¿Qué datos capturan los dispositivos que nos rodean?
Un estudio realizado por la Universidad Northeastern en USA y el Imperial College de Londres ha puesto “negro sobre blanco” los datos que muchos dispositivos inteligentes que utilizamos en nuestros domicilios capturan de nuestro entorno. Datos que pueden ser utilizados o gestionados de forma externa.
En un mundo donde se espera que alcancemos más de 20.000 millones de dispositivos IoT a finales de 2021, resulta relevante pararse a pensar qué cosas permitimos hacer a los dispositivos que instalamos en nuestras casas y si somos definitivamente conscientes de lo que hacemos.
El estudio realizado por los investigadores de ambas universidades ha evaluado el comportamiento de 81 tipos de dispositivos desplegados en USA y el Reino Unido, incluyendo cámaras domésticas, conectores inteligentes, televisores, electrodomésticos o asistentes de voz. Los resultados son reveladores.
En cualquier caso, y antes de profundizar en ellos, debemos tener en cuenta que la legislación sobre protección de datos no es uniforme en todo el mundo y que existen múltiples normativas que regulan su tratamiento y por tanto su uso.
Los datos que capturan los dispositivos
Entre los datos que los dispositivos gestionan internamente se incluyen:
- Información de registro. Son aquellos datos que se proporcionan al activar el dispositivo: el identificador, la información personal del propietario, los logs de actividad o el estado en cada momento del dispositivo.
- Parámetros capturados por los sensores que los dispositivos llevan incorporados, tales como la detección de movimiento, videovigilancia o grabaciones de audio.
- Datos de actividades realizadas con el dispositivo, por ejemplo, identificación del medio (teléfono móvil, Tablet, ordenador…) o funcionalidad del dispositivo que ha sido actividad (cambios de canales de TV, apertura y cierre de frigoríficos o lavavajilla…).
- También se ha detectado que, en ocasiones, los dispositivos recopilan datos no declarados (documentados) y que están fuera de su comportamiento esperado. Por ejemplo, la captura de imágenes cuando se activa el timbre de la casa, la activación de los asistentes de voz cuando se pronuncian ciertas palabras o la navegación por los menús del TV, incluso aunque no esté sintonizando en ningún canal. Los sistemas mientras que están en espera (stand-by) es habitual que también recopilen información.
El papel de los servicios en nube
Un punto de atención importante es que, de forma habitual, los datos recopilados por los dispositivos IoT son enviados a servicios alojados en la nube. Los proveedores de servicios en nube se convierten así en piezas clave en la privacidad de la información transmitida. Directa o indirectamente podrían ser potenciales beneficiarios del posible uso o explotación de los datos. No en vano, casi el 90% de los dispositivos analizados transmiten la información a destinos que no son del fabricante y a menudo pasan por infraestructuras intermedias.
El peligro de no cifrar los datos
Adicionalmente es relevante mencionar que una inmensa mayoría de estos dispositivos transmiten parte de esta información sin cifrar. La criticidad de los datos en claro depende de la posibilidad de que esta información incluya datos de carácter personal o que de ella se pueda deducir información que afecte a la privacidad. En este sentido, destacan elementos como la dirección MAC, el UUID, el identificador del dispositivo, incluso su geolocalización.
El procesamiento de información para generar perfiles
Sin embargo, no es la única información que estos dispositivos proporcionan. Al menos de forma indirecta. A partir de datos aparentemente anónimos se pueden deducir pautas de comportamiento personales o colectivos (por ejemplo, familiares) que a menudo son de utilidad para clasificar los perfiles de los usuarios de acuerdos a intereses comerciales (como podrían ser las estrategias de los anunciantes de TV). Entre estos datos están los que se recogen a cuando se enciende o apaga un dispositivo (por ejemplo, para saber cuándo se va a interactuar con él) o cuando alguien entra en una vivienda (a través de cambios en la imagen captada por las cámaras o la detección de voces en el entorno).
El reto de la legislación de protección de datos
En esta tesitura, nos encontramos ante un escenario en el que la información de la futura red de dispositivos IoT va a marcar un cambio la gestión de la privacidad. Más allá de lo que la propia información de forma inconexa aporte por sí misma. El uso del Big Data en combinación con algoritmos de Inteligencia Artificial permitirán poner al descubierto, a través de correlaciones, características personales sin necesidad de que proactivamente seamos conscientes de proporcionarlas.
Nos enfrentamos pues a una situación compleja sobre la que probablemente será difícil legislar.