La tecnología avanza a pasos de gigante y de manera imparable. Las grandes empresas tecnológicas parece que ya no se conforman con la creación de nuevos smartphones más veloces, potentes y plegables (que también), sino que parece que quieren ir más allá.
En estas semanas nos hemos hecho eco de la noticia de que la entidad Facebook (no así la red social, que seguirá con el mismo nombre) ha cambiado su denominación a “Meta”, con la finalidad de relacionar la entidad con el concepto de “metaverso”; un universo virtual con una infinidad de posibilidades: desde “relacionarnos” con nuestros amigos hasta realizar reuniones de trabajo y asistir a diferentes eventos, emulando la sensación de encontrarnos presencialmente en dichos lugares, a través de las gafas de realidad virtual y aumentada.
Si bien es cierto que para que dicho cambio de paradigma llegue a materializarse deberán transcurrir unos cuantos años, la entidad ya ha anunciado la comercialización de la primera generación de sus gafas inteligentes, con la colaboración de una famosa entidad estadounidense fabricante de gafas de sol, siendo dicho producto la antesala de la nueva realidad mixta (mezcla entre realidad virtual y realidad aumentada, donde se permitirá la interacción con objetos reales dentro del universo virtual).
A este respecto y centrándonos en la materia de protección de datos que nos compete, debemos plantearnos algunas preguntas: ¿cumplirán estas gafas inteligentes con las exigencias derivadas de la normativa en materia de protección de datos? ¿qué datos de terceros ajenos podrán almacenarán dichos dispositivos y cuál sería su tratamiento y plazo de conservación?
En lo relativo a las características de dichas gafas inteligentes, debemos señalar que las mismas podrán, aparte de realizar llamadas, tomar fotografías y grabar videos de hasta 30 segundos desde la perspectiva de primera persona. Toda esta información deberá vincularse con la aplicación Facebook View, la cual actualizará y registrará todo el uso derivado de dicho dispositivo, quedando en principio almacenados únicamente los datos en el dispositivo, salvo en aquellos supuestos en los que el usuario decida compartirlos con la compañía. Además, después de la realización de las fotos o videos, se podrá compartir con las plataformas de redes sociales más conocidas, tales como Facebook, Instagram, WhatsApp, TikTok, Twitter, etc.
Antes que nada, debemos recordar que la compañía Facebook no está precisamente exenta de escándalos en cuanto a materia de protección de datos se refiere, tal y como hemos comentado en algunos artículos de nuestro blog (ver aquí, ver aquí, ver aquí y ver aquí), lo cual podría no generar la suficiente confianza en los ciudadanos en lo relativo al uso y ulterior tratamiento que la entidad pudiera hacer de los datos recopilados a través de dichos dispositivos.
En primer lugar y para cumplir con las exigencias europeas en materia de protección de datos, la entidad deberá cumplir con los principios rectores establecidos en el artículo 5 Reglamento Europeo de Protección de Datos (RGPD), donde se establece que los datos deberán tratarse de manera lícita, legal, transparente; ser recogidos con fines determinados, explícitos y legítimos, así como ser adecuados, pertinentes y limitados a la finalidad indicada; ser exactos, confidenciales, además de tener establecidos unos plazos de conservación limitados.
Además de ello, ambas entidades responsables deberán asegurar que se cumple la protección de datos desde el diseño y por defecto, tal y como establece el art. 25 RGPD. A tal efecto, ambas entidades indican que dicha medida de seguridad relativa a la privacidad desde el diseño del producto ya se encuentra incorporada, disponiendo de “protecciones de hardware como un interruptor de encendido para apagar las cámaras y el micrófono, así como el LED de captura conectado a la cámara que emite una luz blanca cuando se están haciendo fotografías o videos para notificarlos a personas cercanas”.
No obstante, también debemos indicar que, a pesar de que el usuario pueda controlar ciertos aspectos de la configuración de las gafas, de manera predeterminada y a efectos de verificación se procede al almacenamiento sus datos de dirección de correo electrónico, así como la contraseña de la red social Facebook y la conectividad WiFi.
Por el contrario, el usuario sí podrá decidir acerca de si compartir o no los datos adicionales, como lo son el número de imágenes hechas y el número de veces que se importaron imágenes desde las gafas a la aplicación, el tiempo dedicado a la grabación de videos, así como el número de veces que se guardaron las fotos o videos en la galería, además de datos sobre el rendimiento de las funciones utilizadas. A la hora de la configuración de las gafas, se indica que el hecho de aceptar el compartir dichos datos, no dará permiso a Facebook para que pueda acceder a las fotografías o videos.
Asimismo, las fotografías y videos que se hacen a través de las gafas solo se pueden emparejar con una cuenta, por lo que si las gafas se perdiesen o fuesen robadas y un tercero quisiera emparejarlo con otro teléfono, todos los datos se eliminarían automáticamente del dispositivo. Además de estas medidas de seguridad, la entidad permite que el usuario pueda proteger su cuenta mediante la autentificación en dos pasos, así como alertarle de otros inicios de sesión no autorizados.
Una vez hecha esta breve introducción y expuestos los distintos usos y funcionalidades de estas gafas inteligentes, conviene recordar el Dictamen 8/2014 sobre la evolución reciente del Internet de las Cosas (IOT en sus siglas en inglés), donde el anterior Grupo de Trabajo del artículo 29 exponía que los principales problemas de intimidad y protección de datos derivados del uso de estos dispositivo radican en la falta de control y asimetría de la información, así como en la calidad del consentimiento del usuario, puesto que en muchos supuestos tanto éste como los terceros no son conocedores del tratamiento que se pudiera llegar a realizar de sus datos, además de no facilitar una información clara y transparente acerca del tratamiento ni de los derechos conferidos al usuario en materia de protección de datos, sobre todo en lo concerniente a los derechos de acceso y supresión de sus datos.
Además, tal y como indica el GT29 en su Dictamen, estos datos recogidos a través de un dispositivo que aparentemente pudieran parecer insignificantes podrían llegarse a utilizar para “deducir otra información con un significado totalmente distinto” además de llegar a revelar “determinados aspectos de los hábitos, comportamientos y preferencias de una persona».
De igual modo, el Supervisor Europeo de Protección de Datos elaboró un informe sobre “gafas inteligentes y protección de datos” en el cual también ponía sobre la mesa los peligros que dichos dispositivos pudieran llegar a ocasionar en lo relativo a la privacidad y protección de datos personales de los usuarios, así como de terceros. En tal sentido, el Supervisor indicaba que uno de los principales problemas radicaba, y tal y como indican a día de hoy varias autoridades de control europeas que veremos a continuación, es la discreción del dispositivo a la hora de realizar videos y audios, de tal modo que en la mayoría de los supuestos es imperceptible para una persona el ser consciente de que pudiera estar siendo grabado.
Es muy importante el destacar que el uso de este tipo de dispositivos limita notablemente el anonimato del propio usuario, y más aún de los terceros que no son conscientes que pudieran llegar a estar siendo grabados y, por consiguiente, sus datos tratados por entidades para las cuales ellos no han otorgado ningún consentimiento al respecto.
Debido a la relevancia de la noticia, numerosas son dudas e incertidumbres que han surgido en cuanto a privacidad, intimidad y protección de datos derivados del uso de tales dispositivos se refiere, y, a tal efecto, debemos indicar que tanto la autoridad de control en materia de protección de datos de Italia como de Irlanda han publicado recientemente un comunicado en el cual manifiestan su preocupación y alertan acerca de los medios a través de los cuales las personas pueden ser grabadas, puesto que, a diferencia de los teléfonos móviles, donde el tercero puede ser consciente de que le están pudiendo grabar, con las gafas inteligentes únicamente se encendería una pequeña luz LED difícil de detectar. En concreto, la autoridad de control italiana preguntó a ambas entidades cual es la base legal para el procesamiento de datos por parte de la entidad Facebook (ahora “Meta”); las medidas establecidas para proteger a los ciudadanos que pudieran ser grabados, sobre todo los menores de edad; los mecanismos utilizados para anonimizar los datos y la información recopilada, así como las funciones del asistente de voz utilizado para poder operar con las gafas.
Además, ambas autoridades de control están solicitando a las entidades, aparte de demostrar que la luz LED es efectiva por su propósito, que se comprometan a llevar a cabo una campaña para alertar al público sobre como estos nuevos productos pueden dar lugar a una grabación.
Por su parte, la Agencia Española de Protección de Datos (AEPD) no se ha manifestado al respecto de la reciente comercialización de dichos dispositivos inteligentes, pero debemos hacer referencia al documento elaborado por la autoridad de control el pasado año relativo a la “adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial”, en el cual se incide en la necesidad de realizar una evaluación de impacto (EIP) en base al art. 35 RGPD cuando se realice un tratamiento basado en la elaboración de perfiles previo al inicio del tratamiento. En dicha EIP se debería de plasmar tanto la concepción del tratamiento en todas sus fases, procedimientos, tecnologías y extensión, así como indicar las medidas de privacidad implementadas por defecto y desde el diseño, como la minimización de datos tratados, mejora de la información a los interesados, proporcionar medios a los interesados para que puedan controlar el tratamiento de sus datos, así como cumplir con una política de privacidad compatible y poder demostrar, en virtud del principio de responsabilidad proactiva, el cumplimiento de todas las políticas de protección de datos aplicadas en el producto y aplicables.
Como hemos podido comprobar, hay todavía muchas dudas acerca del impacto que el uso generalizado de estos dispositivos inteligentes pudiera conllevar de cara a un futuro cercano, pero de lo que no cabe duda es que nuestra privacidad se va viendo cada vez más limitada como consecuencia de la implementación tan extendida de todos estos nuevos dispositivos inteligentes.