Big data en la “lectura de la luz” ¿nuevo riesgo para la privacidad?


Año 2020: Es el año pensado por la Unión Europea para que en la mayoría de los hogares europeos posean contadores inteligentes para la medición del consumo de electricidad. Así se desprende de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo de 13  de  julio de 2009 sobre normas comunes para el mercado interior de la electricidad y por la que se deroga la Directiva 2003/54/CE. En concreto en su Anexo I, que se refiere a las medidas de protección al consumidor, se refleja la siguiente mención:

Los Estados miembros garantizarán la utilización de sistemas de contador inteligente que contribuirán a la participación  activa de los consumidores en el mercado de suministro de electricidad (…)

Cuando se evalúe positivamente la provisión de contadores inteligentes, se equipará, para 2020, al menos al 80 % de los consumidores con sistemas de contador inteligente.

Antes de continuar, es preciso tener claro qué es un contador inteligente: Contador de medida del consumo eléctrico que puede ser leído y gestionado remotamente y que está conectado a una red. Pueda tratar más información que un contador convencional, como por ejemplo, tipología de consumo. Un tratamiento de estos datos podría conllevar a obtener información sobre hábitos de consumos eléctricos, por ejemplo.

El 9 de marzo de 2012, la Comisión redactó una Recomendación (2012/148/UE: Recomendación de la Comisión, de 9 de marzo de 2012 , relativa a los preparativos para el despliegue de los sistemas de contador inteligente), donde, además de analizar los requisitos mínimos de esos contadores inteligentes, establecía una serie de directrices en aras a garantizar la seguridad y protección de datos. Por tanto, la propia Comisión ya observa que el uso de estos sistemas puede conllevar un riesgo para la privacidad. Lo que más preocupaba a la Comisión, en este sentido, es lo siguiente:

  • Se recomienda la realización de una evaluación del impacto sobre la protección de los datos de estos sistemas, consensuado entre los Estados miembros, las autoridades de control y quienes exploten los sistemas de contador inteligente.
  • Se deberá tener en cuenta la protección de datos desde el diseño. Para ello dispondrán tanto medidas legislativas, como técnicas y organizativas.
  • Se observará la protección de datos por defecto, en el sentido que “se facilite al cliente la configuración preestablecida que mejor proteja los datos.”
  • Se recomienda el tratamiento anonimizado de datos de datos. No obstante , si existiera un tratamiento de datos personales, deberá basarse en alguno de los supuestos del artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, recordemos, son:
    • Consentimiento del interesado.
    • Ejecución de un contrato.
    • Interés vital del interesado.
    • Interés público o ejercicio de un poder público.
    • La satisfacción de un interés legítimo del responsable de tratamiento.
  • La seguridad de los datos debe ser parte de la protección de datos desde el diseño. Se recomienda el uso de canales cifrados.
  • En caso de violación de los datos personales, el responsable del tratamiento debería notificarlos autoridad de control y al interesado, en un plazo de 24 horas.
  • Deberán cumplirse las obligaciones de información de los artículos 10 y 11 de la Directiva 95/46/CE y especial se deberá informar al interesado de las siguientes cuestiones:
    • Identidad y datos de contacto del responsable del tratamiento y de su representante, así como del responsable de protección de datos, si lo hubiera.
    • Finalidades del tratamiento previsto de los datos personales.
    • Período durante el que se almacenarán los datos personales.
    • Los derechos ARCO y el derecho a presentar una reclamación a la autoridad de control competente.
    • Destinatarios de los datos, si los hubiere.

Es posible darse cuenta, en este punto, de que en estas Recomendaciones de la Comisión, aparecen conceptos que en el sistema jurídico actual de protección de datos no existen: evaluaciones de impacto, protección de datos desde el diseño, comunicaciones en las violaciones de datos,… Todo ello es fruto de la nueva “ola” de protección de datos que se introdujo con la Propuesta de Reglamento de Protección de Datos realizada por la Comisión a principios de 2012 y que, a día de hoy, todavía se está negociando. Debemos tener en cuenta que esta Propuesta  debe ser considerada como lo que es: Un borrador de lo que pretende la Comisión que sea el nuevo sistema jurídico de protección de datos en Europa.

Volviendo a la Recomendación 2012/148/UE, el Supervisor europeo de protección de datos emitió una Opinión a finales de 2012 (se puede consultar en inglés aquí y un resumen de la misma en castellano aquí), cuyas cuestiones más relevantes, bajo mi punto de vista, son las siguientes:

  • Los contadores inteligentes permiten la obtención de datos personales y podrían “llevar al seguimiento de lo que hacen los miembros de una familia en la intimidad de sus hogares”.
  • Se debería relacionar cada riesgo en materia de privacidad  con un control adecuado.
  • Se debe instar a la obligatoriedad para que los responsables de los contadores inteligentes lleven a cabo una evaluación de impacto sobre la protección de datos y la notificación las violaciones de datos personales.
  • Se debería distinguir en la lectura de contadores inteligentes, actuaciones que no tendrían requerir el consentimiento de los interesados y actuaciones en la que el consentimiento sea necesario.
  • La recogida de datos de carácter personal tendría que ser el mínimo necesario.
  • En cuanto al período de conservación de los datos de las lecturas realizadas por los contadores inteligentes, debería coincidir con el período en que puede reclamarse una factura. No obstante, por vía de consentimiento se podrá tener en cuenta un período mayor  “por ejemplo, para obtener un asesoramiento específico sobre energía.”
  • Se debiera dar acceso a los interesados a los datos que se recojan a través de los contadores inteligentes, entre los que se incluirían “la extracción automática de datos, la publicación de los perfiles de las personas físicas y la lógica de todos los algoritmos utilizados para dicha extracción”.

Este nuevo riesgo sobre la privacidad está ya presente, porque en la actualidad las grandes distribuidoras eléctricas están sustituyendo los contadores convencionales (los de de la “ruedecita”) por estos contadores inteligentes. En Europa ya hemos visto que se han dado cuenta de este riesgo, pero en nuestro país parece que no. Sería muy útil conocer el criterio de la Agencia Española de Protección de Datos sobre esta materia, pero de momento, nos toca esperar, ya que el cloud y las cookies es lo que, para la privacidad, más riesgo conlleva, a tenor de los últimos eventos del mencionado organismo administrativo. Por ello, no perdamos de vista este tema de los contadores inteligentes, no vaya a ser que nos la “cuelen por la puerta de atrás”.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Anuncios

1 Response to “Big data en la “lectura de la luz” ¿nuevo riesgo para la privacidad?”



  1. 1 UNIVERSO LOPD: Boletín-Noticias nº10. 26 abril-2 mayo | Universo LOPD: tu blog de protección de datos Trackback en 03/05/2013 en 08:04

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

  • Mi compañero Jesús escribiendo sobre "Competencia respecto al Esquema de Certificación AEPD-DPD" ow.ly/Bkx230fDae5 2 weeks ago
  • Ojeando Esquema Certificación de DPO de la AEPD, me pregunto: ¿En base a que competencia la AEPD crea ese Esquema? Yo no veo ninguna.... 2 weeks ago

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Competencia respecto al Esquema de Certificación AEPD-DPD

Ciertamente siempre he tenido en gran consideración y estima la doctrina emanada desde la AEPD, en la que la suma de sus resoluciones, informes y guías han confeccionado un entramado científico, en cuanto al orden, que nos ha ofrecido soluciones a los problemas que la normativa no era capaz de exponer con el detalle y […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: