SciELO - Scientific Electronic Library Online

 
vol.16 issue1ADOPTION OF TECHNOLOGY IN THE LEGAL PROFESSIONALS’ PERSPECTIVELEGAL EDUCATION AND TECHNOLOGICAL INNOVATION: A CRITICAL ESSAY author indexsubject indexarticles search
Home Pagealphabetic serial listing  

Services on Demand

Journal

Article

Indicators

Related links

Share


Revista Direito GV

On-line version ISSN 2317-6172

Rev. direito GV vol.16 no.1 São Paulo  2020  Epub Apr 27, 2020

https://doi.org/10.1590/2317-6172201953 

DIREITO E TECNOLOGIA

Un hito jurídico sobre Internet de las Cosas: la Ley de California n° 327 del año 2018 vigente a partir del 1 enero del 2020

A LEGAL MILESTONE ON THE INTERNET OF THINGS: THE CALIFORNIA’S LAW N° 357, 2018, WITH EFFECT FROM JANUARY 1ST 2020

UM MARCO LEGAL NA INTERNET DAS COISAS: A LEI DA CALIFÓRNIA N° 357, DE 2018, VIGENTE A PARTIR DE 1º DE JANEIRO DE 2020

Adriana Margarita Porcelli1 
http://orcid.org/0000-0002-5192-5893

1Universidad Nacional de Luján, Departamento de Ciencias Sociales, Luján, Buenos Aires, Argentina


Resumen

El objetivo de este artículo consiste en definir el ecosistema denominado Internet de las Cosas y analizar la Ley de California n° 327 Information privacy: connected devices, publicada el 28 de septiembre de 2018 y agregada a la Sección 1, Parte 4 de la División 3 del Código Civil californiano, bajo el título Title 1.81.26. Security of Connected Devices, y que entró vigencia recién el 1 de enero de 2020. A tales efectos, comprende dos partes: la primera delimita el marco conceptual-tecnológico y la segunda examina los diferentes principios adoptados en la Ley n° 327 Information privacy: connected devices, y a la vez presenta sus más duras críticas, así como los argumentos en su defensa. Además, realiza un análisis comparativo de dicha legislación con el Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas”. Finalmente concluye que existe un acuerdo en la comunidad técnico-científica sobre que esta ley sienta un punto de inflexión en la protección de los consumidores de los dispositivos conectados y que reaviva el debate legislativo.

Palabras claves Internet de las Cosas; legislación; California; privacidad; ciberseguridad

Abstract

The present article consists of defining the ecosystem called Internet of Things and California Law No. 327 Information privacy: connected devices, published on 28th September 2018 and added to California Civil Code, Section 1, Part 4, Division 3, under the title Title 1.81.26. Security of Connected Devices, with effect only since January 1st 2020. To stories effects, comprises two parts: the first defines the conceptual-technological framework and the second examines the different principles adopted in Law No. 327 Information privacy: connected devices, and, at the same time, presents its harshest criticism as well as arguments in its defense. It also carries out a comparative analysis of this legislation with the opinion of the European Economic and Social Committee on Trust, Privacy and Security of Consumers and Businesses in the Internet of Things. Finally, it’s concluded that there is an agreement in the technical-scientific community that this law is a turning point in the protection of consumers of connected devices and that it revives the legal debate.

Keywords Internet of things; legislation; California; privacy; cybersecurity

Resumo

O objetivo deste artigo é definir o ecossistema denominado Internet das Coisas e analisar a Lei n. 327 da Califórnia (Information privacy: connected devices), publicada em 28 de setembro de 2018 e adicionada à Seção 1, Parte 4 da Divisão 3 do Código Civil californiano, sob o título Title 1.81.26. Security of Connected Devices, entrando em vigência recentemente, em 1º de janeiro de 2020. Para tanto, está dividido em duas partes: a primeira delimita o arcabouço conceitual-tecnológico, e a segunda examina os diferentes princípios adotados na Lei n. 327 da Califórnia, ao mesmo tempo em que apresenta suas críticas mais severas e argumentos em sua defesa. É realizada também uma análise comparativa dessa legislação com o parecer do Comitê Econômico e Social Europeu sobre Confiança, Privacidade e Segurança dos Consumidores e das Empresas na Internet das Coisas. Por fim, conclui-se que existe um consenso na comunidade técnico-científica de que essa lei é um ponto de virada na proteção dos consumidores de dispositivos conectados e que ela revive o debate jurídico.

Keywords Internet das Coisas; legislação; Califórnia; privacidade; segurança cibernética

Introducción

Los economistas afirman que la humanidad se encuentra en el preludio de la Cuarta Revolución Industrial, llamada también Industria 4.0 (término utilizado por primera vez en la Feria de Hanover, Alemania, en el año 2011), continuadora de los otros tres procesos históricos transformadores: la Primera Revolución Industrial (entre 1760 y 1830) marcó la transición de la producción manual a la mecanizada; la Segunda, alrededor de 1850, introdujo la electricidad y permitió la manufactura en masa; y la Tercera, a mediados del siglo XX, denominada la Revolución Digital, basada en el uso de tecnologías de información para automatizar aún más la producción. Esta Cuarta Revolución Industrial no se define por un conjunto de tecnologías emergentes en sí mismas, sino por la completa digitalización de las cadenas de valor a través de la integración de tecnologías de procesamiento de datos, software inteligente y sensores. Recurriendo a Internet, a los sistemas ciberfísicos y a las redes virtuales con posibilidades de controlar objetos materiales, se pueden ir modernizando las plantas fabriles hasta transformarlas en fábricas inteligentes (PERASSO, 2016).

El Comité Económico y Social Europeo, en su dictamen de iniciativa emitido el 31 de mayo de 2017 sobre la “Inteligencia artificial: las consecuencias de la inteligencia artificial para el mercado único (digital), la producción, el consumo, el empleo y la sociedad”, señala que en la Cuarta Revolución Industrial, marcada por la convergencia de tecnologías digitales, físicas y biológicas, Internet de las Cosas es el ámbito predilecto de aplicación de las formas más avanzadas de inteligencia artificial y se pone a prueba el principio según el cual los seres humanos tienen en todo momento control (CESE, 2017, p. C 288/1). No se trata que las máquinas reemplacen a los trabajadores, sino se promueve el desarrollo de programas de inteligencia artificial y robotización “inclusivos” de manera que los trabajadores sigan ocupando un lugar central en el proceso y participen en su mejora. Se espera que se desarrolle y realice un entorno en el que los humanos y los robots y/o la inteligencia artificial coexistan y trabajen para mejorar la calidad de vida al ofrecer servicios personalizados y diferenciados que puedan satisfacer las diversas necesidades de los usuarios. Asimismo destaca que no es éticamente aceptable que un ser humano sea considerado un mero ejecutor de la máquina, sino que se espera que la educación capacite a los trabajadores a la realización de tareas más creativas y que se delegue en las máquinas las que son monótonas y repetitivas.

Dicho en forma más simple, se trata de una producción industrial en la que todos los productos y máquinas están interconectados entre sí digitalmente. Las nuevas tecnologías y enfoques están fusionando los mundos físico, digital y biológico de manera que transformarán a la humanidad en su esencia misma.

En ello radica lo novedoso de esta nueva revolución, que a diferencia de las anteriores que se desarrollaron exclusivamente en el mundo físico, la actual conecta ese ámbito físico con el espacio digital, utilizando como medio de comunicación Internet (Internet de las Cosas, IOT, siglas en inglés de Internet of Things) y como mensaje los propios metadatos o datos.

La digitalización está permeando la economía con tal intensidad que se dice que los datos son el nuevo petróleo,1 o que quien maneje los datos hoy maneja el mundo. Las empresas que gozan de mayor cotización en el mundo son empresas que ofrecen servicios gratuitos, por ejemplo, Google, Facebook, Twitter, pero nada en la Web es del todo anónimo ni gratuito. Al parecer los consumidores no evidencian el real poder de los datos ya que están dispuestos a entregarlos para recibir un servicio en línea, así como tampoco por parte de muchas empresas que no gestionan eficientemente la información que poseen. A lo complejo del tema debe agregarse la necesidad de coordinación internacional al tratarse de asuntos que trascienden las fronteras nacionales. En 2017 cerca de 4 billones de personas -más de la mitad de la población mundial- utilizaban Internet y un 56 por ciento lo hacían con suscripciones a servicios móviles. Por otra parte, el 61 por ciento de dichas suscripciones operaban sobre redes 3G o 4G y durante el 2017 se descargaron 175.000 millones de aplicaciones y se usaban activamente alrededor de 40 en cada teléfono inteligente. A principios de 2018 se registraban más de 5.000 millones de usuarios únicos de telefonía móvil, de los cuales 57 por ciento utilizaban teléfonos inteligentes. En enero de 2018 más de 3 billones de personas -el 42 por ciento de la población mundial- usaban mensualmente las redes sociales. Entre las nuevas tecnologías que están impulsando la digitalización, la Internet de las Cosas es una de las que se prevé tendrá mayor impacto, tanto en el desarrollo de bienes y servicios para los consumidores como para usos productivos (CEPAL, 2018, p. 19-20).

Según estimaciones realizadas por la consultora Gartner, en 2020, el número de objetos conectados a Internet será de más de 26 billones (excluyendo PCs, tablets y smartphones), e la Internet de las Cosas aportará por sí misma un valor de 1,9 billón de euros a la economía mundial, lo que demostra la gran importancia estratégica que representará la economía digital en los próximos años (GARTNER, 2013).

En sintonía, el estudio del McKinsey Global Institute, intitulado “The Internet of Things: How to capture the value of IoT”, resalta que una Internet de las Cosas completamente conectada podría añadir hasta US$11 billones a la economía global al año para el 2025 a través de diferentes entornos, incluyendo fábricas, ciudades y ámbitos minoristas (McKINSEY & COMPANY, 2018, p. 4).

De lo anteriormente expuesto, se puede deducir que Internet de las Cosas genera una enorme cantidad de datos transmitidos que son analizados a una velocidad antes inimaginable, realizando predicciones. Es destacable su valor en sectores claves como en el sanitario, en las Smart Cities, en el de la distribución, entre otros. Pero también conlleva importantes riesgos, como son los futuros usos no previstos en el momento de obtener la información y el consentimiento para ellos, la generación de perfiles, la manipulación, la monitorización de la conducta (profiling) y las valoraciones basadas en decisiones automatizadas que pueden perjudicar seriamente a las personas. Redes sociales, como Facebook o Twitter, permiten conocer los intereses de millones de personas en tiempo real, a qué estímulos responden, cuándo se conectan, qué compran, qué sitios visitan, con quiénes interactúan y más. Al cruzar esa enorme cantidad de datos con las que tienen, por ejemplo, las tarjetas de crédito o los resultados electorales, se puede medir casi todo.

Todas estas tecnologías, denominadas actualmente disruptivas, deben ser reguladas efectivamente por el derecho. En todos los países se evidencia una marcada tendencia a la formulación e implementación de estrategias y agendas digitales cada vez más integrales, como las dos Cumbres Mundiales para la Sociedad de la Información (CMSI) de 2003 y 2005, la inclusión de las TICs en los Objetivos de Desarrollo Sostenible de las Naciones Unidas (ODS) en 2015, el Foro de la Cumbre Mundial de la Sociedad de la Información de 2018 “Aprovechando las TICs para construir Sociedades de la Información que alcancen los ODS” y la formulación de sucesivos planes regionales de acción como la VI Conferencia Ministerial sobre la Sociedad de la Información en América Latina y el Caribe de 2018 (eLAC 2020).

En marzo de 2015, la Comisión Europea publicó la “Alianza para la Innovación de Internet de las Cosas” para apoyar la creación de un ecosistema de Internet de las Cosas europeo innovador e impulsado por la industria. En mayo de 2015 adoptó la Estrategia del Mercado Único Digital y el 19 de abril de 2016 publicó el documento Advancing the Internet of Things in Europe, es decir, “Avanzando en la Internet de las Cosas en Europa”. Dicha comunicación resaltó que las tecnologías digitales estaban evolucionando a un ritmo tan rápido que debía supervisarse constantemente el marco jurídico para garantizar su consonancia con el desarrollo tecnológico. A tales efectos, expresó la necesidad de examinar el marco normativo de las innovaciones digitales para esclarecer, entre otros temas, la propiedad y el uso de los datos generados en un contexto industrial; los sistemas que actúan de modo autónomo, como los vehículos sin conductor o los drones y las aplicaciones y demás softwares no empotrados, vale decir, no incluido en un medio tangible, temáticas que representan un desafío para las normas de seguridad y responsabilidad (CE, 2016, p. 15).

El 6 de diciembre de 2018, el Comité Económico y Social Europeo, a propuesta de Carlos Trias Pintó, aprobó el dictamen de iniciativa intitulado Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas”, que parte de la premisa que uno de los pilares de la Internet de las Cosas radica en la toma de decisiones automáticas sin intervención humana, y que la interconectividad de personas y objetos representa un inmenso abanico de oportunidades para los ciudadanos y las empresas. Sin embargo, reconoce la necesidad de dotar de un marco jurídico adecuado, estableciendo una serie de garantías y controles para asegurar una implantación satisfactoria del mismo que garantice los derechos de los consumidores. (CESE, 2018, p. C440/8).

El 27 de junio de 2019 entró en vigor el Reglamento 2019/881 del Parlamento Europeo y del Consejo relativo a ENISA (Agencia Europea para la Ciberseguridad, que pasa a llamarse Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento nº 526/2013 (Reglamento sobre la Ciberseguridad). Los dos objetivos principales de la Cibersecurity Act son, por un lado, dar a ENISA un papel más relevante en el ámbito de la ciberseguridad, estableciendo una serie de objetivos y tareas y; por el otro, la creación de un marco común de certificación a nivel europeo, con la finalidad de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos informáticos en la Unión, evitando la fragmentación del mercado interior. Eso sí es de destacar que ese marco en principio será voluntario. La Comisión está evaluando hasta qué punto este plan será obligatorio para 2023.2

Estados Unidos están mucho más avanzados en el tema legislativo. El 1 de agosto de 2017, el senador Mark Warner presentó una propuesta de ley A Bill S.1961 intitulada Internet of Things (IoT) Cybersecurity Improvement Act of 2017 con el objetivo de establecer los estándares mínimos de seguridad que deben cumplir los dispositivos conectados a Internet adquiridos por las agencias federales, pero no para los electrónicos en general. En paralelo, el senador Roger Wicker introdujo, el 14 de diciembre de 2017, un proyecto de ley A Bill S.2234, Internet of Things Consumer Tips to Improve Personal Security Act of 2017 y el 6 de julio de 2018, el senador Robert Latta presentó un proyecto de ley H.R. 6032 State of Modern Application, Research, and Trends of IoT Act. Pero ninguna de las iniciativas señaladas ut supra, hasta la fecha, se convirtió en ley. Por tanto, se destaca que el Gobernador del Estado de California, Jerry Brown, promulgó el 28 de septiembre de 2018 un proyecto de ley SB-327 Information privacy: connected devices que fue agregado a la Sección 1, Parte 4 de la División 3 del Código Civil, bajo el título Title 1.81.26. Security of Connected Devices, lo que convierte a California en el primer Estado con una ley de seguridad cibernética que cubre los dispositivos “inteligentes”.

Este estudio consiste en definir y enumerar los componentes necesarios para el funcionamiento del ecosistema denominado Internet de las Cosas y analizar la Ley de California n° 327 Information privacy: connected devices, publicada el 28 de septiembre de 2018 y agregada a la Sección 1, Parte 4 de la División 3 del Código Civil californiano, bajo el título Title 1.81.26. Security of Connected Devices, y que entró vigencia recién el 1 de enero de 2020. A tales efectos, este artículo comprende dos partes: la primera, que delimita el marco conceptual-tecnológico, y la segunda, que examina los diferentes principios adoptados en la Ley n° 327 Information privacy: connected devices, y a la vez presenta sus más duras críticas, así como los argumentos en su defensa. Y finaliza con un análisis comparativo de dicha legislación con el dictamen de iniciativa del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en el Internet de las Cosas”.

1. Internet de las Cosas

La Internet de las Cosas parte de la base que no solo las personas están conectadas sino también todo lo que pueda ser controlable desde el punto de vista electrónico: una casa, los electrodomésticos, las luces, la calefacción, los celulares o un auto, para citar algunos ejemplos. Se fundamenta en la relación máquina-máquina (Machine to machine o M2M), que implica el control de un dispositivo sobre otro, ambos conectados por Internet y sin la gestión de una persona.

El término Internet de las Cosas fue empleado por primera vez en 1999 por el británico Kevin Ashton, cofundador y director del Auto-ID Center del Instituto de Tecnología de Massachusetts (MIT), para describir un sistema en el cual los objetos del mundo físico se podían conectar a Internet a través de sensores. Ashton acuñó este término para ilustrar el poder de conectar a Internet las etiquetas de identificación por radiofrecuencia (RFID) que se utilizaban en las cadenas de suministro corporativas para contar y realizar un seguimiento de las mercancías sin necesidad de intervención humana.

Según la Unión Internacional de Telecomunicaciones (UIT), se trata de una infraestructura mundial al servicio de la sociedad de la información, que propicia la prestación de servicios avanzados mediante la interconexión (física y virtual) de las cosas, gracias al interfuncionamiento de tecnologías de la información y la comunicación (existentes y en evolución) (CEPAL, 2016, p. 34). Para aprovechar las capacidades de identificación, adquisición de datos, procesamiento y comunicación, utiliza plenamente los objetos para ofrecer servicios a todos los tipos de aplicaciones, lo que garantiza a su vez el cumplimiento de los requisitos de seguridad y privacidad. La Recomendación UIT-T Y.2060 aclara e identifica las características fundamentales de Internet de las Cosas, a la vez que pronostica que integrará muchísimas de las tecnologías avanzadas, como las relacionadas con la comunicación máquina a máquina, las redes autónomas, la minería de datos y la toma de decisiones, la protección de la seguridad y la privacidad y la computación en la nube, así como tecnologías avanzadas de detección y accionamiento (UIT, 2012, p. 8). Según el “Dictamen 8/2014 sobre la evolución reciente de la Internet de los Objetos”, adoptado el 16 de septiembre de 2014 y elaborado por el Grupo de Trabajo sobre Protección de Datos del Artículo 29 -órgano consultivo de la Unión Europea-, Internet de las Cosas comprende los sensores con capacidad de interacción entre ellos y con otros sistemas, que se incorporan a dispositivos de uso cotidiano de forma que recogen, tratan, almacenan y transfieren datos utilizando capacidades de interconexión en red, vale decir, con Internet.3

Además, identifica tres grandes bloques sobre los que se pueden desarrollar esa conexión:

  • a) Tecnologías ponibles (wearable computing) son aquellos dispositivos que se han miniaturizado, de tal manera que sean portables y ofrezcan información sobre el entorno y las personas. El objetivo es que la tecnología sea imperceptible para el usuario final y que se encuentre presente en su vida cotidiana, sin tener que acudir a tablets y smartphones que son más pesados, por ejemplo, lasGoogle Glass, que son una computadora ponible que incluye un pequeño dispositivo de visualización de cristal líquido. Se activa a través de la voz y los usuarios pueden desplazarse por los menús gracias a un teclado táctil situado en el lateral del dispositivo. Permite utilizar un número cada vez mayor de aplicaciones y, entre otras cosas, se pueden tomar fotografías, grabar videoclips, cargar archivos en Internet, efectuar búsquedas en línea y enviar mensajes de correo electrónico. Nikefue una de las primeras empresas en adoptar esas tecnologías al introducir, en 2006, el dispositivo para la práctica deportivaNike+iPod. (POOLE, 2014, p. 9-15) Otro ejemplo destacable lo constituye la compañía británica Intelligent Environments, la cual desarrolló una plataforma virtual que se conecta a una pulsera que envía pequeñas descargas eléctricas (de 17 a 340 voltios) al usuario, cuando sus gastos superan lo deseado.4

  • b) Dispositivos que registran información sobre la actividad de las personas: en este grupo se ubican las informaciones sobre los lugares visitados, entre otros. Eso supone tener una radiografía que implica una vulnerabilidad para los individuos si es manejada de forma incorrecta. Un ejemplo es Waze, una aplicación de tráfico gratis y colaborativa para smartphones que ayuda a esquivar atascos, a seleccionar el itinerario más conveniente.

  • c) Domótica: por tal concepto se entiende el conjunto de tecnologías aplicadas al control y a la automatización inteligente de la vivienda, que permite una gestión eficiente del uso de la energía y aporta seguridad y confort, además de comunicación entre el usuario y el sistema (GALLEGO GÓMEZ; de PABLOS HEREDERO, 2016, p. 149-161).

El primer ejemplo de domótica y control remoto automatizado es la instalación de controles de acceso digitales a la vivienda, cerraduras electrónicas que permiten controlar cuántas veces se ha abierto la puerta, comprobar si está bien cerrada (incluso estando a miles de kilómetros) o proporcionar acceso a cualquier persona en cualquier momento preciso.5

Así, cabe distinguir entre la Internet de las Cosas del consumidor (hogar inteligente, tecnologías ponibles) y la Internet de las Cosas de la producción, también denominada Internet industrial. En el año 2017 se estimaba que a nivel mundial había alrededor de 8.000 millones de unidades instaladas de Internet de las Cosas, de las cuales el 63 por ciento correspondía a soluciones de consumo personal, como domótica, tecnologías ponibles (wearable technologies) o autos conectados, en tanto que el restante 37 por ciento se repartía en soluciones transversales y para sectores específicos (GARTNER, 2017).

En base a lo expuesto supra, Internet de las Cosas crea un mundo inteligente donde lo real, lo digital y lo virtual convergen para crear un entorno que proporciona más inteligencia a la energía, a la salud, al transporte, a las ciudades, a la industria, a los edificios y en muchas otras áreas de la vida diaria. Un ámbito en donde se interconectan millones de redes inteligentes que habilitan el acceso a la información no solo en cualquier momento y lugar, sino también usando cualquier cosa y por parte de cualquier persona, a través de cualquier ruta, red, y cualquier servicio (COLINA, et al, 2015, p. 4).

Fundamentalmente, países como Alemania, Estados Unidos y China han implementado políticas para reorientar sectores productivos estratégicos hacia la Industria 4.0. En la fábrica inteligente, el producto, al comunicarse con su entorno, puede reconfigurar la disposición de los sistemas de fabricación y adaptar los cambios en la producción de manera rentable y ha favorecido a la producción personalizada que satisface las necesidades heterogéneas de los clientes (CASALET, 2018, p. 7-9).

Dentro del ecosistema de Internet de las Cosas se pueden identificar los siguientes componentes:

  • a) Una Red de Sensores Inalámbricos (WSN, siglas en inglés de wireless sensor network) es una red que se autoconfigura, formada de pequeños nodos sensores que se comunican entre sí por señales de radio para percibir el mundo físico. Son un puente entre el mundo físico y el virtual.

  • b) Módulos y tecnologías de comunicación: todos los aparatos que forman parte de la Internet de las Cosas deben estar conectados a una red de comunicaciones. Las cosas necesitan conversar entre sí y con Internet. Los módulos de comunicación son los componentes de los dispositivos responsables de la comunicación que proveen de conectividad conforme el sistema inalámbrico o el protocolo de comunicación por cable designado. La comunicación puede realizarse conforme la tecnología inalámbrica utilizada, como WiFi, Bluetooth y ZigBee, el sistema de conexión de celulares actualmente con tecnologías de Cuarta Generación (4G), pero que se apresta a dar un paso más y llegar al estándar 5G, posiblemente antes de 2020, y las tecnologías por cable, como Ethernet, utilizan el protocolo TCP/IP.

  • c) Procesamiento de Información Integrado: los objetos inteligentes cuentan con una capacidad de procesador o microcontrolador y además capacidad de almacenamiento.

  • d) Geocalización: es la capacidad de los objetos inteligentes para obtener la ubicación física real de un objeto. La red de teléfono móvil o los sistemas de posicionamiento global GPS son tecnologías adecuadas para lograrlo, así como medidas de tiempo de ultrasonido, la identificación de radiofrecuencia y las tecnologías ópticas.

  • e) Interfaces de usuario: los objetos inteligentes pueden comunicarse con las personas de manera directa o indirectamente, por ejemplo, a través de un smartphone, interfaces de usuario tangibles y métodos de reconocimiento de voz, imagen o gesto.

  • f) Fuente de alimentación: todo dispositivo electrónico requiere de energía eléctrica para funcionar.

Sin embargo, como las comunicaciones entre la unidad principal y sus módulos o entre los módulos entre sí se realiza, en la mayoría de los casos, utilizando un protocolo serial o estandarizado que es adoptado por la mayoría de las PC y por los dispositivos electrónicos, la Internet de las Cosas necesita realizar algunos cambios en la conectividad de dispositivos, protocolos de comunicación y lenguajes de software para lograr la interoperatividad entre todos sus componentes. La generación de estándares implica que cada proveedor de tecnología debe cumplir con un protocolo de manera tal que su equipo sea compatible con los demás fabricados por otros prestadores para evitar las posiciones de dominio de mercado y de bloqueo del desarrollo. En este sentido, la Unión Internacional de las Telecomunicaciones ha formulado las Recomendaciones del Sector de Normalización de la UIT (UIT-T) para garantizar la interoperabilidad de las aplicaciones, los servicios y las plataformas de Internet de las Cosas.

Como la Internet de las Cosas requiere diversa tecnología para funcionar, desde comunicaciones móviles, seguridad de la información, intercomunicaciones e interoperabilidad, un único estándar muy probablemente no podrá cubrirlo todo. En consecuencia, se pueden considerar cuatro capas en las que se está trabajando en desarrollo de estándares: a) la primera es la capa de aplicación, en la que se miran los protocolos para desarrollar aplicaciones de Internet de las Cosas; b) la segunda es la de servicios, donde se desarrollan marcos que permitan servicios de Internet de las Cosas; c) la tercera es la de redes; y d) la última capa es la de tecnologías de acceso, que busca optimizar las capas de aplicación y de servicios y optimizaciones específicas de acceso a redes (REPÚBLICA ARGENTINA. MINISTERIO DE MODERNIZACIÓN, 2016, p. 4).

El Protocolo de Internet (IP, siglas de Internet Protocol) actualmente está presente en todos los dispositivos capaces de enviar y recibir información digital, no solamente la Internet. Desde hace varios años, debido al crecimiento y al uso masivo que ha tenido la Web, se notó un agotamiento de las direcciones de la versión 4 (IPv4) ya que nunca fue diseñado para abarcar a tan alto número de dispositivos. Los esfuerzos llegaron hasta el punto de cambiar el protocolo de conexión IP de la versión 4 a la versión 6 (Ipv6), lo que conlleva una ampliación de la cantidad de direcciones disponibles a nivel mundial.

Ahora bien, previo al análisis de la ley del Estado de California, es necesario mencionar los riesgos derivados del presente ecosistema en cuanto a la privacidad, la protección de datos y la seguridad de la información.

  • a) Efectividad en las medidas de seguridad: un limitante consiste en que no se las tienen en cuenta en la fase de diseño. Además, la heterogeneidad de los dispositivos supone un gran problema en cuanto a proponer soluciones de tipo más universal y el aumento de recopilación de datos puede plantear problemas de autenticación y confianza en los objetos.

  • b) La proliferación de la gran cantidad de datos en los entornos de Internet de las Cosas facilita que éstos puedan llegar a utilizarse para propósitos diferentes para los que fueron recabados originalmente. No siempre las personas son conscientes de las capturas de la información, el tratamiento y/o la manipulación de esa información.

  • c) Riesgo de ataques maliciosos contra los dispositivos y sistemas: es difícil identificar los controles más apropiados para los sistemas dada la heterogeneidad de los objetos, además que todavía se desconoce su evolución futura.

  • d) Lock-in del usuario: significa que los usuarios se queden cooptados por un proveedor específico de servicios y les resulte difícil migrar a otros proveedores, lo que es provocado por la no homogenización de los dispositivos y tecnologías de comunicación.

  • e) Pérdida del control por parte del usuario: uno de los principales objetivos de la Internet de las Cosas consiste en dotar de cierta autonomía a los objetos y permitirles tomar decisiones de forma automática. Es necesario saber acotarlo y controlarlo adecuadamente para que no suponga riesgos o afecte a sus usuarios.

  • f) Legislación aplicable: el vacío legal es un riesgo colateral a todos estos avances digitales y tecnológicos, porque ni los gobiernos ni entes reguladores van al paso de los cambios. Dado el carácter global de Internet, otro problema es que los individuos y empresas se enfrentan a una serie de leyes de protección de datos nacionales que ofrecen distintos niveles de protección. En enero de 2018, Microsoft publicó su libro The Future Computed: Artificial Intelligence and its Role in Society, en el que se plantea que si, bien la inteligencia artificial ayudará a resolver los grandes problemas sociales, es necesaria la formulación de una legislación moderna, la observancia de principios éticos sólidos, la capacitación para nuevas habilidades e incluso las reformas del mercado laboral (MICROSOFT, 2018, p. 8-10).

En la Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, “Inteligencia artificial para Europa”, del 25 de abril de 2018, se destaca que la aparición de la inteligencia artificial, en particular, el complejo ecosistema que la hace posible y la característica de la adopción autónoma de decisiones, exige una reflexión acerca de la idoneidad de algunas de las normas establecidas en materia de seguridad y de responsabilidad civil. Por ejemplo, los robots avanzados y los productos de Internet de las Cosas pueden no comportarse con arreglo a lo previsto cuando el sistema entró en funcionamiento por primera vez. En consecuencia, y habida cuenta de los desafíos planteados por las tecnologías digitales emergentes, se reconoce la necesidad de revisar los marcos jurídicos en materia de seguridad, las normas sobre responsabilidad por los daños causados por productos defectuosos, así como la directiva sobre máquinas, a fin de constatar si resultan adecuados para el fin previsto o si existen lagunas que deben colmarse.

Considera de vital importancia que las personas puedan controlar los datos generados por la utilización de estas herramientas y saber si están comunicándose con una máquina o con otro ser humano, así como la forma de garantizar que las decisiones del sistema puedan verificarse o corregirse. Es que, en muchos casos, la toma de decisiones automática, sin intervención humana, afectó los derechos de los consumidores, ocasionó riesgos éticos o contrarios a los principios y derechos humanos fundamentales (CE, 2018, p. 18-19).

A medida que las computadoras se comportan más como los humanos, las ciencias sociales y las humanidades se volverán aún más importantes. Si la inteligencia artificial quiere alcanzar su potencial para servir a los humanos, entonces cada ingeniero tendrá que aprender más sobre las ciencias sociales y cada especialidad en las ciencias sociales necesitará aprender más sobre ingeniería (TEJERO LÓPEZ, 2014, p. 6).

2. La Ley de California sobre Internet de las Cosas

La Senadora de Santa Bárbara Hannah-Beth Jackson presentó, el 3 de febrero de 2017, ante el Senado del estado de California, un proyecto de ley intitulado “SB-327 Information privacy: connected devices” (2017-2018).6 Posteriormente fue enmendado por la autora, continuó con el tratamiento legislativo y después de las tres lecturas obligatorias, el día 29 de septiembre del 2018, fue promulgado por el Gobernador Jerry Brown y archivado en la Secretaría del Estado. De esta forma, se transformó en Ley-Act- y se agregó a la Sección 1, Parte 4 de la División 3 del Código Civil californiano, bajo el título Title 1.81.26. Security of Connected Devices.7

Como requisito para su entrada en vigencia, en la Sección 2, establece que es necesario que el Proyecto de Ley de la Asamblea n° 1906 intitulado AB-1906 Information privacy: connected devices. (2017-2018),8 presentado en enero del 2018 por la asambleísta Jacqui Irwin, de Thousand Oaks, también se promulgue y entre en vigencia. Justamente ese mismo día, el 28 de septiembre de 2018, ambos proyectos de ley fueron promulgados por el gobernador. El proyecto de ley SB-327 es anterior, pero al ser enmendado es casi un espejo del proyecto AB-1906. Sin embargo, la posterior aplicación de ambas leyes es diferida al 1 de enero de 2020. La razón es otorgarles tiempo a los fabricantes de dispositivos conectados a Internet para que puedan adecuar sus productos a la nueva normativa.

Entre los fundamentos esgrimidos por la Senadora Jackson a favor de la promulgación de este proyecto de ley, se destaca que los dispositivos de uso de los consumidores que se conectan a Internet van mucho más allá de la PC de escritorio tradicional para incluir una amplia variedad de productos electrónicos de consumo, como microondas, refrigeradores y juguetes para niños. Si bien estas capacidades pueden aumentar la funcionalidad del producto, muchos consumidores no están informados sobre las consecuencias de poseer dispositivos conectados. Los consumidores pueden comprar un dispositivo sin darse cuenta, hasta mucho tiempo después que hayan comenzado a usarlo en su hogar, de cómo utiliza Internet, qué tipos de información recopila y cómo se utiliza esa información. Algunos juguetes conectados a la Red, por ejemplo, piden a los niños que proporcionen datos personales verbalmente, incluidos los nombres de sus padres, el nombre de su escuela y el lugar donde viven, y se reservan explícitamente el derecho de realizar marketing directo hacia los menores. Continúa señalando que un número alarmante de estos dispositivos conectados a Internet carecen incluso de las funciones de seguridad más básicas, lo que los hace vulnerables a la piratería y a los ataques cibernéticos coordinados.

Por ello es necesaria esta ley, ya que crea un requisito de seguridad para los dispositivos conectados a Internet que pueden evolucionar a medida que la tecnología evoluciona. Requiere que los fabricantes equipen sus dispositivos con características de seguridad razonables y adecuadas a la naturaleza del mismo y a la información que recopila. También requiere que los fabricantes diseñen dispositivos conectados con indicadores visuales, auditivos u otros para mostrar cuándo están recolectando información, para obtener el consentimiento del usuario cuando la recopilación de información se extiende más allá de lo que es necesario y para notificar a los consumidores cualquier actualización o parche en la seguridad.

Con respecto a los consumidores, les permite tomar decisiones informadas al exigirles, a los vendedores, que revelen en el punto de venta si el dispositivo es capaz de recopilar información personal o confidencial, dónde se puede encontrar la política de privacidad del dispositivo y cómo obtener actualizaciones de seguridad para el mismo.

Conforme Common Sense Kids Action,9 patrocinador de la hoy ley, garantizar que los dispositivos conectados cumplan con los estándares de seguridad básicos ayudará a las familias a tomar decisiones informadas sobre estos dispositivos y sobre la información que recopilan y comparten. Es hora de asegurarse que las familias sepan qué información pueden recolectar los dispositivos que compran y quien tiene el control sobre la misma.

Por su parte, el Comité Judicial del Senado enumera varias leyes que refuerzan y que cambian con dicha normativa. En primer lugar, la Constitución de California, la cual, en el art. I Sección 1, establece que todas las personas son por naturaleza libres e independientes y tienen derechos inalienables. Entre estos se encuentran disfrutar y defender la vida y la libertad, adquirir, poseer y proteger bienes, y buscar y obtener seguridad, felicidad y privacidad. La jurisprudencia existente permite a una persona interponer una acción por agravio por una invasión de la privacidad y establece que, para presentar una demanda por violación del derecho constitucional a la privacidad, el demandante debe establecer los siguientes tres elementos: 1) un interés legalmente protegido a la privacidad; 2) una expectativa razonable de privacidad en esas circunstancias; y 3) que la conducta del acusado constituya una invasión grave de la privacidad (conforme el caso Hill v. National Collegiate Athletic Assn. 1994). En cuanto al interés a la privacidad legalmente reconocido, dicha jurisprudencia, establece que son generalmente de dos clases: intereses en excluir la difusión o el uso indebido de información sensible y confidencial (privacidad informativa), e intereses en la toma de decisiones personales íntimas o en la realización de actividades personales sin observación, intrusión o interferencia (autonomía de privacidad).

Conforme el Código Civil de California, Sección 1708.8, un individuo es responsable de una invasión a la privacidad cuando intente capturar, de una manera ofensiva, cualquier tipo de imagen visual, grabación de sonido u otra impresión física de otra persona involucrada en una relación privada y personal o actividad familiar, mediante el uso de cualquier dispositivo, independientemente de si esta imagen, grabación de sonido u otra impresión física no se podrían haber logrado sin que se usara el mismo. Y en la Sección 1798.81.5(b) requiere que una empresa que posee licencias o mantiene información personal sobre un residente de California debe implementar y mantener procedimientos y prácticas de seguridad razonables y adecuadas a la naturaleza de la información, para proteger la información personal del acceso no autorizado, de la destrucción, del uso, la modificación, o revelación.

Según el Código de Negocios y Profesiones de California, en la Sección 22948.20, se establece que una persona o entidad no debe proporcionar la operatoria de una función de reconocimiento de voz sin informar, durante la configuración inicial o la instalación de un televisor conectado, ya sea al usuario o a la persona designada por él, la configuración o instalación inicial de la televisión conectada. Cualquier grabación real de la palabra recopilada a través de la operatoria de una función de reconocimiento de voz por parte del fabricante de un televisor conectado o de un tercero con el fin de mejorar la función de reconocimiento de voz no se venderá ni utilizará con fines publicitarios.

Por su parte, el Código Penal, en la Sección 637.5(a)(1), dispone que ninguna persona que posea, controle, opere o administre una empresa de televisión satelital o por cable, o que arrende canales en un sistema satelital o de cable, podrá utilizar cualquier dispositivo electrónico para grabar, transmitir u observar eventos o escuchar, registrar, o monitorear cualquier conversación que tenga lugar dentro de la residencia, o lugar de trabajo del suscriptor, sin obtener el consentimiento expreso por escrito del mismo. En la Sección 637.5(a)(2) establece que ninguna empresa de televisión satelital o por cable podrá proporcionar información individual identificable con respecto a cualquiera de sus suscriptores, incluidos, entre otros, los hábitos de visualización de televisión, las opciones de compra, los intereses, las opiniones, los usos de energía, la información médica del suscriptor, datos o información bancaria, o cualquier otra información personal o privada, sin el consentimiento expreso por escrito del suscriptor. En la Sección 637.5(b) especifica que las respuestas de visualización de los suscriptores individuales u otra información identificable individualmente derivada de los suscriptores pueden ser retenidas y utilizadas por una empresa de televisión por cable o satélite solo en la medida en que sea razonablemente necesario para fines de facturación y prácticas comerciales internas y para monitorear la recepción no autorizada de servicios. Finalmente, la Sección 637.5(d) especifica que cualquier información de un suscriptor individualmente identificable recopilada por una empresa de televisión por satélite o por cable debe estar disponible para su examen dentro de los 30 días posteriores a la recepción de la solicitud por parte de un suscriptor para examinar la información en las instalaciones de la empresa.

En cuanto al fondo del tema, dicho Comité avanza en la historia de Internet de las Cosas y destaca que actualmente todo, desde tostadoras y muñecas hasta automóviles y televisores, están conectados a Internet, reuniendo y aplicando una amplia gama de información. Esta tecnología tiene posibilidades ilimitadas. Ha revolucionado las capacidades de los dispositivos médicos y ha facilitado las compras. Los expertos de la industria prevén una expansión dramática en los próximos años con artículos para el hogar, como refrigeradores, lavadoras, lavavajillas y termostatos. Muchos de estos dispositivos recopilan una gran cantidad de información personal e íntima. Si no se asegura adecuadamente, esta inmensa cantidad de información privada puede ser vulnerable a las violaciones y puede ser hackeada directamente, permitiendo a extraños realizar una vigilancia subrepticia en los hogares o comunicarse directamente a través de ellos. Quizás lo más perturbador sea que los consumidores ni siquiera están al tanto de las completas capacidades de estos productos o de la información que se recopila. El director del FBI expresó su preocupación sobre el tremendo daño que pueden generar los “ejércitos de zombis” creados por los dispositivos de Internet de las Cosas. Finaliza resaltando las bondades del proyecto de ley para abordar estas innovaciones y sus riesgos concomitantes, ya que establece requisitos relacionados con la seguridad de dichos dispositivos y la divulgación de sus capacidades (SENATE JUDICIARY COMMITEE, 2017, p. 1-2).

Dicha ley, que se incorporó al Código Civil de California en la División 3 (Obligaciones), Parte 4 (Obligaciones Derivadas de Transacciones Particulares), bajo el Título 1.81.26. Seguridad de la Dispositivos Conectados (Security of Connected Devices), es corta y simple. Es de destacar que su ámbito de aplicación tiene efectos extraterritoriales, ya que abarca a todos aquellos fabricantes de dispositivos conectados a la Web que vendan en California, aunque la fabricación se produzca fuera de dicho estado y establece estándares de ciberseguridad para dispositivos conectados a la Web, desde termostatos hasta cámaras web y automóviles.

En primer lugar, en el Título 1798.91.04 (a), requiere que los fabricantes de dispositivos conectados a Internet (que vendan sus productos en California) los equipen con “una característica o características de seguridad razonables” diseñadas para evitar que cualquier intruso acceda a ellos, aunque no define exactamente cuáles deberían ser esas características. Lo que detalla es que la seguridad razonable debe ser:

  • 1) Adecuada a la naturaleza y función del dispositivo.

  • 2) Adecuada a la información que puede recopilar, contener o transmitir.

  • 3) Diseñada para proteger el dispositivo y cualquier información contenida en el mismo contra el acceso, destrucción, uso, modificación o divulgación no autorizados.

A continuación, bajo el apartado b), exige que todo dispositivo conectado fuera de una red de área local sea equipado con un medio de autenticación con una característica de seguridad razonable. Considera una característica de seguridad razonable si cumple cualquiera de los siguientes requisitos:

  • 1) La contraseña preprogramada es única para cada dispositivo fabricado.

  • 2) El dispositivo contiene una función de seguridad que requiere que un usuario genere un nuevo medio de autenticación antes de otorgarle acceso al dispositivo por primera vez.

Esto se debe a que muchas veces ha sido una práctica común del fabricante proporcionar dispositivos con contraseñas predeterminadas compartidas, lo que significa que se puede acceder fácilmente al dispositivo después de la instalación si el usuario final no establece una nueva contraseña.

En el artículo 1798.91.05 se establecen varias definiciones:

  • a) “Autenticación” significa un método para verificar la autoridad de un usuario, así como el proceso o dispositivo para acceder a los recursos en un sistema de información.

  • b) “Dispositivo conectado” se define como cualquier dispositivo u otro objeto físico que sea capaz de conectarse, directa o indirectamente, a Internet y que tenga asignada una dirección de Protocolo de Internet o una dirección de Bluetooth.

  • c) “Fabricante” es la persona que fabrica, o que subcontrata la fabricación en su nombre de los dispositivos conectados a la Web que se venden o que se ofrecen para la venta en California. Un contrato para fabricar en nombre de otra persona no incluye el contrato que tiene por objeto solo comprar un dispositivo conectado, incluso si esos dispositivos se renombran para el comprador.

  • d) “Función de seguridad” significa una característica de un dispositivo diseñado para proporcionar seguridad para ese dispositivo.

  • e) “Acceso, destrucción, uso, modificación o divulgación no autorizados” es acceso, destrucción, uso, modificación o divulgación que no están autorizados por el consumidor.

El artículo 1798.91.06 (a) establece determinadas exclusiones o excepciones a la aplicación de los artículos precedentes:

  • a) Los fabricantes no tienen la obligación de proteger los softwares que los usuarios pueden instalar en un dispositivo conectado.

  • b) No impone ninguna obligación a un proveedor de una tienda electrónica, puerta de enlace, mercado u otros medios de compra o descarga de software o aplicaciones, de controlar o hacer cumplir lo establecido en el Título.

  • c) Exime al fabricante de un dispositivo conectado de evitar que un usuario tenga control total sobre un dispositivo conectado, incluida la capacidad de modificar el software o el firmware que se ejecuta en el dispositivo a discreción del consumidor.

  • d) Tampoco se aplicarán a ningún dispositivo conectado cuya funcionalidad esté sujeta a los requisitos de seguridad de acuerdo con la ley federal, los reglamentos o las directrices promulgadas por una agencia federal.

  • e) No establece ningún tipo de acción privada. El Fiscal General, un abogado de la ciudad, el abogado del condado o un fiscal de distrito tendrán la autoridad exclusiva para hacer cumplir la ley.

  • f) Los deberes y obligaciones impuestos por este título son acumulativos con cualquier otro deber u obligación impuesto en virtud de otra ley, y no deben interpretarse en el sentido de eximir a ninguna parte de ningún deber u obligación impuesta en virtud de otra ley.

  • g) En ningún caso esta ley limita la autoridad de una agencia federal para obtener información sobre el dispositivo conectado de un fabricante como lo autoriza la ley o de conformidad con una orden de un tribunal de jurisdicción competente.

  • (h) Los proveedores de atención médica, socio comercial, plan de servicios de atención médica, contratista, empleador o cualquier otra persona sujeta a la Ley Federal de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (Ley Pública nº 104-191) o la Ley de Confidencialidad de Información Médica no estarán sujetos a este título con respecto a cualquier actividad regulada por esos actos.

California continúa liderando en la promulgación de leyes de privacidad y seguridad. Esta ley se produce inmediatamente después de la promulgada Ley de Privacidad del Consumidor de California (CCPA), que también entrará en vigencia el 1 de enero de 2020 y que tienen efectos extraterritoriales.

2.1. El debate

Uno de sus acérrimos detractores es el experto en ciberseguridad Robert Graham. Sus afirmaciones son lapidarias en cuanto califica a la ley como “típicamente mala”, basada en una comprensión superficial de la ciberseguridad y la piratería, que va a hacer poco para mejorar la seguridad, mientras que hace mucho para imponer costos y dañar la innovación. Se basa en el concepto erróneo de agregar características de seguridad. El objetivo de la ciberseguridad es eliminar “características inseguras”, lo cual significa eliminar puertos de escucha.

Agregar características es la típica “píldora mágica” o “bala de plata”, sin embargo, según este especialista, no es la solución. Las funciones arbitrarias, como firewall y antivirus, solo aumentarán la superficie de ataque empeorando las cosas, ya que no existe garantía que los proveedores suministren dichos parches o, peor aún, que los usuarios los apliquen. Generalmente, las personas se olvidan de los dispositivos una vez que están instalados ya que no son como los teléfonos y/o computadoras portátiles que notifican a los usuarios sobre la aplicación de parches. Frente al argumento que una buena solución para esto es la actualización automatizada, el especialista afirma que solo si se ignora la historia. Muchos califican a “NotPetya”10 como el peor y más costoso ciberataque de todos los tiempos y fue lanzado subvirtiendo un parche automatizado. Por ejemplo, el gusano Mirai11 infectó menos de 200.000 dispositivos. Un hackeo de un pequeño proveedor de Internet de las Cosas puede obtener el control de más dispositivos que eso de una sola vez. Y sigue sumando críticas ya que afirma que la ley tiene como objetivo una característica insegura que debe eliminarse: las contraseñas codificadas. Un dispositivo no tiene una contraseña única, hay muchas cosas que pueden llamarse contraseñas. Un dispositivo típico de Internet de las Cosas tiene un sistema para crear cuentas en la interfaz de la administración web, un sistema de autenticación completamente separado para diferentes servicios como Telnet12 y un sistema completamente diferente para cosas como las interfaces de depuración.

Ese fue el real problema con los dispositivos infectados por Mirai ya que había diferentes sistemas de autenticación en la interfaz web y en otros servicios como Telnet. De cara al futuro, lo más importante para protegerse es el modo de “aislamiento” en el punto de acceso WiFi que evita que los dispositivos se comuniquen entre sí (o se infecten entre sí). Esto evita ataques de “sitio cruzado” en el hogar, vale decir, evita que las laptops y/o computadoras de escritorio infectadas (que están mucho más amenazadas) se propaguen a los demás dispositivos. La ley establece el vago requisito que los dispositivos tengan características de seguridad “razonables” y “apropiadas”. Es imposible para una empresa saber lo que significan estas palabras, es imposible saber si cumplen con la ley. Al igual que otras leyes que utilizan estos términos, se interpretará en los tribunales. A medida que los defensores mejoran la seguridad, los atacantes cambian de táctica, por lo que lo “razonable” está cambiando constantemente. La seguridad lucha contra el sesgo de la retrospectiva, por lo que lo que es “razonable” y “apropiado” parece más obvio después que ocurren cosas en lugar de antes. Se va a cargar a los dispositivos con funciones de cifrado y antivirus que el público cree que son razonables, pero que empeoran la seguridad. Por último, culmina su análisis, Mirai solo tenía 200.000 dispositivos que estaban principalmente fuera de los Estados Unidos. Esta ley no aborda esta amenaza porque solo se aplica a los dispositivos de California, no a los comprados en Vietnam y Ucrania que, una vez que se infecten, inundarán los dispositivos de California. Si de alguna manera la ley influyera en la mejora general de la industria, aún estaría introduciendo costos innecesarios a 20 mil millones de dispositivos en un intento por limpiar el 0,001 por ciento de ellos (GRAHAM, 2018).

En igual sentido se expidió la Cámara de Comercio de California. Agrega, además, que la Sección 1798.81.5 (b) del Código Civil ya requiere que los fabricantes implementen protecciones de privacidad razonables y, por lo tanto, el requisito que los fabricantes equipen dispositivos con “características de seguridad razonables apropiadas para la naturaleza del dispositivo” es innecesario. La Sección 1798.81.5 (b) se aplica a la “información personal” que una empresa posee, licencia o mantiene y se define como el nombre de usuario o la dirección de correo electrónico de una persona en combinación con la contraseña, la pregunta de seguridad o el nombre de una persona en combinación con un número de seguro social, número de licencia de conducir, número de cuenta o información médica. Otro argumento en contra es que colisiona una ley federal, la Ley de Protección de la Privacidad en Línea de los Niños, aunque no justifica ni aclara esa contradicción.

Para sus defensores, si bien no desconocen que la ley es demasiado amplia, aducen a su favor que mejor eso que nada. Bruce Schneier, tecnólogo de seguridad en la Escuela Kennedy de Harvard expresamente opina que probablemente la ley no va lo suficientemente lejos, pero esa no es razón para no aprobarla. Es una razón para seguir adelante y sienta las bases para una futura legislación de ciberseguridad más sólida a nivel estatal y federal. Después del ataque masivo de la botnet Mirai en 2016 se puso de relieve lo mal asegurados que están muchos de los dispositivos. En ese incidente, los piratas informáticos explotaron las debilidades de las cámaras web y otros dispositivos conectados y los utilizaron para lanzar ataques cibernéticos que derribaron a Netflix, Spotify y otros sitios web importantes durante horas. Esta ley busca abordar algunas de esas fallas, estableciendo estándares de ciberseguridad para dispositivos, que actualmente son inexistentes (HAWKINS, 2018).

Conforme el Comité de Reglas del Senado, Oficina de Análisis de la Sala del Senado, que toma como fuente los argumentos de Common Sense Kids Action, un ejemplo alarmante de la posibilidad de abuso de la tecnología surgió en relación con las muñecas My Friend Cayla. Las muñecas de juguete estaban equipadas con tecnología de dientes azules que les permitía acceder a Internet, lo cual les posibilitaba comunicarse con los niños. Las muñecas instaron a los niños a proporcionar verbalmente datos personales, incluidos los nombres de sus padres, de su escuela y el lugar donde vivían. Además, la tecnología de dientes azules era vulnerable a los piratas informáticos pudiendo programar la muñeca con obscenidades o incluso hablar directamente con los niños a través de ella a una distancia de hasta 50 pies.

Pero este no fue un hecho aislado, es similar a muchas historias relacionadas con monitoreos de bebés que permiten a los piratas informáticos comunicarse a través de ellos. A principios del año 2017, se informó que los juguetes de CloudPets fueron hackeados de manera similar. También se han presentado demandas en los últimos años en respuesta a televisiones conectados a Internet. Las pantallas inteligentes producidas y vendidas por Vizio supuestamente rastreaban el historial de visualización de los usuarios sin el conocimiento y consentimiento de los clientes. Los televisores de Samsung también fueron el centro de atención después que se descubrió que su tecnología de reconocimiento de voz estaba grabando conversaciones personales y transmitiendo la información a terceros. Los investigadores también han concluido que miles de cámaras web inseguras fabricadas por la firma china de electrónica Xiongmai fueron tomadas por piratas informáticos y se convirtieron en un ejército de “botnets” que atacó e inhabilitó los sitios web más importantes, incluidos los de Twitter, Spotify, New York Times y Airbnb en octubre del 2016.

California reconoce que el derecho a la privacidad es un derecho fundamental y, desafortunadamente, debido al tamaño de su economía y al gran número de consumidores, los datos recopilados y en poder de las empresas de California son a menudo blanco de los ciberdelincuentes. Los innumerables ejemplos de dispositivos conectados a Internet que se piratean junto con la creciente incidencia de violaciones de datos ponen de relieve la necesidad de abordar más a fondo los problemas de seguridad. Un hilo común entre estos ejemplos es la deficiencia de las características de seguridad de los dispositivos. También falta una notificación clara a los consumidores acerca de qué es capaz un dispositivo, qué información recopila, qué hace con esa información y cómo un consumidor puede controlar esas funcionalidades. El daño que puede resultar del robo de información personal y confidencial a través de las violaciones de datos, la vigilancia encubierta de las vidas de los usuarios o el pirateo directo de dispositivos domésticos amenaza con socavar la privacidad y la seguridad de los consumidores de California. Esta ley da un paso para abordar estos problemas. Si bien existen leyes que exigen que las empresas que poseen, licencian o mantienen información personal sobre un residente de California implementen y mantengan procedimientos y prácticas de seguridad razonables adecuados a la naturaleza de la información, esta ley hace extensivos estos requisitos a los fabricantes de dispositivos conectados a Internet (SENATE RULES COMMITEE. SENATE FLOOR ANALYSIS, 2018, p. 6-7).

Como cierre de los argumentos en defensa de la ley, el informe del Procurador General del 2014 sobre la violación de datos en California demostró que, en 2012, el 17 por ciento de las violaciones de datos registradas en los Estados Unidos se produjo en California, más que en cualquier otro Estado, y que el número de violaciones notificadas en California aumentó en 28 por ciento en 2013 (CALIFORNIA DEPARTMENT OF JUSTICE, 2014, p. 9). Durante el período de cuatro años comprendido entre 2012 y 2015, el Fiscal General recibió informes sobre más de 657 violaciones, que afectaron a más de 49 millones de registros (CALIFORNIA DEPARTMENT OF JUSTICE, 2016, p. 9).

2.2. Análisis comparativo entre la Ley de California y el Dictamen del Comité Económico y Social Europeo sobre “Confianza y Seguridad de los Consumidores y las Empresas en Internet de las Cosas”

Como se mencionó en la Introducción del presente artículo, el 6 de diciembre de 2018 el Comité Económico y Social Europeo emitió el dictamen de iniciativa sobre la “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas” (en adelante el dictamen de iniciativa). El mismo avanza sobre Internet de las Cosas y en uno de sus pilares: la toma de decisiones automáticas sin intervención humana y todos los riesgos a la seguridad, privacidad, intimidad y de carácter ético o contrarios a principios y derechos humanos fundamentales que esta tecnología conlleva. Y solicita a las instituciones europeas y a los Estados miembros, entre otras medidas, que velen por la protección de la seguridad y la privacidad tanto de los consumidores como de las empresas; adopten medidas de seguimiento y control; cubran los vacíos legales en las tecnologías disruptivas; delimiten con claridad la responsabilidad de todos los profesionales en la cadena de suministro del producto; fomenten las iniciativas de normalización europeas e internacionales; inicien campañas de sensibilización, información y capacitación en competencias digitales en especial para los grupos vulnerables y establezcan mecanismos efectivos y colectivos de solución de controversias (CESE, 2018, p. C 40/8-C 40/9).

Del análisis comparativo entre ambos documentos, en aras de aportar un marco complementario y prospectivo de la Ley de California y a los efectos de proyectar futuras modificaciones a dicha ley y/o también para la elaboración de legislaciones de los Estados, se deducen las siguientes consideraciones:

En primer lugar, se observa que la Ley de California exige a los fabricantes de dispositivos conectados a internet, siempre que vendan sus productos en California, que los equipen con características de seguridad razonables, que sean adecuadas a la naturaleza y función del dispositivo y a la información que puede contener, recopilar y transmitir. Esta fórmula es muy amplia y vaga, quizás es una de las críticas más importantes formuladas por sus detractores. En cambio, el dictamen de iniciativa no peca de tal imprecisión. Es más, avanza en dicha problemática sobre ciberseguridad y afirma que las tecnologías emergentes, como la cadena de bloques, pueden resolver problemas de seguridad y confianza, por tanto propone que las mismas se utilicen para rastrear las mediciones de los datos procedentes de sensores y evitar no solo la duplicación con cualquier otro dato malintencionado sino también preservar la integridad y la trazabilidad de las modificaciones. Asimismo, recomienda que dichos sensores sean utilizados para intercambiar datos a través de una cadena de bloques en lugar de un tercero así como el uso de contratos inteligentes permite mantener la integridad de los datos (CESE, 2018, p. C 440/9).

Ahora bien, para la efectiva comprensión de la recomendación del Comité Económico y Social Europeo expuesta ut supra, es necesario definir y explicar someramente el funcionamiento de la cadena de bloques. Blockchain o cadena de bloques, que se utiliza en los contratos inteligentes o smart contract, es una base de datos automatizada, descentralizada, vale decir, distribuida en múltiples computadoras y de muy difícil manipulación, lo que la hace muy segura. Para alterar la información almacenada es preciso manipular más del 50% de los nodos que la integran. En dicha cadena se registran las operaciones, fechas, cantidades y participantes del contrato. Como utiliza claves criptográficas, presenta ventajas en la seguridad frente a manipulaciones y fraudes, ya que, aunque pueda vulnerarse una copia, quedan millones intactas que, además, son abiertas y públicas. Por eso permite que todos los participantes conozcan los movimientos y cambios que se realizan en el documento. Todos los bloques que conforman la cadena utilizan una contraseña numérica llamada hash, tomada del bloque anterior. Como todos los bloques se ordenan cronológicamente, cada hash refiere al bloque que le antecede, lo que incrementa su nivel de seguridad para llevar datos transaccionales de manera transparente y en tiempo real, evitando la pérdida de los mismos y el fraude (GRANERO, 2019, p.23-243).

En segundo lugar, la Ley de California fundamentalmente protege al consumidor y usuario final de los dispositivos conectados a Internet, aunque se puede interpretar que si las empresas adquieren bienes y servicios que contengan dispositivos conectados a la Web como consumidores finales, vale decir, no para su reventa, también estarían alcanzados por su marco tuitivo. En cambio, el dictamen de iniciativa expresamente concluye que la legislación debe incluir, dentro de su ámbito de aplicación subjetivo, tanto a empresas y consumidores, como a administraciones y ciudadanos, ya que los desafíos asociados a riesgos implícitos los afecta a todos por igual, con un carácter multidisciplinar y transversal. Por ello, el tratamiento de este asunto debe contemplar un enfoque común y, a la vez, particularizado en todo aquello que resulte singular para una u otra condición.

Como tercer punto, ambas coinciden en otorgar vital importancia al marco de responsabilidad y la seguridad tanto a lo largo de la cadena de valor del producto como durante su ciclo de vida. Específicamente, la Ley de California exime de responsabilidad al vendedor y al fabricante de un dispositivo conectado de evitar que un usuario tenga control total sobre un dispositivo conectado. No obstante, el dictamen de iniciativa avanza sobre la seguridad y privacidad al remarcar la necesidad de garantizar la seguridad y la privacidad por diseño y por defecto conforme con el principio del deber de diligencia, y que los fabricantes de tales dispositivos se sometan a evaluaciones externas independientes. A tales efectos, el nuevo Reglamento sobre ciberseguridad de la Unión Europea, aunque no es obligatorio, amplía las funciones y competencias de la Agencia de Ciberseguridad. En cambio, en California no se contempla un organismo estatal con similares competencias.

En cuarto lugar, y a diferencia de legislación estadual, el dictamen de iniciativa prevé la elaboración de códigos de conducta complementarios a la acción normativa y un marco de certificación de las tecnologías de la información y la comunicación a los efectos de definir esquemas de certificación de seguridad y etiquetado para diferentes tipos de productos.

Como quinta diferencia, la Ley de California no establece expresamente la obligación por parte del fabricante de suministrarle al consumidor información clara y veraz, aunque, en este punto, se le aplica la nueva Ley de Privacidad de California. En cambio, el dictamen de iniciativa puntualiza la importancia de la información precontractual, la transparencia de las cláusulas estipuladas, así como de las instrucciones de uso, con advertencia explícita de los posibles riesgos asociados, los datos que se recopilan, quienes acceden a ellos y la utilidad que se les pretende dar mientras la relación de producto o servicio se mantenga activa, así como la política de privacidad aplicable.

En sexto lugar, el dictamen de iniciativa recomienda la adopción de políticas públicas que impulsen campañas de sensibilización y programas educativos para la adquisición de las capacidades y competencias precisas, con especial atención a los colectivos vulnerables y a la diversidad.

Finalmente, y en séptimo lugar, la Ley de California, en cuanto a las vías judiciales habilitadas, no establece ningún tipo de acción privada. Únicamente el Fiscal General, un abogado de la ciudad, el abogado del condado o un fiscal de distrito tendrán la autoridad exclusiva para hacer cumplir la ley. El dictamen de iniciativa expresamente hace hincapié en garantizar la plena aplicación y una utilización eficaz de los sistemas de resolución alternativa de litigios o de resolución de litigios en línea y acciones colectivas en casos de daños o perjuicios de carácter colectivo. En este punto la Comisión de Naciones Unidas para el Derecho Mercantil Internacional ofrece una guía sobre el procedimiento de resolución de disputas online (ODR siglas de Online Dispute Resolution).

Conclusiones

Internet es, probablemente, una de las mayores invenciones de la humanidad, la mayor herramienta de conocimiento y está presente en todas las actividades humanas. Ha cambiado la forma de trabajar, de estudiar y hasta de relacionarnos con otros seres humanos de distintas culturas, religiones, razas o nacionalidades.

Su potencial es innegable, pero también tiene su lado oscuro. Los videos, fotos, e-mails, conversaciones, cuentas bancarias y cualquier otro dato personal que se sube a la Red están expuestos a un número indeterminado de personas.

Actualmente, los hogares comienzan a equiparse con dispositivos “inteligentes”. La tecnología que alguna vez estuvo limitada a computadoras o teléfonos celulares ahora está integrada en los aparatos y juguetes de uso cotidiano. Dadas las capacidades cada vez mayores de esta tecnología para recopilar y sintetizar información, la seguridad y la privacidad son de suma importancia. Los informes generalizados de fallas de seguridad, piratería y espionaje solo han enfatizado aún más la necesidad de protecciones jurídicas.

Si bien existen proyectos de leyes a nivel estadual y regional, como en la Unión Europea, la primera Ley sobre Internet de las Cosas fue recientemente promulgada, a fines de septiembre de 2018, por el Gobernador del Estado de California, marcando un importante hito jurídico en la regulación de esta nueva tecnología.

Tanto sus detractores como sus defensores coinciden en su amplitud y generalidad, pero es de destacar que reviva el debate, propiciando su discusión a nivel nacional, regional e internacional y que sienta un punto de inflexión en la protección de los consumidores de los dispositivos conectados, quienes, en especial los niños, utilizan esos productos inocentemente y sin saber que indirectamente están transmitiendo toda su información a la nube. Lo que muchos no advierten es que detrás de ella hay personas y organizaciones dispuestas a utilizar para su provecho toda esa información (hackers, piratas informáticos, contrabandistas, ladrones y abusadores de menores) poniendo en riesgo la privacidad e integridad de las personas. En este sentido, esta ley exige a los fabricantes de tales dispositivos que alerten a los consumidores con señales auditivas y/o visuales cuando el mismo está transmitiendo información personal. Un consumidor informado y capacitado es más difícil de engañar, es una manera de empoderar al consumidor. Generalmente, el derecho se escribe después de los hechos, en este caso es necesario adelantarse a cualquier ciberataque y esta ley puede ser un punto de partida, en especial en Argentina, que todavía ni se presentó un proyecto de ley que abriera el debate.

En base a la comparación realizada en el apartado anterior entre la ley estadual y el dictamen de iniciativa del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas” y como aporte a un marco legislativo claro y más completo en cuanto a las condiciones de seguridad y privacidad, a continuación, se propone cubrir las lagunas de la ley comentada teniendo en cuenta los siguientes aspectos:

  • a) Adoptar medidas de seguridad más robustas, como la utilización de las cadenas de bloques que son difícilmente manipulables y en caso de alteración son rápidamente identificables. En febrero de 2017 el Parlamento Europeo publicó un informe bajo el título “Cómo blockchain puede cambiar nuestras vidas”, que analizaba el positivo impacto que la tecnología blockchain podría tener en materias tan dispares como la protección de derechos de propiedad intelectual y patentes o el voto electrónico.

  • b) Dentro de las obligaciones del fabricante, establecer expresamente el deber de diligencia a lo largo del ciclo de vida del producto, así como la obligación de informar al consumidor de los riesgos, usos, posibles manipulaciones, defectos y en especial lo relacionado con su privacidad y confidencialidad.

  • c) Se debe establecer un organismo estatal especializado que fije un marco de certificación, esquemas de certificación de seguridad y etiquetado para diferentes tipos de productos conectados a la Web, con poder de fiscalización. Además, que esté a su cargo las campañas educativas y de sensibilización en especial en los colegios para los grupos más expuestos: los niños.

  • d) Dotar de legitimación activa a las organizaciones de consumidores a través de acciones colectivas. El periodista de investigación y escritor español Antonio Salas, en su libro Los hombres que susurran a las máquinas, plantea, entre otros temas, el dilema de los televisores inteligentes, por ejemplo, Samsung, que ya en su manual de instrucciones advierte que todas las palabras emitidas dentro del alcance del televisor formarán parte de los datos capturados y transmitidos a un tercero a través de su uso de la función reconocimiento de voz. Pero es difícil que en el comedor o en el dormitorio no hablemos de cuestiones familiares y confidenciales (SALAS, 2015, p. 487).

Esta nueva tecnología vino para quedarse y cada vez irrumpe con mayor asiduidad en nuestra vida cotidiana. Que no nos tome desprevenidos.

1Según “The world’s most valuable resource is no longer oil, but data”. The Economist. 6 de mayo de 2017. Disponible en: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acceso en: 05/01/2020.

2Para una profundización en el tema, véase: UNIÓN EUROPEA. “Reglamento 2019/881 del Parlamento europeo y del Consejo relativo a ENISA (Agencia europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento 526/2013 (Reglamento sobre la Ciberseguridad)”. Diario Oficial de la Unión Europea. 7 de junio de 2019. L 151/15-L 151/69).

3El Grupo de Trabajo sobre Protección de Datos del Artículo 29 se creó en virtud del artículo 29 de la Directiva 95/46/CE. A partir del 25 de mayo del 2018, fue sustituido por el Consejo Europeo de Protección de Datos.

4Más ejemplos se pueden consultar en: “Polémico: una pulsera envía descargas eléctricas para fomentar el ahorro”. Infobae. 23 de mayo de 2016. Disponible en: https://www.infobae.com/2016/05/23/1813599-polemico-una-pulsera-envia-descargas-electricas-fomentar-el-ahorro/. Acceso en:15/03/2017.

5Para ampliar en la temática, véase: “Domótica: cómo automatizar tu hogar para disfrutarlo más mientras ahorras tiempo y dinero”. 20 minutos. 3 de noviembre de 2016. Disponible en: https://blogs.20minutos.es/un-hogar-con-mucho-oficio/2016/11/03/domotica-como-automatizar-tu-hogar-para-disfrutarlo-mas-mientras-ahorras-tiempo-y-dinero/. Acceso en: 15/03/2017.

6Las siglas SB significan Senator Bill.

7Para ampliar la historia sobre el tratamiento legislativo, consultar CALIFORNIA LEGISLATIVE INFORMATION. Bill History. SB-327 Information privacy: connected devices. (2017-2018). Disponible en: https://leginfo.legislature.ca.gov/faces/billHistoryClient.xhtml?bill_id=201720180SB327. Acceso en: 3/12/2018.

8Las siglas AB significan Assembly Bill.

9Common Sense Kids Action es una organización nacional norteamericana sin fines de lucro líder con más de una década de experiencia ayudando a niños y familias a tener acceso a servicios de educación y salud infantil de alta calidad y asequibles; ayudando a que todos los niños tengan experiencias de aprendizaje digital de vanguardia; a que sus datos en línea están protegidos; y a que tengan la oportunidad de crecer con suficientes oportunidades económicas y educativas para ayudarles a tener éxito en la vida.

10Petya es un malware de tiporansomwareque en 2017 comenzó un ciberataque mundial. Se esparce como troyano usando el popular sistema de archivos en la nube Dropbox. Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora, pidiendo rescate y no se transmite por Internet sino por redes privadas.

11Mirai es un malware de la familia de las botnets o robots informáticos destinados a infectar los equipos conformantes de la Internet de las Cosas, en especial la infección de routers y cámaras IP.

12Telnet (Telecommunication Network) es el nombre de un protocolo de red que permite acceder a otra máquina para manejarla remotamente.

REFERENCIAS

CALIFORNIA CIVIL CODE. Title 1.81.26, de 28 de septiembre de 2018, Security of Connected Devices. Disponible en: https://leginfo.legislature.ca.gov/faces/billCompareClient.xhtml?bill_id=201720180SB327. Acceso en: 10/12/2018. [ Links ]

CALIFORNIA DEPARTMENT OF JUSTICE. California Data Breach Report. Octubre de 2014. Disponible en: https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/2014data_breach_rpt.pdf. Acceso en: 11/12/2018. [ Links ]

CALIFORNIA DEPARTMENT OF JUSTICE. California Data Breach Report. Febrero de 2016. Disponible en: https://oag.ca.gov/breachreport2016. Acceso en: 09/12/ 2018. [ Links ]

CALIFORNIA LEGISLATIVE INFORMATION. Bill History. SB-327 Information privacy: connected devices (2017-2018). Disponible en: https://leginfo.legislature.ca.gov/faces/billHistoryClient.xhtml?bill_id=201720180SB327. Acceso en: 03/12/2018. [ Links ]

CASALET, M. La digitalización industrial: un camino hacia la gobernanza colaborativa. Estudios de casos. Santiago: Comisión Económica para América Latina y el Caribe (CEPAL), 2018. [ Links ]

COLINA, A., et al. Internet de las Cosas. 2015 (ed. Zennaro, M. y Pietrosemoli, E.). Disponible en: http://wireless.ictp.it/Papers/InternetdelasCosas.pdf. Acceso en: 11/02/2020. [ Links ]

COMISIÓN EUROPEA. CE. “Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Digitalización de la industria europea - Aprovechar todas las ventajas de un mercado único digital. 19 de abril de 2016. COM (2016) 180 final. [ Links ]

COMISIÓN EUROPEA. CE. “Inteligencia artificial para Europa”. 25 de abril de 2018. COM (2018) 237 final. [ Links ]

COMISIÓN ECONÓMICA PARA AMÉRICA LATINA Y EL CARIBE. CEPAL. La nueva revolución digital. De la Internet del consumo a la Internet de la producción. Santiago: Naciones Unidas, 2016. [ Links ]

COMISIÓN ECONÓMICA PARA AMÉRICA LATINA Y EL CARIBE. CEPAL. Datos, algoritmos y políticas. La redefinición del mundo digital. Santiago: Naciones Unidas, 2018. [ Links ]

COMITÉ ECONÓMICO Y SOCIAL EUROPEO. Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en el Internet de las Cosas”. Diario Oficial de la Unión Europea. C 440. 61° año. 6 de diciembre de 2018, p. C 440/8-C 440/13. [ Links ]

COMITÉ ECONÓMICO Y SOCIAL EUROPEO. Dictamen del Comité Económico y Social Europeo sobre la “Inteligencia artificial: las consecuencias de la inteligencia artificial para el mercado único (digital), la producción, el consumo, el empleo y la sociedad”. Diario Oficial de la Unión Europea. C 288. 60° año. 31 de mayo de 2017, p. C 288/1-C 4288/9. [ Links ]

“Domótica: cómo automatizar tu hogar para disfrutarlo más mientras ahorras tiempo y dinero”. 20 minutos. 3 de noviembre de 2016. Disponible en: https://blogs.20minutos.es/un-hogar-con-mucho-oficio/2016/11/03/domotica-como-automatizar-tu-hogar-para-disfrutarlo-mas-mientras-ahorras-tiempo-y-dinero/. Acceso en: 15/03/2017. [ Links ]

GALLEGO GÓMEZ, C.; de PABLOS HEREDERO, C. “El impacto de un nuevo paradigma tecnológico-social: el Internet de las Cosas y la capacidad de innovación”. Harvard Deusto Business Research, v. V, n. 2, 2016, p. 149-161. [ Links ]

“Gartner says Personal Worlds and the Internet of Everything Are Colliding to Create New Markets”. Gartner. 11 de noviembre de 2013. Disponible en: https://dutchitchannel.nl/507921/gartner-says-personal-worlds-and-the-internet-of-everything-are-colliding-to-create-new-markets.html. Acceso en: 11/02/2020. [ Links ]

“Gartner says 8.4 billion connected ‘things’ will be in use in 2017 up 31 percent from 2016”. Gartner. 7 de febrero de 2017. Disponible en: https://www.gartner.com/newsroom/id/3598917. Acceso en: 02/05/2017. [ Links ]

GRAHAM, R. “California’s bad IoT law”. Errata Security. 10 de septiembre de 2018. Disponible en: https://blog.erratasec.com/2018/09/californias-bad-iot-law.html#.XBbQ-lwzbIV. Acceso en: 12/12/2018. [ Links ]

GRANERO, H. “Contratos inteligentes y blockchain. ¿Las cadenas de bloques pueden convertir a Uber en pasado de moda?” In: GRANERO, H. (Dir.). E-Mails, chats, WhatsApp, SMS, Facebook, filmaciones con teléfonos móviles y otras tecnologías. Validez probatoria en el proceso civil, comercial, penal y laboral. Buenos Aires: ElDial, 2019, p. 21-35. [ Links ]

HAWKINS, D. “The Cybersecurity 202: California’s Internet of Things cybersecurity bill could lay groundwork for federal action”. The Washington Post. 17 de septiembre de 2018 Disponible en: https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/09/17/the-cybersecurity-202-california-s-internet-of-things-cybersecurity-bill-could-lay-groundwork-for-federal-action/5b9e6e331b326b47ec959638/?noredirect=on&utm_term=.22a787721195. Acceso en: 14/12/2018. [ Links ]

McKINSEY & COMPANY. The Internet of Things: How to capture the value of IoT. 2018. Disponible en: https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/The%20Internet%20of%20Things%20How%20to%20capture%20the%20value%20of%20IoT/How-to-capture-the-value-of-IoT.ashx. Acceso en: 02/12/2018. [ Links ]

MICROSOFT. The Future Computed: Artificial Intelligence and its Role in Society. Redmond, Washington: Microsoft Corporation, 2018. [ Links ]

PERASSO, V. “Qué es la cuarta revolución industrial (y por qué debería preocuparnos)”. BBC Mundo. 12 de octubre de 2016. Disponible en: http://www.bbc.com/mundo/noticias-37631834. Acceso en: 12/12/2016. [ Links ]

“Polémico: una pulsera envía descargas eléctricas para fomentar el ahorro”. Infobae. 23 de mayo de 2016. Disponible en: https://www.infobae.com/2016/05/23/1813599-polemico-una-pulsera-envia-descargas-electricas-fomentar-el-ahorro/. Acceso en:15/03/2017. [ Links ]

POOLE, E. “El mundo nuevo de la tecnología ponible: ¿Qué consecuencias tiene para la propiedad intelectual (P.I.)?”. Revista de la Organización Mundial de la Propiedad Intelectual, n. 3. Junio 2014, p. 9-16. [ Links ]

REPÚBLICA ARGENTINA, MINISTERIO DE MODERNIZACIÓN. Internet de las Cosas. 2016. Disponible en: https://www.argentina.gob.ar/sites/default/files/paperbenchmarkinternacional-iot.pdf. Acceso en: 11/07/2019. [ Links ]

SALAS, A. Los Hombres que susurran a las máquinas. España: Espasa, 2015. [ Links ]

SENATE JUDICIARY COMMITTEE. Information privacy: connected devices. 5 de agosto de 2017. Disponible en: https://leginfo.legislature.ca.gov/faces/billAnalysisClient.xhtml?bill_id=201720180SB327. Acceso en: 05/12/2018. [ Links ]

SENATE RULES COMMITTEE. SENATE FLOOR ANALYSIS. SB-327 Information privacy: connected devices. 28 de agosto de 2018. Disponible en: https://leginfo.legislature.ca.gov/faces/billAnalysisClient.xhtml?bill_id=201720180SB327. Acceso en: 12/12/2018. [ Links ]

TEJERO LÓPEZ, A. Seguridad en el Internet de las Cosas. Retos y oportunidades detectadas. Madrid: Centro de Apoyo a la Innovación Tecnológica (CAIT), Universidad Politécnica de Madrid, 2014. [ Links ]

“The world’s most valuable resource is no longer oil, but data”. The Economist. 6 de mayo de 2017. Disponible en: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acceso en: 05/01/2020. [ Links ]

UNIÓN EUROPEA. Grupo de Trabajo sobre Protección de Datos del Artículo 29. Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos. Adoptado el 16 de septiembre de 2014. 1471/14/ESWP 223. [ Links ]

UNIÓN EUROPEA. “Reglamento 2019/881 del Parlamento europeo y del Consejo relativo a ENISA (Agencia europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento 526/2013 (Reglamento sobre la Ciberseguridad)”. Diario Oficial de la Unión Europea. 7 de junio de 2019. L 151/15-L 151/69. [ Links ]

UNIÓN INTERNACIONAL DE LAS TELECOMUNICACIONES. Recomendación UIT-T Y.2060. Descripción General de Internet de las Cosas. Ginebra: UIT, 2012. [ Links ]

Recibido: 29 de Enero de 2019; Aprobado: 23 de Septiembre de 2019

Adriana Margarita Porcelli

Abogada. Procuradora (Universidad de Buenos Aires), Magíster en Relaciones Internacionales (Universidad Maimónides). Diploma en Derechos Económicos Sociales y Culturales (Universidad Nacional de la Patagonia San Juan Bosco y Ministerio de Justicia y Derechos Humanos). Profesora adjunta ordinara, División Derecho. Investigadora categoría V. Universidad Nacional de Luján (UNLu).

adporcelli@yahoo.com.ar

Creative Commons License Este es un artículo publicado en acceso (Open Access) abierto bajo la licencia Creative Commons Attribution NonCommercial, que permite su uso, distribución y reproducción en cualquier medio, sin restricciones siempre que sin fines comerciales y que el trabajo original sea debidamente citado.