La regulación del Internet de las cosas. Una de las primeras cuestiones que deben plantearse cuando se piensa en la regulación del Internet de las cosas, es si es necesario que esa regulación sea, lo que en términos anglosajones se denomina, "hard law", o bien es suficiente con "soft law" en el sentido de tratarse de principios como guías, directrices, que pueden adoptarse como reglas modelos que rijan las relaciones entre los intervinientes en el Internet de las cosas. Algún autor ha postulado la necesidad de que la regulación del Internet de las cosas se haga con "hard law" al carecer el "soft law" de eficacia jurídica, más allá de la voluntad de las partes que lo adopten. Si se tratara de "hard law", en caso de incumplimiento de la norma, puede procederse a imponer una sanción, por la autoridad competente, cosa que no sucedería si se tratara de una regulación "soft law". En la práctica del Internet de las cosas, se han creado diversos protocolos para garantizar la confianza social, esencial, para el desarrollo de las relaciones entre los operadores. A título ejemplificativo, las redes sociales tienen sistemas de reputación para clasificar la honradez de sus miembros. Estos protocolos garantizan el cumplimiento de los acuerdos alcanzados, generando más confianza social, de manera que si se incumple o no se responde a las expectativas de buena fe y lealtad establecidas, el miembro es automáticamente expulsado de la red. Por ello, el grado de cumplimiento de estos protocolos, estándares, o prácticas, o usos es ciertamente elevado. En este sentido, pues parece que la regulación del Internet de las cosas puede discurrir perfectamente por el cauce del establecimiento de unos principios guías que, además, sean pocos, los cuales podrían ser adoptados por los usuarios de Internet, ya sean particulares, empresarios, administraciones públicas, organismos públicos, de forma o que adoptaran la forma de códigos deontológicos, o en el caso de grupos de multinacionales, las normas corporativas vinculantes. En la elaboración de estos principios reguladores del Internet de las cosas deben participar todos los representantes tanto del sector público como el sector privado y dentro del sector privado tanto empresarios como usuarios de Internet, es decir, la sociedad civil. ¿A qué principios nos referimos? El primer principio sería el principio de buena fe. El principio de buena fe impone el deber de informar al usuario tanto de la tecnología empleada como de que se están recabando datos y de su tratamiento, máximo si se trata de datos de carácter personal para que pueda ejercer su derecho a desconectar de la tecnología, a que se instale en su equipo terminal, o a que se recaben sus datos de acuerdo con una finalidad o varias finalidades. Finalidades que también deben darse a conocer a la persona afectada por el tratamiento. Esta información tiene que ser clara, detallada, transparente. Especialmente, es relevante cuando se emplean sistemas "reseat", imperceptibles al ojo humano, o sensores "wireless". De manera que el individuo, en estos casos, desconoce que efectivamente existen, que es portador de ellos y que se están recabando sus datos. La información debe ser clara, concisa, exacta y fácil de entender y de comprender, y debe contener un mínimo, debe haber un mínimo, es lo que llamamos "deber de transparencia". Los datos relativos al operador que instala la tecnología, qué tipo de tecnología se instala, la finalidad para la que se instala, los datos que se recaban, su tratamiento, la finalidad o finalidades que se persiguen con ese tratamiento, un resumen del informe relativo a la evaluación de impacto en la privacidad o en la seguridad de la tecnología empleada, los posibles riesgos para la seguridad, los derechos que puede ejercer el usuario de Internet o el portador de la etiqueta, cuando se halla en un entorno inteligente en el que se han instalado sensores wireless, son toda una serie de informaciones que se tienen que dar al usuario de Internet, en cumplimiento de este deber de transparencia. También podría crearse un registro administrativo donde se informara y que fuera accesible a cualquier sujeto, en uno o varios sitios webs donde se informe de los datos relativos a los tags incorporados a las cosas o del lugar en el que se han colocado sensores wireless para conocer dónde están instalados y, mediante el equipo terminal correspondiente, usualmente sería un teléfono móvil, el usuario pueda desactivarlos, si lo considera oportuno, son también elementos que se corresponden con el principio general de buena fe y el deber de transparencia. Otro de los principios es el del consentimiento. Conocido es que existe una doble forma, un doble modo, de exteriorización del consentimiento, el sistema que llamamos "opt-in" y el sistema que llamamos "opt-out". El sistema "opt-in" es un sistema en el que el usuario debe prestar su consentimiento de forma inequívoca y previo al tratamiento de esos datos o a la instalación de la tecnología. En el sistema "opt out", el segundo modo, el usuario portador del elemento identificador manifiesta su voluntad contraria al respecto, es decir, mientras no se pronuncie se entiende que consiente. El modo de exteriorización del consentimiento "opt-in" es más propio del sistema europeo, mientras que el sistema "opt-out" es más propio del sistema anglosajón. En la práctica tanto los sitios webs como los usuarios de Internet no tienen ningún reparo en estimar exteriorizado el consentimiento, mediante el sistema "opt- out", incluso aunque se trate de datos especialmente sensibles y eso que el Reglamento General de Protección de Datos opta por el sistema "opt-in". Eso, ¿a qué conduce? Nos lleva a afirmar que desde una perspectiva más global del Internet de las cosas, el modo de exteriorización del consentimiento, que hemos llamado"opt-out", es el que debería ser preponderante porque en la práctica ya lo es, incluso cuando se trata de los denominados datos sensibles. La única excepción, es decir, que se requiera el consentimiento previo del usuario, sería cuando se trata de insertar tecnología en el cuerpo humano o en una cosa específica propiedad de un usuario. La diferencia bosquejada entre el tipo de consentimiento, también es relevante a efectos de la distinción entre datos, materia prima y datos conocimiento. Dentro de los datos materia prima debe, a su vez, como hemos dicho, distinguirse los datos de carácter personal del resto de datos. Para los datos de carácter personal será necesario el consentimiento tanto para la instalación de la tecnología como para la captación y posterior tratamiento de los datos personales. En este sentido, si bien se trata de dos consentimientos informados diferentes, uno relativo a la tecnología y otro relativo a los datos, sí que se podrían presentar al usuario la información de forma única, para que con un único consentimiento se pueda considerar que consciente ambos, la inserción de la tecnología y la recogida de datos, de manera que se presentaría una única información de forma unitaria y no fragmentada. En relación con los otros datos, los datos materia prima, que no son datos de carácter personal, sobre los cuales todavía existe un derecho de exclusiva, entonces sí que necesitaremos ahí, recabar la autorización oportuna o en su caso celebrar un contrato de cesión o de licencia de determinadas facultades de explotación de esos datos, para poder proceder al tratamiento de los mismos. Esas licencias en la actualidad son obtenidas mediante medios electrónicos y en el Internet de las cosas son licencias digitales cuyo contenido está formado, en su mayor parte, por condiciones generales de la contratación. El Internet de las cosas está conduciendo a una desaparición gradual, paulatina, de los monopolios sobre innovación y arte. En cambio, respecto de los datos conocimientos que se generen, una vez se han tratado los datos materia prima, conviene tener presente que suelen estos datos plasmarse en un soporte tangible o intangible, normalmente en un soporte intangible. Es decir, el análisis de los datos tiene una forma concreta. Si la manipulación de los datos materia prima aboca a un resultado que se pueda calificar de original o novedoso, entonces recibirá protección por medio de las normas sobre derechos de autor o sobre las normas de propiedad industrial, es decir, patentes, marcas, diseño industrial. En caso contrario, que no se trate de datos de carácter personal, o que no sean novedosos, o originales pertenecerán al dominio público y entonces, podrá ser objeto de reutilización por otras personas, sin perjuicio del derecho del fabricante de la base de datos. En realidad, esta reutilización ha venido relativamente, de forma reciente, a ser regulada por la Unión Europea mediante una directiva que se refiere a la reutilización de la información de carácter público. El tercer principio, la privacidad desde el diseño y por defecto. Para los diseñadores y fabricantes de las diversas tecnologías empleadas en el Internet de las cosas, el diseño, la fabricación de la misma, representa una oportunidad para implementar lo que se ha dado en llamar, la privacidad desde el diseño. Es decir, poner la tecnología al servicio de la vida privada del individuo. El artículo 25 del Reglamento General de Datos determina la necesidad de proteger los datos personales desde el diseño del algoritmo y de la técnica, en la cual se basará el tratamiento de esos datos, por ejemplo: el anonimato, el pseudoanonimato, el encriptado de datos o la randomización son algunas de las medidas que se pueden adoptar. La tecnología debe ser neutra, de suerte que no se dificulte el ejercicio de los derechos por parte de los sujetos afectados. Una tecnología del anonimato que puede servir para esta finalidad, de protección de la privacidad, es la tecnología basada en la cadena de bloques o blockchain, sobre todo, para que el titular de estos datos pueda tener el control sobre ellos. La privacidad por defecto implica la minimización de los datos, es decir, recoger, procesar y almacenar la menor cantidad posible de datos, solamente los datos necesarios para la finalidad establecida por el responsable del tratamiento. Esta obligación se aplicará a la cantidad de datos, a la extensión del tratamiento, a su plazo de conservación, a su accesibilidad, de manera que los datos no puedan ser accesibles a un número indeterminado de personas, sin el consentimiento del titular de los datos. En cualquier caso, la medida que se adopte, siempre tiene que partir de los principios que rigen la protección legal de los datos personales, que son: los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de los datos, exactitud, limitación del plazo de conservación de los datos, integridad y confidencialidad. Podrán, también, emplearse mecanismos de certificación para acreditar el cumplimiento de estas obligaciones y el delegado de protección de datos deberá, entre otras posibles funciones siempre ampliables, supervisar el cumplimiento de éstas, como de otras obligaciones.
