Privacidad en la Privacidad en la Privacidad en la Privacidad en la “Internet de las cosas”“Internet de las cosas”

•• Iñaki Pariente de PradaIñaki Pariente de Prada

•• Pedro Alberto GonzálezPedro Alberto González

tt // ett // ehttp://www.avpd.eshttp://www.avpd.es

http://www.avpd.es Privacy by Design 2

http://www.avpd.es Privacy by Design 3

Preocupación por la Privacidad y la Seguridad

http://www.avpd.es Privacy by Design 4

Luddism!!

http://www.avpd.es Privacy by Design 5

S ≠ P Seguridad ≠ Privacidad

• Adjetivo (un medio)– Protección de activos

• Sustantivo (un fin)– Derecho

• Evitar riesgo• Mitigar impacto

• Fundamental• ConstitucionalMitigar impacto Constitucional

“Security by Design”

“Privacy by Design”

http://www.avpd.es Privacy by Design 6

1.- La privacidad, desde el diseño

http://www.avpd.es Privacy by Design 7

http://www.avpd.es Privacy by Design 8

7 Principios fundamentales de la Privacidad desde el Diseño

1. Diseño Proactivo, no Reactivo; • Preventivo, no Correctivo

2. Privacidad como configuración por defecto3. Privacidad incrustada en el diseño3. Privacidad incrustada en el diseño4. Funcionalidad total:

“S P iti ” “S Z ”• “Suma-Positiva”, no “Suma-Zero”5. Seguridad en todo el ciclo de vida (“end-to-end”)6. Visibilidad y transparencia – “Keep it Open”7. Respeto a la privacidad personal (“User-centric”)7. Respeto a la privacidad personal ( User centric )

http://www.avpd.es Privacy by Design 9

PbD en el “Reglamento Europeo de Protección de Datos”

A t 23 P t ió d d t d d l di ñ• Art. 23.- Protección de datos desde el diseño y por defecto

( ) L t ió d l d t d d l– (…) La protección de los datos desde el diseño prestará especial atención a toda la gestión del ciclo de vida de los datosgestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión, centrándose

i t áti t i lisistemáticamente en proporcionar amplias garantías procesales respecto de la exactitud, la confidencialidad, la integridad, la seguridadla confidencialidad, la integridad, la seguridad física y la supresión de los datos personales.

– (…)

http://www.avpd.es Privacy by Design 10

( )

2.- Evaluación del Impacto sobre la Privacidad

http://www.avpd.es Privacy by Design 11

Reglamento Europeo de Protección de Datos

A t 33 E l ió d i t l ti l• Art. 33.- Evaluación de impacto relativa a los datos

C d i d f id d l– Cuando sea necesario de conformidad con el artículo 32 bis, apartado 3, letra c), el responsable o el encargado del tratamiento queresponsable o el encargado del tratamiento queactúe por cuenta del responsable llevarán a cabouna evaluación del impacto de las operacionesd t t i t i t l d h lde tratamiento previstas en los derechos y laslibertades de los interesados, en especial suderecho a la protección de datos personales. .derecho a la protección de datos personales. .

– (…)

http://www.avpd.es Privacy by Design 12

Reglamento Europeo de Protección de Datos

A t 33 E l ió d i t l ti l• Art. 33.- Evaluación de impacto relativa a los datos - Deberá incluir, como mínimo:

– a) una descripción sistemática de las operaciones de tratamiento previstas los fines del tratamiento y cuando proceda ela) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

– b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;– c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación

se integre en las operaciones o se refuerce con estas;– d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos

personales tratados;– e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales,

como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;

– f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;– g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se

han aplicado;– h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;

i) en su caso una lista de las transferencias de datos previstas a un tercer país o a una organización internacional incluido el– i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;

– j) una evaluación del contexto del tratamiento de datos.

http://www.avpd.es Privacy by Design 13

Metodologías PIA(Privacy Impact Assessment)

http://www.avpd.es Privacy by Design 14

Evaluaciones de impacto sobre la Privacidad

http://www.avpd.es Privacy by Design 15

ReferenciasReferencias

• AEPD: Guía para una evaluación del Impacto en la Protección de Datos Personales

http://www agpd es/portalwebAGPD/canaldocumentacion/public– http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GuiaEIPDPBorrador.pdf

• CN-RFID: Évaluation de l’impact des applications RFID p ppsur la vie privée– http://www.centrenational-

fid /d / /fil /Li %202013%20 5%20 b(2) dfrfid.com/docs/users/file/Livret%202013%20v5%20web(2).pdf

• INTECO: Guía sobre seguridad y privacidad de la tecnología RFIDtecnología RFID– http://www.inteco.es/guias_estudios/guias/guia_RFID

http://www.avpd.es Privacy by Design 16

3.- Respertar la “expectativa de privacidad”

• Minimizar la información recolectada• Obtener consentimiento de los afectadosObtener consentimiento de los afectados• Informar claramente de los fines y usos• No utilizar para fines no declarados• No ceder datos a terceros• No ceder datos a terceros• Garantizar la seguridad de los datos• Limitar el plazo de conservación

http://www.avpd.es Privacy by Design 17

Gadgetmanía:“Wearable devices”

http://www.avpd.es Privacy by Design 18

“Grupo de Berlín”:Working Paper on PrivacyWorking Paper on Privacy

and Wearable Computing Devices

• Aplicaciones:– Estilo de vida (ejercicio, alimentación, ( j , ,

hjábitos…)– Info-entretenimiento (gafas relojes pulserasInfo entretenimiento (gafas, relojes, pulseras,

kinect…)Salud (monitor de sueño de glucemia ritmo– Salud (monitor de sueño, de glucemia, ritmo cardiaco…)I d t i d f li i– Industria, defensa, policia…

http://www.avpd.es Privacy by Design 19

“Grupo de Berlín”:Working Paper on PrivacyWorking Paper on Privacy

and Wearable Computing Devices

• Precauciones:Difícil gestión del consentimiento–Difícil gestión del consentimiento

–Recolección inconscienteRecolección inconsciente–Sobrevigilancia pasiva–Exceso de datos recogidos /

almacenadosalmacenados

http://www.avpd.es Privacy by Design 20

Derecho al “silencio de los chips”

http://www.avpd.es Privacy by Design 21

En resumen:En resumen:

1. Respetar las expectativas de privacidad de los usuarios de soluciones IoT

2. Evaluar anticipadamente el impacto de las soluciones IoT en la privacidad delas soluciones IoT en la privacidad de las personas.

3. Incluir la gestión de la privacidad en el diseño de las soluciones IoT desde eldiseño de las soluciones IoT desde el primer momento

http://www.avpd.es Privacy by Design 22

http://www.flickr.com/photos/rosino/3658259716/

http://www.avpd.es Privacy by Design 23