Pulseras inteligentes: qué pasa con mis datos
Cada vez más personas llevan sobre la piel sensores que envían datos relacionados con la salud. ¿Qué control tenemos sobre ellos?
3 noviembre, 2015 01:30Pulseras que miden el pulso, ropa que recoge constantes vitales, relojes capaces incluso de registrar los latidos del corazón de un feto... Los dispositivos inteligentes para llevar puestos, los llamados wearables, van popularizándose poco a poco en todo el mundo. La palma se la llevan las pulseras y relojes inteligentes. Según la consultora tecnológica IDC, sólo hasta mediados de este año las principales compañías que desarrollan estos dispositivos lograron poner en el mercado mundial 18,1 millones de unidades, lo que supuso un incremento interanual del 223%.
Apple aterrizó este año con fuerza en este mercado con su Apple Watch, con 3,6 millones de unidades vendidas hasta agosto, y pisaba los talones al principal fabricante hasta esa fecha, Fitbit, que ha colocado 4,4 millones de sus pulseras y acapara la cuarta parte del mercado mundial. Otras compañías importantes que desarrollan wearables son Xiaomin, Garmin y Samsung.
Las pulseras y relojes con sensores recogen y envían un amplio abanico de datos fisiológicos de su portador, que abarcan desde las pulsaciones cardiacas hasta un registro de las etapas del sueño, y otros parámetros de actividad física. Algunos incluyen funciones para calcular de forma aproximada el porcentaje de grasa corporal, mediante una técnica denominada bioimpedancia.
Con su permiso
Los datos relacionados con la salud están considerados en España como de especial protección. El artículo 7.3 de la Ley Orgánica de Protección de Datos (LOPD) establece un marco básico que sólo legitima el tratamiento de dichos datos de salud por dos causas: consentimiento expreso del titular o habilitación legal por razones de interés general.
Emilio Aced, jefe de área de la Agencia Española de Protección de Datos (AGPD), considera que en el caso de este tipo de dispositivos la única fuente de legitimación válida es, naturalmente, el consentimiento. "En general, todos los tratamientos de consumo están basados en que la persona acepte los términos concretos. Es importante destacar que quien acepta los términos es quien se pone el sensor", apunta este experto.
Nadie te obliga a comprarte la pulsera. Eres tú quien te la pones y empiezas a transmitir esos datos
"Nadie te obliga a comprarte la pulsera, a permitir que recabe determinados datos y a que se envíen a un servicio remoto", afirma Aced, quien añade: "Eres tú quien te compras el dispositivo, te lo pones y empiezas a transmitir esos datos". "Normalmente todo el mundo te pide que aceptes sus términos y condiciones", apunta, "otra cosa es que te los leas o no; aquí entraríamos ya en el terreno de si la información proporcionada es suficiente o no".
Otro asunto clave es la transparencia en la gestión de esos datos, tal y como recoge el dictamen de las autoridades de protección de datos europeas sobre internet de las cosas -interconexión de objetos a través de la Red- publicado el año pasado. Esos datos deberían recogerse de forma "leal y legal" y el afectado debería ser consciente de ello, un requisito "especialmente importante dado que los sensores son diseñados para ser tan invisibles como sea posible".
"Si yo permito que se traten unos datos de salud tengo que saber en qué condiciones estoy aceptando ese tratamiento, para qué se van a utilizar, y luego ya decidiré si quiero o no compartirlos", recuerda Aced. "También tengo que saber si el gestor de todo esto va a hacer algo más con esos datos, como por ejemplo establecer perfiles para venderlos a compañías de seguros para estudios de tarificación y análisis de riesgos -evidentemente datos anónimos-, algo que ya está pasando. O ceder esos datos para investigaciones científicas con nombres y apellidos". "Todo eso lo tengo que saber claramente, de manera entendible, de modo que yo pueda aceptar esas condiciones de forma informada", concluye.
¿Estamos protegidos?
"Mi respuesta a si estamos protegidos es un absoluto no", afirma el experto y responsable de la firma ePrivacidad Samuel Parra. "Los usuarios utilizan estos dispositivos sin cuestionarse siquiera el uso que la empresa propietaria o terceros que tengan acceso a la información que genera el dispositivo van a hacer de ella".
En el mismo momento en el que el dispositivo toca la piel y empieza a recoger datos existe un tratamiento de los mismos y, por tanto, la AEPD entiende que se aplica la normativa española. Sergio Carrasco, ingeniero y abogado especializado en nuevas tecnologías, recuerda que "todo tratamiento nace regulado". "No me preocupa el dispositivo concreto, lo que me importa es la naturaleza del dato y las medidas que se deben de aplicar al tratarlo", comenta. "Por lo tanto, y dado que están relacionados con la salud, existen multitud de obligaciones que, casi seguro, se incumplen sistemáticamente", añade.
Samuel Parra también subraya que la normativa española se aplica porque "la empresa que recibe los datos del wearable utiliza medios (la pulsera, la camiseta, etc.) ubicados en territorio español", tal y como exige el artículo 2.1.c. de la LOPD. "Esto significa que, poniéndonos en el escenario en el que la pulsera la compramos a una tienda en China y la empresa que ofrece el servicio (la que recibe los datos) está en Estados Unidos, se seguirá aplicando nuestra normativa de protección de datos". Pero Parra alerta: "En la práctica me temo que las empresas, si están fuera de la UE, no atenderán las peticiones" de acceso o cancelación de datos.
Sería importante que, una vez aceptadas las condiciones del servicio, pudiéramos saber que no se hace nada que se salga fuera de ese parámetro que yo he aceptado
Emilio Aced comparte parcialmente este escepticismo: "Sería importante que, una vez aceptadas las condiciones del servicio, pudiéramos saber que no se hace nada que se salga fuera de ese parámetro que yo he aceptado". El problema es que no hay manera de comprobar que esto no sucede.
Por tanto, no importa que el dispositivo sea importado o se haya adquirido fuera de España: la normativa se aplica y cualquier ciudadano que no consiga acceder, modificar o cancelar sus datos puede acudir a la AEPD a solicitar amparo. "Si el tratamiento de datos ocurre en España y la compañía o establecimiento responsable de la gestión de esos datos está fuera de España, aún así tendría responsabilidad y en principio entendemos que el ciudadano puede solicitar amparo a la Agencia en caso necesario", sostiene Aced.
En cualquier caso, el experto de Protección de Datos afirma que "hablar en términos generales es difícil porque no hay una única manera de recoger datos ni un sólo modelo de negocio, ni de tratamiento de esa información, ni se trata para lo mismo". "Depende del contexto en el que se mueva lo que se ha recopilado", añade. "El modelo de Fitbit no tiene nada que ver con Apple Research Kit para investigar el cáncer o la diabetes y por eso, resolver el problema de cómo se aplica la ley en general es muy complicado", dice Aced.