Internet surgió en los años sesenta como un experimento militar, sin embargo, no fue hasta los años noventa cuanto empezó a popularizarse de manera masiva en los hogares. Este hito cambió para siempre nuestras interacciones, hasta el punto de que actualmente no podemos concebir nuestro ocio, ejercicio profesional o cualquier actividad sin conexión online. En este contexto, en el año 1999, el informático Kevin Ashton, mencionaba por primera vez, el término “Internet of Things” (IoT). Paulatinamente, la sociedad empezó a tomar conciencia de este fenómeno, extendiéndose de manera global y sentando las bases de su integración en objetos cotidianos.
Este salto de conectividad ha supuesto un avance innegable, no obstante, su consolidación y adopción masiva plantea interrogantes sociales, éticos y, en este caso, jurídicos. Tales interrogantes, a su vez, se transforman en preocupación ante las dudas existentes acerca del tratamiento de la ingente cantidad de información personal a la que, potencialmente, pueden acceder dispositivos como relojes, anillos, alarmas, dispositivos de geolocalización, altavoces asistentes o gafas de sol. Los cuales han pasado de ser meros accesorios o elementos pasivos, a herramientas tecnológicas habituales en nuestro día a día, aptas para captar información propia y del entorno, transmitirla, procesarla y almacenarla en tiempo real, o incluso ejecutar acciones sencillas o, próximamente y gracias a la IA, tomar decisiones autónomas.
En este escenario, los reguladores nacionales y europeos han venido poniendo el foco en las implicaciones que estos flujos constantes de información personal —con frecuencia de carácter sensible— tienen para nuestra privacidad, especialmente ante datos observados o inferidos. Esta inquietud no solo nos afecta directamente como individuos, sino que transcienden la esfera personal para llegar a alcanzar al conjunto de la sociedad.
En particular, la piedra angular de la problemática en dispositivos IoT es la falta de transparencia sobre usos o finalidades derivadas de la captación de información y el acceso por parte de terceros (fabricantes, desarrolladores de aplicaciones, partners…), a menudo para fines accesorios; así como, vinculado con ello, el alcance y validez del consentimiento otorgado por el usuario, o la falta de autorización y conocimiento por terceros cuyos datos puedan ser captados de manera indirecta.
Respecto a este punto, la legislación actual en materia de protección de datos exige, más allá de aquellos usos estrictamente necesarios para la prestación de un servicio (como sucede con el uso de wearables con fines estrictamente clínicos), que el consentimiento del usuario se otorgue de manera libre, específica para cada una de las finalidades de uso y de manera informada. Sin embargo, la naturaleza de muchos de estos dispositivos IoT —que carecen de interfaces convencionales como pantallas o altavoces— dificultan enormemente el cumplimiento de esta obligación. Como muestra, balizas, sensores domóticos (bombillas inteligentes, detectores de apertura de puertas) o productos sanitarios, que operan únicamente mediante señales lumínicas.
A menudo, la principal dificultad surge en la asimetría de la información y las restricciones de estos dispositivos para ofrecer una información clara y comprensible sobre cómo están tratando los datos en tiempo real, especialmente al carecer de pantallas o interfaces adecuados para reflejar el detalle necesario. Incluso en aquellos casos en los que sí existen espacios óptimos, la información trasladada es compleja y difícilmente comprensible, pudiendo causar el fenómeno conocido como “fatiga informativa” o incurrir en prácticas como patrones oscuros (dark patterns), cada vez menos tolerados por las autoridades.
En otras ocasiones, no es posible configurar los consentimientos otorgados ni negarse a la captación de información —por muy superflua o innecesaria que pueda resultarle al usuario—, sin desconectar o inutilizar por completo el dispositivo. En puridad, tales prácticas desbordarían los límites del marco legal europeo, mucho más restrictivo con estas prácticas que otros territorios de nuestro entorno. Si bien las prácticas y necesidades sociales fomentan su tolerancia o su admisión en pro de los beneficios indudables de este tipo de soluciones.
En este contexto, el reto jurídico es doble, por una parte concienciar a la ciudadanía sobre la importancia de velar activamente por su privacidad y el uso de su información personal. Por otro lado, fomentar desde la industria la adopción de buenas prácticas sectoriales que faciliten la comprensión de los riesgos —y beneficios— que conlleva el uso de ciertas funcionalidades propias de los dispositivos IoT. Todo ello, sin sacrificar la imprescindible innovación y digitalización de nuestra economía.
