Internet de las cosas, privacidad y seguridad

El internet de las cosas (internet of Things, habitualmente referido por sus siglas inglesas IoT) es la próxima gran transformación de Internet y hace referencia a una tecnología basada en la conexión de objetos cotidianos a la Red que comienza con juguetes y electrodomésticos y acaba en coches autónomos y ciudades inteligentes. Prácticamente cualquier objeto puede formar parte del IoT, incluso pastillas digitales que ya han sido autorizadas a finales de 2017 por la Administración de Alimentos y Medicamentos de Estados Unidos (FDA).

Todas estas cosas intercambian, agregan y procesan información sobre su entorno físico para proporcionar servicios de valor añadido a los usuarios finales. También reconocen eventos o cambios, y tales sistemas pueden reaccionar de forma autónoma y adecuada. Su finalidad es, por tanto, brindar una infraestructura que supere la barrera entre los objetos en el mundo físico y su representación en los sistemas de información.

Pero esta realidad abre interrogantes urgentes desde el punto de vista jurídico. Además de las preocupaciones en materia de seguridad de los productos y de ciberseguridad en las plataformas, el internet de las cosas también plantea una serie de implicaciones relevantes para la intimidad y la privacidad, en particular y muy significativamente con respecto a los dispositivos de consumo. No hay duda de que la tecnología del IoT puede mejorar la experiencia de un consumidor en formas grandes y pequeñas.

Por ejemplo, para maximizar la eficiencia energética, el termostato de cada habitación puede ser controlado remotamente e incluso ajustar las temperaturas por sí mismo una vez que aprenda las preferencias de sus moradores. Pero, ¿qué hacen estas empresas con las cantidades masivas de datos que recogen sobre sus clientes? O, ¿qué tipo de información proporcionan a los consumidores sobre sus políticas de privacidad y qué opciones tienen los usuarios de decidir cómo se utilizan sus datos? Y, ¿cómo protegerán las compañías su información confidencial para no verse comprometidas en un ciberataque? Todas estas son cuestiones que deben ser consideradas ya que esta tecnología continúa expandiendo su alcance a un ritmo exponencial.

Por apuntar otro ejemplo relevante, millones de ciudadanos usan dispositivos y prendas que registran su actividad física y otros indicadores de salud. Ya hay compañías de seguros que están ofreciendo a sus clientes un descuento en las pólizas si emplean tales dispositivos y demuestran un estilo de vida saludable, pero más allá de fomentar un comportamiento más sano por parte de sus asegurados, no está claro de qué otra manera las compañías de seguros pueden intentar utilizar esta información personal en el futuro. ¿Se venderá para fines de marketing? ¿O también se utilizará de manera discriminatoria para determinar su idoneidad para el crédito o el trabajo?

Así las cosas, se deriva de todo esto el fenómeno que Byung-Chul Han ha bautizado como la sociedad de la transparencia. Las TIC, el IoT y los modernos dispositivos y objetos hiperconectados nos desnudan socialmente. Es por ello que es “ingenua la ideología de la post-privacy”, que exige “en nombre de la transparencia un total abandono de la esfera privada con el propósito de conducir a una comunicación transparente”. Ambos conceptos son icono, símbolo total del internet de las cosas: la comunicación entre personas, cosas, máquinas y ambientes que hace transparente y vulnerable lo que sucede en su seno, en su entorno.

Por otra parte, los ecosistemas del internet de las cosas, creados por empresas de distintos sectores, incluidas las industrias TIC pero no sólo éstas, no han procurado aplicar estándares abiertos que propicien la competencia. Puede detectarse, contrariamente a las tradiciones de Internet, que existe un resurgimiento de los enfoques de plataformas cerradas en oposición a la interoperabilidad y la compatibilidad. Estos modelos, por diseño o al menos como resultado práctico, encierran a los usuarios en ecosistemas patentados que impiden la competencia y la máxima innovación en el mercado.

A lo largo de la mayor parte de la historia de Internet, los enfoques anticompetitivos y exclusivos (cabe recordar aquí los sistemas cerrados, patentados y no interoperables de los años 70 y 80 del siglo pasado) se han considerado contrarios a la innovación y fueron sustituidos por los estándares técnicos y protocolos abiertos (por ejemplo, TCP/IP y HTTP), que han impulsado la innovación y las nuevas ofertas de productos y servicios. En definitiva, han sido los motores del éxito de la Red como red abierta y neutral por excelencia.

Pero muchos de los sistemas del internet de las cosas son cerrados e incompatibles, lo cual puede servir para controlar mejor la vigilancia invasiva, los ciberataques y los conflictos digitales. Frente a ellos, los sistemas abiertos, que se desarrollan típicamente en enfoques más participativos e interempresariales y que permiten la verificación pública, suelen tener características de seguridad reforzadas y menos vulnerabilidades del protocolo que las especificaciones patentadas, que se cierran en su desarrollo y no están abiertas a la inspección y a una amplia supervisión técnica. Ésta es otra de las cuestiones a dilucidar.

El internet de las cosas ya ha dado lugar a importantes avances tecnológicos, y a medida que se amplía su alcance, tiene el potencial para impulsar la próxima revolución de Internet. El reto urgente es encontrar el equilibrio adecuado entre promover esta innovación y garantizar que la seguridad y privacidad estén protegidas mientras esta valiosa tecnología continúa creciendo.

El cambio tecnológico del IoT requerirá marcos jurídicos claros, nacionales pero sobre todo de ámbito europeo e internacional, para brindar seguridad jurídica en el sector. Éstos deberán, al menos, abordar las siguientes cuestiones:

La dificultad radicará en la capacidad de elaborar normas jurídicas lo suficientemente flexibles e innovadoras como para adaptarse al entorno de progreso y con ciberamenazas en rápida evolución inherentes a la tecnología del IoT. Aunque se han hecho algunos avances en este ámbito, fundamentalmente dentro de la Unión Europea (al menos sobre el papel), queda por ver cómo se aplicarán en la práctica los instrumentos jurídicos recientemente adoptados.

Por último, la regulación jurídica del internet de las cosas debe hacerse mediante leyes y normas reglamentarias, pero también incluyendo la colaboración público-privada, y reforzando la colaboración internacional entre los Estados y los actores transnacionales, toda vez que los fenómenos insertos en su seno tienen tendencia a estar relacionados con las jurisdicciones de múltiples Estados involucrados para regular lo que ocurre en las redes, los delitos que se cometen en ellas, así como prevenir y sancionar los atentados contra derechos fundamentales, como la libertad, la seguridad, la intimidad o la protección de datos.

Para concluir, también hay que subrayar el papel que tienen los profesionales de la ingeniería, las matemáticas y las ciencias de la informática, entre otros expertos técnicos cualificados, para contribuir a la seguridad y, a su vez, a la privacidad en el entorno del Internet de las Cosas. Esto es así porque se harán cada vez más necesarias nuevas arquitecturas de red inmunes a la ruptura de la seguridad y a la invasión de la privacidad de las personas con tales rasgos estructurales incrustados en su diseño.

Esto implica que es urgente elaborar estándares jurídicos y tecnológicos que proporcionen entornos seguros y fiables, que eviten la percepción de los usuarios de que la utilización de estas tecnologías disruptivas les hace vulnerables ante personas u organizaciones oportunistas que obtengan beneficio menoscabando sus derechos.

Moisés Barrio Andrés es letrado del Consejo de Estado, profesor de Derecho de Internet y Experto en Ciberderecho y autor del libro Internet de las cosas.