Tecnologia

La implantación de la red móvil de quinta generación (5G) ya está aquí, cambiará la manera de comunicarnos y generará un gran impacto en la sociedad digital. El 5G aumentará la velocidad de conexión, reducirá al mínimo la latencia y multiplicará el número de dispositivos conectados. Permitirá la puesta en funcionamiento de muchos productos y servicios que podrán conectarse y compartir información en tiempo real, como por ejemplo: permitirá el trabajo especializado en remoto, sería el caso de cirugías remotas asistidas; impulsará la internet de las cosas (IoT), como puede ser cualquier dispositivo electrónico que tengamos en casa o en la oficina (lavadora, la alarma, el aspirador, la impresora, etc.), promoverá la automatización industrial; el impulso de la realidad virtual; la realidad aumentada; la creación de servicios basados ​​en decisiones automatizadas, muchas veces utilizando inteligencia artificial, entre otros.

El pasado 13 de mayo, la Agencia Española de Protección de Datos (AEPD) publicó una nota técnica titulada «Introducción a las tecnologías 5G y sus riesgos para la privacidad«, donde realiza un primer estudio de los riesgos para la privacidad que puede conllevar la quinta generación de comunicaciones móviles (5G).

La AEPD es consciente de que el 5G tendrá un alto e impredecible impacto sobre la privacidad de las personas, y es por este motivo que identifica de manera no exhaustiva, posibles riesgos en la privacidad, que deberán tenerse en cuenta desde las primeras fases de diseño, para que se integren en la naturaleza de los productos y servicios conforme las previsiones del artículo 25RGPD. Y que, en muchos casos, la implementación del servicio o producto requerirá la necesidad de realizar una previa Evaluación de Impacto en Materia de Protección de Datos (AIPD). Incluso si el riesgo residual resultante sigue siendo elevado, exigirá realizar una consulta previa a la autoridad de control. A continuación, recogemos algunos de los riesgos en la privacidad que la AEPD lista en la nota técnica publicada:

• Geolocalización precisa del usuario. Una de las características de la red 5G es el uso de más estaciones base y menos distancia entre ellas, que permitirá localizar el terminal del usuario con mayor precisión.
• Perfilado y decisiones automatizadas. A través de la inteligencia artificial y los servicios en tiempo real permitirán la toma de decisiones automatizada de forma individual.
• No definir correctamente los roles e intereses en el tratamiento de datos de los agentes implicados; fabricantes, operadores de red y proveedores de servicios. Así como, la falta de disponer de un modelo homogéneo de seguridad.
• Al aumentar la superficie de exposición, se incrementan las oportunidades que se materialicen amenazas de seguridad.
• Posible pérdida de control del usuario sobre el flujo de datos que puede imposibilitar el ejercicio de derechos. Habrá proporcionar una información clara de las transferencias internacionales que puede comportar el tratamiento de los datos por parte de los diferentes agentes implicados.

Con el fin de crear un marco de confianza, la AEPD propone tener en cuenta un conjunto de recomendaciones. Entre ellas:

• Proporcionar una información particularmente clara y comprensible, especialmente, identificando los responsables del tratamiento, los fines, la toma de decisiones automatizadas y la elaboración de perfiles, el acceso y el uso de control por parte de los usuarios. En este punto añadiríamos la importancia de informar sobre las transferencias internacionales, y que éstas dispongan de las garantías adecuadas.
• Definir claramente los roles y ámbitos de responsabilidad de los desarrolladores, fabricantes, operadores y agentes en materia de protección de datos.
• Garantizar comunicaciones cifradas de extremo a extremo.
• Cumplir con los principios en materia de protección de datos desde la fase de diseño del servicio o producto.
• Aplicar criterios homogéneos de seguridad en los diferentes agentes y segmentos de red basados ​​en los resultados del análisis de riesgos, y en aquellos casos, evaluaciones de impacto en materia de protección de datos, enfocados a gestionar amenazas de la red 5G y no de una operación singular.
• Gestión proactiva para verificar y poder demostrar el cumplimiento de la norma. Realizar auditorías de infraestructura y servicios, incluida la adhesión a mecanismos de certificación en protección de datos.

Podéis acceder a la nota técnica completa en el siguiente enlace.

Los que nos dedicamos al asesoramiento legal a menudo tenemos que explicar por qué existe la necesidad de tener una normativa en materia de protección de datos, con toda la carga que implica de obligaciones, conceptos jurídicos y sanciones. Esta necesidad legal se explica de forma comprensible por la necesidad de garantizar el derecho a la intimidad personal, de modo que la persona pueda tener siempre un control sobre sus datos de carácter personal y evitar que se haga un mal uso. Y eso pasa, inevitablemente, por el establecimiento de obligaciones a las organizaciones que recogen y tratan datos.

Imaginemos ahora que este control que la normativa reconoce a las personas no se haya de articular a través de un procedimiento de ejercicio de derechos, que puede tardar más de un mes en resolverse; imaginamos, por ejemplo, que la persona no tenga que hacer una solicitud para verificar, rectificar sus datos o suprimirlas en sus relaciones con una determinada organización o administración pública, sino que pueda ejercer este control sin que esta organización haya de recibir su solicitud ni contestarla. Imaginemos que la persona puede ejercer un control directo sobre sus propios datos, con quien compartirlas y de qué manera, con garantías de seguridad y legalidad. No necesitamos imaginar mucho más, porque esto es lo que plantea el modelo de identidad digital autogestionada que acaba de presentar la Generalidat de Catalunya, llamado IdentiCAT, el primero impulsado desde el sector público en Europa.

(más…)