Privacidad en la Internet de las Cosas - Presentación

62
Pedro Alberto González http://www.avpd.es Privacidad en la “Internet de las cosas”

Transcript of Privacidad en la Internet de las Cosas - Presentación

Page 1: Privacidad en la Internet de las Cosas - Presentación

• Pedro Alberto Gonzálezhttp://www.avpd.es

Privacidad en la “Internet de las cosas”

Page 2: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 2

Átomos y Bits

http://www.avpd.eus

1995 – Nicholas Negroponte“Mover BITS, no átomos”“Usar ONDAS, no Cables”MIT: Media Lab // “Wired”

1999 – Neil Gershenfelf“Unir lo físico y lo digital”

“Vincular los objetos desde la Red”MIT: Center for Bits and Atoms

Page 3: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 3

Guión de la sesión1. “La internet de las cosas”2. Los principios de la privacidad3. Tensión y equilibrio4. Conclusiones

http://www.avpd.eus

Page 4: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 4

El origen del término “IoT”(Internet Of Things)

• Aparece en 1999, en un PPT de P&G– Autor: Kevin Ashton – Posteriormente en el Auto-ID Center del M.I.T.– http://www.howtoFLYaHORSE.com/about-the-author/

http://www.avpd.eus

Page 5: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 5

Interés / curiosidadde la “IoT”

http://www.avpd.eus

Page 6: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 6

Gartner 2014: “Curva de expectativas”

http://www.avpd.eus

Page 7: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 7

Definición de IoT (GT-29)• “…infraestructura en la que miles de millones

de sensores embebidos en dispositivos comunes y cotidianos, - "objetos" en sí mismos, u objetos vinculados a otros objetos o individuos - están diseñados para registrar, procesar, almacenar y transferir datos e interactuar con otros dispositivos o sistemas que utilizan las capacidades de red, a través de identificadores únicos.”

http://www.avpd.eus

Page 8: Privacidad en la Internet de las Cosas - Presentación

Lo que es la “Internet de las Cosas”

“Aparatos”…

… Identificables…

… Intercomunicados

http://www.avpd.eus Privacidad e "Internet de las Cosas" 8

Page 9: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 9

¡¡Sensores!!

http://www.avpd.eus

Sistemas “HVAC”

Page 10: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 10

Códigos de Barras

http://www.avpd.eus

Page 11: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 11

RFID(Radio-Frequency IDentification)

http://www.avpd.eus

Page 12: Privacidad en la Internet de las Cosas - Presentación

Niveles de Madurez de la “IoT”

http://www.avpd.eus Privacidad e "Internet de las Cosas" 12

Contexto

Estado

Ubicación

Identidad

Page 13: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 13

Tecnologías inalámbricas

http://www.avpd.eus

Page 14: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 14

RFID / NFC + GPSTransporte / Logística

http://www.avpd.eus

Page 15: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 15

Necesidad de Estándares en “IoT”

http://www.avpd.eus

Page 16: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 16

“La Internet de los Barcos”http://www.marinetraffic.com/

http://www.avpd.eus

Page 17: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 17

“La Internet de los aviones”http://www.flightradar24.com/

http://www.avpd.eus

Page 18: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 18

“El Buscador de las Cosas”https://thingful.net

http://www.avpd.eus

Page 20: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 20

Ámbitos de aplicación de la “IoT”

• Industria• “Smart cities”• Domótica• Vehículos• “Wearables”

– “El YO cuantificado”

http://www.avpd.eus

Page 21: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 21

Vehículos conectados(Via-T + EDR + eCall)

http://www.avpd.eus

Page 22: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 22

Domótica

http://www.avpd.eus

Page 23: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 23

El móvil, “Mando a Distancia Universal”

http://www.avpd.eus

Page 24: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 24

El Móvil: “El Sensor definitivo”

http://www.avpd.eus

Page 25: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 25

… y “gateway” para infinidad de sensores externos

http://www.avpd.eus

Page 26: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 26

“Quantified Self” &“Wearable devices”

• Info-entretenimiento– relojes, pulseras, gafas, kinect…

• Estilo de vida– ejercicio, alimentación, hábitos…)

• Salud – monitor de sueño, de glucemia,

ritmo cardiaco…

http://www.avpd.eus

Page 27: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 27

Preocupación por la Privacidad y la Seguridad

http://www.avpd.eus

Page 28: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 28http://www.avpd.eus

Page 29: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 29

LOS PRINCIPIOS DE LA PRIVACIDAD / PROTECCIÓN DE DATOShttp://www.avpd.eus

Page 30: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 30

Derechos Humanos de Cuarta Generación

1. Derechos Civiles y Políticos• Vida, Libertad, dignidad, …

2. Derechos socioeconómicos y culturales• Educación, Salud, Trabajo, prot. Social, …

3. Derechos de solidaridad• Medio ambiente, consumo, …

4. Ciberderechos

Page 31: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 31

La Protección de Datos:un Derecho Fundamental

• Art. 18.4 de la Constitución (1978):– “La Ley limitará el uso de la informática para

garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio en su derecho”

• Art. 1 de la Ley Orgánica 15/1999:– “La presente Ley Orgánica tiene por objeto

garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

Page 32: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 32

La Protección de Datos:un Derecho Fundamental Europeo• Carta de los Derechos Fundamentales de la

Unión Europea (2000)– Artículo 1: Dignidad humana– Artículo 2: Derecho a la vida– Artículo 3: Derecho a la integridad de la persona– Artículo 4: Prohibición de la tortura y de las penas o los tratos

inhumanos o degradantes– Artículo 5: Prohibición de la esclavitud y del trabajo forzado– Artículo 6: Derecho a la libertad y a la seguridad– Artículo 7: Respeto de la vida privada y familiar– Artículo 8: Protección de datos de carácter

personal

Page 33: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 33

Framework de la Privacidad (Principios de la LOPD)

1. Calidad de los datos (minimización)2. Especial protección de algunos datos3. Información en la recogida4. Consentimiento del afectado5. Limitación de las cesiones de datos6. Deber de secreto7. Seguridad de los datos8. Cumplimiento derechos A-R-C-O-

Page 34: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 34

Calidad de los datos• Los datos de carácter personal sólo se podrán

recoger o tratar, cuando sean adecuados, pertinentes, no excesivos y puestos al día en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

• Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

Page 35: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 35

Derecho de información• Nos deben informar de:

– la existencia de un fichero de tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. 

– si es obligatoria o facultativa la respuesta a las preguntas que nos sean planteadas. 

– las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 

– la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 

– la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....

Page 36: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 36

Consentimiento previo del afectado

• El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado

• El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

Page 37: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 37

Habilitación para el tratamiento de datos

Tratamiento de datos

por

Consentimiento

por

HabilitaciónLegal

Page 38: Privacidad en la Internet de las Cosas - Presentación

http://www.avpd.eus Privacidad e "Internet de las Cosas" 38

Condiciones para las cesiones• Los datos sólo podrán ser comunicados a un

tercero:– para el cumplimiento de fines directamente

relacionados con las funciones legítimas del cedente y del cesionario

– con el previo consentimiento del interesado.• El consentimiento para la comunicación de

datos tiene carácter de revocable.– Será nulo el consentimiento, cuando la información

facilitada no permita conocer la finalidad o el tipo de actividad a que destinarán los datos cuya comunicación se autoriza.

Page 39: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 39

IOT / PRIVACIDAD:TENSIÓN Y EQUILIBRIO

http://www.avpd.eus

Page 40: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 40

Preocupación por la Privacidad y la Seguridad

http://www.avpd.eus

Page 41: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 41

Contexto de las cesiones de Datos

http://www.avpd.eus

Page 42: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 42

Cesión de datos en un mundo “IoT”

http://www.avpd.eus

Page 43: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 43

Opinión 8/2014 del “Grupo del Artículo 29”

• Órgano consultivo independiente, creado por la Directiva 95/46/CE, integrado por:– las Autoridades de Protección de Datos de los Estados miembros, – el Supervisor Europeo de Protección de Datos

• Las funciones atribuidas por la Directiva incluyen:– estudiar las disposiciones nacionales que aplican la Directiva, – dictaminar sobre el nivel de protección existente en países terceros, – asesorar a la Comisión sobre cualquier proyecto de modificación de la

Directiva, y – formular recomendaciones sobre cualquier asunto relacionado con la

protección de datos.• http://ec.europa.eu/justice/data-protection/article-29/

http://www.avpd.eus

Page 44: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 44

También: “Working Paper del “Grupo de Berlín” (2015)

• Alcance:– “Wearable computing”– “Quantified Self”– Domótica

• No se ocupa específicamente de– B2B / M2M– “Smart cities” / Transporte inteligenteAunque recomienda aplicar los mismos principios

• http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protection-in-telecommunications-iwgdpt

http://www.avpd.eus

Page 45: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 45

Cautelas /Motivos de preocupación

• Falta de control por el usuario–Recolección inconsciente

• Difícil gestión del consentimiento–Abuso de consentimiento tácito

• Tratamiento excesivo de datos– recogidos + inferidos– finalidades adicionales

http://www.avpd.eus

Page 46: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 46

Cautelas /Motivos de preocupación

• Perfiles intrusivos–Patrones de comportamiento

• Dificultades para “ser anónimo”–Disponibilidad condicionada–Posibilidades de reidentificación

• Seguridad sacrificada a eficiencia– IoT, objetivo creciente de atacantes

http://www.avpd.eus

Page 47: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 47

Recomendaciones respecto de…

• Fabricantes de dispositivos• Desarrolladores de Apps de terceros• Propietarios y/o usuarios de dispositivos• Plataformas de recolección de datos• Plataformas Sociales

http://www.avpd.eus

Page 48: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 48

Recomendaciones generales …

1. Evaluar el Impacto sobre la Privacidad (PIAs)2. Minimización / agregación de datos3. Privacidad desde el diseño y por defecto (PbD)4. Capacitar al usuario para facilitar su

“autodeterminación informativa”5. Ofrecer información clara y comprensible sobre

la finalidad y la obtención del consentimiento6. Ser transparente a la hora de capturar datos,

especialmente respecto de los usuarios pasivos

http://www.avpd.eus

Page 49: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 49

Recomendaciones para Fabricantes de dispositivos

1. Informar clara y lealmente de los sensores existentes y los datos que recogen

2. Gestionar la retirada del consentimiento / oposición al tratamiento (“do not collect”)

3. Dificultar la trazabilidad pasiva (wifi, …)4. Procurar el uso de datos agregados en lugar

de los datos brutos

http://www.avpd.eus

Page 50: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 50

Recomendaciones para desarrolladores de Apps

1. Avisar / recordar frecuentemente cuando los sensores estén recopilando datos

2. Deben facilitar el acceso, rectificación y borrado de datos por el usuario

3. Deben aplicar el principio de minimización de datos y de PbD

http://www.avpd.eus

Page 51: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 51

Recomendaciones para Propietarios y/o usuarios

1. El consentimiento debe ser obtenido de forma libre e informada

– No ser penalizados en la calidad del servicio ni económicamente por no facilitar datos

2. El interesado cuyos datos son procesados en el curso de una relación contractual con el propietario de un dispositivo, debe poder administrarlo.

http://www.avpd.eus

Page 52: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 52

En resumen:1. Evaluar anticipadamente el impacto de

las soluciones IoT en la privacidad de las personas.

2. Incluir la gestión de la privacidad en el diseño de las soluciones IoT desde el primer momento

3. Respetar las expectativas de privacidad de los usuarios de soluciones IoT

http://www.avpd.eus

Page 53: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 53

1.- Evaluaciones de impacto sobre la Privacidad

http://www.avpd.eus

Page 54: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 54

Referencias• AEPD: Guía para una evaluación del Impacto en la

Protección de Datos Personales– http://

www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GuiaEIPDPBorrador.pdf

• CN-RFID: Évaluation de l’impact des applications RFID sur la vie privée– http://www.centrenational-rfid.com/docs/users/file/Livret%20201

3%20v5%20web(2).pdf

• INTECO: Guía sobre seguridad y privacidad de la tecnología RFID– http://www.inteco.es/guias_estudios/guias/guia_RFID

http://www.avpd.eus

Page 55: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 55http://www.avpd.eus

Reglamento Europeo de Protección de Datos

• Art. 33.- Evaluación de impacto relativa a los datos– Cuando sea necesario de conformidad con el

artículo 32 bis, apartado 3, letra c), el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en los derechos y las libertades de los interesados, en especial su derecho a la protección de datos personales. .

– (…)

Page 56: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 56http://www.avpd.eus

Reglamento Europeo de Protección de Datos

• Art. 33.- Evaluación de impacto relativa a los datos - Deberá incluir, como mínimo:

– a) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

– b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;– c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación

se integre en las operaciones o se refuerce con estas;– d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos

personales tratados;– e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales,

como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;

– f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;– g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se

han aplicado;– h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;– i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el

nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;

– j) una evaluación del contexto del tratamiento de datos.

Page 57: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 57

2.- La privacidad, desde el diseño

http://www.avpd.eus

Page 58: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 58http://www.avpd.eus

Page 59: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 59

7 Principios fundamentales de la Privacidad desde el Diseño

1. Diseño Proactivo, no Reactivo; • Preventivo, no Correctivo

2. Privacidad como configuración por defecto3. Privacidad incrustada en el diseño4. Funcionalidad total:

• “Suma-Positiva”, no “Suma-Zero”5. Seguridad en todo el ciclo de vida (“end-to-end”)6. Visibilidad y transparencia – “Keep it Open”7. Respeto a la privacidad personal (“User-centric”)

http://www.avpd.eus

Page 60: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 60http://www.avpd.eus

PbD en el “Reglamento Europeo de Protección de Datos”

• Art. 23.- Protección de datos desde el diseño y por defecto– (…) La protección de los datos desde el

diseño prestará especial atención a toda la gestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión, centrándose sistemáticamente en proporcionar amplias garantías procesales respecto de la exactitud, la confidencialidad, la integridad, la seguridad física y la supresión de los datos personales.

– (…)

Page 61: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 61

3.- Respertar la “expectativa de privacidad”• Informar claramente de los fines y usos• No utilizar para fines no declarados• Obtener consentimiento de los afectados• Minimizar la información recolectada• No ceder datos a terceros• Garantizar la seguridad de los datos• Limitar el plazo de conservación

http://www.avpd.eus

Page 62: Privacidad en la Internet de las Cosas - Presentación

Privacidad e "Internet de las Cosas" 62http://www.avpd.eus

http://www.flickr.com/photos/rosino/3658259716/

Presentación disponible en:http://www.slideshare.net/paGonzalez