fbpx

En la industria del automóvil, los sensores y los sistemas embebidos ya desempeñan un papel importante

«Internet of things»: sector de la automoción. ¿Autopista hacia la desprotección de los datos de carácter personal?

Tribuna

Hace algún tiempo nos sorprendimos cuando pudimos leer que un coche fabricado por la empresa Tesla tuvo un accidente cuando estaba en piloto automático. El coche se metió́ debajo del remolque de un camión produciendo la muerte inmediata del conductor que iba en el vehículo.

Efectivamente, Joshua Brown había delegado la responsabilidad de la conducción en su vehículo, que a través de inteligencia artificial va aprendiendo de la conducción manual del conductor[1]. Según los informes oficiales, el coche de Brown iba a mucha velocidad y no frenó cuando debería de haber frenado.

A pesar de la cantidad de sensores que lleva el vehículo, este no detectó el camión, ya que era blanco y la luz que había ese día pudo haber contribuido a la no detección del camión.

Al ser el primer accidente de este tipo, existía un vacío legal y no estaba claro quién podría ser el responsable del accidente. Desde la compañía explican que en el momento que el piloto automático es puesto en marcha, es una condición imprescindible mantener las manos en el volante, y si el coche no detecta esto, se detiene inmediatamente. Así pues, ¿es culpa del conductor o de la empresa que ha fabricado el coche y el accidente es producido por la “inteligencia artificial” Tesla?

Existe un concepto en filosofía que se denomina “Moral utilitaria”. Es una doctrina que se basa en que el resultado final es lo que importa. Podemos aplicar este concepto al ejemplo de los automóviles autónomos. Si estos automóviles se programan según el dictado de esta moral, en caso de accidente siempre se buscaría producir el menor número de muertos posibles, pudiendo darse el caso de que el coche decidiera matar a sus ocupantes si fuera menor que el número de muertos resultantes que produciría si no lo hiciera. Realmente, este tipo de comportamiento del vehículo produce una serie de dilemas morales y legales que son difíciles de abordar.

Un estudio de la revista Science (Jean-François Bonnefon, Azim Shariff, Iyad Rahwan, 2016), realizó una encuesta en la que planteaba si un vehículo autónomo debería comportarse según esta situación[2]. La gran mayoría de personas creía conveniente que estos vehículos deberían de comportarse así́, incluso si sus propios hijos fueran a bordo del vehículo.

Las aplicaciones en la industria de la automoción incluyen el uso de “cosas inteligentes” para poder monitorizar las variables y eventos que tienen lugar en un automóvil y así poder controlar desde la presión en los neumáticos a la proximidad de otros vehículos.

En la industria del automóvil, los sensores y los sistemas embebidos ya desempeñan un papel importante. Sin embargo, estos se vuelven aun más importantes cuando se trata de integrarlos en un futuro "Internet de los vehículos" donde se pueda establecer comunicación entre ellos y entre los vehículos y las infraestructuras que los rodean. Esto se ha convertido en un área de investigación muy importante en los últimos años. Existen distintos casos de uso que han sido propuestos y analizados, que van desde sistemas de advertencia relacionados con la seguridad hasta aplicaciones de información y entretenimiento. Los vehículos que se activan de forma inalámbrica pueden disponer de aplicaciones para la detección de las condiciones de la carretera a través de sensores y de un módulo de comunicaciones que además permitiría a cada vehículos de forma autónoma conectarse con el resto e intercambiar información.

Al detectar posibles riesgos en la carretera, estos vehículos pueden generar mensajes que contienen una descripción de la incidencia y su posición geográfica. Estos mensajes pueden ser transmitidos inmediatamente a todos los vehículos que se encuentren dentro de los límites de comunicación, y estos a su vez pueden almacenarlos, evaluarlos y reenviarlos.

Los sistemas de comunicación de corto alcance o DSRC (Dedicated Short Range Communication) también ofrecen la posibilidad de emplear mayores tasas de bits y reducir la posibilidad de interferencia con otros equipos.

Las comunicaciones vehículos a vehículos o V2V (vehicle to vehicle) y vehículos a infraestructura o V2I (vehicle to infrastructure) impulsarán significativamente las aplicaciones basadas en sistemas de transporte inteligente o ITS (Intelligent Transportation Systems), tales como los servicios de seguridad de los vehículos o los de gestión del tráfico, integrándolas totalmente en la infraestructura del Internet de las Cosas[3].

El propio vehículos también se considera como una "cosa", lo que le permitiría realizar por ejemplo llamadas automáticas de emergencia en caso de accidente o avería, mediante la recopilación de todos los datos posibles del vehículos así́ como del entorno en el que se encuentra, para dar parte de ellos y poder asistir a la persona accidentada[4].

Además, mediante el uso de estas tecnologías también se puede llevar un mejor control de las emisiones del vehículos de forma que se contribuye a una mejora en la calidad del aire.

Existe una amplia gama de tecnologías complementarias de captura de datos e identificación automática o AIDC (Automatic Identification and Data Capture) que pueden ser utilizadas en numerosas aplicaciones de este tipo. En la actualidad también se están considerando otras técnicas, tales como el uso de pequeños microprocesadores con algún tipo de capacidad de comunicación.

Por otro lado, la tecnología RFID se utiliza para optimizar la cadena de producción de vehículos, mejorar la logística y los mecanismos de control de calidad así como para mejorar el servicio al cliente. Los dispositivos que se incorporan en las diferentes piezas o productos contienen información relacionada con el nombre del fabricante, lugar y fecha de fabricación, número de serie, código de producto, y en algunas aplicaciones pueden contener hasta la ubicación concreta de la pieza en la instalación en ese momento. La tecnología RFID ofrece datos en tiempo real sobre el proceso de fabricación o las operaciones de mantenimiento. De esta forma proporciona una forma de gestión nueva y más eficaz.

El uso de dispositivos de identificación inalámbrica acelera los procesos de montaje y facilita la localización de vehículos o componentes en apenas unos segundos. Las tecnologías inalámbricas son ideales para los sistemas de localización en tiempo real o RTLS (Real Time Location System) y para la conexión con otras subredes del Internet de las Cosas.

Toyota junto con Microsoft y la compañía de software Salesforce.com han desarrollado una aplicación, Toyota Friend, basada en una red social que permite establecer comunicación entre vehículos, así́ como entre los automóviles y sus conductores. Esta nueva plataforma se pondrá́ en marcha durante este año en Japón.

Gracias a esta nueva aplicación los usuarios podrán comunicase entre sí además de recibir en forma de alertas en el móvil o tweets notificaciones sobre el estado de su vehículos o su situación geográfica (informando por ejemplo de la distancia a la que se encuentra del hogar del usuario) o avisos por ejemplo de su nivel de batería o combustible, la presión de las ruedas o incluso del estado del tráfico. Este sistema también proporcionará información acerca del tiempo o avisos de que el vehículos debe pasar la revisión correspondiente. Además los usuarios podrán publicar estas notificaciones en su perfil de Facebook o Twitter.

Gracias a toda esta información el usuario puede también decidir qué camino elegir para dirigirse a su destino o incluso si sería conveniente utilizar el transporte público en lugar de su propio vehículos en función del estado de su automóvil, las condiciones del tiempo o el tráfico en ese momento.

Otra de las aplicaciones del Internet de las Cosas relacionadas con el mundo del automóvil se basa en el uso de sensores para determinar a los conductores la localización de las plazas de aparcamiento gratuitas. Esta aplicación también se utiliza en aparcamientos públicos para indicar a los conductores mediante sensores inalámbricos dónde se encuentran las plazas libres. Los datos recogidos sobre el estado del aparcamiento se envían periódicamente a una base de datos mediante una red inalámbrica de sensores, para posteriormente remitírselos a los vehículos que van accediendo al parking. Cuando los automóviles entran en el aparcamiento pueden obtener un plano general de todo el parking en el que se indican las plazas libres de aparcamiento.

Riesgos para la privacidad

Uno de los mayores riesgos que puede presentar esta aplicación está relacionado con la capacidad del automóvil para actualizar en todo momento su ubicación y por lo tanto la del conductor. En estos casos se plantean cuestiones relativas a la privacidad como, ¿qué podría ocurrir si el conductor olvida modificar la configuración de privacidad de esta aplicación y su ubicación se revela de forma automática sin tener él conocimiento de ello? o ¿ si su automóvil publica en su cuenta de Facebook o Twitter la fecha de su próxima revisión, revelando públicamente la fecha y hora de su localización y la del conductor en el futuro? Esto puede suponer una amenaza para los usuarios de este tipo de aplicaciones, ya que cualquier individuo podría tener acceso a información muy valiosa acerca de estos usuarios, pudiendo llegar a rastrear sus movimientos y hábitos en función de la localización de su automóvil.

La geolocalización en sí misma no es buena ni mala depende, como tantas cosas, del uso y destino al que vaya enfocada. Sin embargo es cierto que de por sí, el uso de esta tecnología genera una serie de riesgos (desde el prisma de la privacidad) pues genera una diaria “huella histórica” trazable, de los lugares, actividades y tiempos en los se ha encontrado el dispositivo o sensor, o el vehículos que lo incorpora. De ahí́, que la geolocalización de personas y bienes afecta y puede afectar a diversas esferas de derechos como la intimidad, la privacidad, el libre desarrollo de la personalidad, la libertad de expresión, el derecho al honor, etc.

Sería muy amplio abordar cada una de esas dimensiones, y como botón de muestra se tratará desde la perspectiva de la privacidad a sus riesgos y como minimizarlos.

Cada vez hay menos duda entre el público en general, que los datos de geolocalización son realmente datos de carácter personal, que identifican o pueden hacer identificable a una persona de manera más o menos directa, y así́ viene recogido en el vigente GDPR, pero ya disponíamos de otros antecedentes tales como la regulación contemplada de los mismos en la Directiva 2002/58/CE -EDL 2002/29506-, que en su artículo 2, definía los datos de localización como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”, definición que se recogía igualmente en el artículo 64.b) del Real Decreto 424/2005, de 15 de abril -EDL 2005/30203-, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.

Pero quizás no esté igualmente tan asumido que la geolocalización y las aplicaciones de mapas son empleados más comúnmente de lo que pensamos para cometer acciones delictivas. No es ciencia ficción la realidad de que los delincuentes utilizan estas herramientas para encontrar objetivos potenciales y aumentar los resultados criminales, por ejemplo, gracias a las publicaciones de los usuarios en redes sociales y a la información facilitada por mapas virtuales compartidos en línea o a través de aplicaciones.

En otro orden de cosas, la geoinformación puede ser facilitada voluntaria e involuntariamente, incluso sin que el usuario o propietario del dispositivo sea consciente y a pesar de que haya podido desactivar ciertos servicios o sensores.

Habitualmente, la información geográfica personal se facilita de manera voluntaria, principalmente a través de aplicaciones y redes sociales o, como en nuestro caso, a través del vehículos. Estos datos suelen ser almacenados y analizados por los proveedores de servicios de Internet, generalmente para mostrar publicidad personalizada. Pero al mismo tiempo, la geoinformación personal puede difundirse de manera involuntaria. En unos casos, porque se facilite información personal sobre nuestra ubicación sin nosotros saberlo, como por ejemplo a través de los metadatos de imágenes videos y en otras situaciones, son los videos y fotos que tomamos y publicamos en redes sociales los que asocian metadatos con los que se puede identificar la ubicación exacta donde fueron tomados. Para ayudar a una utilización más segura de la geolocalización personal, se debería procurar:

  • Revisar los ajustes de privacidad de los dispositivos y asegurarse de que solo personas de confianza o, al menos, conocidas pueden ver las actualizaciones que contengan localización personal.
  • Desactivar las opciones para informar automáticamente sobre la localización personal. En caso de usar servicios específicos cuya función principal sea informar sobre la localización personal, revisar atentamente la política de privacidad y los datos que se suministran de manera pública aunque es indudable que, nuevamente, será́ el consentimiento la base legitimadora del tratamiento de datos de carácter personal que vía geolocalización se va a llevar a cabo.

Al encontrarnos ante una tecnología especialmente invasiva de la privacidad, el análisis de riesgos y el estudio de impacto en protección de datos (PIA por sus siglas en inglés) es de obligado cumplimiento.

Como expone el Grupo de Trabajo del artículo 29 en su Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes[5], “a fin de utilizar un servicio de geolocalización particular, puede ser necesario activar dichos servicios en el dispositivo o navegador. Si esta capacidad de geolocalización se activa, cualquier sitio Internet puede leer los detalles de localización del usuario del dispositivo móvil inteligente”. Por tanto, a fin de evitar que se nos vigile secretamente, es importante que se advierta de forma permanente por el dispositivo que la geolocalización se encuentra activada, vía por ejemplo a través de un icono visible.

Un caso de consentimiento presunto, y por tanto inválido en este caso, sería el deducido de la falta de intervención por parte de los usuarios de un sistema operativo que establece por defecto la transmisión de datos de localización. Por defecto los servicios de geolocalización deben encontrarse desactivados y los usuarios deben poder consentir de forma gradual que se activen aplicaciones concretas. El Grupo de Trabajo del artículo 29 en el dictamen 15/2011 sobre la definición del consentimiento ejemplificó que el hecho de no modificar los parámetros de privacidad establecidos por defecto de una red social, parámetros a los que no se accede necesariamente al utilizarla, no permite inferir al responsable del tratamiento para inferir que se aprueba el tratamiento.

Fuera ya del sector del automóvil, es evidente que las soluciones IoT no sólo han venido para quedarse, sino que están llamadas a evolucionar.

Sin embargo, el germen de esa evolución hacia tecnologías que mejoren la calidad de vida del ser humano debe partir de unos pilares robustos en materia de seguridad y privacidad por lo que habrá́ que afrontarla desde la fase de diseño para llegar, a través de un sistema de privacidad by default hasta el verdadero propietario de los datos y de las intimidades: el usuario. Para ello será́ preciso enfrentar varias líneas de actuación:

Educación y comunicación. Que en este caso supone la participación de varios actores, desde los ingenieros y diseñadores que deben ser capaces de cuantificar, desde el punto de vista técnico, los riesgos a que expondrán a sus usuarios, pasando por las organizaciones empresariales, para terminar, en cuanto a la educación, por las entidades que dispongan de tales responsabilidades, ya sea a nivel de protección de datos, de protección del consumidor o de protección en términos de ciberseguridad.

Nos referimos, por tanto, a una auto protección que va más allá́ de lo señalado por el Real Decreto Legislativo 1/2007, de 16 de noviembre -EDL 2007/205571-, por el que se aprobó́ el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, llegando incluso a plantearse cuál es la razón por la que ya se habla de educación vial en las escuelas de primaria pero sin embargo, y teniendo en cuenta el impacto en la privacidad que supone el sector de los videojuegos y RRSS en la intimidad de los menores, y sin embargo no se plantea todavía el debate sobre la incorporación de la cultura de la protección de datos en tales estadios de formación de la persona.

Adquisición. Será evolución natural que el resultado de la educación incorpore nuevas metodologías de decisión de compra y aceptación de este tipo de tecnología y, es previsible, que el impulso instantáneo de compra compulsiva (tan valorado por algunos departamentos de marketing) de la última tecnología disponible, forme parte de una balanza en donde el consumidor sitúe en un extremo lo que le aporta la tecnología basada en el IoT y o que él tiene que aportar para darle valor a dicha tecnología, o dicho de otro modo, para que dicha tecnología tenga sentido.

Si el responsable del diseño y comercialización de productos y servicios que puedan ser considerados como del IoT llevara siempre al consumidor y/o usuario a la decisión salomónica de: privacidad o funcionalidad, fracasará estrepitosamente pues, a pesar de que en un corto plazo el consumidor seguirá́ arrastrado por la fiebre consumista, siempre ávida de las últimas novedades tecnológicas, llegará un momento en que llegará el pico de sierra, valorándose en mucha mayor medida aquellos productos respetuosos con la intimidad y la protección de datos de los usuarios que presten servicios o funcionalidades similares o que hayan sido descartadas por inútiles o carentes de valor añadido.

Regulación. Al legislador le toca la no tan fácil tarea de conciliar y velar por el interés general de los usuarios como titulares de los datos que serán parte esencial para que la tecnología IoT sea útil, con los legítimos intereses de la cadena productiva de estos instrumentos de tal forma que la normativa legal no sea el freno del desarrollo de este tipo de tecnología, pero que tampoco suponga carta blanca para los intereses empresariales.

De tal forma que corresponderá́ a la Administración del Estado promover y desarrollar la protección y defensa de los consumidores y usuarios, especialmente en los siguientes aspectos:

  1. Elaborar y aprobar el Reglamento General de la LOPDyGDD -EDL 2018/128249-, y las demás disposiciones de general aplicación en todo el territorio español.
  2. Apoyar y, en su caso, subvencionar las asociaciones de consumidores y usuarios, que tengan por finalidad la educación de los mismos en materia de protección de datos.
  3. Apoyar la actuación de las autoridades y Corporaciones Locales y de las Comunidades Autónomas.
  4. Promover la actuación de las demás Administraciones públicas y, en caso de necesidad o urgencia, adoptar cuantas medidas sean convenientes para proteger y defender los derechos de los consumidores o usuarios, especialmente en lo que hace referencia a su salud, seguridad y protección frente a intromisiones ilegítimas.
  5. Ejercer la potestad sancionadora con el alcance que se determine.
  6. En general, adoptar en el ámbito de sus competencias cuantas medidas sean necesarias para el debido cumplimiento de lo establecido en la Ley pendiente de publicación en el BOE.

Pero también nos encontramos en España con las Competencias de las comunidades autónomas, de tal forma que corresponde a las mismas la protección y defensa de los consumidores o usuarios, de acuerdo con lo establecido en sus respectivos estatutos de autonomía y, en su caso, en las correspondientes leyes orgánicas complementarias de transferencia de competencias.

Por lo general, la defensa del consumidor y usuario es una competencia recogida en los estatutos de autonomía, de acuerdo con la legislación básica estatal que regula la ordenación de la actividad económica general y la política monetaria del Estado, las bases y coordinación general de la Sanidad, en los términos de lo dispuesto en los artículos 38, 131 y en los números 11, 13 y 16 del apartado 1 del artículo 149 de la Constitución -EDL 1978/3879-.

Por último, nos encontramos con las competencias de las corporaciones locales, a las que corresponde promover y desarrollar la protección y defensa de los consumidores y usuarios en el ámbito de sus competencias y de acuerdo con la legislación estatal y, en su caso, de las comunidades autónomas y, especialmente, en los siguientes aspectos:

La información y educación de los consumidores y usuarios, estableciendo las oficinas y servicios correspondientes, de acuerdo con las necesidades de cada municipio. La inspección de los productos y servicios para comprobar su adecuación a la normativa vigente, ya sea de origen europeo (como el GDPR -EDL 2016/48900-) o nacional (como la nueva LOPDyGDD -EDL 2018/128249-). La realización directa de las inspecciones técnicas y de los correspondientes controles y análisis, en la medida en que cuenten con medios para su realización, o promoviendo, colaborando o facilitando su realización por otras entidades y organismos. Adoptar las medidas urgentes y requerir las colaboraciones precisas en los supuestos de crisis o emergencias que afecten a la salud o seguridad graves de los consumidores o usuarios. Ejercer la potestad sancionadora con el alcance que se determine en sus normas reguladoras (ordenanzas municipales) en cuanto las intromisiones en los datos de carácter personal de usuarios y clientes de dispositivos IoT puedan afectar a los derechos que como consumidores tengan los mismos.

En definitiva, quien sea capaz de aportar al consumidor un valor superior a la experiencia creada por el uso del dispositivo IoT adquirido y por el que se ha pagado un precio, no sólo en términos estrictamente monetarios, sino también en términos de privacidad, será́ quien logre mantenerse en el mercado y por tanto por los consumidores. Pensar que esto puede tener lugar sin que exista una paralela educación de estos últimos en materia de privacidad, implica tener una venda de la que es preciso desprenderse cuanto antes.

 

 


[1] Fuente: The New York Times. https://www.nytimes.com/2016/07/02/business/joshua-brown-technology- enthusiast-tested-the-limits-of-his-tesla.html

[2] The social dilemma of autonomous vehicles. http://science.sciencemag.org/content/352/6293/1573

[3] Fuente: Sistemas inteligentes de transporte. Departamento de ingeniería de la información y las comunicaciones. Universidad de Murcia. https://www.um.es/gsit/research_lines/its/?l=es

[4] Este sistema, denominado e-call es obligatorio en todos los coches y vehículos comerciales nuevos que vayan a ser comercializados en la Unión Europea a partir del 31 de marzo de 2018, en virtud de la entrada en vigor del Reglamento (UE) 2015/758 del Parlamento Europeo y del Consejo, de 29 de abril de 2015 -EDL 2015/70425-, relativo a los requisitos de homologación de tipo para el despliegue del sistema eCall basado en el número 112 integrado en los vehículos y por el que se modifica la Directiva 2007/46/CE, si bien está enfocado a los accidentes y no a las averías. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32015R0758

[5] Dictamen 2/2013, grupo de trabajo del art. 29. Disponible en https://sontusdatos.org/wp- content/uploads/2013/04/ce-dictamen-02-2013-aplicaciones-dispositivos-inteligentes.pdf

Este artículo ha sido publicado en el "Boletín Mercantil", el 1 de junio de 2019.