IoT (II): Del Internet de las Cosas al Internet de los Cuerpos

El avance de la tecnología hiperconectada se está acrecentando en nuestros días. El Internet de las cosas o ‘IoT’ es una realidad que ha llegado a los hogares a través de todo tipo de dispositivos ‘inteligentes’ que podemos encontrar incluso en los supermercados, pero también en vehículos y en nuestros cuerpos. En este último caso, surgen nuevos riesgos para los derechos y libertades, que también podrían serlo para la salud.

IoT II

‘The Internet of Things’ o ‘Internet de las Cosas’ (IoT) es un concepto que fue propuesto en 1999 por Kevin Ashton para describir el fenómeno de interconexión digital entre los objetos del mundo físico e Internet. La aparición de cada vez más dispositivos conectados que podemos usar para controlar aspectos relativos al bienestar y la salud llevándolos con nosotros, ha dado lugar al concepto de Internet de los Cuerpos (Internet of Bodies, IoB) o cuerpo conectado. El uso de estos dispositivos para monitorizar distintos parámetros de nuestro cuerpo tiene como resultado el tratamiento de datos biométricos y de salud con indudables ventajas, pero también implica riesgos para la privacidad y, en determinadas circunstancias, pueden llegar a comprometer la integridad física de la persona usuaria.

Se puede definir conceptualmente el Internet de los Cuerpos como el uso de dispositivos conectados a Internet que monitorizan y/o actúan sobre todas o algunas de nuestras constantes vitales y otros datos biométricos, así como otros indicadores de salud como actividad física, calidad del sueño, actividad deportiva o sedentarismo. Todo esto son datos personales que van a ser analizados, explotados, almacenados, y en definitiva procesados de muy diversas formas, por diferentes personas responsables y encargadas del tratamiento.

Este cambio conceptual permite comprender que en determinadas circunstancias los sensores y dispositivos, a pesar de pertenecer al ámbito del IoT, no monitorizan ‘cosas’, sino que cuantifican personas.

Existen tres niveles de implantación o generaciones de IoB, en función del grado de acoplamiento al cuerpo:

  • Primera generación: dispositivos externos al cuerpo. Las personas portan de forma continua accesorios que pueden enviar multitud de datos personales a diferentes entidades a través de Internet. Algunos ejemplos de esta generación son las pulseras de monitorización de actividad física o smartwatches con funcionalidades similares. También pertenece a esta generación otro tipo de dispositivos, como las diademas con sensores de electroencefalograma (EEG) para interpretar la actividad cerebral y detectar diversas situaciones como nivel de atención, concentración, descanso, estrés, etc. Esta primera generación es una realidad desde hace años.
  • Segunda generación: dispositivos internos al cuerpo. A esta generación pertenecen los dispositivos que se encuentran dentro del cuerpo de la persona, incluidos aquellos que puedan ser implantados. Destacan los dispositivos con finalidad médica (Medical IoT o MIoT): los marcapasos, los implantes cocleares o en un futuro órganos desarrollados mediante impresión 3D (como la bioimpresión de páncreas que permitirá regular el uso de la insulina para personas con algunos tipos de diabetes). También formarían parte de esta generación las ‘píldoras digitales’ (ingeribles) que, tras ser ingeridas pueden transmitir datos desde el interior del sistema digestivo de la persona mediante sensores. Relacionado con esta generación, destaca la existencia de comunidades de biohackers, que buscan modificar y alterar su cuerpo mediante la implantación de distintos tipos de componentes tecnológicos con el objetivo de mejorar las capacidades humanas. Si bien el uso médico de dispositivos implantables no es novedoso, sí lo es su conexión a Internet, que se ha visto especialmente impulsada en el marco de la pandemia de la Covid-19, al pretender sustituir a la recogida de datos clínicos por un especialista.
  • Tercera generación: dispositivos fusionados con cuerpo. Esta generación, aún en fase de desarrollo, busca la fusión entre el cuerpo humano y la tecnología para lograr una interfaz de comunicación que permita interpretar y actuar sobre los propios elementos biológicos. Un ejemplo es la mejora cerebral, que puede ayudar a personas con problemas neurodegenerativos como Alzheimer o Parkinson. Este tipo de generación está relacionada con la interfaz-cerebro computadora o ‘Brain Computer Interface’ (BCI), que es una tecnología aplicada al entrenamiento cognitivo para prevenir los efectos del envejecimiento en el que las ondas cerebrales son interpretadas por una máquina.

El empleo de estas tecnologías se puede enmarcar en un tratamiento médico (también llamadas MIoT de Medical IoT) o por iniciativa de la propia persona usuaria. En este último caso, y dada la conectividad inherente de los sistemas IoB, el Reglamento General de Protección de Datos también se aplica a las personas responsables o encargadas del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas (Considerando 18). El IoB, especialmente en la tercera generación, plantea ciertas cuestiones que, si bien no son ajenas a los riesgos para la protección de datos inherentes al IoT, pueden verse potenciadas:

  • Un ataque a dispositivos de este tipo puede poner en grave riesgo la salud de las personas, incluso su vida. En tal caso, la pérdida de privacidad afecta directamente a la vida de la persona. Por ejemplo, en 2017 la FDA (la Administración de Alimentos y Medicamentos de los Estados Unidos) realizó un comunicado alertando a los pacientes y a las pacientes de un marcapasos particular que fueran urgentemente a ver a su médico para una actualización de firmware, dado que una vulnerabilidad detectada podría facilitar que un atacante comprometiera su marcapasos y les dañara físicamente.
  • La fiabilidad, robustez ante ciberataques y la resiliencia de todo el tratamiento en el que se enmarcan los dispositivos debe ser la máxima posible. En particular, cuando están orientados a colectivos vulnerables. Es esencial aplicar los principios de protección de datos desde el diseño y por defecto, además de medidas de seguridad y, para evitar vulnerabilidades, es conveniente evitar incorporar características que no sean necesarias.
  • Confiar en exceso en el uso de dispositivos tanto para la recogida como el análisis de los datos y usarlo como sustituto de un especialista humano, en vez de un complemento, aboca a los pacientes y las pacientes a ser sometidos a decisiones automatizadas que les afecten significativamente.
  • La conectividad a través de Internet incorpora la generación de metadatos, incluso datos de geolocalización, que podría derivar en el perfilado de las personas, obtención de datos sobre reacciones emocionales, capacidades cognitivas, salud mental, preferencias, gustos de todo tipo, consumo, o en el filtrado de esta información a terceros.
  • La transferencia de dispositivos entre personas, en el caso de que los compartan, vendan o sean reasignados por la autoridad sanitaria, podría llegar a comprometer datos privados de la ciudadanía.
  • La utilización de sistemas con cláusulas de descargo de responsabilidad, en los que no se garantice la calidad del servicio en su operativa, su operación en redes que tampoco garantice tiempos de respuesta o los problemas de compatibilidad pueden suponer un fallo en la disponibilidad de los datos en momentos críticos.
  • Es necesario incorporar protocolos de auditoría de los tratamientos en los que se incorporen dichos dispositivos, no solo de los dispositivos en sí. En tanto que, además, los datos obtenidos con estos dispositivos están ampliamente vinculados al uso de soluciones de Inteligencia Artificial con sus riesgos asociados.
  • Es posible llegar a escenarios en los que se produzca el acceso a los datos recogidos por dichos dispositivos por terceros con distintas finalidades, como ejemplo, en el caso de empresas aseguradoras a la hora de contratar pólizas, contrataciones o controles fronterizos, lo que podría a su vez suponer una discriminación hacia las personas que no tienen los hábitos que a juicio de los dispositivos son saludables, o hacia quienes se nieguen a dar acceso o a utilizarlos.
  • Los riesgos asociados a la interacción directa máquina-hombre, especialmente en aplicaciones BCI, que pueden llevar a escenarios de manipulación social, modificación e influencia sobre el comportamiento humano sin precedentes.
  • Finalmente, nos encontramos con el posible problema de ausencia de conocimiento en la sociedad civil acerca de los riesgos asociados, lo que debe ser resuelto por los responsables de tratamiento para dar cumplimiento al derecho de información de las personas interesadas y al principio de transparencia, elemento esencial de responsabilidad proactiva.

Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

Entradas relacionadas