Año 2020: Es el año pensado por la Unión Europea para que en la mayoría de los hogares europeos posean contadores inteligentes para la medición del consumo de electricidad. Así se desprende de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo de 13 de julio de 2009 sobre normas comunes para el mercado interior de la electricidad y por la que se deroga la Directiva 2003/54/CE. En concreto en su Anexo I, que se refiere a las medidas de protección al consumidor, se refleja la siguiente mención:
Los Estados miembros garantizarán la utilización de sistemas de contador inteligente que contribuirán a la participación activa de los consumidores en el mercado de suministro de electricidad (…)
Cuando se evalúe positivamente la provisión de contadores inteligentes, se equipará, para 2020, al menos al 80 % de los consumidores con sistemas de contador inteligente.
Antes de continuar, es preciso tener claro qué es un contador inteligente: Contador de medida del consumo eléctrico que puede ser leído y gestionado remotamente y que está conectado a una red. Pueda tratar más información que un contador convencional, como por ejemplo, tipología de consumo. Un tratamiento de estos datos podría conllevar a obtener información sobre hábitos de consumos eléctricos, por ejemplo.
El 9 de marzo de 2012, la Comisión redactó una Recomendación (2012/148/UE: Recomendación de la Comisión, de 9 de marzo de 2012 , relativa a los preparativos para el despliegue de los sistemas de contador inteligente), donde, además de analizar los requisitos mínimos de esos contadores inteligentes, establecía una serie de directrices en aras a garantizar la seguridad y protección de datos. Por tanto, la propia Comisión ya observa que el uso de estos sistemas puede conllevar un riesgo para la privacidad. Lo que más preocupaba a la Comisión, en este sentido, es lo siguiente:
- Se recomienda la realización de una evaluación del impacto sobre la protección de los datos de estos sistemas, consensuado entre los Estados miembros, las autoridades de control y quienes exploten los sistemas de contador inteligente.
- Se deberá tener en cuenta la protección de datos desde el diseño. Para ello dispondrán tanto medidas legislativas, como técnicas y organizativas.
- Se observará la protección de datos por defecto, en el sentido que «se facilite al cliente la configuración preestablecida que mejor proteja los datos.»
- Se recomienda el tratamiento anonimizado de datos de datos. No obstante , si existiera un tratamiento de datos personales, deberá basarse en alguno de los supuestos del artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, recordemos, son:
- Consentimiento del interesado.
- Ejecución de un contrato.
- Interés vital del interesado.
- Interés público o ejercicio de un poder público.
- La satisfacción de un interés legítimo del responsable de tratamiento.
- La seguridad de los datos debe ser parte de la protección de datos desde el diseño. Se recomienda el uso de canales cifrados.
- En caso de violación de los datos personales, el responsable del tratamiento debería notificarlos autoridad de control y al interesado, en un plazo de 24 horas.
- Deberán cumplirse las obligaciones de información de los artículos 10 y 11 de la Directiva 95/46/CE y especial se deberá informar al interesado de las siguientes cuestiones:
- Identidad y datos de contacto del responsable del tratamiento y de su representante, así como del responsable de protección de datos, si lo hubiera.
- Finalidades del tratamiento previsto de los datos personales.
- Período durante el que se almacenarán los datos personales.
- Los derechos ARCO y el derecho a presentar una reclamación a la autoridad de control competente.
- Destinatarios de los datos, si los hubiere.
Es posible darse cuenta, en este punto, de que en estas Recomendaciones de la Comisión, aparecen conceptos que en el sistema jurídico actual de protección de datos no existen: evaluaciones de impacto, protección de datos desde el diseño, comunicaciones en las violaciones de datos,… Todo ello es fruto de la nueva «ola» de protección de datos que se introdujo con la Propuesta de Reglamento de Protección de Datos realizada por la Comisión a principios de 2012 y que, a día de hoy, todavía se está negociando. Debemos tener en cuenta que esta Propuesta debe ser considerada como lo que es: Un borrador de lo que pretende la Comisión que sea el nuevo sistema jurídico de protección de datos en Europa.
Volviendo a la Recomendación 2012/148/UE, el Supervisor europeo de protección de datos emitió una Opinión a finales de 2012 (se puede consultar en inglés aquí y un resumen de la misma en castellano aquí), cuyas cuestiones más relevantes, bajo mi punto de vista, son las siguientes:
- Los contadores inteligentes permiten la obtención de datos personales y podrían «llevar al seguimiento de lo que hacen los miembros de una familia en la intimidad de sus hogares».
- Se debería relacionar cada riesgo en materia de privacidad con un control adecuado.
- Se debe instar a la obligatoriedad para que los responsables de los contadores inteligentes lleven a cabo una evaluación de impacto sobre la protección de datos y la notificación las violaciones de datos personales.
- Se debería distinguir en la lectura de contadores inteligentes, actuaciones que no tendrían requerir el consentimiento de los interesados y actuaciones en la que el consentimiento sea necesario.
- La recogida de datos de carácter personal tendría que ser el mínimo necesario.
- En cuanto al período de conservación de los datos de las lecturas realizadas por los contadores inteligentes, debería coincidir con el período en que puede reclamarse una factura. No obstante, por vía de consentimiento se podrá tener en cuenta un período mayor «por ejemplo, para obtener un asesoramiento específico sobre energía.»
- Se debiera dar acceso a los interesados a los datos que se recojan a través de los contadores inteligentes, entre los que se incluirían «la extracción automática de datos, la publicación de los perfiles de las personas físicas y la lógica de todos los algoritmos utilizados para dicha extracción».
Este nuevo riesgo sobre la privacidad está ya presente, porque en la actualidad las grandes distribuidoras eléctricas están sustituyendo los contadores convencionales (los de de la «ruedecita») por estos contadores inteligentes. En Europa ya hemos visto que se han dado cuenta de este riesgo, pero en nuestro país parece que no. Sería muy útil conocer el criterio de la Agencia Española de Protección de Datos sobre esta materia, pero de momento, nos toca esperar, ya que el cloud y las cookies es lo que, para la privacidad, más riesgo conlleva, a tenor de los últimos eventos del mencionado organismo administrativo. Por ello, no perdamos de vista este tema de los contadores inteligentes, no vaya a ser que nos la «cuelen por la puerta de atrás».
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Así, ¿las lecturas de intradiarias no se consideran datos personales? No podré acogerme en la ley de protección de datos para epdir esas lecturas? Gracias de antemano.
Pues depende….Si está asociado a datos personales, si serían datos, mientras que si no está asociado a datos personales, no lo serían.
Luego habría que ver que base jurídica hay para el tratamiento de estos datos, pero sin realizar un análisis pormenorizado es probable que exista legislación que obligue al tratamiento de los datos.
Saludos.