Reflexiones en clave de TIC: Smart Cities y Videovigilancia

B7YWQaPCcAAKfN_.jpg large

A día de hoy perseguimos que todo sea inteligente: teléfonos, tabletas, televisores, ropa, accesorios… incluso nuestras ciudades.  En nuestra obsesión porque la eficiencia gobierne todos los ámbitos de nuestra vida, nos hemos rodeado de cámaras y dispositivos capaces de vigilarnos y monitorizar todas nuestras actuaciones, tanto en nuestra esfera pública (con fines de seguridad, persecución de delitos o control del tráfico) como en nuestro ámbito privado (en aras a nutrir nuestro quantified self). 

Numerosas tecnologías convergen para, teóricamente, hacernos la vida más fácil (hasta puede resultarnos útil que nuestros televisores graben nuestras conversaciones privadas). Bajo la premisa de que con un mayor conocimiento de las necesidades de los ciudadanos podremos articular mejores formas de abordarlas, las Smart Cities se perfilan y van tomando forma.  Sensores inteligentes y cámaras de videovigilancia realizan el seguimiento automático de objetos y sujetos, dando paso a “soluciones inteligentes” que permiten prevenir delitos, encontrar aparcamiento e incluso ahorrar energía.  Para ello únicamente es necesario recabar grandes cantidades de datos de sus ciudadanos y procesarlos a través de técnicas de Big Data, relegando algunas veces, a un segundo y molesto plano, la ponderación del impacto real de tales actuaciones en sus derechos fundamentales.

Cuando pienso en Smart Cities y videovigilancia me viene inevitablemente a la cabeza el Panóptico de Bentham. Jeremy Bentham, (filósofo británico del siglo XVIII), ideó una arquitectura carcelaria- de forma circular, con aristas interiores – el Panóptico (del latín pan-, todo; -óptico, visión), cuyo objetivo era permitir que un guardián situado en una torre, en el centro de la estructura, pudiera vigilar constante y simultáneamente a todos los presos, sin que éstos supieran en qué momento estaban siendo realmente vigilados. Bastaba con inducir a los reclusos la “sensación” de estar siendo observados para que ellos mismos se “autovigilaran” y, consiguientemente, modificaran su comportamiento. Un sistema mucho más eficiente (aunque sólo fuera por el ahorro en personal) que ha inspirado la construcción de cárceles, hospitales, escuelas y fábricas.

Panóptico Bentham

Ahora ya no hablamos de cárceles u hospitales, sino de ciudades enteras. Con la proliferación de las cámaras de videovigilancia, nuestras ciudades son candidatas a convertirse en auténticos Panópticos digitales, en los que los ciudadanos podemos ser vigilados y monitorizados en tiempo real en nuestras actividades diarias; casi sin darnos cuenta. Pero, a diferencia de lo que ocurría con el Panóptico de Bentham, nuestros datos se harán accesibles no sólo a nuestros “guardianes”, sino a una multiplicidad de entidades tanto públicas como privadas, quienes tendrán “plena legitimidad” para utilizarlos con o sin nuestro consentimiento (ya que los poderes públicos siempre encontrarán una “buena razón”, para legislar y excepcionar la necesidad del consentimiento de los ciudadanos para el tratamiento de sus datos, en aras al magnánimo interés público), o bien éstos serán procesados “anónimamente”, mediante inocuas técnicas de Big Data, por lo que aquél tampoco será necesario.

¿Modificará todo ello nuestro comportamiento?

El pasado 15 de enero tuve el gran placer de moderar la mesa redonda sobre Smart Cities y Vídeovigilancia en la II Edición de los Diálogos TIC, organizados por la APEP (Asociación Española de Profesionales de la Privacidad) en la sede del COETIC (Barcelona). Bajo el título “Smart Cities: videovigilancia, Internet de las cosas (IoT) y Big Data dio comienzo un diálogo abierto al público asistente, estructurado en tres mesas, en el que – por segundo año consecutivo- técnicos y juristas compartieron reflexiones e inquietudes, generando un interesante debate sobre distintas realidades tecnológicas- videovigilancia, IoT y Big Data y los retos que su convergencia en las Smart Cities presentan para la privacidad y la protección de datos.

Con ponentes de la talla de los Dres. Ricard Martínez (@ricardmm) y Gemma Galdón (@gemmagaldon)  la videovigilancia fue protagonista de la primera mesa, a raíz de su utilización en las ciudades inteligentes. A la pregunta de ¿cuál es el coste legal, político y social del uso de estas tecnologías? se inició un animado e interesantísimo diálogo en el que ambos ponentes desgranaron los principales retos a los que nos enfrentamos con la utilización masiva de estas tecnologías, y el consiguiente impacto para la privacidad y demás derechos fundamentales de los ciudadanos.

Gemma Galdón abordó el coste social y político de la videovigilancia, y su utilización como elemento de mejora efectiva de la seguridad. Read more

“Cookies”, las galletas más caras de la historia.

 

Fuente: Fernández (Cegen Den Strich)

Fuente: Fernández
(Cegen Den Strich)

Aviso a navegantes.

El pasado 21 de enero de 2014 la Agencia Española de Protección de Datos (AEPD) estrenó resolución sancionadora en materia de cookies, imponiendo sendas multas económicas de 3.000 y 500 euros respectivamente a dos PYMES españolas por no informar correctamente o, mejor dicho, por informar de manera “insuficientemente clara y completa” sobre las cookies que utilizaban en sus respectivos sitios web.

¿Por qué estas dos empresas entre las miles de empresas españolas que no cumplen con la norma? Pues sencillamente porque alguien las denunció; la inspección no fue de oficio. Y según fuentes de la propia AEPD, actualmente hay en curso casi una veintena de procedimientos sancionadores donde las cookies son “la estrella invitada”.

Desde que se aprobó la normativa europea exigiendo el previo consentimiento informado de los  usuarios para instalar determinadas cookies – consentimiento opt-in frente al tradicional op-out–  a través de la Directiva 2009/136/EC, de 25 de noviembre de 2009, que modificó entre otras, la Directiva 2002/58/EC, han transcurrido algo más de cuatro años. Tiempo de espera, debate e incertidumbre.

  • Espera, porque España, haciendo alarde – una vez más- de una exquisita y refinada técnica legislativa, tardó más de dos años en transponer la Directiva. El plazo finalizaba el 25 de mayo del 2011; pero España se lo pensó un año más. Y cuando – tras el tirón de orejas europeo- finalmente se decidió a hacerlo, dando al artículo 22.2 de la LSSI su redactado actual. … Oopps! se olvidó de incluir un régimen sancionador para exigir su cumplimiento. Razón por la cual la AEPD únicamente ha sancionado por falta de información sobre el uso de ciertas cookies; y no por falta de consentimiento del usuario a su instalación.
  • Debate, pues la virtualidad de la norma, la necesidad de implementarla -ofreciendo al tiempo una buena experiencia de usuario- y la complejidad de su efectiva implementación, han generado y continúan generando numerosas críticas por parte de diversos sectores. La norma se percibe como de muy difícil cumplimiento,  generadora de desventajas competitivas para las empresas y, por ende,-y desde mi punto de vista- lo más importante, como totalmente inefectiva, a la vista de la información que se puede obtener de un usuario a través de otros métodos. (Si os interesa el tema os recomiendo profundizar en las técnicas de Web Browser Fingerprinting).
  • Incertidumbre, pues pese a que llevábamos 4 años esperando a que viniera el lobo, no ha sido hasta esta resolución cuando finalmente le hemos visto las orejas.  Y de repente, todos queremos cumplir con la Ley.

Pero ¿cómo hemos de hacerlo? Y,  lo más importante, ¿ello garantizará nuestra privacidad o simplemente nos ahorrará una multa?.

La LSSI exige para la instalación de cookies que sus destinatarios den su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos”. Para aplicar e interpretar dicha exigencia, el Grupo de Trabajo del Artículo 29 ha emitido distintas opiniones (Dictamen 2/2010 sobre publicidad comportamental en línea [WP 171]; Opinión 04/2012 sobre la excepción del consentimiento en las Cookies [WP 194] y el Documento de Trabajo 02/2013, proporcionando una guía para obtener el consentimiento para cookies [WP 208]. También la AEPD publicó el año pasado la Guía sobre el uso de las Cookies, destinada a arrojar cierta luz sobre el uso de tales herramientas en el sector de la publicidad online.

Pese a ello, su aplicación práctica continúa planteando ciertas incógnitas, que la AEPD, en sus sucesivas resoluciones, nos irá desvelando.

Google y el Derecho al Olvido

Derecho-al-olvido-destacada-2

 Cuando pienso en el “Derecho al Olvido” me viene inevitablemente a la cabeza el gran éxito de Mecano con el que creció mi generación …me cuesta tanto olvidarte…  Palabras que bien podríamos poner hoy en boca de Google y del resto de gestores de motores de búsqueda de Internet que dirijan sus servicios al público europeo, tras la mediática y trascendente Sentencia sobre el denominado “Derecho al Olvido” publicada ayer por el Tribunal de Justicia de la Unión Europea (TJUE) en el caso Google (Google Spain S.L. y Google Inc. contra la Agencia Española de Protección de Datos y Mario Costeja González).

¿Qué es el “Derecho al Olvido”?

¿Y cómo se aplica al ámbito digital, donde millones de datos e informaciones de carácter personal (imágenes, textos, vídeos, noticias e incluso rumores) se procesan, almacenan, comparten, agregan e indexan de forma cada vez más rápida, sencilla y barata?

¿Olvidar es borrar, cancelar, bloquear o “desindexar”?

El “Derecho al Olvido” y el olvido en sí, conceptualmente, es algo complejo, que cuesta definir, articular y, por ende, aplicar al entorno digital. Al menos, a mí me cuesta, dado el entresijo de derechos fundamentales y otros derechos no tan fundamentales – a veces incluso “derechos comerciales”- que toca, que exigen una reflexión en condiciones sobre cómo deseamos que éstos sean gestionados en un futuro inmediato.

Nada en comparación con lo que le va a costar a Google atender las peticiones de ciudadanos europeos que deseen que determinada información relativa a sus personas deje de estar a disposición del público en general, incluida en una lista de resultados de búsqueda. ¡A provisionar se ha dicho!

Porque lo que el TJUE ha dictaminado en el día de ayer- entre otras cosas- es quién tiene que “olvidar“, cuándo un ciudadano europeo puede pedir a un buscador que “le olvide”, y en qué casos dicho “olvido” resultaría procedente. Con esta Sentencia histórica, como la tildan algunos, el alto Tribunal ha dado prevalencia a los derechos fundamentales del individuo (respeto a la vida privada y protección de datos personales) frente al interés económico, en este caso, del buscador, al entender que el ofrecimiento por éste, a cualquier internauta, de resultados de búsqueda conteniendo la información estructurada existente en Internet sobre un individuo, cuya interconexión hubiera sido imposible o muy improbable sin la intervención de dicho motor, “puede afectar potencialmente a una multitud de aspectos de relativos a su vida privada” y suponer – en consecuencia- una injerencia sustancial en la misma, la cual se podría ver multiplicada gracias al carácter global, inmediato y ubicuo de Internet.

¿Nos lo esperábamos?

En absoluto, pues la Sentencia contradice lo manifestado en sus Conclusiones por el Abogado General Niilo Jääskinen el pasado junio, lo que no es habitual. Grata sorpresa.

¿Por qué es importante?.

  • Porque como decía el Abogado General en sus Conclusiones, es la sentencia del TJUE más relevante sobre Protección de Datos e Internet tras el caso Lindqvist, (aunque éste versaba sobre el proceder de una humilde señora; no de un gigante como Google).  Cuando nació la Directiva europea en materia de protección de datos (año 1995), los motores de búsqueda vestían pañales y, salvo contados visionarios, nadie esperaba su vertiginosa evolución, implantación y desarrollo. Necesitábamos una interpretación más ajustada a la realidad.
  • Porque sienta las bases para desencallar el debate a nivel europeo sobre dos aspectos altamente controvertidos del tan “enmendado” y esperado Reglamento de Protección de Datos: cuándo se ha de aplicar la norma europea,- y aquí por ende, la española-, así como sobre el alcance y configuración del denominado “Right to be forgotten” o “Derecho al Olvido” el cual, valga la redundancia, últimamente parecía algo”olvidado”. Read more

Carmen Casado Ticmotions

Contacta