Privacidad del Internet de las Cosas: Qué significa GDPR para los datos de IoT

eu GDPR IoT Privacy

En mayo de 2018 comenzarán a aplicarse nuevas normas de datos de la UE en forma de Reglamento General de Protección de Datos (GDPR), que podrían influir drásticamente en la Internet de los objetos y en la forma en que se recopilan y protegen los datos en los dispositivos de IoT. La gran mayoría de los dispositivos de IoT utilizan una cantidad extraordinaria de datos, a la vez que son algunos de los más fáciles de acceder remotamente o infiltrar debido a la existencia de múltiples vectores de ataque. En respuesta a la rápida evolución tanto en la forma en que se recogen los datos como en la forma en que se utilizan, el GDPR pretende ampliar la normativa existente y mejorar las prácticas de tratamiento de los datos a fin de mantenerse al día con este panorama en constante cambio. A partir de mayo de 2018, cualquier empresa que trate con datos personales tendrá que cumplir con el GDPR, lo que significa evaluar qué datos tienen, dónde los almacenan, cómo los utilizan y quién tiene acceso a ellos.

Los dispositivos de IoT, como los teléfonos inteligentes y las cámaras IP, recogen, analizan y almacenan una gran cantidad de datos, por lo que las empresas que utilizan estas tecnologías deberán evaluar su manejo y almacenamiento de datos e implementar los cambios necesarios para cumplir con los requisitos de GDPR. La tecnología que se puede llevar para la salud y la aptitud física, los dispositivos médicos de IoT e incluso los coches conectados tienen el potencial para obtener datos que permitan identificar a una persona y, por lo tanto, los productores de estas tecnologías tendrán que seguir un marco de privacidad por diseño, un marco en el que la privacidad se tenga en cuenta en cada etapa del proceso de ingeniería. El GDPR sitúa en primer plano este marco centrado en la privacidad y espera que los responsables del tratamiento de datos adopten nuevas medidas para demostrar su conformidad con la nueva normativa. Así pues, ¿cómo afecta el Reglamento general de protección de datos a la recopilación de datos de la IoT?

GDPR IoT Data Privacy

Cómo afecta el GDPR a los datos de la IoT

La expansión de la Internet de los objetos y la protección de datos, así como la privacidad personal y la seguridad de los datos, plantean varios retos. El GDPR de la UE tratará de garantizar la protección de los datos personales obligando a los responsables del tratamiento de datos a cumplir la nueva normativa, pero esto significará que también estarán obligados a proteger cualquier dispositivo que maneje datos personales. Esto podría dar forma al futuro de los productos de la IoT y a la forma en que recogen y utilizan los datos. La siguiente lista detalla algunas de las principales maneras en que el GDPR afecta a los datos de IoT.

 

Violaciones de la seguridad

Las violaciones de la seguridad son, por desgracia, un hecho común en el mundo de hoy.

Iot Health Band

Para cumplir con el GDPR, las organizaciones que manejan datos personales deberán asegurarse de que están en condiciones de identificar y tratar las violaciones de la seguridad, al tiempo que introducen un sistema de notificación obligatoria en caso de cualquier violación de los datos personales. También será obligatorio que los encargados del tratamiento notifiquen a su autoridad supervisora a más tardar 72 horas después de tener conocimiento del hecho, y también se les podrá exigir que informen a las personas afectadas en caso de que la situación exija tales notificaciones.

Almacenamiento

Las empresas que almacenan datos durante cualquier período de tiempo también tendrán que ajustar o implementar sistemas de almacenamiento para tener en cuenta el marco de privacidad por diseño. Las empresas que almacenan datos, ya sea en la nube o con hardware interno, necesitarán asegurarse de que cumplen con las regulaciones de acceso y los principios de minimización de datos, además de proporcionar medidas adecuadas de seguridad y protección cibernética, como el cifrado de datos, en todas las oportunidades posibles. La aplicación al mapeo de almacenamiento también asegurará que cualquier aplicación pueda ser mapeada al almacenamiento físico que ocupa, identificando los datos que contienen información personal.

Los Menores y el Consentimiento

El Reglamento General de Protección de Datos también exigirá a las organizaciones que obtengan y demuestren el consentimiento de un sujeto para que sus datos sean procesados y especifica que el consentimiento no puede presumirse a través de un sujeto que no impugne el uso de sus datos. La nueva normativa también establece que los niños menores de 13 años no pueden dar su consentimiento en su propio nombre para el tratamiento de sus datos personales, y que el consentimiento de los niños de entre 13 y 15 años está sujeto a las leyes individuales de cada Estado miembro, aunque la posición por defecto suele ser que no pueden dar su consentimiento.

Derechos del sujeto

Uno de los aspectos más amplios del GDPR son los nuevos derechos que otorga a los sujetos con respecto al uso, acceso y almacenamiento de sus datos personales. El derecho a la portabilidad de los datos otorga a los sujetos el derecho a acceder y reutilizar sus datos personales a través de múltiples servicios en línea. El derecho de cancelación permite a los sujetos el derecho expreso de ser “olvidados”, lo que significa que los sujetos pueden solicitar la eliminación o el borrado de los datos personales cuando no exista una razón específica para continuar con el tratamiento o almacenamiento de los mismos. También se otorga a los sujetos el derecho de oponerse a la toma de decisiones automatizada para su uso en escenarios en los que se podría tomar una decisión potencialmente perjudicial sin la intervención humana.

 

Datos de la IoT en el futuro

Como podemos ver en los detalles anteriores, las nuevas regulaciones de GDPR tendrán un efecto transformador en la forma en que los dispositivos de IoT capturan y almacenan los datos personales y, con más regulaciones sobre robótica, IA y automatización, podrían dar forma al futuro de los productos, dispositivos y aplicaciones de Internet of Things. Por ejemplo, las normas de consentimiento relativas a los datos personales de niños menores de 13 años podrían obligar a los minoristas y fabricantes a adaptar sus productos para incluir controles parentales o servicios en línea restringidos cuando los dispositivos y productos sean utilizados por niños menores de 13 años. También podría cambiar la forma en que las empresas y organizaciones obtienen el consentimiento de los sujetos, ya que situaciones como el consentimiento es una condición para la venta o el uso de servicios que no califican como consentimiento otorgado libremente. Sin embargo, con grandes multas para los que no cumplen, queda por ver hasta qué punto los desarrolladores, minoristas y fabricantes de la IoT responden a la nueva normativa.


Related Posts