En plena revolución con Meta por el uso de datos de sus diversas redes para entrenar su inteligencia artificial, y aún pendientes de la investigación de la AEPD a Worldcoin por sus actividades en relación al escaneo del iris, llega una nueva noticia que nos hace llevarnos de nuevo las manos a la cabeza y sin que muchos usuarios estén siendo conscientes. Xiaomi está comercializando un nuevo anillo Amazfit Helio Ring, un dispositivo wearable que anuncian realiza un monitoreo 24/7 del usuario.
¿Pero qué implicaciones tiene realmente para los usuarios que realice un seguimiento 24/7?
¿Qué es Amazfit Helio Ring?
El Amazfit Helio Ring es un anillo de aleación de titanio, pensado para ser utilizado habitualmente en entrenamientos deportivos, pero también para realizar un seguimiento del usuario 24/7. Mediante múltiples sensores permite realizar el seguimiento de la frecuencia cardíaca, el tiempo de recuperación, el nivel de oxígeno en sangre, el estrés, valorar la calidad del sueño y obtener distintas estadísticas.
El Helio Ring funciona con la aplicación Zepp, la misma que otros relojes de Amazfit, de forma que los datos obtenidos se comparten entre los dispositivos y es posible ver en una misma pantalla los datos combinados del reloj y del anillo.
¿No vemos ya el problema? Vamos a explicarlo.
¿Qué son los dispositivos wearable?
Amazfit Helio Ring es un dispositivo IoT enmarcado en la categoría de tecnología wearable. Es decir, tecnología que los usuarios podemos “ponernos” a modo de complemento. La categoría de tecnología wearable abarca una multitud de dispositivos, desde muñequeras, collares, anillos y pendientes hasta prendas de vestir. Y por supuesto, los smartwatchs (conocidos como relojes inteligentes) o relojes fitness, que ya la mayoría utilizamos.
Esta tecnología recopila datos de carácter biométrico o sanitario, como por ejemplo el ritmo cardiaco, peso, actividad deportiva, etc. Aunque también están diseñados para ayudar a las personas a realizar un seguimiento de su actividad diaria, supervisar sus patrones de sueño y alcanzar sus objetivos de salud.
¿Qué implicaciones tiene que realicen un seguimiento 24/7?
Desde la perspectiva legal, el funcionamiento de los dispositivos IoT se basa en la conectividad y en la recogida de datos masiva y continua, lo que pone sobre la mesa dos retos relativos a la seguridad.
Primero, un desafío en protección de datos, pues la realización de un seguimiento del usuario 24/7 implica la recolección continua de datos personales. Por lo general, algunos dispositivos IoT están siempre en espera activa de que se les emita una orden. Aunque en teoría sólo comienzan a recolectar información cuando marcamos o pronunciamos la orden de activación, en la práctica almacenan gran cantidad de información. Más concretamente, los dispositivos IoT como los dispositivos wearable están siempre activos, recopilando una gran cantidad de datos personales que quedan almacenadas en nuestras cuentas de usuarios de las distintas compañías.
Entre los datos recogidos por los dispositivos IoT están, por ejemplo, la ubicación, la información de salud o los hábitos diarios. Es decir, hablamos entre otros, de datos de categoría especial conforme al art. 9 del RGPD.
Ya en la web de Amazfit encontramos en su política de privacidad la siguiente declaración sobre datos que señalan serán no identificativos: “Usar información acumulada o sin datos identificativos. Podemos usar información personal y otros datos acerca de usted para crear información acumulada o sin datos identificativos, como información demográfica sin identificación, información de ubicación sin identificación, información acerca del dispositivo desde el que accede a nuestros Servicios u otro tipo de análisis que creemos. La información sin datos identificativos o acumulada no es información personal, y podemos usar y divulgar dicha información de diferentes maneras, como investigación, análisis interno, analítica y cualquier otro fin permitido por la ley,” Ahora bien, también se indicar que es posible: “Compartir contenido con amigos y colegas. Nuestros Servicios pueden ofrecer diversas herramientas y funcionalidades. Por ejemplo, podemos permitirle que nos proporcione información acerca de sus amigos mediante nuestros servicios de referencia.”
No obstante, a lo anterior habría que sumar la política de privacidad que debería aparecer al usuario al descargarse la App para el uso del anillo y, verificar los tratamientos y fines de los tratamientos de datos que se realizan, así como las posibles cesiones de dicha información. Y por lo general, estas políticas suelen incluir la cesión de datos a numerosas empresas o entidades.
Segundo, los dispositivos IoT también plantean desafíos en materia de ciberseguridad.
La exposición de motivos del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) recoge precisamente que el aumento de la digitalización conlleva un incremento de los riesgos en materia de ciberseguridad.
La realidad es que la conectividad de los dispositivos IoT los hacen sensibles a ataques cibernéticos. Existe el riesgo de que se produzca un robo de datos sensibles o que se utilicen los dispositivos como parte de una botnet para lanzar ataques contra otros dispositivos, poniendo en riesgo la seguridad informática y la seguridad de la información.
Así, por ejemplo, pueden detectarse las siguientes vulnerabilidades cibernéticas en los dispositivos IoT:
1. Complejidades por la amplia gama de dispositivos IoT con diferentes sistemas operativos, capacidades de hardware y protocolos de comunicación que dificulten la implementación de medidas de seguridad uniformes.
2. La gestión de identidades y accesos puede volverse compleja a medida que el número de dispositivos aumenta, lo que aumenta el riesgo de acceso no autorizado.
3. Algunos dispositivos IoT tienen recursos limitados, lo que dificulta la implementación de actualizaciones frecuentes de seguridad.
En resumen, el uso de dispositivos IoT, como los dispositivos wearable, con sensores conectados a Internet deja a los usuarios expuestos a poder sufrir vulneraciones del derecho a la intimidad.
Y cuando se piensa en ocasiones que concretamente nuestros datos a quien le van a interesar, hay que poner el foco más allá de la individualidad. El riesgo no es sólo sufrir un hackeo a título particular a priori, sino que los datos de millones de usuarios son recopilados por una empresa que puede cederlos con numerosos fines. Por lo general, estos datos pueden ser usados por empresas de marketing para crear perfiles detallados de los usuarios, que pueden venderse a empresas terceras sin el consentimiento del usuario. O, ser cedidos a entidades aseguradoras con gran interés por conocer nuestra salud para la delimitación del riesgo a la hora de que contratemos una póliza.
Bibliografía
Amazfit (s.f.) Amazfit Helio Ring. Amazon https://es.amazfit.com/pages/privacy-policy