo, el”Area C”
de la ciudad de Milan71, en la que se establece una reglamentación de acceso a
determinados espacios: determinados vehículos (eléctricos, motocicletas...) tienen
acceso libre, mientras que el resto de vehículos están supeditados al pago de una
tasa; hay diferentes tarifas, por ejemplo, para residentes en la zona o en función del
número a veces que se circula por la zona. Este modelo, que es similar al de otras
ciudades, implica necesariamente un tratamiento de datos personales –por ejemplo, a
efectos del pago de una tasa-, que no parece que pueda depender de la capacidad de
elección del titular de los datos.
Otros ejemplos de prestación del consentimiento que podrían resultar problemáticos o
que, como mínimo, pueden ser objeto de debate, se refieren al consentimiento de
menores que son “objeto” (más que usuarios activos) de aplicaciones de
geolocalización –Apps de control parental- que informan de forma continua sobre
emisiones de alerta si el menor sale de un perímetro determinado, o que informan a
los padres a través de Internet. En un sentido amplio estas aplicaciones, si bien
inicialmente se utilizan en una esfera meramente privada, podría ponerse a disposición
de los ciudadanos en el contexto de las Smart City como un servicio, por ejemplo,
ofrecido por una administración municipal. Debería tenerse en cuenta la privacidad del
propio menor y la discusión –incluso ética- del exceso de control en estos casos, tanto
desde la perspectiva de la legitimidad del propio tratamiento, como desde la
perspectiva del principio de consentimiento (tomando como referencia, sobre todo, la
frontera de los 14 años que, en principio, marca la normativa en relación con el
consentimiento de los menores)72.
71 http://www.comunemilano.it 72 A pesar de que probablemente se escapa del contexto Smart City, también es interesante plantearse los problemas referidos al consentimiento de los trabajadores cuando es una empresa la que utiliza
41
Debemos ser conscientes de que el progresivo desarrollo de ejemplos de Smart City
tiene que llevar a una reflexión previa sobre la necesidad o no de disponer del
consentimiento de las personas afectadas.
Finalmente, y sin perjuicio del análisis que requerirá cada caso concreto, apuntamos
que, en cuanto a posibles comunicaciones o cesiones de datos (arts. 11 y 21 de la
LOPD) en varias experiencias Smart City, un punto de atención fundamental será
evaluar en cada caso si se cuenta con una norma con rango de ley que habilita la
comunicación o, por el contrario, si hay que disponer del consentimiento de las
personas afectadas. El principio general del artículo 11 de la LOPD establece que es
necesario este consentimiento a menos, básicamente, que la cesión o comunicación
de los datos esté autorizada en una ley (norma con rango legal). Dado que en el
contexto de las Smarts Cities nos encontraremos con muchos supuestos de prestación
de servicios por las administraciones públicas (locales y supralocales), en cuanto a la
comunicación de datos entre administraciones públicas nos remitimos a la previsión
del artículo 21.1 de la LOPD73 .
4.2 Principio de finalidad.
Un primer tratamiento legítimo de información no implica que también lo sea cualquier
otro tratamiento que se haga a partir de aquella información, o que sea legítima
cualquier cesión de los datos a terceros, para finalidades diferentes74. El principio de
legitimidad exige que los datos no sean tratados para finalidades “incompatibles” con
la finalidad legítima para la cual fueron recogidos. En el marco de las Smart Cities hay
que poner especial atención, pues, al hecho de que la legitimidad que permite un
tratamiento por parte de un ayuntamiento, por ejemplo, o de una empresa que
suministra un determinado servicio, no supone la legitimidad "en cascada" para
geolocalitzación, por ejemplo, de los vehículos. Al respecto, nos remitimos a los comentarios hechos en el Dictamen 13/2011, del Grupo de Trabajo del Artículo 29. 73 “Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.” 74 Como ha puesto de manifiesto el Tribunal Constitucional en la STC 292/2000 (F.J.13).
42
tratamientos secundarios que quizás no son necesarios o que, simplemente, el
interesado no desea.
En el terreno de los contadores inteligentes, hay que pensar que se estarán
obteniendo y tratando datos que afectan a un núcleo familiar, al interior de un
domicilio, con todo lo que esto tiene de afectación para la privacidad. Hay que analizar
la habilitación para utilizar esta información con finalidades diferentes a la principal75.
Por ejemplo, que la empresa que suministra el servicio disponga de habilitación, no
implica que esta habilitación se extienda a finalidades o usos derivados de la principal
(por ejemplo, para hacer estudios de calidad, creación de perfiles de consumo, ofrecer
servicios relacionados con el suministro otras energías, “servicios de valor añadido”,
ceder los datos a otras empresas...). La empresa que presta el servicio puede tener
habilitación para recoger y tratar datos para el suministro, facturación o mantenimiento
del servicio, controlar impagos o fraudes, pero esto no legitima cualquier otro
tratamiento de datos.
Todavía en relación con el tratamiento de datos para finalidades legítimas, podemos
poner otros ejemplos: una ciudad implanta un sistema de seguridad y videovigilancia
para mejorar la seguridad viaria y ciudadana, a través del cual se pueden grabar las
matrículas de los vehículos que circulan por determinadas zonas. El sistema permite la
lectura automática de matrículas así como la identificación de la marca, modelo y color
de los vehículos. La tecnología empleada también ofrece la posibilidad de cruzar los
datos obtenidos de los vehículos con bases de datos policiales, con objeto de detectar
vehículos “sospechosos”, por ejemplo, de haber sido robados o de estar relacionados
con la comisión de algún delito. A partir del ejemplo que proponemos76, y desde la
perspectiva del principio de legitimidad que examinamos, podemos formular las
siguientes cuestiones: ¿cuál es la finalidad legítima prevista? Si lo es la mera
regulación del tráfico (priorizar determinadas vías de acceso a la ciudad, por ejemplo,
o estudiar qué itinerario es más recomendable en horas punta en una zona con alta
densidad de centros escolares), no parece que el tratamiento para finalidades de
controles o análisis rutinarios en materia de seguridad pública (analizar las matrículas
75 Como apunta el SEPD, se podría establecer una “granularidad” del consentimiento, en función –añadimos- de que las diferentes finalidades sean indispensables o no para prestar el servicio. 76 Ejemplo extraído, a efectos ilustrativos, de la información disponible en la web: http://www.esmartcity.es , en relación con el sistema implantado en la ciudad francesa de Cannes por una determinada empresa.
43
para detectar coches “sospechosos”) pueda resultar habilitada sin una base legal
propia. Habría que plantear también los riesgos que pueden generarse en relación con
la capacidad de correlacionar la información extraída de diferentes sensores
(instalados para finalidades concretas en un entorno de Smart Cities), para obtener y
tratar una información con finalidades que no serían las que habrían justificado en un
principio la obtención y tratamiento de los datos. Es decir, en un contexto de sensores
instalados en las ciudades smart, que recogen información de todo tipo y de manera
“invisible” o imperceptible para los ciudadanos, se podría generar en determinados
casos una potencial vigilancia continuada de los ciudadanos. Este “seguimiento” (o, de
alguna manera, este perfil en el que el objeto es “lo que hace” el usuario), podría
generar que, en caso de necesidad, determinadas informaciones que, a priori, no
identifican a ninguna persona concreta, puedan pasar a ser datos personales,
modificando la configuración de ciertos dispositivos (p.ej. cámaras que inicialmente por
su configuración no permitían identificar personas, pero que a raíz de la modificación
de su configuración sí que lo permiten). Esto permitiría hacer un seguimiento
pormenorizado de lo que hace una persona. Seguimiento que, en línea con el riesgo
que apuntamos, no estaría en absoluto previsto como finalidad legítima inicial.
Esta reflexión enlaza especialmente con los ejemplos que hemos mencionado en el
entorno de la seguridad pública: Sería necesario que cualquier tratamiento con
finalidades policiales de la información generada en el marco de experiencias de
Smart City en principio con otras finalidades, tuviera la suficiente habilitación en una
base legal propia.
Habría que revisar estas posibilidades desde la perspectiva del principio de finalidad
que tratamos.
Sirva también de ejemplo el tratamiento de datos realizado por un ayuntamiento,
vinculado a la utilización de “smart cards”, por ejemplo, para desplazarse por una
ciudad con finalidades de turismo. En este caso podemos considerar legítima la
recogida y tratamiento de datos identificativos y bancarios (número de tarjeta a efectos
de cobro...). Ahora bien, ¿sería legítimo hacer un tratamiento de los lugares visitados
por un turista, haciéndolo identificable, con la finalidad de ofrecer determinados
servicios adicionales sin una habilitación adecuada? Creemos que no, salvo que se
pueda considerar este tratamiento como “indispensable” para el funcionamiento del
44
sistema, y que forma parte de la finalidad que habilita el tratamiento para la prestación
de determinado servicio.
Finalmente apuntamos otro ejemplo que, creemos, habría que analizar desde la
perspectiva del principio de finalidad, entre otros. Se trata de las redes inalámbricas
“Wi-Fi”. Varias administraciones públicas, principalmente en ámbito local, así como
entidades privadas, ofrecen acceso a redes, habitualmente Internet. La facilidad de
acceder a Internet o a informaciones propias de esta entidad (ayuntamientos...) que
ofrece el acceso a estas redes es sin duda un ejemplo de Smart City, puesto que
permite ofrecer a los ciudadanos servicios con valor añadido (hacer trámites,
gestiones, obtener información...). Dicho esto, hay que tener presente que la
navegación que se pueda hacer puede resultar monitorizada por parte del proveedor
de este acceso a redes –sea público o privado-. Esta monitorización, de existir, tendría
que responder a una finalidad legítima y, además, habría que informar adecuadamente
al usuario sobre esta posible monitorización, entre otras cuestiones.
4.3 Principio de calidad. Principio de minimización.
El principio de calidad (artículo 6 de la Directiva de protección de datos de 1995 y
artículo 4 de la LOPD) exige que cualquier tratamiento de datos afecte, sólo, a los
datos “adecuados, pertinentes y no excesivos” en atención a la finalidad legítima a la
que se quiere dar cumplimiento en cada caso. En concreto, y en cuanto al caso que
nos ocupa, según el artículo 4 de la LOPD los datos personales sólo se pueden
recoger -en el contexto que analizamos, por parte de una empresa o administración o
autoridad pública que quiera ofrecer un servicio Smart City a los ciudadanos-, y sólo se
pueden tratar posteriormente cuando sean adecuados, pertinentes y no excesivos, en
relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las
cuales se han obtenido. Se añade que los datos objeto de tratamiento no se pueden
utilizar para finalidades incompatibles con las que habilitaron la recogida, sin que se
considere incompatible el tratamiento posterior de datos con finalidades históricas,
estadísticas o científicas.
Si bien no se puede generalizar y encontrar una base común para diferentes
supuestos de Smart City en cuanto a los datos que pueden resultar ajustados a
principios de calidad, sí hay que partir de la base que el cumplimiento de este principio
45
debe ser especialmente respetado en el entorno a las Smart Cities. De entrada, por la
cantidad de ejemplos que proliferan día a día en este contexto, y que en buena medida
pueden comportar tratamiento de datos y, por otra parte, por el hecho de que
determinadas técnicas y sistemas que, como comentamos, están muy presentes en el
entorno de las Smart Cities (NFC, RFID, portales de internet, smartphones, sensores y
contadores inteligentes, videocámaras...), por sí mismas, tienden a permitir un ingente
tratamiento de datos personales.
Una concreción del principio de calidad es el llamado “principio de minimización”, el
cual no se encuentra explicitado en la Directiva de protección de datos de 1995, pero
parece que podría quedar incorporado más explícitamente en el Proyecto de
Reglamento, citado, que se debate actualmente en el seno de la UE. Concretamente,
el artículo 5.c) del Proyecto de Reglamento dispone, entre otros, que los datos
personales tienen que ser:
“adecuados, pertinentes y limitados al mínimo necesario en relación a los fines para los que se traten; solo se tratarán si y siempre que estos fines no pudieran alcanzarse mediante el tratamiento de información que no implica datos personales;
En cualquier caso, la premisa de utilizar los mínimos datos imprescindibles para cada
tratamiento, así como la de hacer los mínimos tratamientos posibles tiene que tener
plena aplicación en el ámbito de las Smart City (por ejemplo, en atención a las
diferentes fases de lo que genéricamente consideramos “tratamiento” de datos, si para
llevar a cabo determinada actuación hay que recoger datos sin que nadie ajeno al
responsable los trate, no será necesario cederlos).
El “contrapunto” a los principios de minimización es el “Data mining” o minería de
datos: a modo de ejemplo, desde el momento que en el contexto de las Smart Cities
se ponen a disposición de los usuarios unas Apps con geolocalización para diferentes
usos –tema ya apuntado-, aunque estos sean legítimos y aisladamente la información
tratada resulte proporcionada a la finalidad perseguida, no podemos descartar que
mediante técnicas de minería de datos se acabe haciendo un uso de datos personales
excesivo y por lo tanto desproporcionado. En un caso concreto77, se pudo comprobar
que observando la ubicación de los metadatos almacenados en fotos publicadas a
77 Relatado en el artículo “La geolocalización de los smartphones amenaza la privacidad” de www.tendencias21.net .
46
través de una cuenta con pseudónimo de twitter por su titular, se pudo localizar el
domicilio de esta persona. A partir de ahí, por las referencias cruzadas con los
registros de esta ubicación de la ciudad, se pudo encontrar su nombre, puesto de
trabajo, e identidad de familiares. Sirva el ejemplo de advertencia de que, a partir del
desarrollo de un servicio de Smart City que utiliza geolocalización, se puede estar
facilitando una minería de datos de los usuarios y de terceros que puede poner en
riesgo su privacidad.
Podemos poner otro ejemplo de minimización en el contexto de los contadores
inteligentes: estos contadores permiten un seguimiento, si se quiere, continuo de los
consumos en un domicilio. Ahora bien, para facturar el suministro de energía, ¿hay
alguna necesidad de hacer lecturas de consumo continuas? Claramente, parece que
no. El lapso entre lecturas puede ser mayor y, por lo tanto, menos intrusivo, según la
finalidad. Este será un punto a tener en cuenta (otra cosa sería la realización de
pautas de consumo, que pueden dar información mucho más “interesante” con
lecturas constantes, ahora bien, desde la perspectiva de la protección de datos,
nuevamente, habría que recurrir aquí al tratamiento de información agregada,
probablemente).
En cualquier caso, para evaluar los datos personales que puede ser pertinente tratar
resulta determinante aclarar para qué finalidades (y usos secundarios) se tratan los
datos78: si los datos se recogen para hacer uso de un alquiler de bicicletas, o para
hacer uso de una tarjeta inteligente para utilizar el transporte público (metro...), los
datos a tratar, incluso el periodo de conservación de estos datos, serán diferentes si la
finalidad es la de cobrar el servicio, comunicarse con los usuarios, controlar el fraude,
etc, de aquellos necesarios para hacer un estudio sobre la calidad del servicio o el
grado de satisfacción de los usuarios, al margen que, en este último caso, el
tratamiento podría hacerse probablemente con información anonimizada.
Algunos casos no permiten, creemos, la anonimización de los datos (por ejemplo, si un
coche circula con un dispositivo tipo "teletac" de cobro electrónico de peajes, los datos
78 En relación con el principio de calidad y minimización, el Grupo de Berlín destaca que no se tiene que hacer el mismo tratamiento de datos para todas las finalidades o usos y añade que, por ejemplo, las empresas de transporte tendrían que facilitar alternativas para poder “viajar anónimamente”, sin que esto suponga un perjuicio. Nos remitimos a los documentos del Grupo, citados en el apartado de “Medidas de Seguridad”.
47
del propietario son necesarios para realizar la facturación del servicio; igualmente, los
sistemas de "Ecovia", www.ecoviat.com79, en que los vehículos acreditados como de
baja emisión pueden circular por determinadas vías, o el carril bus-VAO80). Esto obliga
a un mínimo tratamiento de datos difícilmente anonimizable, (tipos de vehículo,
requerimientos técnicos, propietario...). Ahora bien, en estos u otros ejemplos (otros
casos de “road pricing”, o alquiler de bicicletas en el caso de Barcelona o Londres,
etc81), la anonimización sí es posible para usos o finalidades secundarias.
Hay que destacar que en relación con diferentes ejemplos de aplicación de Smart City
al tráfico en carreteras, en diversos países se facilita información relativa al tratamiento
que se hace de datos personales, para qué finalidades, etc. Además de algún ejemplo
citado, destacamos como iniciativa "positiva" el documento que la Autoridad de
protección de datos de Ontario ha elaborado conjuntamente con la Autoridad de
tráfico, en que se explica "cómo circular de forma anónima por determinadas
carreteras".82
Además de algunos ejemplos a los que nos referimos a lo largo del trabajo, como por
ejemplo los contadores inteligentes, y sobre los cuales no volveremos a incidir, nos
referiremos a:
"Smart cards" o tarjetas inteligentes, títulos de transporte o ejemplos referentes a otros
equipamientos del Smart City: permiten utilizar las redes de transporte público y
algunas añaden la posibilidad de utilizar otros equipamientos, como por ejemplo
museos, etc. Desde el momento que estos títulos de transporte son "personalizados",
es evidente que hay un tratamiento de datos personales que nos puede dar
información sobre los movimientos de una persona, las personas que la acompañan o,
en el caso de servicios diferentes al transporte, sobre sus aficiones, hábitos, estilo de
vida, etc. En estos casos los Ayuntamientos (y/o empresas responsables)
79 En esta web, el usuario puede darse de alta adjuntando información de una serie de documentos del vehículo y datos personales. 80 www.gencat.cat/especial/carrilbusvao/cat/vehicles.htm 81 Entre otros, ponemos el ejemplo de la iniciativa "TOLL2GO", para la circulación de camiones por la red de carreteras de Austria y Alemania, que comporta la instalación de aparatos de seguimiento en los vehículos: www.toll-collect.de. Citamos este ejemplo como "positivo", puesto que en la página web citada se incluye una cláusula informativa bastante comprensible sobre el tratamiento de datos personales que se hará. 82 "407 Express Toll Route: How you can travel the 407 anonymously", 1998, disponible en la web de esta Autoridad, ya mencionada.
48
generalmente ponen a disposición de los usuarios, turistas..., cuestionarios que hay
que rellenar, a través de sus web, para poder recibir estas tarjetas. Se solicitan y tratan
datos identificativos, algunas permiten elegir el transporte, simplemente, pero otras
permiten dar -o solicitan- incluso información sobre si el usuario que pide la tarjeta
tiene algún tipo de minusvalía o necesidades especiales...83 (seguramente estos casos
podrían ser un ejemplo de "posibilidad de minimización" puesto que, en principio, no
parece justificable el tratamiento de estos datos sensibles, a menos que pueda ser
relevante, por ejemplo, para la determinación de la tarifa, y a menos que se demuestre
que claramente es necesario tratar esta información para que el usuario haga un uso
del servicio o transporte).
Por otro lado, hay que tener en cuenta que en aquellos supuestos en que una misma
tarjeta pueda servir como sistema de identificación en diferentes servicios, este hecho,
por sí solo, no tendría que comportar un tratamiento indiscriminado de la información
necesaria para la prestación de cada uno de los diferentes servicios.
En cuanto al cobro electrónico de peajes (englobamos los ejemplos tipos Teletac, Vía-
T...), en general habrá sensores instalados en la zona de peaje, probablemente
videovigilancia, (para el control de infracciones), y es necesario instalar un
receptor/emisor en el vehículo, que facilitará el cobro electrónico del peaje. Además de
los datos mínimos para facturación, etc, la "minimización" podría aplicarse a temas
como por ejemplo evitar monitorización o perfiles de rutas, movimientos del vehículo,
hábitos de desplazamiento..., o para evitar utilizar esta información con otras
finalidades.
Sirva como ejemplo la información de la red de transportes de Londres84, en concreto,
la referida a la tarifa para utilizar el vehículo en determinadas zonas, en que se informa
que el usuario no necesita tickets ni pases especiales para entrar en determinadas
zonas, sino que las cámaras instaladas en la zona captan la matrícula del vehículo. Se
comprueba en una base de datos si la persona ha pagado la tasa, si está exenta de
pagarla... la información se conserva unas horas, y si todo está conforme (pago hecho,
83 www.southampton.gov.uk/smartcities 84 Tfl: “Transport for London”: www.tfl.gov.uk/roadusers/congestioncharging/6718.aspx
49
si procede, o exención...) automáticamente se borran todos los datos -imágenes del
vehículo- de la base de datos.
En algunos casos la utilización de estas vías o de determinadas tarifas puede estar
supeditada a que el vehículo esté ocupado por un determinado número de ocupantes.
En estos casos no parece justificado tener que grabar una imagen de todos los
ocupantes, al menos en el caso de los vehículos que cumplan con el número de
ocupantes establecido en la normativa correspondiente.
En esta línea, también queremos poner el ejemplo de los sistemas "E-call”. Se trata de
sistemas de gestión de llamadas de urgencias que pasan por colocar sensores en un
vehículo, y que en caso de accidente desencadenan una llamada de emergencia de
forma automática85. En este contexto tendría que cobrar especial importancia la
transparencia del sistema para el usuario, como también su control sobre este tipo de
dispositivos. Por otro lado nos podríamos plantear cuestiones como por ejemplo
cuáles son los datos mínimos y necesarios para que un sistema como este sea
efectivo.
Estos y otros ejemplos podrían ser objeto de un análisis más detallado sobre los usos
concretos que comportan, qué datos hay que tratar, qué tiempo de conservación es el
adecuado, para qué usos se puede tratar la información de forma anonimizada, etc.
Un elemento al que también deberíamos prestar especial atención como manifestación
del principio de calidad, es el que se refiere al mantenimiento y conservación de datos.
Según dispone el artículo 4.5 de la LOPD:
“Los datos de carácter personal tienen que ser cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual han sido recogidos o registrados. No
tienen que ser conservados de forma que permitan identificar el interesado durante un periodo
superior al necesario para las finalidades de acuerdo con las cuales hayan sido recogidos o
registrados.”
85 Nos remitimos a la Comunicación de la Comisión Europea "E-Call: el momento de implantarlo" COM (2009)434 final; Documento de trabajo del Grupo del Artículo 29 sobre las consecuencias por la intimidad en la iniciativa eCall, de 26 de septiembre de 2006.
50
Sobre esto, incidimos en varios ejemplos que hemos ido desgranando en este trabajo:
en el marco de la movilidad viaria, los datos tratados para el pago de tasas para
acceder a un casco urbano no tendrían que ser conservados, probablemente, más allá
de la constatación del pago por parte del usuario, o como máximo durante el periodo
de validez de la tasa satisfecha. No descartamos que la información generada pueda
ser útil, por ejemplo, para que una administración municipal pueda replantear (ampliar,
limitar...) la zona donde es pertinente cobrar la tasa, pero este sería un caso en que se
podría tratar la información personal, probablemente, de forma agregada, es decir, sin
identificar a la persona (matrícula, propietario...). Por lo tanto, la información personal
no podría ser conservada para estas finalidades identificando a la persona.
Finalmente, hacemos referencia a la información que un teléfono móvil podría ir
“acumulando” y almacenando sobre las búsquedas que ha hecho el usuario para
localizar diferentes lugares de interés, a través de la geolocalización. El hecho de que
varios servicios o Apps permitan mantener un “histórico” de lugares visitados o
consultas hechas puede resultar útil al usuario, pero nos tendríamos que preguntar si
tiene sentido que, por defecto, se acumule y se mantenga almacenada esta
información sine die. La determinación de cuál debe ser el periodo de conservación
adecuado en cada caso, tendría que quedar en manos del usuario que, en cualquier
caso, tendría que tener suficiente disponibilidad para eliminar estos tipos de registros
de consultas hechas anteriormente.
El Grupo de Berlín apunta en varios documentos que hay que prestar especial
atención a los periodos de conservación de los datos (por ejemplo, si los datos
permiten un viaje turístico durante tres días por una Smart City, más allá de pocos días
no tiene sentido que la autoridad de transporte de aquella ciudad conserve datos del
turista, a menos que se asegure que se hará un mero uso estadístico de recorridos
efectuados en transporte público o de museos o lugares de interés visitados -el
ejemplo es nuestro-).86
86 Por ejemplo, con la utilización de la citada “Iamsterdam Card”, tarjeta inteligente que permite utilizar medios de transporte y visitar determinados lugares de interés, en cada museo visitado se toma nota del número de tarjeta, y hay que marcar –con la tarjeta citada- cada entrada y salida de un transporte público. Hay que añadir que la tarjeta funciona con un número aleatorio, -no con el nombre y apellidos de la persona-. Ahora bien, si estos tipos de tarjetas turísticas se han pagado con una tarjeta bancaria, ¿hasta qué punto se puede relacionar la información y “personalizar” los recorridos hechos o los lugares visitados? ¿Con qué finalidad? ¿Con qué grado de información al usuario?
51
También habría que reflexionar sobre cuáles son las capacidades de interoperabilidad
de los diferentes sistemas, puesto que esto podría comportar ciertos riesgos. En el
entorno de las Smart Cities, se pueden generar tratamientos en relación a diferentes
conjuntos de datos que no son especialmente relevantes si los consideramos de
manera aislada (el conjunto de datos tratado en relación con un ejemplo de Smart City
puede no incluir información sensible, por ejemplo, o puede no incluir un número
importante de datos de diferentes categorías...). Ahora bien, si estos conjuntos de
datos se procesan en un mismo entorno, se pueden generar efectos no deseados –
nuevos tratamientos no habilitados ni ajustados a los principios de protección de
datos-.
4.4 Principio de información o transparencia.
El deber de información es otro de los ejes fundamentales de la protección de datos.
Este principio implica que el responsable de un fichero o tratamiento de datos tiene la
obligación de informar a la persona física titular de los datos, entre otros, de qué
tratamiento se hará y qué implica este tratamiento, a quién se cederán los datos, para
qué finalidad, dónde tiene que dirigirse para obtener información sobre el tratamiento
y, si procede, ejercer los derechos que otorga la normativa de protección de datos
(acceso, rectificación, cancelación y oposición, derechos ARCO). Así, el principio de
información es clave en el contexto de la autodeterminación informativa para ejercer
los derechos ARCO. En esto radica buena parte de la trascendencia del dicho
principio. El artículo 5 LOPD configura los elementos sobre los cuales hay que
informar el usuario, en los siguientes términos:
“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
52
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
(...)”.
En el marco de lo que dispone la Directiva de protección de datos de 1995 y la LOPD,
y teniendo en cuenta las concreciones del Proyecto de Reglamento de protección de
datos87, es especialmente relevante constatar que deberían revisarse los elementos
que "tradicionalmente" configuran la información que da el responsable de un
tratamiento de datos, cuando hablamos de determinados casos de Smart City.
El Proyecto de Reglamento UE citado (art. 11, en conexión con el art. 14) exigirá al
responsable aplicar “políticas transparentes y fácilmente accesibles” en relación con el
tratamiento de datos personales y el ejercicio de los derechos del interesado.
El futuro marco de protección de datos europeo pretende otorgar mayor relevancia,
todavía, a la “transparencia”, en el sentido de la accesibilidad y claridad en la
información que el responsable tiene que dar a los interesados sobre el tratamiento de
sus datos: un ejemplo, de los muchos con que podemos ilustrar la importancia que la
transparencia puede tener en las Smart Cities, es el referido a los “smart parkings”, o
sistemas de aparcamiento inteligentes88. Sistemas como estos funcionan a través de
la distribución de sensores en el pavimento de las calles de una ciudad, en concreto,
de zonas de aparcamiento. En principio, estos sensores no recogen información del
coche o del conductor, sino que informan sobre si una plaza de aparcamiento está o
no ocupada, información que se envía a través de una App que una persona se
descarga en su móvil, o a una página web que se puede consultar. Ahora bien, el
usuario que accede a la web de la empresa o servicio municipal que gestiona el
servicio de parking inteligente, ¿sabe qué rastro puede dejar su consulta en la web o el
hecho que se descargue el App en su móvil? ¿Qué información “transparente y
asequible”, pues, tendrá que dar el responsable para cumplir adecuadamente con las
87 Si bien se trata de un texto no definitivo, hay que tener en cuenta la relevancia otorgada en el Proyecto de Reglamento UE a la transparencia en la información –art. 11-, a la portabilidad de los datos –art. 18-, o a la elaboración de perfiles –art. 19-, como “nuevos derechos” en el contexto de los derechos del titular de los datos personales, cuestiones que deberán ser tenidas en cuenta en el contexto de las Smart Cities. 88 Por ejemplo, como el proyecto hecho en colaboración con el Ayuntamiento de Birmingham: http://blog.ferrovial.com , que citamos a título ilustrativo.
53
exigencias del principio de información, no sólo en el contexto actual del artículo 5
LOPD, sino con vistas a las exigencias de la nueva normativa UE?. En cuanto a uno
de los ejemplos analizados ampliamente en este trabajo, como son los contadores
inteligentes, se nos presentan varias consideraciones respecto al deber de informar:
- La información sobre el tratamiento de datos ¿tendría que referirse a todos los usos
previstos, diferenciando claramente los “necesarios” para la prestación del servicio
(facturación, detección de fraudes o averías, etc.), de los que no lo son (usos
secundarios).
- Habría que informar adecuadamente al usuario sobre los datos que la empresa
suministradora tiene que tratar sin consentimiento, y sobre aquellos datos (o
tratamientos) que requieren el consentimiento del usuario.
- ¿Se tendría que informar sobre los periodos de conservación, en función de las
finalidades?
- ¿Habría que informar sobre la posibilidad de portabilidad de los datos, para el caso
que el usuario decida cambiar de compañía suministradora?
- Dado que el propio usuario tendrá un rol activo sobre su información (consultas a los
propios datos, facturación...) ¿se tendría que informar al usuario sobre la manera
segura de acceso, consulta y tratamiento de los propios datos, sobre la posibilidad o
no de rectificación o cancelación de datos, etc.?
-También creemos que habrá que trabajar especialmente, en relación con el uso de
redes y contadores inteligentes, en la redacción de cuestionarios, formularios u otros
impresos de recogida de datos (art. 5.2 LOPD), puesto que entender qué datos son o
no necesarios, qué medidas de seguridad se aplican, etc., puede suponer cierta
dificultad de comprensión por parte de los usuarios.
-Conviene prestar atención, también, al hecho de que la compañía suministradora de
energía –principal responsable del tratamiento- no esté establecida en la UE, o pueda
ceder datos a terceros fuera del ámbito de la UE, a los efectos de dar información
adecuada y comprensible para el usuario sobre los responsables del tratamiento de
los datos. Por otro lado, nuevamente recurrimos al ejemplo de experiencias Smart City
que utilizan aplicaciones de geolocalización: se deriva de lo que hemos dicho
anteriormente que es muy improbable que los usuarios de aplicaciones Smart City que
utilizan esta tecnología sean conscientes de su grado de control sobre la propia
geolocalización, y de los derechos que les asisten y que les otorga la legislación de
protección de datos. Para tener capacidad real de ejercer derechos ARCO, es
54
necesario que el usuario haya recibido suficiente información sobre las consecuencias
de este tratamiento.
El responsable de tratamientos de datos aparejados a los ejemplos citados de
aplicaciones con geolocalización tiene que dar al usuario una información clara y
comprensible sobre estos tratamientos. Podría ser exigible (además de lo que en
cualquier tratamiento exige el artículo 5 de la LOPD) que el usuario conozca qué datos
de localización se recogen y tratan, que se le informe de cómo puede elegir el nivel y
alcance de la geolocalización (limitar, bloquear, activar o desactivar la
geolocalización), o de cómo puede eliminar datos de localización almacenados;
también en el supuesto de que se condicione la circulación viaria por el centro de una
ciudad al pago de una tasa, y los usuarios tengan que instalar un dispositivo en su
vehículo para hacer un seguimiento de forma que el usuario “emite información” sobre
los momentos en que el vehículo se encuentra en aquella zona, el usuario tiene que
saber cómo desactivarlo cuando sale de la zona en cuestión; si el responsable
conserva datos de localización del usuario, éste tendría que saberlo para tener la
posibilidad de actualizar, rectificar o cancelar datos, si procede, o de oponerse a
determinados tratamientos que puedan no estar relacionados directamente con el
ejemplo citado. Otro ejemplo: si en el futuro un sistema de utilización de bicicletas
urbanas gestionadas por un Ayuntamiento, tipo “bicing” en Barcelona, o “Barclays
Cycle Hire” en Londres89, permite la geolocalización de la bicicleta en todo momento y,
con esto, si bien indirectamente, la geolocalización del usuario, creemos que ello
plantearía exigencias especiales en relación con la información que tendría que recibir
el usuario.
En esta línea, en relación con tecnologías NFC, tarjetas bancarias contactless, etc,
dado que, como hemos expuesto, en el entorno de las Smart Cities el usuario se
convierte en “distribuidor” de su propia información personal haciéndola accesible a
terceros a veces con cierto riesgo y desconocimiento, ¿las advertencias de seguridad
podrían formar parte de la información que el responsable tiene que dar al usuario?.
En cuanto al deber de información en relación con otros ejemplos que hemos tratado
en este documento, en algunos casos también sería interesante plantearse si el
responsable tiene que explicar con cierto detalle (y de manera comprensible y
89 Información disponible en: https://web.barclayscyclehire.tlf.gov.uk .
55
adaptada a la capacidad de comprensión del usuario, insistimos) qué datos, una vez
tratados en el contexto de la finalidad principal, pueden ser objeto de anonimización o
tratamiento agregado.90 Esta consideración es extensible a varios casos, como por
ejemplo los servicios de parking inteligente, el uso de Apps para recibir información
diversa, las consultas realizadas por los ciudadanos en páginas web de información,
servicios de alquiler de bicicletas... Algunos de estos casos pueden generar,
legítimamente, un interés por parte del responsable (un ayuntamiento, por ejemplo),
para realizar un estudio estadístico sobre su viabilidad, grado de satisfacción de los
usuarios, posibilidades de mejora.... Podría ser conveniente, pues, que como parte del
deber de información el usuario supiera en qué medida sus datos pueden ser tratados
posteriormente a efectos estadísticos.
Por ejemplo, si una Smart City se plantea hacer estudios de movilidad a partir de la
participación de ciudadanos en un sistema de detección de parking inteligente (el
usuario se instala una App en su móvil, donde recibe alertas sobre una plaza
disponible en determinada calle) para mejorar el tráfico en determinadas zonas o
franjas horarias, parece que estos estudios tienen que ser viables, siempre que se
anonimice previamente la información personal que se haya podido tratar del usuario
que utiliza el sistema de parking inteligente. Alternativamente, ¿podríamos plantear
como razonable, desde la perspectiva del principio de información, que el estudio
utilice datos personales desagregados –permitiendo la identificación- con el
consentimiento del afectado? No podemos descartar esta posibilidad, si bien nos
parece un claro ejemplo de necesidad de reforzar la información previa que habría que
dar al usuario.
También creemos que puede ser problemático (y, por lo tanto, objeto de atención)
establecer un grado adecuado de información al interesado en aquellos casos en que
hay varios "responsables, encargados, y terceros" implicados, por ejemplo, en el
contexto de las redes y contadores inteligentes, en que puede estar implicada la
administración pública, la empresa suministradora, empresas del mismo grupo en el
mismo u otros países, terceros que suministran “servicios de valor añadido” (a los que
se hace referencia en los documentos citados sobre redes y contadores inteligentes
sin mayor concreción, cosa que sería conveniente), etc. Esta misma consideración se 90 El Grupo de Berlín alerta sobre el derecho de los afectados a ser informados adecuadamente sobre el tratamiento de datos para “usos secundarios”, a los efectos de poder dar su consentimiento explícito (opt-in) o retirarlo (opt-out).
56
puede hacer extensible a aquellos casos en que los usos derivados de la finalidad
principal no se explican suficientemente.
Finalmente queremos insistir, en relación con el principio de información, en un último
punto de debate. Si algo caracteriza a la mayoría de ejemplos de Smart City es el uso
necesario de determinadas tecnologías por parte de los usuarios. Algunas de estas
tecnologías pueden ser bastante desconocidas por el titular de los datos
(geolocalización, trazabilidad, RFID, tarjetas contactless, NFC...). Así, nos tendremos
que plantear si un usuario, un ciudadano sin especiales conocimientos técnicos, tendrá
facilidad para comprender el tratamiento de datos que su uso puede comportar.
Incluso podríamos considerar, dado que el uso de estas tecnologías podría presentar
especiales riesgos para la seguridad de la información (cuestión sobre la que
volveremos al referirnos a las medidas de seguridad), que el deber de información no
sólo debe incluir los elementos del artículo 5 LOPD, sino también una mínima
información al usuario (prácticas recomendadas o consejos de seguridad) sobre unas
mínimas medidas de seguridad para proteger la información.
¿Cabría considerar que las “políticas transparentes” que probablemente exigirá el
futuro Reglamento UE al responsable tienen que incluir unos mínimos consejos de
seguridad para el usuario de una tarjeta contactless, para evitar que la información
personal que se contiene sea objeto de captación o de tratamiento indebido por
terceros? ¿Podría exigirse al responsable dar esta información, teniendo en cuenta la
exigencia –bastante genérica- del artículo 14.1.h) del Proyecto de Reglamento UE, de
dar “cualquier otra información que resulte necesaria para garantizar un tratamiento de
datos leal”, teniendo en cuenta las circunstancias específicas en que se recogen los
datos? (Por ejemplo, las circunstancias en que a través de tecnología NFC se recogen
los datos del usuario, o el flujo informativo que se produce al acercar un dispositivo
móvil a un sensor situado en puntos de la ciudad para obtener información,
ciertamente puede escapar de la comprensión de muchos usuarios. Por ello, advertir
al usuario de los riesgos podría formar parte de esta “lealtad” exigible).
4.5 Ejercicio de derechos por parte de las personas interesadas.
Como se ha apuntado, el ejercicio de derechos por parte del titular de datos
personales es una manifestación del derecho a la autodeterminación informativa.
57
Los derechos ARCO (acceso, rectificación, cancelación y oposición), se configuran en
la LOPD, a partir de la Directiva de protección de datos de 1995 (Título III de la LOPD,
desarrollado por el Título III del RLOPD). También debemos hacer especial atención a
las previsiones del Proyecto de Reglamento UE sobre el ejercicio de estos derechos
(arts. 15 a 21), teniendo en cuenta, como siempre, que se trata de un texto no
definitivo.
Partimos de la base de que cualquier tratamiento de datos en el contexto de las Smart
Cities tiene que generar la posibilidad real de que los usuarios afectados ejerzan sus
derechos. Más allá de consideraciones generales aplicables al ejercicio de estos
derechos en relación con cualquier tratamiento de datos, en el ámbito que nos ocupa
haremos las siguientes consideraciones particulares:
El derecho de acceso (arts. 27 a 30 RLOPD) no tiene que verse limitado por una
transparencia deficiente sobre quién es el responsable del tratamiento, o sobre los
terceros que tratan los datos. Esto puede no representar especiales dificultades
cuando un Ayuntamiento, por ejemplo, a través de su página web, facilita una
aplicación para que una persona se dé de alta en un servicio de cobro electrónico de
tasas por utilización de determinadas vías urbanas o interurbanas, siempre que se le
informe adecuadamente sobre el ejercicio de derechos. Sin embargo, esto puede ser
más problemático en casos en los que hay varias entidades prestadoras implicadas,
como ya hemos expuesto en este trabajo (un Ayuntamiento, la entidad prestadora del
servicio, la empresa que desarrolla la aplicación para obtener una tarjeta inteligente; si
el responsable prestador del servicio es diferente del responsable de tratar los datos
para otras finalidades....). O también, puede ser difícil para un usuario identificar quién
es el responsable de tratar sus datos, cuando se instala una App en un dispositivo
propio, para disfrutar de un determinado servicio: ¿el Ayuntamiento que ofrece el
servicio? ¿La empresa que desarrolla la App? ¿Otros operadores de telefonía
intervinientes?.
En cualquier caso, habrá que tener en cuenta la existencia de un responsable y, si
procede, de encargados del tratamiento, a los efectos de saber quién tiene que
58
atender en cada caso el ejercicio91 del derecho de acceso (consideración que
hacemos extensible a otros derechos ARCO), y más teniendo en cuenta la brevedad
de los plazos legales impuestos para atender los derechos.
También apuntamos que la LOPD exige que el acceso a los propios datos se dé en
forma “legible e inteligible”. En el caso, por ejemplo, de medidas muy detalladas del
consumo energético a través de contadores inteligentes (medidas cada 30 minutos,
por ejemplo, y durante un largo periodo de tiempo, que pueden servir para crear
perfiles de consumo), en el supuesto de que el afectado solicite el acceso, ¿cómo se
tendría que atender dicho acceso? ¿Sería suficiente indicar el hecho objetivo de que
se realizan lecturas muy concretas y pormenorizadas de consumo? ¿Habría que
indicar el lapso de tiempo en que se hace la medición? ¿Habría que añadir la
información sobre el perfil efectuado? ¿Cuál sería, en este caso, la manera “leal” y
completa de atender el derecho de acceso?.92
Respecto a los derechos de rectificación y de cancelación de los datos (cuyo ejercicio
se regula de forma conjunta en los arts. 31 a 33 RLOPD), hay un punto común a los
dos que hay que destacar: como se infiere de lo que apuntamos en este trabajo, el
usuario de algunos ejemplos de Smart City puede tener cierto grado de dificultad a la
hora de entender y tener claro qué datos personales se tratan, puesto que en muchos
de estos casos estamos pasando del “tradicional formulario” con datos identificativos y
de contacto para recibir información de un determinado servicio o actividad, a conectar
nuestro smartphone a un nodo o sensor, operación que probablemente generará un
flujo informativo bidireccional que es difícilmente comprensible o identificable para
muchos ciudadanos. Podemos hacer extensible esta consideración a la información
tratada a través de los contadores inteligentes, si bien los contadores “tradicionales” ya
permiten tratar información personal y, si procede, ejercer el derecho de rectificación o
de cancelación. Constatado esto, podemos avanzar que en algunos casos podría ser
complicado para el usuario cumplir con la exigencia del artículo 32.1 RLOPD, según el
cual, cuando se ejercitan estos dos derechos, tiene que indicar en su solicitud a qué
91 Cuestión que esta Autoridad ha tratado con detalle en su Recomendación 1/2010, sobre el encargado del tratamiento en la prestación de servicios por cuenta de entidades del sector público en Cataluña. 92 Partiendo de la base que la recolección sistemática y por defecto de curvas de consumo se podría considerar desproporcionada, según apuntan, por ejemplo, las Recomendaciones de la CNIL, mencionadas.
59
datos se refiere. Esta cuestión, nos parece, tendría que ser objeto de especial
reflexión.
Específicamente respecto a la rectificación de datos, añadimos que este derecho se
refiere a datos “inexactos o incompletos” (art. 16.2 LOPD, art. 31 RLOPD y art. 16 del
Proyecto de Reglamento UE). Además de supuestos que no ofrecen mayor duda
(rectificar datos erróneos incluidos en un formulario web para hacer uso del servicio de
alquiler de bicicletas o del pago de una tasa por circulación con vehículos...), creemos
difícil establecer, en la práctica, “inexactitudes e incorrecciones” de datos de
geolocalización, por ejemplo, o de datos de perfiles de consumo energético. De
entrada, ¿será fácil que el usuario llegue a detectarlo? Posteriormente, ¿como podrá
justificarlo ante el responsable? Consideramos que puede ser especialmente difícil
para el interesado aportar “documentación justificativa” que acredite la pertinencia de
la rectificación (art. 32.1 RLOPD). En cualquier caso, sólo si el ciudadano tiene
realmente la posibilidad, mediante el derecho de acceso, de conocer qué información
suya se está tratando, podrá llegar a ejercer estos derechos.
Hacemos extensible esta última advertencia (ex. art. 32.1 RLOPD) respecto a posibles
cancelaciones de datos, en las que también se exige esta acreditación por parte del
interesado.
Todavía en relación con la cancelación de datos, a modo de ejemplo podríamos
imaginar determinadas Apps que, a través de los smartphones u otros dispositivos,
dieran a un visitante esporádico de una ciudad una serie de informaciones sobre
lugares turísticos de interés. Hasta qué punto, podríamos preguntarnos, esta persona
es consciente de la información (del “rastro”, especialmente si se utiliza
geolocalización)93 que irá dejando a raíz de la utilización de este servicio, o de si un
tercero mantendrá algún tipo de información una vez la visita a la ciudad ha concluido,
o de qué uso se hará de aquella información. Esto puede añadir dificultades prácticas
a la hora de cancelar datos por parte de este visitante esporádico.
Estas consideraciones son extensibles a otros muchos casos, como por ejemplo el
formulario que rellenará una persona en una web municipal para obtener una tarjeta
93 Incide especialmente el documento “On locational privacy, and how to avoid losing it forever”, de A. Blumberg y P. Eckersley, Electronic Frontier Found. 2009. Font: www.eff.org .
60
que le permita circular con su vehículo por una ciudad que no volverá a visitar en
bastante tiempo, o las datos de medición de consumo de una determinada energía
tomados con contadores inteligentes, en relación con una persona que ha ocupado
una vivienda de alquiler durante un tiempo (¿la compañía suministradora podría
mantener y hacer uso de la información generada, vinculando la información a una
persona física que ya no ocupa aquella vivienda?). O en el ejemplo mencionado de
grabación de matrículas de coches en una ciudad, con la posibilidad de cruzar la
información con ficheros policiales para detectar “matrículas sospechosas”, ¿cuánto
tiempo se mantendrá esta matrícula en los ficheros? ¿Con qué finalidad? De todo esto
puede depender que el usuario pueda cancelar o no sus datos personales.
También merece especial atención el derecho de oposición, como ya ha quedado
dicho. Este derecho permite al interesado oponerse a un tratamiento de datos, por
motivos personales y fundamentados, cuando aquel tratamiento no requiere su
consentimiento (cuando el tratamiento se basa en el consentimiento el interesado
puede retirarlo en cualquier momento, dado que estamos ante un derecho
personalísimo).94 Hay que plantear hasta qué punto un usuario se podrá oponer a un
tratamiento de datos, si el servicio o prestación Smart City hace ineludible ese
tratamiento.
En algunos casos, si la utilización de un servicio (circular por determinada vía, pagar
un peaje o tasa de determinada forma, recibir información turística o de
acontecimientos culturales a través de determinadas webs o Apps...) es "opcional"
para el ciudadano – es decir, tiene otras alternativas-, desde el momento que este
ciudadano "elige" el servicio Smart City, puede ser más consciente del tratamiento de
sus datos (él mismo se informa sobre el servicio y opta por comunicar una serie de
datos). Por el contrario, en aquellos casos en que un servicio Smart City no dependa
del previo consentimiento del afectado (por ejemplo, pensamos que en un futuro
cercano la única vía de pago de un determinado transporte público sea a través de
una tarjeta inteligente) puede ser difícil articular, en la práctica, una oposición al
tratamiento de datos.
94 En relación a este punto, también apuntamos que la retirada del consentimiento (art. 6.3 LOPD) en algunos ejemplos de Smart City puede ser problemático: Por ejemplo, ¿la empresa suministradora podría condicionar el suministro a que el interesado “consienta” el tratamiento de datos para finalidades secundarias, emparejadas a la principal? De entrada nos inclinamos a considerar que no, y además, no parece que en este caso, como mínimo, se pueda derivar algún perjuicio para el consumidor del servicio en el supuesto de que retire su consentimiento.
61
Además del ejercicio de los derechos ARCO, hay que tener en cuenta otras cuestiones
que también relacionamos con la autodeterminación informativa, es decir, con el
control que el afectado debe tener sobre su información personal:
En cuanto al llamado “silencio de los chips”, si bien no es un ejercicio del derecho de
oposición ni por lo tanto se encuentra sujeto a los mismos requisitos que éste,
podemos considerar que también comporta una cierta “oposición” de un interesado a
que su información sea tratada de determinada manera, un cierto “posicionamiento” de
este interesado sobre el tratamiento de sus datos o, dicho de otro modo, una voluntad
de mantenerse al margen del tratamiento que se puede derivar de un ejemplo
determinado de Smart City. Es decir, si el futuro cercano es que un ciudadano se
pueda desplazar por la ciudad acercando su smartphone a dispositivos instalados para
obtener información, ¿esta será su única alternativa? En caso afirmativo, ¿podrá
controlar, silenciar, limitar o seleccionar la información personal que generarán sus
consultas (las veces que se consultan determinados museos, transportes, puntos de
información turística...)? ¿Se podrá oponer a que el servicio Smart City le solicite su
localización geográfica? ¿Resultaría abusiva esta solicitud? ¿Esto sería aplicable a
otros ejemplos que hemos ido citando, como por ejemplo el pago de billetes de metro
a través de tarjetas contactless, NFC...? ¿Qué margen de control (o de oposición, en
terminología de protección de datos) tiene el usuario, por ejemplo, sobre el hecho de
que el responsable del tratamiento haga un seguimiento de sus desplazamientos en
metro a lo largo de un periodo determinado?. En este último ejemplo, nuevamente,
limitar o condicionar este derecho de oposición, ¿podría ser abusivo? (Más todavía,
como apuntábamos, si en un futuro la única vía de pago de los desplazamientos en
metro, para seguir el ejemplo, pasa por estos sistemas).
También se están implantando en algunas ciudades los llamados paneles inteligentes
(“digital signage”), no sólo en espacios abiertos sino en centros comerciales, centros
polideportivos, paradas de metro y otros transportes, es decir, espacios públicos y
privados. Estos paneles inteligentes permiten dirigir mensajes y dar informaciones a
los ciudadanos; mediante sensores de diferentes tipos, se pueden ir adaptando a las
circunstancias que se den en cada momento. La progresiva instalación de estos
paneles, sin perjuicio de su utilidad, también tendrá que ser valorada desde la
62
perspectiva del “derecho a no ser molestados”, y de este “silencio” que las personas,
probablemente, tienen derecho a reclamar en su entorno físico.95
Finalmente, no debemos olvidar las previsiones del Proyecto de Reglamento UE sobre
“nuevos derechos”, como son el derecho a la portabilidad de los datos (art. 18 del
Proyecto)96 y la elaboración de perfiles (art. 20). Simplemente apuntar que, dado que
en el marco de las Smart Cities es evidente que se tratarán datos personales por vía
electrónica en muchos casos, los responsables tendrán que afrontar los casos en que
el usuario solicite la portabilidad, sin que esto pueda suponer un agravio o perjuicio en
la utilización del servicio en cuestión. En cuanto a la elaboración de perfiles, cuestión
ampliamente citada en relación con las Smart Cities, los responsables deberán tener
en cuenta que, según el Proyecto de Reglamento, el “profiling”, limitado por defecto
(art. 21.197 ), tendría que basarse en el consentimiento del interesado o producirse en
el marco de la celebración o ejecución de un contrato, principalmente.
4.6 Medidas de seguridad.
Según la normativa de protección de datos (art. 9 de la LOPD y Título VIII del RLOPD),
en el marco de lo que dispone la Directiva Europea de 199598, el responsable del
fichero y, si procede, el encargado del tratamiento, tienen que adoptar las medidas de
carácter técnico y organizativo necesarias que garanticen la seguridad de los datos de
carácter personal y eviten la alteración, la pérdida, el tratamiento o el acceso no
autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que están expuestos, ya provengan de la acción humana
o del medio físico o natural. Además hay que añadir que, en función de la información
personal tratada en cada caso y de su especial sensibilidad (art. 7 LOPD), habrá que
95 Sobre el concepto de “digital signage” y sus implicaciones para la privacidad, nos remitimos al artículo de R. Miralles, “Digital signage i privacitat”, de la Revista “+KDades” de la Autoridad Catalana de Protección de Datos, núm. 16, disponible en la web: www.apd.cat . 96 A pesar de que, por el que se desprende del ”Informe Albrecht”, del Parlamento Europeo, sobre el Proyecto de Reglamento UE (Ref.: 2012/0011 (COD), de 16.1.2013), se podría configurar la portabilidad como una manifestación del derecho de acceso tradicional, y no como un “nuevo derecho”. 97 Art. 21.1: “Toda persona física tendrá derecho a no ser objeto de una medida que produzca efectos jurídicos que le conciernan o le afecten de manera significativa y que se base únicamente en un tratamiento automatizado destinado a evaluar determinados aspectos personales propios de dicha persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento.” 98 Ver el artículo 17 de la Directiva 95/46/CE en relación con las obligaciones del responsable y, si procede, del encargado del tratamiento, en relación con las medidas de seguridad aplicables. Ver también los artículos 30 a 32 del Proyecto de Reglamento UE, citado.
63
aplicar unas medidas más o menos reforzadas y exigentes –de nivel básico, medio o
alto-, a los diferentes ficheros o tratamientos de datos personales que genere el
tratamiento de datos.
En relación con los diversos ejemplos de Smart Cities que se puedan producir, sería
conveniente analizar si hay medidas de seguridad especialmente adecuadas, o si hay
otras cuya aplicación convendría reforzar. En algunos de los textos analizados en este
trabajo se hacen consideraciones al respecto.99
En relación con la aplicación de las medidas de seguridad es relevante determinar
quién es el responsable de un tratamiento de datos y, si procede, los encargados del
tratamiento. En algunos ejemplos de Smart City, como por ejemplo el referido a la
utilización de contadores inteligentes, se detecta cierta problemática al concretar
cuáles son los agentes implicados y, por lo tanto, cuáles tienen que ser las
responsabilidades de cada uno, en cuanto a la aplicación de dichas medidas. Por lo
tanto, en este y en otros casos habrá que definir adecuadamente los "responsables",
los encargados" o los "terceros que pueden ofrecer otros servicios", etc, para
determinar el grado de responsabilidad que les será exigible, en relación con la
seguridad de los diferentes tratamientos de datos personales efectuados.
Hay que tener en cuenta las referencias a la mejora de medidas de seguridad ya
existentes, o incluso la implementación de medidas de seguridad "ad hoc", que se
apuntan en los siguientes textos del Grupo de Trabajo de Berlín, mencionado100:
-Documento de trabajo: "E.Ticketing in public transport." (septiembre 2007).
-Carta de Granada sobre privacidad en el mundo digital. (abril 2010).
-Documento de trabajo: "Privacy by design and smart metering: Minimize personal
information to maintain privacy." (septiembre 2011).101
99 En varios documentos citados en este trabajo se hacen menciones relativas a la seguridad de los datos. Entre otros, el apartado 7 del Informe de 16.2.2011, del Grupo de Expertos 2 del Grupo especial sobre redes inteligentes (“Smart Grids Task Force”), mencionado, detalla las ESO (European Standardization Organizations) y estándares de seguridad existentes y que pueden ser convenientes en relación con las redes inteligentes. 100 Consultables en la web: http://www.berlin-privacy-group.org 101 Sobre las Smart Metering, nos remitimos a las consideraciones de este documento, puesto que en buena parte son coincidentes con otras consideraciones que ya hemos comentado ampliamente en este trabajo.
64
-Documento de trabajo: "Event data recorders (EDR) on vehicles. Privacy and data
protection issues for governments and manufacturers." (abril 2011).
- Posición común sobre: "Online profiles on the Internet." (mayo 2000).
- Memorandum de Sofía: "Report and guidance on road pricing." (marzo 2009).
- Posición común sobre: "Privacy and location information in mobile communications
services." (noviembre 2004).
Desde la perspectiva de la seguridad, desde el momento en que un usuario utiliza una
tarjeta inteligente para el pago de un transporte público, por ejemplo, o realiza el pago
del billete con el uso de tarjetas con RFID o NFC, que pueden incorporar datos
personales (podríamos imaginar que datos identificativos, como mínimo, incluyendo el
número de tarjeta de crédito), se deben aplicar medidas de seguridad adecuadas para
proteger la información de accesos y utilización fraudulenta por terceros. Esto es
extensible a las tarjetas inteligentes que se pueden utilizar en relación con la atención
médica o farmacéutica, por ejemplo, para recibir atención médica en un centro de
salud o bien para comprar medicamentos en una farmacia. En el supuesto de que
estas tarjetas inteligentes incorporen datos personales del usuario de un servicio
médico o farmacéutico, habrá que aplicar medidas de seguridad adecuadas para
proteger la información, que puede ser información sensible.
Hay que incidir en la utilización de tarjetas de crédito con tecnología NFC
(incorporación de chips NFC), para realizar varios tipos de pagos, en nuestro caso,
relacionados con servicios o prestaciones Smart City. Como se ha puesto de
manifiesto, se detectan riesgos para la seguridad de la información personal que se
contiene en estos tipos de dispositivos. No sólo en caso de robo o sustracción física,
sino también a través de la utilización de determinados dispositivos que, con la
proximidad con la tarjeta contactless que contiene los datos personales (identificativos,
datos bancarios...) permitirían “descargar” y leer estos datos. El hecho de que, incluso
con desconocimiento del usuario, un tercero pueda obtener los datos referidos, es
evidentemente un riesgo de seguridad que hay que tener en cuenta a la hora de
desarrollar sistemas de protección de la información frente a estas intrusiones. Hay
mecanismos que permiten obtener y leer la cuenta corriente, el nombre y apellidos del
titular y la fecha de caducidad de la tarjeta de crédito contactless utilizada, sin
conocimiento de la persona interesada, con el riesgo que esto supone de utilización
65
posterior fraudulenta de estos datos (compras por Internet, etc)102. Desde el momento
en que en ejemplos de Smart City se utilicen tarjetas de crédito que incorporan estos
datos, habrá que prestar atención a estos riesgos y a su prevención.
Insistimos en la idea antes apuntada, ahora desde la perspectiva de la seguridad, que
el usuario de varios ejemplos de Smart City puede convertirse en un portador y
distribuidor de su propia información personal, haciéndola accesible a terceros, a
veces con cierto riesgo y desconocimiento, cosa que debe conllevar un incremento de
las medidas específicas de seguridad aplicadas a los ejemplos citados, más allá de las
previsiones generales de la normativa (RLOPD).
En cuanto a las aplicaciones o servicios de Smart City con apoyo de geolocalización,
cuestión a la que nos hemos referido repetidamente, hay varias recomendaciones de
seguridad para su uso que los expertos han ido manifestando103, entre otras, la de
configurar las opciones de localización de forma adecuada a las necesidades de la
aplicación que se quiere utilizar (y, por defecto, podríamos añadir, configurar las
opciones menos “intrusivas” para el usuario), controlar las actualizaciones de las
aplicaciones, en el sentido que, con desconocimiento del usuario, estas
actualizaciones no modifiquen las condiciones inicialmente establecidas, vigilar la
vinculación de datos que establecen algunas aplicaciones de geolocalización con las
redes sociales104, o bien utilizar redes seguras o de confianza y recurrir al cifrado de
información, cuando ésta así lo requiera.
En relación con las medidas de seguridad que podrían ser adecuadas, recuperamos
también el ejemplo relativo a iniciativas “E-Call”. En este caso, hay que plantear la
conveniencia de proteger el propio dispositivo que se instala en el vehículo (cosa que
implicaría una seguridad de origen, es decir, en la propia fabricación del dispositivo), al
102 Sobre este punto se pueden consultar varios vídeos disponibles en la red, entre otros: “Barclays contactless cards users exposed to fraud”; “Always on-How to program your own NFC chips”, así como noticias de interés, entre otras: “Banc card details can be stolen with NFC” o “The risk inside your contactless smart oyster credit”. (Ver DVD que adjuntamos al documento). 103 Por ejemplo, la “Guía sobre seguridad y privacidad de las herramientas de geolocalización” de INTECO, citada. 104 Facebook, por ejemplo, está desarrollando una aplicación para smartphones, basada en la localización de contactos cercanos, es decir, en el seguimiento de la ubicación de amigos o contactos que el usuario tiene en la red social. (noticia aparecida en: www.valenciaplaza.com ).
66
margen de que la transmisión de información relacionada con la alerta, si procede, se
haga de manera segura o cifrada.105
Si en el futuro, en algunos casos de Smart City, como por ejemplo la propia E-call, o
sistemas de pago de peajes, o de utilización de determinadas vías reservadas –tipos
VAO-, etc, se llegara a instalar en los vehículos algún tipo de “caja negra”, es decir, un
dispositivo que grabara determinadas situaciones (velocidad por determinados puntos,
itinerarios realizados, localización, incidentes, situación del propio conductor...), sería
necesario también plantearse medidas específicas de protección de la información
contenida, por ejemplo, para evitar accesos indebidos, etc.
También habría que abordar la problemática específica que puede afectar a la
información generada por los contadores inteligentes. Entre otras cosas, sería
necesario que las consultas que tienen que poder hacer los consumidores sobre su
consumo de energía se hagan por Internet, a través del móvil del usuario, etc, pero, en
todo caso, de forma segura (con conexiones seguras tipo https, evitando accesos de
terceros, con algún sistema de autenticación, etc, en definitiva, con protección del
espacio personal de consulta del propio usuario). Ahora bien, probablemente, el punto
principal a debatir sería: ¿cómo se protege la información personal desde el mismo
momento en que se genera y se recopila por parte del contador inteligente: cómo se
transmite al responsable (cifrado de la información, vías on-line seguras...)? ¿Quién
puede acceder a la información y qué grado de identificación y de autenticación hay
que exigir para cualquier persona que acceda a la información (sistemas de
identificación y autenticación seguros, passwords)? ¿Habrá que establecer diferentes
roles de acceso, en función de la información que hay que consultar (la información
que tendrá que consultar la persona que emite la factura, no es la misma que la que
tenga que consultar el comercial que puede valorar ofrecer un nuevo servicio al
cliente...)? ¿Qué control de accesos y trazabilidad es lo más adecuado, para asegurar
la gestión correcta de la información y actuar contra accesos indebidos? ¿La empresa
suministradora velará para que, en el supuesto de que otros terceros accedan a cierta
información, se haga de forma agregada sin desvirtuar la finalidad perseguida?, etc.
También habría que asegurar que los diversos “terceros” que pueden acceder a los
datos generados por los contadores inteligentes aplicarán las medidas de seguridad
105 Como se apunta en el documento citado del Grupo de Trabajo del Artículo 29 sobre la iniciativa E-Call, de 2006.
67
adecuadas. Sobre las medidas de seguridad en el entorno de los contadores
inteligentes, nos parece especialmente interesante el estudio y las recomendaciones
de la Autoridad de Protección de Datos francesa106. La CNIL recomienda, entre otros,
velar porque los propios aparatos o contadores dispongan de certificaciones técnicas
de seguridad; aumentar las medidas de protección cuanto mayor sea el grado de
detalle de los datos de medición recogidos; la realización de análisis de riesgos
adecuados; o que las violaciones de datos se comuniquen a los interesados,
independientemente de que el Proyecto de Reglamento UE imponga finalmente esta
obligación.
5. LOS INSTRUMENTOS PARA LA PROTECCIÓN DE LA PRIVACIDAD:
EVALUACIÓN DEL IMPACTO SOBRE LA PRIVACIDAD, TECNOLOGÍAS DE
PROTECCIÓN DE LA PRIVACIDAD, PRIVACIDAD EN EL DISEÑO Y PRIVACIDAD
POR DEFECTO.
La normativa en materia de protección de datos ofrece a los ciudadanos afectados
diferentes instrumentos para la garantía de sus derechos ante los tratamientos de
datos que se puedan llevar a cabo en el contexto de las Smart Cities. Hemos visto
algunos, como por ejemplo el derecho de información o el ejercicio de los derechos
ARCO, y hay otros como por ejemplo la creación y publicidad de los ficheros de datos
de carácter personal, actualmente en proceso de revisión, el requerimiento de
informes, en algunos casos preceptivos, de la autoridad de control, en este caso la
Autoridad Catalana de Protección de Datos, en el procedimiento de elaboración de
disposiciones normativas que tengan impacto en materia de protección de datos, la
necesaria implantación de medidas de seguridad o la posibilidad de presentar
denuncias ante esta autoridad de control en caso de tratamientos inadecuados.
Ahora bien, más allá de estos puntos, y teniendo en cuenta las especiales
características de este fenómeno por los aspectos tecnológicos inherentes y
especialmente por la amplia afectación que puede tener para los ciudadanos -tanto por
el número de ciudadanos afectados como por la frecuencia o cotidianeidad con que
se pueden ver sometidos a un tratamiento de este tipo-, conviene tener presentes
106 Ver el artículo: “La CNIL contrôle la sécurité des compteurs d’eau communicants”; las recomendaciones hechas con fecha 24 de enero de 2013, y la Délibération nº 2012-404 de 15 de noviembre de 2012, todos los documentos disponibles en la web: www.cnil.fr
68
otros instrumentos que pueden permitir, en mejor medida, una protección de forma
preventiva o proactiva, es decir, anticipándose al momento en que pueda surgir alguna
incidencia en el tratamiento de la información personal afectada.
Estos planteamientos que encajan en lo que venimos denominando como el modelo
catalán de protección de datos, englobarían instrumentos como por ejemplo la
evaluación de impacto sobre la privacidad, la utilización de tecnologías de protección
de la privacidad, la privacidad en el diseño o la privacidad por defecto.
Evaluación del impacto sobre la privacidad (PIA)
De entrada, la llamada evaluación de impacto sobre la privacidad y la protección de
datos o PIA (“Privacy Impact Assesment” en la versión inglesa) deberían tenerse en
cuenta por parte de las autoridades (locales o supralocales) que pretenden desarrollar
experiencias de Smart City que afecten a datos personales.
Por PIAs hay que entender el proceso sistemático para evaluar el impacto potencial de
los riesgos cuando las operaciones de tratamiento de datos puedan suponer riesgos
específicos para los derechos y libertades de los interesados. El responsable o, si
procede, el encargado del tratamiento, tendría que realizar estas evaluaciones.
El proceso de PIA toma especial relevancia en el desarrollo de redes inteligentes y uso
de contadores inteligentes, como se desprende de la Recomendación de 9.3.2012
citada (consideraciones 4 a 6 de la Recomendación). En el marco de esta
Recomendación, la Comisión UE incluso prevé que los Estados tendrían que “adoptar
y aplicar un “modelo” de evaluación del impacto sobre la protección de datos
elaborado por la Comisión. Esto es la muestra de la repercusión que estos sistemas
tienen, claramente, en la protección de los datos personales107. En cualquier caso, la
Recomendación marca un plazo de 12 meses (a partir de marzo de 2012) para hacer
este modelo de PIA, que además se prevé que se tenga que someter a dictamen del
Grupo del Artículo 29.
107 El SEPD se refiere específicamente a este “modelo” de PIA previsto, en su Dictamen de 8 de junio de 2012 sobre la Recomendación de 9.3.2012 que comentamos. El SEPD considera muy adecuado que se trabaje en el diseño de este modelo específico. Es un elemento de reflexión importante considerar si se podría extender la experiencia de este “modelo” de PIA a otras experiencias Smart Cities.
69
Tecnologías de protección de la privacidad (PET)
En segundo lugar, en la configuración de estos servicios es esencial la utilización de
las llamadas “PET” (“Privacy enhancing technologies”), o tecnologías de protección del
derecho a la intimidad (ver al respecto el artículo 23 del Proyecto de Reglamento de
protección de datos de la UE). Respecto al concepto PET, como se expone en la
Comunicación108 de la Comisión al Parlamento Europeo y el Consejo “sobre el fomento
de la protección de datos mediante las tecnologías de protección del derecho a la
intimidad (PET)”:
“...) en el proyecto PISA, que financia la UE, se entiende por PET un sistema coherente de medidas de TIC que protege el derecho a la intimidad suprimiendo o reduciendo los datos personales o evitando el tratamiento innecesario o indeseado de datos personales, sin menoscabo de la funcionalidad del sistema de información. La aplicación de PET puede ayudar a diseñar sistemas y servicios de información y comunicación que reduzcan al mínimo la recogida y el empleo de datos personales y facilitan el cumplimiento de la normativa sobre protección de datos. En su Primer informe sobre la aplicación de la Directiva sobre protección de datos, la Comisión considera que «la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir una parte de cualquier esfuerzo destinado a obtener un grado suficiente de protección de la intimidad». La utilización de PET debería dificultar o ayudar a detectar el incumplimiento de determinadas normas de protección de datos.”
El fomento de las PET en la propia industria (que es uno de los elementos presentes
en la Comunicación citada), en el ámbito de las Smart Cities, podría llevar a
“fomentar”, o incluso “obligar” (este es un punto dudoso) a las empresas implicadas en
el desarrollo de aplicaciones de Smart City, a incluir medidas de seguridad o utilizar
tecnologías especialmente cuidadosas con la protección de datos. La Comunicación
citada nos da algunos ejemplos que creemos aplicables, en mayor o menor medida, al
tema que nos ocupa:
“En el dinámico contexto de las TIC, la eficacia en términos de protección de la intimidad, incluido el cumplimiento de la legislación sobre protección de datos, varía de una PET a otra y cambia con el tiempo. También la tipología de las PET puede ser variada. Puede tratarse de una herramienta independiente, que el consumidor tiene que comprar e instalar en su ordenador, o incorporada en la propia arquitectura de los sistemas de información. A continuación se mencionan varios ejemplos de PET: - La anonimización automática de los datos tras un lapso de tiempo determinado obedece al principio de que los datos tratados deben guardarse en una forma que permita identificar al
108 COM (2007) 228 final, Bruselas, 2.5.2007.
70
interesado únicamente durante lo tiempo necesario para los fines iniciales para los cuales se facilitan los datos. - Los instrumentos de cifrado que impiden el pirateo de la información transmitida por Internet responden a la obligación del responsable del tratamiento de datos de adoptar medidas adecuadas para proteger los datos personales frente al tratamiento ilícito. - Los anuladores de cookies, que bloquean las cookies introducidas en un ordenador para que lleven a cabo determinadas instrucciones sin que el usuario tenga conocimiento de ello, responden al principio de que los datos deben tratarse de forma lícita y transparente y que tiene que informarse al interesado del tratamiento que se realice. - La Plataforma de Preferencias de Privacidad (P3P)109, que permite a los usuarios de Internet analizar la política de los sitios web en lo que se refiere a la intimidad y compararla con las preferencias del usuario en relación a la información que desee facilitar, contribuye a garantizar que el interesado autoriza el tratamiento de sus datos con conocimiento de causa.” A pesar de que cada una de estas medidas (u otras) requerirán un estudio más
detallado respecto a su posible aplicación a experiencias Smart Cities, nos parece que
una de ellas, la anonimización automática de datos (y lo relacionamos con la
adecuada cancelación o bloqueo de datos, lógicamente), puede ser plenamente
aplicable: si un ciudadano utiliza sistemas de tarjeta inteligente para el cobro
electrónico de peajes, y el tratamiento principal es el cobro correspondiente,
lógicamente podemos pensar que no hay posibilidad de anonimización, pero sí puede
haberla para “finalidades aparejadas”, como por ejemplo hacer un estudio de las
franjas horarias de mayor o menor utilización de la vía, a efectos de regulación y
mejora del tráfico; además de cuestiones de facturación, en el seguimiento de las
franjas horarias de consumo energético en una vivienda, -sobre todo si, como parece,
se pretende hacer estudios en función del número de habitantes de un hogar,
perfiles....- la anonimización parece no sólo inevitable sino exigible.
También habría que valorar las PET relativas a instrumentos de cifrado o, por ejemplo,
-en el supuesto de que una experiencia Smart Cities ponga a disposición del
ciudadano una página web a través de la cual inscribirse para recibir y utilizar una
tarjeta de transporte inteligente-, se podría valorar la utilización de P3P, al margen,
obviamente, de asegurar el correcto cumplimiento del deber de información al usuario.
Privacidad en el diseño (PbD)
La utilización de estas tecnologías y sus consecuencias es algo que hay que plantear
desde el mismo momento de la concepción del servicio. Adquiere así especial
109 “P3P” es un lenguaje estándar que ofrece a los usuarios una manera sencilla y automatizada de controlar en mayor medida el uso que se hace de su información personal en los lugares web que visita: http://www.w3c.es/divulgacion/guiasbreves/privacidadp3p
71
relevancia lo que se conoce como Privacidad en el Diseño o Privacidad desde el
Diseño (“Privacy by Design” (PbD)), para tener en cuenta la aplicación de medidas y
procedimientos técnicos y de organización adecuados para que un determinado
tratamiento de datos satisfaga los requisitos de la normativa de protección de datos.
La característica clave es que hay que tener en cuenta los efectos en la privacidad ya
en el momento de “diseñar” una determinada medida de Smart City. En relación con
la PbD hay que hacer referencia al trabajo “pionero” llevado a cabo desde la Autoridad
de Protección de Datos de Ontario (Canadá), en relación con la definición de los “Siete
Principios Fundacionales de la PbD”110 que mencionamos brevemente a
continuación111 :
-Proactividad y no reacción, prevención y no corrección. Anticiparse a la problemática
que puede generar un tratamiento de datos. Compromiso claro de establecer
estándares de protección de datos, y buscar fórmulas adecuadas de cumplimiento.
-Privacidad como configuración predeterminada. Hay que definir, antes de cualquier
tratamiento, cuestiones como por ejemplo la finalidad específica de cualquier fase del
tratamiento, la minimización y posible anonimización de datos, limitaciones de uso,
retención y cesión...
-Privacidad integrada en el diseño. Integración en el diseño y la arquitectura de los
sistemas de tecnologías de la información, y en las prácticas de negocio. La protección
de datos no es un “anexo”, sino que forma parte del núcleo de la definición del
sistema.
-Funcionalidad plena (“positive-sum, not zero-sum”), con la expresión “todo el mundo
gana” (en lugar del esquema “lo que uno gana el otro lo pierde”), se quiere representar
que todo suma para la protección de datos (como ejemplo, la típica dicotomía entre
seguridad y protección de datos).
-Protección de datos en todo el ciclo de vida. El tratamiento de datos implica varias
fases (art. 3.c) LOPD), y el diseño las tiene que englobar todas. Así, hay que asegurar
la confidencialidad, integridad y disponibilidad de los datos en todo el ciclo, incluyendo
si procede la destrucción de los datos, así como los adecuados controles de acceso.
110 http://www.ipc.on.ca . Hay que añadir que en la 32ª Conferencia Internacional de Autoridades de Protección de datos (Jerusalén, octubre de 2010), se reconoció la PbD como un “componente esencial de la protección de la privacidad”, y se incorporaron los llamados “7 Principios fundacionales”. 111 Para la traducción, se tiene en cuenta el artículo “La protección inteligente de los datos personales: Privacy by Design (PbD)”, de A. Brian Nougrères, RIPDP, nº 1, julio-diciembre de 2012, Bogotá. http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/ok6_-ana-brian Nougreres_FINAL.pdf
72
- Visibilidad y transparencia. Cada operación del tratamiento tiene que ser
transparente para el usuario (interesado o titular de la información) y para todos los
intervinientes.
- Respeto por la privacidad del usuario. El sistema PbD pivota sobre el usuario, hay
que darle información, capacidad de control (consentimiento) y soluciones amigables
(“friendly”), dotándolo de un rol activo en el tratamiento de sus datos.
Sin perjuicio de un análisis más pormenorizado112 , está claro que en nuestro estudio
hay que partir de la base de la plena aplicabilidad de los 7 principios mencionados a
las experiencias Smart Cities. Habrá que aplicar estos principios teniendo en cuenta
las particularidades de cada tratamiento, entre otras, el número de accesos y de
responsables, encargados y operadores implicados, las tipologías de datos, o la
“voluntariedad” del interesado a la hora de utilizar aplicaciones de Smart City.
Privacidad por defecto (PbDef)
En cuanto a la Privacidad por Defecto (“Privacy by Default” (PbDef)), consiste en la
aplicación de mecanismos para asegurar que, “por defecto”, sólo se tratarán los datos
personales imprescindibles y necesarios para cada objetivo o finalidad específica del
tratamiento. Este elemento tiene una relación muy directa, creemos, con uno de los
principios de protección de datos, el principio de calidad, y más específicamente con el
principio de minimización. De hecho, en los textos consultados los expertos hacen
mención reiterada, en relación con los contadores inteligentes y el despliegue de redes
inteligentes, de la necesidad de que se respete el principio de minimización, es decir,
que “por defecto” se utilice la mínima cantidad de datos, -y que éstos se sometan al
“mínimo” tratamiento posible-, según la finalidad (por ejemplo, no es lo mismo el
tratamiento de datos que tendrá que hacer la compañía suministradora de un servicio
al consumidor final para dar el servicio, que para facturar o para ofrecer, si procede,
nuevos servicios al consumidor, etc).
112 En relación, específicamente, a la aplicación de la PbD en las Redes Inteligentes, nos remitimos al documento: “Achieving the Gold Standard in Data Protection for the Smart Grid” (junio 2010), de la Autoridad de Protección de Datos de Ontario. www.privacybydesign.ca .
73
También hay que tener presente que el futuro nuevo marco legal de protección de
datos en la UE, en proceso de desarrollo en el momento actual, quiere dar carta de
naturaleza a la PbD y a la PbDef.
Efectivamente, en el artículo 23 del Proyecto de Reglamento113 del Parlamento
Europeo y del Consejo, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y la libre circulación de estos datos
(Reglamento general de protección de datos), se prevé que:
“1. Habida cuenta de las técnicas existentes y de los costes asociados a su implementación, el responsable del tratamiento implementará, tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho, medidas y procedimientos técnicos y organizativos apropiados, de forma que el tratamiento sea conforme con las disposiciones del presente Reglamento y garantice la protección de los derechos del interesado. 2. El responsable del tratamiento implementará mecanismos con miras a garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales necesarios para cada fin específico del tratamiento y, especialmente, que no se recojan ni conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas. 3. La Comisión estará facultada para adoptar actos delegados, (…).”
Y no parece descartable, vista la previsión del artículo 23.3 del Proyecto de
Reglamento mencionado, que alguno de estos “actos delegados” pudiera referirse, en
un futuro, a la aplicación de la PbD y la PbDef al desarrollo de las redes y contadores
inteligentes, u otras experiencias de Smart City.
Es clara la voluntad del legislador europeo de incorporar la PbD y la PbDef a cualquier
tratamiento de datos personales. El responsable y, si procede, el encargado de tratar
datos en el contexto de las Smart Cities, ya sea en relación con el uso de recursos
energéticos (smart grids y smart metering), ya sea en otras experiencias de Smart
City, siempre que puedan afectar a datos personales (de los ciudadanos,
consumidores finales, de los usuarios de carreteras, personas físicas en definitiva...),
tendrá que incluir esta perspectiva en el desarrollo de estas experiencias.
113 COM (2012) 11 final; 2012/0011 (COD). Bruselas, 25.1.2012,
74
6. LA NECESIDAD DE UN MARCO NORMATIVO ESPECÍFICO.
Más allá de la normativa general en materia de protección de datos
(fundamentalmente la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal (LOPD), y su reglamento de desarrollo aprobado por el
Real Decreto 1720/2007, de 21 de diciembre (RLOPD), del cual se derivan los
principios a que nos acabamos de referir, no hay una normativa a nivel estatal que
trate de forma específica sobre la protección de datos en el ámbito de estas
aplicaciones de Smart City. A pesar de ello, en este apartado nos referiremos a una
serie de normas (Directivas que citaremos), Recomendaciones como la de 9.3.2012,
citada, y Comunicaciones de la UE, algunas ya citadas, que denotan de entrada el
interés y la necesidad de desplegar estos sistemas por parte de los Estados y las
autoridades comunitarias114.
Entre otros textos, destacamos la Comunicación de la Comisión “Smart Cities and
Communities – European Innovation Partnership”115 , que crea un “partenariado” en el
marco de la estrategia que tiene como horizonte el 2020, para movilizar a los actores
implicados en el ciclo de innovación que supone el desarrollo de las Smart Cities y las
“comunidades inteligentes”. El objetivo es acelerar a nivel UE el desarrollo e
implantación de tecnologías innovadoras, para incrementar el uso de energías
eficientes y mejorar la sostenibilidad del transporte urbano. En relación a este punto, la
Comisión emprendió una consulta pública sobre el proyecto “Smart Cities and
Communities” (concluida el 13.5.2011), del que destacamos el informe elaborado por
la Dirección General de Energía, en el que se incluyen informaciones estadísticas
sobre los objetivos y ámbitos de desarrollo de las Smart Cities.116
Algunos de los textos que mencionamos constatan la preocupación, en el marco de la
UE, por que la progresiva implantación de sistemas de redes y contadores inteligentes
salvaguarde la privacidad y los datos personales de forma adecuada. También los
expertos en materia de protección de datos alertan sobre la necesidad de que se
114 De especial interés, la Comunicación COM (2012) 202 final, de la Comisión al Parlamento, el Consejo (...) sobre “Redes inteligentes: de la innovación a la implantación”, en que se pone de manifiesto la necesidad de trabajar el enfoque de protección de la privacidad y los datos personales en la implantación de estos sistemas. 115 C (2012) 4701 final, Bruselas, 10.7.2012. 116 También habrá que hacer seguimiento del “High Level Group” que se pretende emprender (previsión de inicio el 2014) en el seno de esta iniciativa de “Smart Cities and Communities”.
75
lleven a cabo nuevas actuaciones –normativas o complementarias- específicas para
proteger los derechos de los ciudadanos. Las valoraciones son extensas, pero es
pertinente, como mínimo, apuntar este tema, puesto que no sólo los sistemas de redes
y contadores, sino también las diversas experiencias de Smart Cities, generan o
pueden generar un incremento de tratamientos de datos que conviene acotar, en el
sentido de aplicar correctamente los principios y obligaciones de la protección de
datos.
Cómo se ha apuntado, existe un marco normativo claro (y en proceso de reforma)
relativo a la protección de datos a la UE. Existen unos principios y obligaciones
ineludibles, de aplicación por parte de todo responsable que trate datos personales a
partir de la implantación de experiencias Smart Cities, sea público o privado.
Ahora bien, ¿es necesario o conveniente ampliar, completar o complementar el marco
legal actual (“current legal basis”, en terminología inglesa), para precisar la aplicación,
por ejemplo, del principio de minimización al tratamiento de datos en base a la
finalidad? ¿Hay que reforzar el deber de informar a los consumidores finales de
energía (gas, electricidad...) del hecho de que tendrán instalado un dispositivo en su
casa que tratará determinados datos personales de consumo, para que conozcan
claramente sus derechos? ¿Hay que precisar el alcance del consentimiento del
ciudadano en determinadas experiencias Smart City? ¿Hasta qué punto un
consumidor final de agua o gas podrá “consentir”, u oponerse a la instalación de
contadores inteligentes en su domicilio? ¿Podrá retirar el consentimiento, y con qué
consecuencias? En el espacio público, ¿habría que pensar de nuevo en las garantías
de protección de datos, para que el ciudadano conozca claramente qué experiencia de
Smart City es inocua para su privacidad (no se tratan sus datos) y cuál no?.
En este sentido, citamos como ejemplo de esta reflexión la Directiva 2009/73/CE,
sobre normas comunes para el mercado interior del gas natural, así como la Directiva
2009/72/CE, sobre normas comunes para el mercado interior de la electricidad (DOUE
L 211, de 14.8.2009). A pesar de que en estos textos se hacen menciones al
tratamiento de datos de consumo117, el SEPD alerta de que la base legal existente
117 Considerando 50 de la Directiva 2009/73/CE, entre otros: “Un aspecto clave en el suministro a los clientes es el acceso a datos sobre el consumo objetivos y transparentes. Por ello, los consumidores deben tener acceso a sus datos de consumo, los precios asociados y los costes del servicio, de forma que puedan
76
podría ser insuficiente a los efectos de fundamentar la legitimidad ex. art. 7 de la
Directiva de 1995 de protección de datos.118 Se prevén accesos a datos, utilización de
información, etc. Todo lo que pueda afectar a datos personales de los consumidores y
a accesos a estos datos, tendría que estar adecuadamente previsto por los
correspondientes textos normativos, sin perjuicio de la incuestionable aplicación de la
Directiva de protección de datos de 1995 y del resto de normas aplicables a cualquier
tratamiento de datos.
No hay que olvidar que los sistemas a gran escala de contadores inteligentes generan
un “consumer profiling”, una creación de perfiles de los consumidores finales. En este
sentido, el SEPD advierte que, en este contexto, el riesgo que supone la minería de
datos -“data mining”, entendido como un tratamiento de datos de las personas que va
más allá del que inicialmente podría hacer pensar la finalidad objetiva del tratamiento,
y que probablemente escapará del control y adecuado conocimiento del interesado-,
es importante, y hay que controlar la posibilidad de que sólo las partes autorizadas, y
no otras, traten los datos adecuados para prestar el servicio.
En la misma línea hay que hacer mención al Dictamen 12/2011 del Grupo del Artículo
29, sobre medición inteligente, de 4 de abril de 2011, en el que se expone que hay que
reforzar el cumplimiento de los principios y obligaciones de la normativa de protección
de datos:
“Los contadores inteligentes permiten la generación, transmisión y análisis de datos sobre los consumidoras en mucha mayor medida que el «contador tradicional» o «simple». Por lo tanto, permiten también al operador de red (también conocido como DSO, Distribution Service Operator), a los proveedores de energía y a otras partes recopilar información detallada sobre el consumo de energía y las pautas de utilización, así como adoptar decisiones relativas a consumidoras individuales en base a perfiles de utilización. Aunque se reconoce que estas decisiones generalmente benefician a los consumidores por el ahorro energético que traen consigo, también se está poniendo de manifiesto que puede producirse una intrusión en la vida privada de los ciudadanos a través del uso de dispositivos instalados en sus hogares. Esto también implica un cambio en nuestra relación fundamental con los proveedores de energía, a los que tradicionalmente los consumidores han pagado por el gas y la electricidad suministrados. Con la introducción de los contadores inteligentes, el proceso es más complejo
invitar a los competidores a hacer ofertas basándose en ellos. Por otra parte, también deben tener derecho a estar adecuadamente informados de su consumo de energía. (...)”. El artículo 21.10 de la misma Directiva dispone que: “10. El encargado del cumplimiento tendrá acceso a todos los datos pertinentes y a las oficinas del gestor de la red de transporte y a toda la información necesaria para el cumplimiento de su tarea.” 118 Punto 37 del Dictamen SEPD sobre la Recomendación de la Comisión Europea sobre el desarrollo de los sistemas de contadores inteligentes, de 9.3.2012, que citamos en este documento.
77
porque los interesados proporcionarán a los proveedores información sobre sus hábitos personales.”
Nuevamente, como vemos, se alerta sobre la creación de perfiles de los consumidores
y sobre la poca claridad respecto a “quién y para qué” se podrán utilizar estos datos
(no es lo mismo el tratamiento –desde la perspectiva de los principios de calidad y de
finalidad- que puede hacer una empresa suministradora de energía, que la que
pueden hacer otras empresas que ofrecen servicios relacionados, puesto que son un
“tercero” que muy a menudo no está suficientemente identificado; de cualquier modo,
en estos otros casos la finalidad tendrá que estar muy concretada, el tratamiento
requerirá el consentimiento del interesado –pues ya no se trata de la prestación
“principal” de energía o servicios-, y se tendrá que informar adecuadamente al
interesado.)
Hay cuestiones, en definitiva, que afectan a los principios de protección de datos
(ejercicio de derechos, medidas de seguridad, deber de información, acceso y
tratamiento de datos de consumo por terceros, ajuste del tratamiento a cada
finalidad....) que, tal como piden los expertos (SEPD, Grupo del Artículo 29, etc),
tendrían que concretarse adecuadamente.
Como se hace referencia en la Comunicación de la Comisión Europea “Energía 2020”,
citada, en la que se cita la “Iniciativa Ciudades Inteligentes”, la Comisión Europea
(Dirección General de Energía, a la que ya nos hemos referido) ha creado un Grupo
especial sobre redes inteligentes (“Smart Grids Task Force”), para debatir sobre su
implementación a nivel europeo119. Este Grupo especial se estructura en diferentes
subgrupos, de los que nos interesa especialmente el “Grupo de Expertos 2”, centrado
en estudiar el impacto de las redes inteligentes en la protección de datos, y en
elaborar recomendaciones. Algunas de estas recomendaciones se relacionan con la
aplicación de medidas de seguridad; con la necesidad que los productos de redes
inteligentes, ya en la fase de diseño, incluyan estándares apropiados de protección de
datos (incluyendo el estudio de la implantación de nuevos estándares de seguridad);
con la conveniencia de analizar si el marco normativo actual de protección de datos
(en la UE) es suficiente, o si habría que regular otras cuestiones adicionales
tendentes, específicamente, a proteger mejor los datos personales de riesgos
119 Se contienen varios documentos y estudios de interés en la web: http://ec.europa.eu/energy/gas_electricity/smartgrids/taskforce_en.htm
78
aparejados a la utilización de redes inteligentes; distinguir adecuadamente lo que es
“dato personal” en este contexto; clarificar accesos y finalidades, o valorar la
problemática de TID (transferencia internacional de datos) en el marco de las redes
inteligentes, entre otros. Estas son algunas de las cuestiones que encontramos –en
cierto modo “recurrente”-, también, en otros documentos que analizamos en este
trabajo (Grupo del Artículo 29 y Grupo de Berlín, SEPD...). Compartimos la reflexión
general de que será necesario, partiendo probablemente del marco ya existente de
protección de datos, especificar y explicar adecuadamente a los ciudadanos cómo se
aplican los diferentes principios y obligaciones de la Directiva (y normativa derivada o
complementaria) a los concretos tratamientos de datos que pueden surgir en el
contexto de las Smart Cities.
Finalmente, es interesante considerar el papel y responsabilidad de cada Estado
europeo en particular, a la hora de trabajar en actuaciones normativas o
complementarias -“guidelines”, recomendaciones, pautas para las empresas del
sector, operadores de servicios, Ayuntamientos, etc...-, que puedan servir para un
correcto tratamiento de los datos en el contexto de los sistemas inteligentes citados,
extrapolables a otras experiencias Smart Cities que comporten un tratamiento de datos
personales.
En concreto citamos un ejemplo, entre los diversos existentes. Se trata del proceso de
consulta pública que el Reino Unido (Departamento de Energía y Cambio Climático)
ha llevado a cabo en relación con el ”Smart Metering Implementation Programme”120.
En este proceso el gobierno británico ha analizado varias cuestiones relativas a la
protección de datos en el marco de la implementación de los contadores inteligentes,
que nos pueden resultar muy útiles para reflexionar sobre las exigencias derivadas de
la aplicación de los principios de protección de datos en las Smart Cities que quieran
implantar estos sistemas de medición. Entre otros, se reflexiona sobre qué tipo de
consentimiento puede dar el consumidor final -persona física-, qué acceso a datos
tiene que tener el propio consumidor121, el suministrador de energía, las empresas
120 Los documentos se pueden consultar en la página: http://www.energy-uk.org.uk 121 Esta Autoridad ha reflexionado en varios Dictámenes sobre la capacidad de que el titular de los datos personales pueda tener un cierto “margen de actuación” en relación con los datos tratados en el contexto de su Historia Clínica Electrónica, o la carpeta personal de salud. De manera similar, podríamos plantearnos si la progresiva implantación de contadores inteligentes dejará margen “real” de actuación al consumidor final, en el sentido de si puede mantener un cierto margen de control sobre qué datos se tratan, para qué finalidades, quién puede acceder, etc
79
operadoras, y “terceras partes”. También se hace especial atención al hecho de que el
consumidor tiene que recibir una información adecuada sobre el tratamiento que se
generará de sus datos, cuándo, cuáles y por qué se recogerán, quién los tratará, qué
derechos pueden ejercerse, dónde dirigirse para ejercerlos, etc. Se pone de manifiesto
que no siempre habrá que tratar los mismos datos (como ejemplo “recurrente” que
encontramos en este y otros documentos y dictámenes que hemos analizado para
nuestro trabajo, está claro que no puede ser que se traten los mismos datos para
facturar, que para la buena gestión de la red, para finalidades comerciales, para
ofrecer nuevos servicios a los consumidores, etc.), o que hay que aclarar quién son los
“terceros” que podrían querer acceder a datos de los consumidores, y para qué
finalidades, etc.
7. CONCLUSIONES
Vistos los diferentes puntos, ejemplos, y documentación consultada, sólo nos queda
apuntar algunas conclusiones que, para evitar reiteraciones, serán necesariamente
breves, y siempre teniendo en cuenta que no dejan de ser puntos de partida para una
reflexión más detallada.
1) Definir y situar adecuadamente el concepto de Smart Cities y los elementos
principales que las configuran es relevante a efectos de poder discernir qué casos
pueden comportar un tratamiento de datos personales y cuáles no, así como a efectos
de identificar las problemáticas que se pueden presentar en cada caso.
2) Del mismo modo, es importante estudiar los diferentes conceptos relacionados con
las Smart Cities y las principales tecnologías empleadas en este contexto, para
identificar los puntos de interés o problemas que se pueden generar desde la
perspectiva de la protección de datos.
3) Muchas experiencias o ejemplos de Smart Cities no implican, o no tendrían que
implicar el tratamiento de datos personales y, por lo tanto, sin perjuicio de su
importancia, interés, o mayor o menor implantación en nuestras ciudades, son ajenos
a este estudio, salvo que en el futuro puedan generar algún tratamiento de datos de
carácter personal.
80
4) En cuanto al resto, el tratamiento de datos que generan las diferentes experiencias
Smart City puede ser muy diverso. Es en estos casos que hay que analizar los
elementos relevantes (tecnologías empleadas, incidencia en los diferentes principios
rectores en materia de protección de datos, instrumentos para mejorar la garantía de
privacidad, necesidad de precisar el marco normativo aplicable...), y establecer
correctamente las interacciones entre todos estos elementos.
5) Por su impacto en la privacidad y en la protección de datos, hay que hacer especial
atención a la implantación de redes y contadores inteligentes, a las diferentes
tecnologías que podemos agrupar en el desarrollo de “la Internet de las cosas”, y a
otras tecnologías estudiadas en este documento, así como a la especial problemática
de la geolocalización de objetos y personas y a la posibilidad de generar perfiles. Todo
esto puede comportar una especial afectación para la vida cotidiana de los
ciudadanos, en concreto, para su privacidad y su derecho a la protección de datos
personales.
6) A través del desarrollo de las Smart Cities, la persona física se convierte,
progresivamente -y a menudo sin ser muy consciente de ello-, en portadora y
distribuidora de su propia información personal, haciéndola accesible a terceros, de
forma no siempre segura.
7) Conviene estudiar la utilización de modelos o arquetipos, así como la utilización de
pseudónimos, la gestión de diversas identidades digitales por parte del usuario, así
como el recurso a la anonimización o pseudoanonimización de datos, en diferentes
fases del diseño e implantación de ejemplos de Smart Cities, para asegurar una mayor
garantía para la privacidad y la protección de datos personales.
8) Teniendo en cuenta esto, tanto el propio titular de la información personal objeto de
tratamiento como los diferentes responsables implicados -administraciones públicas,
sector privado y empresarial, terceros intervinientes en el desarrollo e implantación de
los varios ejemplos de Smart Cities-, así como las autoridades y operadores en
materia de protección de datos, tienen que tener presentes los diferentes principios,
garantías y obligaciones exigibles en materia de protección de datos y aplicarlos, cada
cual desde su perspectiva y grado de responsabilidad.
81
9) Principios de legitimidad, consentimiento y finalidad: cualquier tratamiento de datos
personales que pueda generar un ejemplo de Smart City se tiene que fundamentar en
una finalidad legítima. A partir de este punto, hay que establecer una fundamentación
clara de la legitimidad de cada tratamiento específico, y distinguir la finalidad principal
de los diferentes usos derivados o secundarios, restringiendo, si procede, el
tratamiento de datos en estos usos. Hay que distinguir los supuestos en los que hay
necesidad de consentimiento, de aquellos en los que no es necesario. En cuanto al
consentimiento, hay que reflexionar sobre el impacto que un uso opcional u obligado
de servicios de Smart City tiene para la privacidad y la protección de los datos del
usuario. Hay que hacer especial atención a la legitimidad y consentimiento en
determinados casos, como por ejemplo el tratamiento de datos sensibles, o de datos
de menores.
10) Principio de calidad y de minimización: si bien no se puede generalizar y encontrar
una base común para los diferentes supuestos de Smart City en cuanto a los datos
que se pueden tratar, hay que dar a este principio una relevancia clave. Hay que evitar
o, al menos, controlar los tratamientos que generan minería de datos, elaboración de
perfiles o seguimiento de pautas de consumo, seguimiento, monitorización o
localización de vehículos y personas, en definitiva, los tratamientos que podrían
resultar abusivos debido a la información tratada. Dentro de lo posible, hay que
estudiar la viabilidad de la anonimización de los datos, sin desvirtuar la finalidad, en
varios ejemplos de Smart City. Y más allá de ello, hay que analizar las capacidades de
interoperabilidad de los diferentes sistemas, puesto que los diferentes conjuntos de
datos, que no son especialmente relevantes de manera aislada, si se procesan en un
mismo entorno pueden generar efectos no deseados.
11) Principio de información: hay que priorizar la información transparente, es decir,
accesible y comprensible en el marco de las Smart City, atendiendo a las
particularidades de las tecnologías empleadas y al nivel de comprensión del usuario.
Hay que plantear si el deber de información que el responsable tiene que cumplir,
puede incluir determinadas especificaciones, como por ejemplo las relativas a las
medidas y consejos de seguridad a aplicar por el propio usuario dependiendo de la
tecnología implicada en el tratamiento, la posibilidad de gestionar los datos propios por
parte del usuario, la conservación de los datos o su portabilidad, entre otros. Todo lo
82
expuesto, en el contexto de la información que puede ser exigible en el nuevo marco
normativo europeo, para garantizar “un tratamiento de datos leal”.
12) Ejercicio de derechos por las personas interesadas: el ejercicio de los derechos
ARCO, más allá de su aplicación en cualquier tratamiento de datos, presenta
dificultades o dudas específicas en el contexto de las Smart Cities, que deben ser
valorados. Entre otros, hay que estudiar aquellos casos en que puede ser difícil para el
interesado identificar los datos tratados; cómo se puede dar acceso a los datos
personales del interesado en forma legible e inteligible; los casos en que el usuario
puede tener dificultad para acreditar la pertinencia de la rectificación o la cancelación.
También hay que tener en cuenta las particularidades del derecho de oposición, así
como el llamado silencio de los chips o el desarrollo en el futuro marco normativo
europeo de los “nuevos derechos”, como por ejemplo el derecho a la portabilidad de
datos o a no ser objeto de medidas basadas en la elaboración de perfiles, en relación
con ejemplos diversos de Smart Cities.
13) En cuanto a las medidas de seguridad: hay que incidir en los riesgos particulares
para la seguridad de la información personal tratada en el contexto de las Smart Cities,
debido a las particularidades de las tecnologías empleadas (RFID y NFC, aplicaciones
o servicios con apoyo de geolocalización, tarjetas contactless...), y valorar la
pertinencia de dar más y mejor información al usuario sobre las medidas de seguridad
que puede o tiene que adoptar como usuario, más allá de las que ya tiene que aplicar
el responsable.
14) Las evaluaciones de impacto sobre la privacidad (PIA), la utilización de tecnologías
para la protección de la privacidad (PET), la aplicación de la Privacidad en el diseño
(PbD), o la privacidad por defecto (PbDef), constituyen instrumentos necesarios que
hay que valorar y aplicar a ejemplos concretos de Smart Cities, puesto que permiten
afrontar con mayores garantías su implantación.
15) Independientemente de la implantación de estos instrumentos específicos de la
protección de datos, habría que analizar y valorar hasta qué punto puede ser
necesario un desarrollo normativo específico a nivel de la UE o a nivel interno, en
relación con el desarrollo de determinados servicios de Smart Cities, para asegurar
83
adecuadamente la privacidad y la protección de datos de las personas físicas en este
contexto.
_____________________________________________________________________