Europa publica el primer dictamen sobre protección de datos en IoT

Las autoridades europeas de Protección de Datos han publicado el primer Dictamen conjunto sobre el Internet de las Cosas (IoT, por sus siglas en inglés).

El extenso documento hecho público define las nuevas tendencias y negocios que beben del Internet de las cosas, analiza los retos que plantean en materia de protección de datos, las leyes aplicables y redunda en los derechos de los usuarios.

El dictamen diferencia en tres grandes grupos los negocios que nacen de la industria del Internet de las Cosas: los wearables (gafas inteligentes, relojes inteligentes), los dispositivos que monitorizan la actividad física (grupo donde entra el uso sanitario de la información) y la domótica o el hogar conectado.

A las autoridades de protección de datos les preocupa la pérdida de control de la información que generan los dispositivos conectados y el uso que puedan hacer terceras partes de ello. Urgen a los fabricantes a ser transparentes a la hora de especificar las funcionalidades de un dispositivo conectado, les aconseja que definan y adapten a nuevos dispositivos los mecanismos de obtener el consentimiento para la activación de algunos servicios que pueden recopilar datos y que estos siempre den la posibilidad de renunciar o de mantener el anonimato.

Preocupa el uso final de la información generada por el Internet de las Cosas. Las autoridades desconfían de las técnicas que permiten cruzar varios flujos de datos. Por ejemplo, los sensores integrados en una pulsera que mide la distancia recorrida pueden ofrecer información sensible sobre la salud del usuario y violar el secreto médico.

Estas técnicas, que pueden dar pistas sobre el comportamiento de los usuarios en ámbitos privados como el hogar, podrían cruzar la línea de la privacidad, alertan.

La información personal sólo podrá recogerse con fines determinados, explícitos y legítimos. Los usuarios deberán estar permanentemente informados sobre estas actividades. La información recopilada no podrá mantenerse durante un período superior al necesario ni podrán utilizarse para fines que no fueron definidos previamente.

Según el documento, los estados miembro podrán aplicar sus leyes en materia de utilización de datos personales a las empresas que operen en territorio europeo directa o indirectamente.