Una empresa extranjera conoce tu estado de salud a través de tu reloj inteligente: "Antes solo lo compartías con tu médico"

Los datos biométricos: ¿cuáles son los potenciales riesgos?

Sí le preocupa, en cambio, a la Unión Europea, que en los últimos años ha desarrollado varias leyes para intentar prevenir las amenazas en materia de privacidad y protección datos personales con los que vamos sembrando internet. Los riesgos van desde una venta ilegítima sin consentimiento de esa información, que luego puede utilizarse para publicidad personalizada, hasta una hipervigilancia de nuestro comportamiento y estado físico.

En este caso, los llamados wearables, dispositivos que llevamos puestos, como relojes inteligentes, pulseras para hacer ejercicio, anillos, etc., recogen información biométrica, que está especialmente protegida por el Reglamento General de Protección de Datos (RGPD) europeo. Sin embargo, ya es técnicamente posible usar esos datos para trazar un perfil de cada persona y definir si es adecuada para un puesto de trabajo o si debería pagar un seguro más caro que otro cliente más sano. Tienen un enorme valor en el mercado por su utilidad comercial y más allá.

"Hay un interés en perfilar a la persona para servicios, pero también para cuestiones penales y hasta llegar a la persecución, como se ha visto con el ICE [el cuerpo antiinmigración estadounidense o Servicio de Inmigración y Control de Aduanas, por sus siglas en inglés]. Saben dónde vive la gente, saben todo de ti", advierte la activista por los derechos digitales y fundadora de Xnet, Simona Levi, en una entrevista con RTVE Noticias. "La nube no existe. La nube es el ordenador de otra persona si no es tu ordenador".

“"La nube no existe. La nube es el ordenador de otra persona si no es tu ordenador”“

En paralelo, la investigadora de la Universitat Oberta de Catalunya (UOC) Luana Mathias Souto ha profundizado en los riesgos que rodean a los datos de la menstruación, que se recopilan en los smartwatches como el que usa Andrea, pero también en aplicaciones de teléfonos móviles. Esta experta señala las "interferencias" en la vida de las mujeres que generan los anuncios dirigidos sobre maternidad (el de una marca popular de test de embarazos es habitual en plataformas como YouTube para usuarias de ciertas edades) y, sobre todo, advierte de la amenaza para la seguridad en los países donde el aborto está penalizado. ¿Y si hemos registrado en la app esa información o pudiera deducirse por un cambio en el ciclo? "Se puede utilizar información de estas aplicaciones en procesos judiciales", recuerda Mathias Souto.

IA que da consejos personalizados

El abogado especializado en protección de datos y tecnología en Cuatrecasas Ramón Baradat presta atención, en cambio, a lo que ocurre dentro de las apps y aparatos inteligentes que ya incorporan inteligencia artificial.

"Empieza a haber servicios que te están ofreciendo una especie de médico en casa, en el sentido de que ya no solo recogen información y te la muestran de forma que puedas entenderla, sino que ya te dan consejos para mejorar tu bienestar. Hay aplicaciones, por ejemplo, que combinan información sobre la actividad diaria, descanso y uso del teléfono y con algoritmos de aprendizaje automático pueden detectar signos de depresión o ansiedad. Hay básculas conectadas a internet que te pueden dar recomendaciones", desarrolla.

“"Pueden detectar signos de depresión o ansiedad"“

Para el jurista, esto plantea nuevos problemas para las leyes europeas, que están intentando garantizar que esa inteligencia artificial no se entrena con sesgos que deriven en unos consejos erróneos y potencialmente dañinos para el usuario. También establecen obligaciones sobre transparencia, ciberseguridad y supervisión humana. Estas cuestiones ya son una realidad, en tanto que los tribunales ya están teniendo que dirimir la responsabilidad de los chats de IA en algunos casos de suicidio.

El consentimiento explícito y reforzado

De momento, los riesgos vinculados a la privacidad y el uso de los datos personales están regulados en la Unión Europea a través de un abanico de leyes: el citado RGPD, el reglamento de inteligencia artificial, el de servicios digitales... A ellas se sumará en el futuro la Ley de Equidad Digital (Digital Fairness Act).

"Hay bastante caos porque Europa está legislando con parches en lugar de dar un paso atrás y hacer una perspectiva global", opina Levi, pero reconoce que dicha Ley de Equidad Digital sí intenta por "primera vez" una protección integral del consumidor frente a los abusos.

Esta última, de hecho, tiene entre sus objetivos evitar esos perfilados de los usuarios, que buscan sacar provecho comercial de nuestras "vulnerabilidades", según lo expresó la presidenta de la Comisión, Ursula von der Leyen.

"Va en la dirección de prohibir categóricamente todo este tipo de perfilados, salvo excepciones que tengan que ver con el bien común, por ejemplo, la investigación científica, y hará falta el consentimiento", explica Levi, a la espera de ver cómo queda el texto definitivo. "Con el nuevo Parlamento Europeo se está intentando aguar, hay un viraje hacia la liberalización".

La idea del "consentimiento" está en el centro de la legislación europea respecto al uso de datos personales que tienen que ver con nuestra salud y biorritmos. Según explica el abogado Ramón Baradat, en este caso el "sí, acepto" debe ser "explícito" y "reforzado", de modo que resulte más difícil colar usos ocultos en textos larguísimos de "términos y condiciones" que a menudo aceptamos sin leer. Así, por ejemplo, el móvil, la pulsera o reloj inteligente debería preguntar primero: ¿Consientes que se recopilen estos datos? Y luego, aparte: ¿consientes que se compartan con terceros?

El viaje de los datos fuera de la UE

"La menstruación, por ejemplo, antes era una información que solamente compartías con tu médico", reflexiona la investigadora de la UOC, Luana Mathias Souto. Ahora, este y otros datos –si sufres insomnio o llevas una vida sedentaria– pueden acabar en manos de una empresa en Estados Unidos, China u otro país, donde es probable que la legislación no sea tan estricta como la de la UE.

La ley europea recoge algunas salvaguardas para ello, consciente de que transferir datos fuera de la UE conlleva un mayor riesgo. Por ejemplo, si el país no tiene un nivel de protección similar al nuestro, se obliga a la empresa importadora de la información a firmar un contrato con cláusulas que fijan los usos legítimos desde el punto de vista europeo. "Es importante que el exportador, es decir, la empresa europea que transfiera esa información fuera, se asegure del cumplimiento de estas cláusulas. No vale con firmarlo y que quede en papel mojado", aclara Baradat, de Cuatrecasas, y explica que la omisión puede conllevar sanciones.

“"No hay muchos mecanismos efectivos para hacer que los derechos se mantengan en el tránsito"“

Para Mathias Souto, en cambio, las herramientas para garantizar ese cumplimiento no son suficientes. "No hay muchos mecanismos efectivos para hacer que los derechos de las personas de la Unión Europea se mantengan en estos tránsitos de datos", afirma la experta en la intersección entre leyes, género y tecnología.

En lo que respecta al control del cumplimiento, España está rezagada. Todavía no ha designado al Coordinador de Servicios Digitales que exige el reglamento europeo y Bruselas le ha sancionado por ello. El Gobierno nombró a la Comisión Nacional de los Mercados y la Competencia, pero el Congreso ha tumbado su propuesta.

Mientras tanto, Simona Levi lamenta que la institución no tenga partida presupuestaria ni dirección para estos asuntos y asegura que en la plataforma de activistas XNet ya lo tienen todo preparado para "montar pleitos" por incumplimientos del reglamento de servicios digitales para cuando tengan a dónde acudir.

Como explica Baradat, el resto de infracciones se vigilan por un órgano diferente, en función de su naturaleza: la Agencia Española de Protección de Datos, el Instituto Nacional de Ciberseguridad o la recién creada Agencia de Supervisión de la Inteligencia Artificial.