Comunicación presentada al III Congreso Ciudades Inteligentes:
Autores
- José María Chozas Plasencia, Alumno, Universidad Carlos III de Madrid
- Diego Pérez Martín, Alumno, Universidad Carlos III de Madrid
Resumen
El documento aborda la problemática específica y los elementos que se han de tener en cuenta a la hora de desarrollar un sistema de protección de datos personales para la prestación combinada de servicios tradicionales de movilidad urbana (tren, metro y autobús) con dos fórmulas «inteligentes» de transporte de uso creciente: el bike-sharing y el car-sharing (servicios compartidos de bicicleta y coche eléctrico). A la vista de que el Reglamento Europeo General de Protección de Datos (RGPD, en adelante) será de aplicación en unos meses, esta guía despliega un conjunto de consideraciones para el desarrollo de políticas de protección de datos coherentes con las nuevas líneas sentadas en el Reglamento, es decir, la privacidad desde el diseño, tecnologías respetuosas con la privacidad y evaluación de riesgos de datos, entre otras.
Palabras clave
Movilidad Urbana, Protección de Datos, Privacidad, Sector Público Local, Transparencia
Introducción
A la vista de que el Reglamento Europeo General de Protección de Datos (RGPD, en adelante) será de aplicación en unos meses, las Administraciones públicas y sus empresas adjudicatarias han de tener en cuenta un conjunto de consideraciones para el desarrollo de políticas de protección de datos coherentes con las nuevas líneas sentadas en el Reglamento, especialmente en lo relativo a la responsabilidad proactiva de los responsables del tratamiento y la privacidad desde el diseño.
Entre las ocho actividades que suelen aparecer en los proyectos de ciudad inteligente se encuentra la movilidad inteligente (Edwards, 2015). Ésta se refiere a la provisión de fórmulas de transporte urbano que ayuden a la mejora del tráfico general, optimicen los tiempos de desplazamiento y garanticen la sostenibilidad del sistema en su conjunto y su respeto con el medioambiente (Kitchin, 2016).
Una parte importante de los proyectos que en este ámbito han puesto en marcha diferentes ciudades se basa en la puesta a disposición del ciudadano de alternativas efectivas para el transporte dentro de la ciudad. Muchas de estas iniciativas pueden considerarse como inteligentes en la medida en que abordan la movilidad urbana desde la perspectiva de las ciudades inteligentes. Entre ellas se han de destacar, por su uso creciente y generalizado, los servicios de uso compartido de bicicletas y coches eléctricos.
La prestación combinada de servicios de movilidad tradicionales (autobús, metro y tren) con estas nuevas alternativas, se ha convertido para muchas ciudades en una solución idónea de transporte público. Pueden ofrecer un esquema integrado y efectivo de movilidad pública, dotado de modalidades de transporte alternativas pero complementarias entre sí.
Evaluación de riesgos
Riesgos exógenos
Los riesgos exógenos derivan de acciones delictivas o ilícitas dirigidas desde el exterior hacia el sistema de información. En nuestro caso, son especialmente relevantes los riesgos derivados de la fuga de datos, por su posible uso para actividades de profiling (creación de perfiles completos de usuario para el targeting publicitario) y la extorsión de usuarios.
El responsable del tratamiento debe elaborar y poner a disposición de sus funcionarios y de los de las empresas encargadas del tratamiento un protocolo de acción ante eventuales fugas de datos.
Entre otros aspectos este documento debe abordar: la realización de un inventario de los datos afectados, medidas correctoras del daño o medidas tendentes a evitar su repetición y la notificación a la AEPD lo antes posible, nunca más tarde de 72 horas. Deberá notificarse la quiebra también a los usuarios afectados, en la medida en que suponga un alto riesgo para su intimidad, salvo en caso de que se hayan tomado medidas previas que garanticen la inteligibilidad de los datos, se tomen medidas correctoras que anulen la posibilidad de que el riesgo ocurra o que suponga un esfuerzo desproporcionado hacer uso de esos datos. El documento incluirá igualmente el deber de ponerse en contacto con el Instituto Nacional de Ciberseguridad de España en caso de que el sistema se vea afectado por cualquier tipo de actividad delictiva informática.
Riesgos endógenos
Los riesgos de carácter endógeno son aquellos que derivan del incumplimiento de obligaciones legales por el propio responsable o encargado de tratamiento. Nos referimos, por ejemplo, al tratamiento o la cesión no consentida de datos personales, la vulneración del principio de calidad de los datos o del deber de secreto, el incumplimiento de las medidas de seguridad, no dar efectividad a los derechos ARCO, no cumplir con los deberes formales de inscripción de ficheros y las notificaciones a la AEPD, entre otros.
El principio de proactividad consagrado en el artículo 24 del RGPD obliga al responsable del tratamiento a establecer las medidas de seguridad apropiadas para el sistema de que se trate y a estar en condiciones de demostrarlo.
Por esta razón, el responsable debe poner en funcionamiento fórmulas para documentar las decisiones que se tomen en materia de protección de datos y que puedan tener efectos sobre la seguridad de los datos. Se debe igualmente poner en marcha mecanismos que demuestren el cumplimiento de las obligaciones en materia de seguridad. En esta línea, es recomendable la adhesión a códigos de conducta, obtener la verificación de cumplimiento de las normas ISO y del ENS así como de alguna entidad de certificación. Junto con ello se debe poner en marcha el conjunto de medidas de seguridad apropiadas para cada tipo de datos tratado, con especial importancia de la auditoría de seguridad.
Ciclo de vida del dato
Licitación del contrato público a la empresa adjudicataria
Los principios informadores de la protección de datos y privacidad han de aparecer ya en los primeros momentos de la gestación de los contratos públicos que configurarán la solución de movilidad. Es muy conveniente incluir ciertas cláusulas en el Pliego de condiciones para garantizar la responsabilidad de los desarrolladores respecto a la protección de datos y la seguridad de la información.
Estas cláusulas pueden materializarse en la exigencia de aportar una declaración responsable de estar al día del cumplimiento de las obligaciones administrativas de protección de datos o la posesión del certificado de la serie ISO 27000, Esquema Nacional de Seguridad (o equivalente [La falta de inclusión de la referencia de “o equivalente” podría constituir una discriminación en el pliego y es contraria al principio de neutralidad tecnológica.])
Recogida. Consentimiento e información
El requisito de consentimiento se cumple siguiendo los parámetros del artículo 5 de la LOPD. El consentimiento ha de ser libre, inequívoco, específico e informado. Ahora bien, debemos distinguir dos supuestos a la hora de plantear la necesidad del consentimiento:
En primer lugar, en referencia a los datos personales recabados para dar satisfacción a las finalidades esenciales del servicio, el consentimiento del usuario no es necesario. Efectivamente, nos movemos dentro de los parámetros del artículo 6.2 LOPD, al referirse a datos que se recogen para el ejercicio de funciones propias de una administración pública. Pese a ello, el requisito de la información se mantiene como un elemento nuclear y no debe ser omitido en ningún caso.
En segundo lugar, cuando se recojan datos personales para la prestación de servicios de valor añadido será absolutamente necesario recabar el consentimiento de los usuarios. Además, se debe dar al usuario la posibilidad de dar su consentimiento por separado para cada servicio de valor añadido (consentimiento granular), dando plena efectividad al derecho a la protección de datos de carácter personal, en su vertiente de autodeterminación informativa y control sobre los datos propios.
Para este segundo supuesto se recomienda un modelo de consentimiento de tipo opt-in para cada uno de los servicios de valor añadido que se ofertan. En el caso de la aplicación móvil y el sitio web se recomienda articular un espacio informativo que trate con claridad el contenido de cada servicio de valor añadido y los datos personales que son necesarios para su puesta en marcha, seguidos de una casilla o un tabulador que el usuario pueda marcar y desmarcar permanentemente, en función de sus preferencias concretas.
En aplicación de los criterios sentados por el WP29 en el año 2013 sobre aplicaciones y consentimiento, la instalación de la app trae aparejado el consentimiento para el uso de los servicios esenciales y la configuración por defecto tendrá desactivadas las funcionalidades aparejadas a los servicios de valor añadido, de tal modo que no se registrarán datos de geolocalización del usuario ni se procederá a la creación de perfiles basados en sus hábitos de desplazamiento hasta que el usuario haya dado su consentimiento expreso al efecto.
Especialmente importante en este ámbito es dejar constancia de las posibles interconexiones de datos interadministración. Sólo si el ciudadano conoce quién tiene los datos, puede controlar de alguna manera el uso de su información personal (Troncoso Reigada, 2008).
Almacenamiento
Los datos de carácter personal deben ser almacenados preferiblemente en servidores propios. Teniendo en cuenta que en lo relativo al almacenamiento y seguridad de la información la administración puede generar economías de alcance, se aconseja igualmente almacenar los datos de las entidades colaboradoras privadas en servidores propios y darles acceso en calidad de encargados del tratamiento.
En caso de que los encargados del tratamiento traten y almacenen datos personales en sus propias instalaciones, la administración responsable debe asegurarse que los niveles de seguridad que ofrecen son equivalentes a los que ella misma provee y que los datos se devuelven o destruyen en el momento en que finaliza el contrato.
Debe hacerse una breve referencia al cloud computing o la contratación de servicios de almacenamiento en línea. Su uso, tanto por parte del responsable como, especialmente, por el encargado, trae aparejados un conjunto elevado de riesgos derivados de la pérdida de control sobre los datos. Solo la contratación de servicios privados de cloud computing garantiza un nivel de seguridad parejo al que proporciona el uso de servidores propios.
Es de suma importancia que la administración controle cómo almacena los datos el encargado de tratamiento y prohíba o desincentive la contratación de servicios de cloud computing, siendo solo aconsejable en la medida en que permitan al responsable dar las instrucciones oportunas para el desarrollo del contrato y ofrezcan garantías en materia de finalidad del tratamiento, transferencias internacionales, medidas de seguridad, recuperación y cancelación de datos personales.
Todos los sistemas de información de las AAPP españolas han de seguir las directrices del RD 3/2010 que establece el Esquema Nacional de Seguridad. Por lo tanto, las medidas de seguridad de la información, si los datos se tratan en servidores propios de la Administración, serán las contenidas en dicho documento. En el caso de externalización del almacenamiento de datos se recomienda que las empresas colaboradoras sigan directrices del ENS o la normativa de la serie ISO 27000.
Uso
Las herramientas de tratamiento de datos deben configurarse de manera que su uso, por defecto, conlleve la menor injerencia sobre la privacidad del usuario. App, sitio web y cookies deben por ello bloquear la recogida y el tratamiento de datos de geolocalización y ofrecer mecanismo de consentimiento granulado en función de cada finalidad adicional a proveer, permitiendo con ello que el usuario desbloquee de forma personalizada aquellas características del servicio que le convengan.
Por otro lado, deben aplicarse durante el tratamiento procesos de disociación, parciales (seudoanonimización) o totales (anonimización), siempre que sea posible y en la medida en que no se lastre la eficaz prestación del servicio.
Cesión-Interconexión con otras administraciones
El punto de partida es el artículo 11 de la LOPD que establece que para que se produzca una cesión de datos, esta sea consentida o exista una norma que la habilite. En relación a la cesión indiscriminada entre administraciones, hemos de remitirnos al artículo 21.1 de la LOPD: “Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.” No hay por lo tanto una habilitación a un acceso indiscriminado de los datos entre la Administración, lo que en la práctica consagraría una suerte de Gran Hermano.
Esto no quiere decir que sea necesario prestar consentimiento para una cesión de datos entre administraciones en el mismo ámbito de competencias. Tiene que haber un nexo, como el desempeño de unas competencias semejantes (Troncoso Reigada, 2008).
La interconexión mediante API al sistema de información de los sistemas de movilidad de las corporaciones locales no puede hacerse de manera masiva. La interconexión ha de ser evaluada en cada concreto, ponderando el interés público buscado y el detrimento a la protección de datos personales que se produzca con la interconexión. No obstante, la interconexión administrativa para el cotejo de datos está habilitada legalmente y no requiere consentimiento.
Cuerpos y fuerzas de Seguridad del Estado
La cesión e interconexión de datos en el contexto de la seguridad local tiene un régimen distinto. Los Cuerpos de Policía Local, en tanto tienen encomendada una función legal de policía, control y seguridad y en tanto el acceso a datos personales de los usuarios de los servicios de movilidad es útil a los fines del artículo 53 de la Ley de Bases de Régimen Local, tienen habilitación al acceso a datos de carácter personal.
Cancelación y destrucción
Los datos personales serán cancelados cuando dejen de ser necesarios o pertinentes para la finalidad que justificó su recogida. La cancelación procederá siempre en caso de baja del usuario, tramitada directamente por el propio usuario o derivada de un periodo de larga inactividad o del incumplimiento de las obligaciones que le corresponden. La baja determina el bloqueo de los datos.
El acceso a los datos quedará limitado salvo que sean necesarios para dar satisfacción a obligaciones contractuales con la empresa prestadora o salvo aquellos aspectos que interesen para la investigación de delitos.
Conclusión
El fenómeno de la smart-city ha llegado para quedarse. Cada vez son más las entidades locales que pugnan por subirse al carro y liderar un proceso que reporta beneficios en áreas diferentes y conlleva una dosis importante de fama y reputación para la ciudad y sus gobernantes.
Las nuevas tecnologías en que se basan los proyectos de smart-city no están exentas de riesgos para la privacidad e intimidad de sus ciudadanos. Su aplicación con todas las garantías que impone la ley en materia de protección de datos supone un reto para prestadores de servicios, sobre todo con la inminente vigencia del RGPD y la figura de la responsabilidad proactiva. Efectivamente, los operadores públicos que opten por este tipo de soluciones deben tener muy presentes los cambios que incorpora la nueva legislación europea así como que las nuevas soluciones tecnológicas traen aparejados nuevas amenazas y requieren nuevas soluciones.
Un repaso somero sobre los principales riesgos que un servicio de esta clase implica, determinan la necesidad de poner en marcha políticas de protección de datos desde el mismo momento en que se diseña el sistema de prestación del servicio así como, por supuesto, durante el propio tratamiento. La efectividad de los esquemas de privacidad desde el diseño reposan sobre la previsión eficaz de los riesgos concretos que pueden darse y un estudio del ciclo de vida del dato que muestre las vulnerabilidades de cada fase del tratamiento. De aquí se puede dar sustento a un plan de acción capaz de minimizar los riesgos hasta un grado residual donde el estado de la técnica y la naturaleza de las amenazas dejen de justificar la adopción de ulteriores medidas de seguridad.
Agradecimientos
Agradecimientos al equipo del programa de Máster Universitario de Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información, en cuyo desarrollo nació este texto.
Referencias
- Autoritat Catalana de Protecciò de Dades, 2013, La protección de datos de carácter personal en las ciudades inteligentes (smart-cities), Barcelona.
- Edwards, L., 2015, Privacy, Security and Data Protection in Smart Cities: a Critical EU Law Perspective. CREATe Working Paper 2015/11
- Kitchin, R., 2016, Getting smarter about smart cities: Improving data privacy and data security. Data Protection Unit, Department of the Taoiseach, Dublin, Ireland.
- Troncoso Reigada, A., 2008, La administración electrónica y la protección de datos personales. Revista jurídica de Castilla y León nº 16.
- Troncoso Reigada, A., 2009, Reutilización de información pública y protección de datos personales. Revista General de Información y Documentación nº 19, 243-264.
- WP29, 2013, Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes. Grupo de trabajo “Artículo 29 sobre protección de datos”