La AEPD publica – Introducción a las tecnologías 5G y sus riesgos para la privacidad

El mundo de la protección de datos y las telecomunicaciones han estado siempre íntimamente relacionados. No solo por la gran cantidad de datos que tratan los operadores o prestadores de servicios de comunicaciones electrónicas (ni por ser un sector protagonista en casi todas las Memorias de la AEPD), sino por su particular regulación y efecto en las personas.

En este contexto, la tecnología 5G ha ganado protagonismo e importancia con la proliferación del internet de las cosas* en el año de su tan esperado despliegue (haciendo eco del Plan Nacional 5G). Hace unos días la AEPD publicaba una nota que viene a: (i) recoger un análisis inicial de los riesgos que para la privacidad entraña su uso; y (ii) ofrecer una serie de recomendaciones (la “Nota”).

La Nota comienza con una breve introducción a la historia de la telefonía móvil:

 

5 Capture-1536x756

La Nota continúa describiendo las principales novedades que traerá el 5G. Para ello, la AEPD empieza explicando dos conceptos importantes: la red de acceso (parte de la red que conecta a usuarios finales con la red central del operador) y la red core (parte central de la red de un operador de telecomunicaciones). Asimismo, destaca las cuatro características principales de esta tecnología y que la convierten en disruptiva:

5 Capture-1-440x401

Alejándonos de la parte más técnica –pese a ser de gran interés- y centrándonos en los principales riesgos para la privacidad, la Nota destaca los siguientes:

  • Geolocalización más precisa – dado que el 5G empleará más estaciones de base y de mayor proximidad, la precisión de la geolocalización será mucho mayor.
  • Perfilado y decisiones automatizadas – con la ingente cantidad de nueva información que se comenzará a tratar, la individualización precisa de las personas y el desarrollo de servicios que permitan la toma de decisiones automáticas sobre las personas será todavía más factible que hoy en día (cuidado con la IA y el internet de las cosas).
  • Responsabilidad de los players – dado que el número de agentes que participan en esta tecnología (fabricantes, operadores de red y proveedores de servicio) aumentará, la responsabilidad de cada uno de ellos puede quedar diluida. Cada agente tendrá objetivos diferentes acerca de la privacidad, seguridad, etc., así como sus propias obligaciones legales. Esto hace difícil que los usuarios sean conscientes de “todo lo que ocurre” al utilizar un dispositivo y que se pierda el control sobre la información.
  • Ausencia de modelo homogéneo de seguridad – como consecuencia del número de agentes involucrados en el 5G, no existe a día de hoy un estándar común de seguridad. Dicho esto, es cierto que el 5G trae consigo importantes mejoras en lo que a seguridad se refiere.
  • Aumento exponencial de la superficie de exposición a ciberataques – todas las ventanas que se abren gracias a esta tecnología también traen consigo el incremento de amenazas a la privacidad. A mayor número de ventanas y agentes, más facilidad de encontrar una vulnerabilidad.
  • Posible pérdida de control del usuario – dado el dinamismo del modelo de procesamiento que utiliza el 5G, los datos de los usuarios se moverán en tiempo real a la ubicación física en el que sean más necesarios o más eficaz su procesamiento.
  • Herencias del pasado – en lo que respecta a problemas de privacidad derivados de infraestructuras estándar interoperables, entornos virtuales y funciones compartidas, etc.

Es necesario tener en cuenta estos riesgos desde los estadios iniciales del diseño de los tratamientos de datos, para así desarrollar e implementar medidas mitigadoras en línea con lo previsto en el artículo 25 RGPD.

Finalmente, la Nota recoge una serie de recomendaciones a tomar en consideración por los agentes que intervengan en la implementación, gestión y explotación de la tecnología 5G:

  • Transparencia – en un escenario como el del 5G, en el que aparecen nuevos agentes, es de vital importancia que los usuarios tengan información clara acerca de las finalidades del tratamiento, decisiones automatizadas y procesos de perfilado, la trazabilidad de los datos y los detalles sobre el acceso y uso de medidas de control sobre los datos a su disposición.
  • Roles – definir los roles y responsabilidad de cada uno de los agentes intervinientes es crítico para evitar la desprotección de los usuarios.
  • Minimización – este principio deberá estar siempre presente, sobre todo en relación con la georreferenciación.
  • Seguridad – se debe destacar la compartimentación de los datos. Junto a esto, es vital que exista una homogeneización de los criterios de seguridad entre los distintos agentes implicados y garantizar el cifrado de las comunicaciones extremo a extremo.
  • Cumplimiento del RGPD – entre otras, destacar cuestiones como asegurar un correcto uso de la información sobre la toma de decisiones automatizadas, implementar garantías para una correcta transferencia internacional de datos y realizar auditorías de las infraestructuras y servicios. Además, las evaluaciones de impacto de protección de datos deberán estar a la orden del día y aumentará la utilidad de los esquemas de certificación como medio para implementar y demostrar la responsabilidad proactiva en el tratamiento de datos personales.
  • Analizar el pasado para evitar errores en el futuro – no basarse en modelos que son considerados vulnerables. Esto requerirá, entre otras cuestiones, actualizar la normativa y estándares aplicables.

En conclusión, es indiscutible que la tecnología 5G ha venido para quedarse y revolucionar la sociedad digital. Eso sí, como toda revolución, trae riesgos y nuevas batallas a librar. Lo importante es avanzar sobre seguro y diseñar medidas que garanticen una correcta protección de los usuarios y sus derechos.

 

*No perdemos la oportunidad para apuntar la nueva publicación del INCIBE a este respecto

 

 

Escrito por Víctor Mella y Santiago de Ampuero

Contacts
Gonzalo F. Gallego
Partner
Madrid
Santiago de Ampuero
Associate
Madrid
Victor Mella
Associate
Madrid

 

This website is operated by Hogan Lovells Solutions Limited, whose registered office is at 21 Holborn Viaduct, London, United Kingdom, EC1A 2DY. Hogan Lovells Solutions Limited is a wholly-owned subsidiary of Hogan Lovells International LLP but is not itself a law firm. For further details of Hogan Lovells Solutions Limited and the international legal practice that comprises Hogan Lovells International LLP, Hogan Lovells US LLP and their affiliated businesses ("Hogan Lovells"), please see our Legal Notices page. © 2020 Hogan Lovells.

Attorney advertising. Prior results do not guarantee a similar outcome.