Privacidad en la Privacidad en la Privacidad en la Privacidad en la “Internet de las cosas”“Internet de las cosas”
•• Iñaki Pariente de PradaIñaki Pariente de Prada
•• Pedro Alberto GonzálezPedro Alberto González
tt // ett // ehttp://www.avpd.eshttp://www.avpd.es
http://www.avpd.es Privacy by Design 2
http://www.avpd.es Privacy by Design 3
Preocupación por la Privacidad y la Seguridad
http://www.avpd.es Privacy by Design 4
Luddism!!
http://www.avpd.es Privacy by Design 5
S ≠ P Seguridad ≠ Privacidad
• Adjetivo (un medio)– Protección de activos
• Sustantivo (un fin)– Derecho
• Evitar riesgo• Mitigar impacto
• Fundamental• ConstitucionalMitigar impacto Constitucional
“Security by Design”
“Privacy by Design”
http://www.avpd.es Privacy by Design 6
1.- La privacidad, desde el diseño
http://www.avpd.es Privacy by Design 7
http://www.avpd.es Privacy by Design 8
7 Principios fundamentales de la Privacidad desde el Diseño
1. Diseño Proactivo, no Reactivo; • Preventivo, no Correctivo
2. Privacidad como configuración por defecto3. Privacidad incrustada en el diseño3. Privacidad incrustada en el diseño4. Funcionalidad total:
“S P iti ” “S Z ”• “Suma-Positiva”, no “Suma-Zero”5. Seguridad en todo el ciclo de vida (“end-to-end”)6. Visibilidad y transparencia – “Keep it Open”7. Respeto a la privacidad personal (“User-centric”)7. Respeto a la privacidad personal ( User centric )
http://www.avpd.es Privacy by Design 9
PbD en el “Reglamento Europeo de Protección de Datos”
A t 23 P t ió d d t d d l di ñ• Art. 23.- Protección de datos desde el diseño y por defecto
( ) L t ió d l d t d d l– (…) La protección de los datos desde el diseño prestará especial atención a toda la gestión del ciclo de vida de los datosgestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión, centrándose
i t áti t i lisistemáticamente en proporcionar amplias garantías procesales respecto de la exactitud, la confidencialidad, la integridad, la seguridadla confidencialidad, la integridad, la seguridad física y la supresión de los datos personales.
– (…)
http://www.avpd.es Privacy by Design 10
( )
2.- Evaluación del Impacto sobre la Privacidad
http://www.avpd.es Privacy by Design 11
Reglamento Europeo de Protección de Datos
A t 33 E l ió d i t l ti l• Art. 33.- Evaluación de impacto relativa a los datos
C d i d f id d l– Cuando sea necesario de conformidad con el artículo 32 bis, apartado 3, letra c), el responsable o el encargado del tratamiento queresponsable o el encargado del tratamiento queactúe por cuenta del responsable llevarán a cabouna evaluación del impacto de las operacionesd t t i t i t l d h lde tratamiento previstas en los derechos y laslibertades de los interesados, en especial suderecho a la protección de datos personales. .derecho a la protección de datos personales. .
– (…)
http://www.avpd.es Privacy by Design 12
Reglamento Europeo de Protección de Datos
A t 33 E l ió d i t l ti l• Art. 33.- Evaluación de impacto relativa a los datos - Deberá incluir, como mínimo:
– a) una descripción sistemática de las operaciones de tratamiento previstas los fines del tratamiento y cuando proceda ela) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
– b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;– c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación
se integre en las operaciones o se refuerce con estas;– d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos
personales tratados;– e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales,
como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;
– f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;– g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se
han aplicado;– h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;
i) en su caso una lista de las transferencias de datos previstas a un tercer país o a una organización internacional incluido el– i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;
– j) una evaluación del contexto del tratamiento de datos.
http://www.avpd.es Privacy by Design 13
Metodologías PIA(Privacy Impact Assessment)
http://www.avpd.es Privacy by Design 14
Evaluaciones de impacto sobre la Privacidad
http://www.avpd.es Privacy by Design 15
ReferenciasReferencias
• AEPD: Guía para una evaluación del Impacto en la Protección de Datos Personales
http://www agpd es/portalwebAGPD/canaldocumentacion/public– http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GuiaEIPDPBorrador.pdf
• CN-RFID: Évaluation de l’impact des applications RFID p ppsur la vie privée– http://www.centrenational-
fid /d / /fil /Li %202013%20 5%20 b(2) dfrfid.com/docs/users/file/Livret%202013%20v5%20web(2).pdf
• INTECO: Guía sobre seguridad y privacidad de la tecnología RFIDtecnología RFID– http://www.inteco.es/guias_estudios/guias/guia_RFID
http://www.avpd.es Privacy by Design 16
3.- Respertar la “expectativa de privacidad”
• Minimizar la información recolectada• Obtener consentimiento de los afectadosObtener consentimiento de los afectados• Informar claramente de los fines y usos• No utilizar para fines no declarados• No ceder datos a terceros• No ceder datos a terceros• Garantizar la seguridad de los datos• Limitar el plazo de conservación
http://www.avpd.es Privacy by Design 17
Gadgetmanía:“Wearable devices”
http://www.avpd.es Privacy by Design 18
“Grupo de Berlín”:Working Paper on PrivacyWorking Paper on Privacy
and Wearable Computing Devices
• Aplicaciones:– Estilo de vida (ejercicio, alimentación, ( j , ,
hjábitos…)– Info-entretenimiento (gafas relojes pulserasInfo entretenimiento (gafas, relojes, pulseras,
kinect…)Salud (monitor de sueño de glucemia ritmo– Salud (monitor de sueño, de glucemia, ritmo cardiaco…)I d t i d f li i– Industria, defensa, policia…
http://www.avpd.es Privacy by Design 19
“Grupo de Berlín”:Working Paper on PrivacyWorking Paper on Privacy
and Wearable Computing Devices
• Precauciones:Difícil gestión del consentimiento–Difícil gestión del consentimiento
–Recolección inconscienteRecolección inconsciente–Sobrevigilancia pasiva–Exceso de datos recogidos /
almacenadosalmacenados
http://www.avpd.es Privacy by Design 20
Derecho al “silencio de los chips”
http://www.avpd.es Privacy by Design 21
En resumen:En resumen:
1. Respetar las expectativas de privacidad de los usuarios de soluciones IoT
2. Evaluar anticipadamente el impacto de las soluciones IoT en la privacidad delas soluciones IoT en la privacidad de las personas.
3. Incluir la gestión de la privacidad en el diseño de las soluciones IoT desde eldiseño de las soluciones IoT desde el primer momento
http://www.avpd.es Privacy by Design 22
http://www.flickr.com/photos/rosino/3658259716/
http://www.avpd.es Privacy by Design 23