Resumen

El objetivo de este artículo consiste en definir el ecosistema denominado Internet de las Cosas y analizar la Ley de California n° 327 Information privacy: connected devices, publicada el 28 de septiembre de 2018 y agregada a la Sección 1, Parte 4 de la División 3 del Código Civil californiano, bajo el título Title 1.81.26. Security of Connected Devices, y que entró vigencia recién el 1 de enero de 2020. A tales efectos, comprende dos partes: la primera delimita el marco conceptual-tecnológico y la segunda examina los diferentes principios adoptados en la Ley n° 327 Information privacy: connected devices, y a la vez presenta sus más duras críticas, así como los argumentos en su defensa. Además, realiza un análisis comparativo de dicha legislación con el Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas”. Finalmente concluye que existe un acuerdo en la comunidad técnico-científica sobre que esta ley sienta un punto de inflexión en la protección de los consumidores de los dispositivos conectados y que reaviva el debate legislativo.

Palabras claves
Internet de las Cosas; legislación; California; privacidad; ciberseguridad

Abstract

The present article consists of defining the ecosystem called Internet of Things and California Law No. 327 Information privacy: connected devices, published on 28^th September 2018 and added to California Civil Code, Section 1, Part 4, Division 3, under the title Title 1.81.26. Security of Connected Devices, with effect only since January 1^st 2020. To stories effects, comprises two parts: the first defines the conceptual-technological framework and the second examines the different principles adopted in Law No. 327 Information privacy: connected devices, and, at the same time, presents its harshest criticism as well as arguments in its defense. It also carries out a comparative analysis of this legislation with the opinion of the European Economic and Social Committee on Trust, Privacy and Security of Consumers and Businesses in the Internet of Things. Finally, it’s concluded that there is an agreement in the technical-scientific community that this law is a turning point in the protection of consumers of connected devices and that it revives the legal debate.

Keywords
Internet of things; legislation; California; privacy; cybersecurity

Resumo

O objetivo deste artigo é definir o ecossistema denominado Internet das Coisas e analisar a Lei n. 327 da Califórnia (Information privacy: connected devices), publicada em 28 de setembro de 2018 e adicionada à Seção 1, Parte 4 da Divisão 3 do Código Civil californiano, sob o título Title 1.81.26. Security of Connected Devices, entrando em vigência recentemente, em 1º de janeiro de 2020. Para tanto, está dividido em duas partes: a primeira delimita o arcabouço conceitual-tecnológico, e a segunda examina os diferentes princípios adotados na Lei n. 327 da Califórnia, ao mesmo tempo em que apresenta suas críticas mais severas e argumentos em sua defesa. É realizada também uma análise comparativa dessa legislação com o parecer do Comitê Econômico e Social Europeu sobre Confiança, Privacidade e Segurança dos Consumidores e das Empresas na Internet das Coisas. Por fim, conclui-se que existe um consenso na comunidade técnico-científica de que essa lei é um ponto de virada na proteção dos consumidores de dispositivos conectados e que ela revive o debate jurídico.

Keywords
Internet das Coisas; legislação; Califórnia; privacidade; segurança cibernética

Introducción

Los economistas afirman que la humanidad se encuentra en el preludio de la Cuarta Revolución Industrial, llamada también Industria 4.0 (término utilizado por primera vez en la Feria de Hanover, Alemania, en el año 2011), continuadora de los otros tres procesos históricos transformadores: la Primera Revolución Industrial (entre 1760 y 1830) marcó la transición de la producción manual a la mecanizada; la Segunda, alrededor de 1850, introdujo la electricidad y permitió la manufactura en masa; y la Tercera, a mediados del siglo XX, denominada la Revolución Digital, basada en el uso de tecnologías de información para automatizar aún más la producción. Esta Cuarta Revolución Industrial no se define por un conjunto de tecnologías emergentes en sí mismas, sino por la completa digitalización de las cadenas de valor a través de la integración de tecnologías de procesamiento de datos, software inteligente y sensores. Recurriendo a Internet, a los sistemas ciberfísicos y a las redes virtuales con posibilidades de controlar objetos materiales, se pueden ir modernizando las plantas fabriles hasta transformarlas en fábricas inteligentes (PERASSO, 2016PERASSO, V. “Qué es la cuarta revolución industrial (y por qué debería preocuparnos)”. BBC Mundo. 12 de octubre de 2016. Disponible en: http://www.bbc.com/mundo/noticias-37631834. Acceso en: 12/12/2016.
http://www.bbc.com/mundo/noticias-376318... ).

El Comité Económico y Social Europeo, en su dictamen de iniciativa emitido el 31 de mayo de 2017 sobre la “Inteligencia artificial: las consecuencias de la inteligencia artificial para el mercado único (digital), la producción, el consumo, el empleo y la sociedad”, señala que en la Cuarta Revolución Industrial, marcada por la convergencia de tecnologías digitales, físicas y biológicas, Internet de las Cosas es el ámbito predilecto de aplicación de las formas más avanzadas de inteligencia artificial y se pone a prueba el principio según el cual los seres humanos tienen en todo momento control (CESE, 2017COMITÉ ECONÓMICO Y SOCIAL EUROPEO. Dictamen del Comité Económico y Social Europeo sobre la “Inteligencia artificial: las consecuencias de la inteligencia artificial para el mercado único (digital), la producción, el consumo, el empleo y la sociedad”. Diario Oficial de la Unión Europea. C 288. 60° año. 31 de mayo de 2017, p. C 288/1-C 4288/9., p. C 288/1). No se trata que las máquinas reemplacen a los trabajadores, sino se promueve el desarrollo de programas de inteligencia artificial y robotización “inclusivos” de manera que los trabajadores sigan ocupando un lugar central en el proceso y participen en su mejora. Se espera que se desarrolle y realice un entorno en el que los humanos y los robots y/o la inteligencia artificial coexistan y trabajen para mejorar la calidad de vida al ofrecer servicios personalizados y diferenciados que puedan satisfacer las diversas necesidades de los usuarios. Asimismo destaca que no es éticamente aceptable que un ser humano sea considerado un mero ejecutor de la máquina, sino que se espera que la educación capacite a los trabajadores a la realización de tareas más creativas y que se delegue en las máquinas las que son monótonas y repetitivas.

Dicho en forma más simple, se trata de una producción industrial en la que todos los productos y máquinas están interconectados entre sí digitalmente. Las nuevas tecnologías y enfoques están fusionando los mundos físico, digital y biológico de manera que transformarán a la humanidad en su esencia misma.

En ello radica lo novedoso de esta nueva revolución, que a diferencia de las anteriores que se desarrollaron exclusivamente en el mundo físico, la actual conecta ese ámbito físico con el espacio digital, utilizando como medio de comunicación Internet (Internet de las Cosas, IOT, siglas en inglés de Internet of Things) y como mensaje los propios metadatos o datos.

La digitalización está permeando la economía con tal intensidad que se dice que los datos son el nuevo petróleo,¹ 1 Según “The world’s most valuable resource is no longer oil, but data”. The Economist. 6 de mayo de 2017. Disponible en: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acceso en: 05/01/2020. o que quien maneje los datos hoy maneja el mundo. Las empresas que gozan de mayor cotización en el mundo son empresas que ofrecen servicios gratuitos, por ejemplo, Google, Facebook, Twitter, pero nada en la Web es del todo anónimo ni gratuito. Al parecer los consumidores no evidencian el real poder de los datos ya que están dispuestos a entregarlos para recibir un servicio en línea, así como tampoco por parte de muchas empresas que no gestionan eficientemente la información que poseen. A lo complejo del tema debe agregarse la necesidad de coordinación internacional al tratarse de asuntos que trascienden las fronteras nacionales. En 2017 cerca de 4 billones de personas -más de la mitad de la población mundial- utilizaban Internet y un 56 por ciento lo hacían con suscripciones a servicios móviles. Por otra parte, el 61 por ciento de dichas suscripciones operaban sobre redes 3G o 4G y durante el 2017 se descargaron 175.000 millones de aplicaciones y se usaban activamente alrededor de 40 en cada teléfono inteligente. A principios de 2018 se registraban más de 5.000 millones de usuarios únicos de telefonía móvil, de los cuales 57 por ciento utilizaban teléfonos inteligentes. En enero de 2018 más de 3 billones de personas -el 42 por ciento de la población mundial- usaban mensualmente las redes sociales. Entre las nuevas tecnologías que están impulsando la digitalización, la Internet de las Cosas es una de las que se prevé tendrá mayor impacto, tanto en el desarrollo de bienes y servicios para los consumidores como para usos productivos (CEPAL, 2018COMISIÓN ECONÓMICA PARA AMÉRICA LATINA Y EL CARIBE. CEPAL. Datos, algoritmos y políticas. La redefinición del mundo digital. Santiago: Naciones Unidas, 2018., p. 19-20).

Según estimaciones realizadas por la consultora Gartner, en 2020, el número de objetos conectados a Internet será de más de 26 billones (excluyendo PCs, tablets y smartphones), e la Internet de las Cosas aportará por sí misma un valor de 1,9 billón de euros a la economía mundial, lo que demostra la gran importancia estratégica que representará la economía digital en los próximos años (GARTNER, 2013“Gartner says Personal Worlds and the Internet of Everything Are Colliding to Create New Markets”. Gartner. 11 de noviembre de 2013. Disponible en: https://dutchitchannel.nl/507921/gartner-says-personal-worlds-and-the-internet-of-everything-are-colliding-to-create-new-markets.html. Acceso en: 11/02/2020.
https://dutchitchannel.nl/507921/gartner... ).

En sintonía, el estudio del McKinsey Global Institute, intitulado “The Internet of Things: How to capture the value of IoT”, resalta que una Internet de las Cosas completamente conectada podría añadir hasta US$11 billones a la economía global al año para el 2025 a través de diferentes entornos, incluyendo fábricas, ciudades y ámbitos minoristas (McKINSEY & COMPANY, 2018McKINSEY & COMPANY. The Internet of Things: How to capture the value of IoT. 2018. Disponible en: https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/The%20Internet%20of%20Things%20How%20to%20capture%20the%20value%20of%20IoT/How-to-capture-the-value-of-IoT.ashx. Acceso en: 02/12/2018.
https://www.mckinsey.com/~/media/McKinse... , p. 4).

De lo anteriormente expuesto, se puede deducir que Internet de las Cosas genera una enorme cantidad de datos transmitidos que son analizados a una velocidad antes inimaginable, realizando predicciones. Es destacable su valor en sectores claves como en el sanitario, en las Smart Cities, en el de la distribución, entre otros. Pero también conlleva importantes riesgos, como son los futuros usos no previstos en el momento de obtener la información y el consentimiento para ellos, la generación de perfiles, la manipulación, la monitorización de la conducta (profiling) y las valoraciones basadas en decisiones automatizadas que pueden perjudicar seriamente a las personas. Redes sociales, como Facebook o Twitter, permiten conocer los intereses de millones de personas en tiempo real, a qué estímulos responden, cuándo se conectan, qué compran, qué sitios visitan, con quiénes interactúan y más. Al cruzar esa enorme cantidad de datos con las que tienen, por ejemplo, las tarjetas de crédito o los resultados electorales, se puede medir casi todo.

Todas estas tecnologías, denominadas actualmente disruptivas, deben ser reguladas efectivamente por el derecho. En todos los países se evidencia una marcada tendencia a la formulación e implementación de estrategias y agendas digitales cada vez más integrales, como las dos Cumbres Mundiales para la Sociedad de la Información (CMSI) de 2003 y 2005, la inclusión de las TICs en los Objetivos de Desarrollo Sostenible de las Naciones Unidas (ODS) en 2015, el Foro de la Cumbre Mundial de la Sociedad de la Información de 2018 “Aprovechando las TICs para construir Sociedades de la Información que alcancen los ODS” y la formulación de sucesivos planes regionales de acción como la VI Conferencia Ministerial sobre la Sociedad de la Información en América Latina y el Caribe de 2018 (eLAC 2020).

En marzo de 2015, la Comisión Europea publicó la “Alianza para la Innovación de Internet de las Cosas” para apoyar la creación de un ecosistema de Internet de las Cosas europeo innovador e impulsado por la industria. En mayo de 2015 adoptó la Estrategia del Mercado Único Digital y el 19 de abril de 2016 publicó el documento Advancing the Internet of Things in Europe, es decir, “Avanzando en la Internet de las Cosas en Europa”. Dicha comunicación resaltó que las tecnologías digitales estaban evolucionando a un ritmo tan rápido que debía supervisarse constantemente el marco jurídico para garantizar su consonancia con el desarrollo tecnológico. A tales efectos, expresó la necesidad de examinar el marco normativo de las innovaciones digitales para esclarecer, entre otros temas, la propiedad y el uso de los datos generados en un contexto industrial; los sistemas que actúan de modo autónomo, como los vehículos sin conductor o los drones y las aplicaciones y demás softwares no empotrados, vale decir, no incluido en un medio tangible, temáticas que representan un desafío para las normas de seguridad y responsabilidad (CE, 2016COMISIÓN EUROPEA. CE. “Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Digitalización de la industria europea - Aprovechar todas las ventajas de un mercado único digital. 19 de abril de 2016. COM (2016) 180 final., p. 15).

El 6 de diciembre de 2018, el Comité Económico y Social Europeo, a propuesta de Carlos Trias Pintó, aprobó el dictamen de iniciativa intitulado Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas”, que parte de la premisa que uno de los pilares de la Internet de las Cosas radica en la toma de decisiones automáticas sin intervención humana, y que la interconectividad de personas y objetos representa un inmenso abanico de oportunidades para los ciudadanos y las empresas. Sin embargo, reconoce la necesidad de dotar de un marco jurídico adecuado, estableciendo una serie de garantías y controles para asegurar una implantación satisfactoria del mismo que garantice los derechos de los consumidores. (CESE, 2018COMITÉ ECONÓMICO Y SOCIAL EUROPEO. Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en el Internet de las Cosas”. Diario Oficial de la Unión Europea. C 440. 61° año. 6 de diciembre de 2018, p. C 440/8-C 440/13., p. C440/8).

El 27 de junio de 2019 entró en vigor el Reglamento 2019/881 del Parlamento Europeo y del Consejo relativo a ENISA (Agencia Europea para la Ciberseguridad, que pasa a llamarse Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento nº 526/2013 (Reglamento sobre la Ciberseguridad). Los dos objetivos principales de la Cibersecurity Act son, por un lado, dar a ENISA un papel más relevante en el ámbito de la ciberseguridad, estableciendo una serie de objetivos y tareas y; por el otro, la creación de un marco común de certificación a nivel europeo, con la finalidad de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos informáticos en la Unión, evitando la fragmentación del mercado interior. Eso sí es de destacar que ese marco en principio será voluntario. La Comisión está evaluando hasta qué punto este plan será obligatorio para 2023.² 2 Para una profundización en el tema, véase: UNIÓN EUROPEA. “Reglamento 2019/881 del Parlamento europeo y del Consejo relativo a ENISA (Agencia europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento 526/2013 (Reglamento sobre la Ciberseguridad)”. Diario Oficial de la Unión Europea. 7 de junio de 2019. L 151/15-L 151/69).

Estados Unidos están mucho más avanzados en el tema legislativo. El 1 de agosto de 2017, el senador Mark Warner presentó una propuesta de ley A Bill S.1961 intitulada Internet of Things (IoT) Cybersecurity Improvement Act of 2017 con el objetivo de establecer los estándares mínimos de seguridad que deben cumplir los dispositivos conectados a Internet adquiridos por las agencias federales, pero no para los electrónicos en general. En paralelo, el senador Roger Wicker introdujo, el 14 de diciembre de 2017, un proyecto de ley A Bill S.2234, Internet of Things Consumer Tips to Improve Personal Security Act of 2017 y el 6 de julio de 2018, el senador Robert Latta presentó un proyecto de ley H.R. 6032 State of Modern Application, Research, and Trends of IoT Act. Pero ninguna de las iniciativas señaladas ut supra, hasta la fecha, se convirtió en ley. Por tanto, se destaca que el Gobernador del Estado de California, Jerry Brown, promulgó el 28 de septiembre de 2018 un proyecto de ley SB-327 Information privacy: connected devices que fue agregado a la Sección 1, Parte 4 de la División 3 del Código Civil, bajo el título Title 1.81.26. Security of Connected Devices, lo que convierte a California en el primer Estado con una ley de seguridad cibernética que cubre los dispositivos “inteligentes”.

Este estudio consiste en definir y enumerar los componentes necesarios para el funcionamiento del ecosistema denominado Internet de las Cosas y analizar la Ley de California n° 327 Information privacy: connected devices, publicada el 28 de septiembre de 2018 y agregada a la Sección 1, Parte 4 de la División 3 del Código Civil californiano, bajo el título Title 1.81.26. Security of Connected Devices, y que entró vigencia recién el 1 de enero de 2020. A tales efectos, este artículo comprende dos partes: la primera, que delimita el marco conceptual-tecnológico, y la segunda, que examina los diferentes principios adoptados en la Ley n° 327 Information privacy: connected devices, y a la vez presenta sus más duras críticas, así como los argumentos en su defensa. Y finaliza con un análisis comparativo de dicha legislación con el dictamen de iniciativa del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en el Internet de las Cosas”.

1. Internet de las Cosas

La Internet de las Cosas parte de la base que no solo las personas están conectadas sino también todo lo que pueda ser controlable desde el punto de vista electrónico: una casa, los electrodomésticos, las luces, la calefacción, los celulares o un auto, para citar algunos ejemplos. Se fundamenta en la relación máquina-máquina (Machine to machine o M2M), que implica el control de un dispositivo sobre otro, ambos conectados por Internet y sin la gestión de una persona.

El término Internet de las Cosas fue empleado por primera vez en 1999 por el británico Kevin Ashton, cofundador y director del Auto-ID Center del Instituto de Tecnología de Massachusetts (MIT), para describir un sistema en el cual los objetos del mundo físico se podían conectar a Internet a través de sensores. Ashton acuñó este término para ilustrar el poder de conectar a Internet las etiquetas de identificación por radiofrecuencia (RFID) que se utilizaban en las cadenas de suministro corporativas para contar y realizar un seguimiento de las mercancías sin necesidad de intervención humana.

Según la Unión Internacional de Telecomunicaciones (UIT), se trata de una infraestructura mundial al servicio de la sociedad de la información, que propicia la prestación de servicios avanzados mediante la interconexión (física y virtual) de las cosas, gracias al interfuncionamiento de tecnologías de la información y la comunicación (existentes y en evolución) (CEPAL, 2016COMISIÓN ECONÓMICA PARA AMÉRICA LATINA Y EL CARIBE. CEPAL. La nueva revolución digital. De la Internet del consumo a la Internet de la producción. Santiago: Naciones Unidas, 2016., p. 34). Para aprovechar las capacidades de identificación, adquisición de datos, procesamiento y comunicación, utiliza plenamente los objetos para ofrecer servicios a todos los tipos de aplicaciones, lo que garantiza a su vez el cumplimiento de los requisitos de seguridad y privacidad. La Recomendación UIT-T Y.2060 aclara e identifica las características fundamentales de Internet de las Cosas, a la vez que pronostica que integrará muchísimas de las tecnologías avanzadas, como las relacionadas con la comunicación máquina a máquina, las redes autónomas, la minería de datos y la toma de decisiones, la protección de la seguridad y la privacidad y la computación en la nube, así como tecnologías avanzadas de detección y accionamiento (UIT, 2012UNIÓN INTERNACIONAL DE LAS TELECOMUNICACIONES. Recomendación UIT-T Y.2060. Descripción General de Internet de las Cosas. Ginebra: UIT, 2012., p. 8). Según el “Dictamen 8/2014 sobre la evolución reciente de la Internet de los Objetos”, adoptado el 16 de septiembre de 2014 y elaborado por el Grupo de Trabajo sobre Protección de Datos del Artículo 29 -órgano consultivo de la Unión Europea-, Internet de las Cosas comprende los sensores con capacidad de interacción entre ellos y con otros sistemas, que se incorporan a dispositivos de uso cotidiano de forma que recogen, tratan, almacenan y transfieren datos utilizando capacidades de interconexión en red, vale decir, con Internet.³ 3 El Grupo de Trabajo sobre Protección de Datos del Artículo 29 se creó en virtud del artículo 29 de la Directiva 95/46/CE. A partir del 25 de mayo del 2018, fue sustituido por el Consejo Europeo de Protección de Datos.

Además, identifica tres grandes bloques sobre los que se pueden desarrollar esa conexión:

El primer ejemplo de domótica y control remoto automatizado es la instalación de controles de acceso digitales a la vivienda, cerraduras electrónicas que permiten controlar cuántas veces se ha abierto la puerta, comprobar si está bien cerrada (incluso estando a miles de kilómetros) o proporcionar acceso a cualquier persona en cualquier momento preciso.⁵ 5 Para ampliar en la temática, véase: “Domótica: cómo automatizar tu hogar para disfrutarlo más mientras ahorras tiempo y dinero”. 20 minutos. 3 de noviembre de 2016. Disponible en: https://blogs.20minutos.es/un-hogar-con-mucho-oficio/2016/11/03/domotica-como-automatizar-tu-hogar-para-disfrutarlo-mas-mientras-ahorras-tiempo-y-dinero/. Acceso en: 15/03/2017.

Así, cabe distinguir entre la Internet de las Cosas del consumidor (hogar inteligente, tecnologías ponibles) y la Internet de las Cosas de la producción, también denominada Internet industrial. En el año 2017 se estimaba que a nivel mundial había alrededor de 8.000 millones de unidades instaladas de Internet de las Cosas, de las cuales el 63 por ciento correspondía a soluciones de consumo personal, como domótica, tecnologías ponibles (wearable technologies) o autos conectados, en tanto que el restante 37 por ciento se repartía en soluciones transversales y para sectores específicos (GARTNER, 2017“Gartner says 8.4 billion connected ‘things’ will be in use in 2017 up 31 percent from 2016”. Gartner. 7 de febrero de 2017. Disponible en: https://www.gartner.com/newsroom/id/3598917. Acceso en: 02/05/2017.
https://www.gartner.com/newsroom/id/3598... ).

En base a lo expuesto supra, Internet de las Cosas crea un mundo inteligente donde lo real, lo digital y lo virtual convergen para crear un entorno que proporciona más inteligencia a la energía, a la salud, al transporte, a las ciudades, a la industria, a los edificios y en muchas otras áreas de la vida diaria. Un ámbito en donde se interconectan millones de redes inteligentes que habilitan el acceso a la información no solo en cualquier momento y lugar, sino también usando cualquier cosa y por parte de cualquier persona, a través de cualquier ruta, red, y cualquier servicio (COLINA, et al, 2015COLINA, A., et al. Internet de las Cosas. 2015 (ed. Zennaro, M. y Pietrosemoli, E.). Disponible en: http://wireless.ictp.it/Papers/InternetdelasCosas.pdf. Acceso en: 11/02/2020.
http://wireless.ictp.it/Papers/Internetd... , p. 4).

Fundamentalmente, países como Alemania, Estados Unidos y China han implementado políticas para reorientar sectores productivos estratégicos hacia la Industria 4.0. En la fábrica inteligente, el producto, al comunicarse con su entorno, puede reconfigurar la disposición de los sistemas de fabricación y adaptar los cambios en la producción de manera rentable y ha favorecido a la producción personalizada que satisface las necesidades heterogéneas de los clientes (CASALET, 2018CASALET, M. La digitalización industrial: un camino hacia la gobernanza colaborativa. Estudios de casos. Santiago: Comisión Económica para América Latina y el Caribe (CEPAL), 2018., p. 7-9).

Dentro del ecosistema de Internet de las Cosas se pueden identificar los siguientes componentes:

Sin embargo, como las comunicaciones entre la unidad principal y sus módulos o entre los módulos entre sí se realiza, en la mayoría de los casos, utilizando un protocolo serial o estandarizado que es adoptado por la mayoría de las PC y por los dispositivos electrónicos, la Internet de las Cosas necesita realizar algunos cambios en la conectividad de dispositivos, protocolos de comunicación y lenguajes de software para lograr la interoperatividad entre todos sus componentes. La generación de estándares implica que cada proveedor de tecnología debe cumplir con un protocolo de manera tal que su equipo sea compatible con los demás fabricados por otros prestadores para evitar las posiciones de dominio de mercado y de bloqueo del desarrollo. En este sentido, la Unión Internacional de las Telecomunicaciones ha formulado las Recomendaciones del Sector de Normalización de la UIT (UIT-T) para garantizar la interoperabilidad de las aplicaciones, los servicios y las plataformas de Internet de las Cosas.

Como la Internet de las Cosas requiere diversa tecnología para funcionar, desde comunicaciones móviles, seguridad de la información, intercomunicaciones e interoperabilidad, un único estándar muy probablemente no podrá cubrirlo todo. En consecuencia, se pueden considerar cuatro capas en las que se está trabajando en desarrollo de estándares: a) la primera es la capa de aplicación, en la que se miran los protocolos para desarrollar aplicaciones de Internet de las Cosas; b) la segunda es la de servicios, donde se desarrollan marcos que permitan servicios de Internet de las Cosas; c) la tercera es la de redes; y d) la última capa es la de tecnologías de acceso, que busca optimizar las capas de aplicación y de servicios y optimizaciones específicas de acceso a redes (REPÚBLICA ARGENTINA. MINISTERIO DE MODERNIZACIÓN, 2016REPÚBLICA ARGENTINA, MINISTERIO DE MODERNIZACIÓN. Internet de las Cosas. 2016. Disponible en: https://www.argentina.gob.ar/sites/default/files/paperbenchmarkinternacional-iot.pdf. Acceso en: 11/07/2019.
https://www.argentina.gob.ar/sites/defau... , p. 4).

El Protocolo de Internet (IP, siglas de Internet Protocol) actualmente está presente en todos los dispositivos capaces de enviar y recibir información digital, no solamente la Internet. Desde hace varios años, debido al crecimiento y al uso masivo que ha tenido la Web, se notó un agotamiento de las direcciones de la versión 4 (IPv4) ya que nunca fue diseñado para abarcar a tan alto número de dispositivos. Los esfuerzos llegaron hasta el punto de cambiar el protocolo de conexión IP de la versión 4 a la versión 6 (Ipv6), lo que conlleva una ampliación de la cantidad de direcciones disponibles a nivel mundial.

Ahora bien, previo al análisis de la ley del Estado de California, es necesario mencionar los riesgos derivados del presente ecosistema en cuanto a la privacidad, la protección de datos y la seguridad de la información.

En la Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, “Inteligencia artificial para Europa”, del 25 de abril de 2018, se destaca que la aparición de la inteligencia artificial, en particular, el complejo ecosistema que la hace posible y la característica de la adopción autónoma de decisiones, exige una reflexión acerca de la idoneidad de algunas de las normas establecidas en materia de seguridad y de responsabilidad civil. Por ejemplo, los robots avanzados y los productos de Internet de las Cosas pueden no comportarse con arreglo a lo previsto cuando el sistema entró en funcionamiento por primera vez. En consecuencia, y habida cuenta de los desafíos planteados por las tecnologías digitales emergentes, se reconoce la necesidad de revisar los marcos jurídicos en materia de seguridad, las normas sobre responsabilidad por los daños causados por productos defectuosos, así como la directiva sobre máquinas, a fin de constatar si resultan adecuados para el fin previsto o si existen lagunas que deben colmarse.

Considera de vital importancia que las personas puedan controlar los datos generados por la utilización de estas herramientas y saber si están comunicándose con una máquina o con otro ser humano, así como la forma de garantizar que las decisiones del sistema puedan verificarse o corregirse. Es que, en muchos casos, la toma de decisiones automática, sin intervención humana, afectó los derechos de los consumidores, ocasionó riesgos éticos o contrarios a los principios y derechos humanos fundamentales (CE, 2018COMISIÓN EUROPEA. CE. “Inteligencia artificial para Europa”. 25 de abril de 2018. COM (2018) 237 final., p. 18-19).

A medida que las computadoras se comportan más como los humanos, las ciencias sociales y las humanidades se volverán aún más importantes. Si la inteligencia artificial quiere alcanzar su potencial para servir a los humanos, entonces cada ingeniero tendrá que aprender más sobre las ciencias sociales y cada especialidad en las ciencias sociales necesitará aprender más sobre ingeniería (TEJERO LÓPEZ, 2014TEJERO LÓPEZ, A. Seguridad en el Internet de las Cosas. Retos y oportunidades detectadas. Madrid: Centro de Apoyo a la Innovación Tecnológica (CAIT), Universidad Politécnica de Madrid, 2014., p. 6).

2. La Ley de California sobre Internet de las Cosas

La Senadora de Santa Bárbara Hannah-Beth Jackson presentó, el 3 de febrero de 2017, ante el Senado del estado de California, un proyecto de ley intitulado “SB-327 Information privacy: connected devices” (2017-2018).⁶ 6 Las siglas SB significan Senator Bill. Posteriormente fue enmendado por la autora, continuó con el tratamiento legislativo y después de las tres lecturas obligatorias, el día 29 de septiembre del 2018, fue promulgado por el Gobernador Jerry Brown y archivado en la Secretaría del Estado. De esta forma, se transformó en Ley-Act- y se agregó a la Sección 1, Parte 4 de la División 3 del Código Civil californiano, bajo el título Title 1.81.26. Security of Connected Devices.⁷ 7 Para ampliar la historia sobre el tratamiento legislativo, consultar CALIFORNIA LEGISLATIVE INFORMATION. Bill History. SB-327 Information privacy: connected devices. (2017-2018). Disponible en: https://leginfo.legislature.ca.gov/faces/billHistoryClient.xhtml?bill_id=201720180SB327. Acceso en: 3/12/2018.

Como requisito para su entrada en vigencia, en la Sección 2, establece que es necesario que el Proyecto de Ley de la Asamblea n° 1906 intitulado AB-1906 Information privacy: connected devices. (2017-2018),⁸ 8 Las siglas AB significan Assembly Bill. presentado en enero del 2018 por la asambleísta Jacqui Irwin, de Thousand Oaks, también se promulgue y entre en vigencia. Justamente ese mismo día, el 28 de septiembre de 2018, ambos proyectos de ley fueron promulgados por el gobernador. El proyecto de ley SB-327 es anterior, pero al ser enmendado es casi un espejo del proyecto AB-1906. Sin embargo, la posterior aplicación de ambas leyes es diferida al 1 de enero de 2020. La razón es otorgarles tiempo a los fabricantes de dispositivos conectados a Internet para que puedan adecuar sus productos a la nueva normativa.

Entre los fundamentos esgrimidos por la Senadora Jackson a favor de la promulgación de este proyecto de ley, se destaca que los dispositivos de uso de los consumidores que se conectan a Internet van mucho más allá de la PC de escritorio tradicional para incluir una amplia variedad de productos electrónicos de consumo, como microondas, refrigeradores y juguetes para niños. Si bien estas capacidades pueden aumentar la funcionalidad del producto, muchos consumidores no están informados sobre las consecuencias de poseer dispositivos conectados. Los consumidores pueden comprar un dispositivo sin darse cuenta, hasta mucho tiempo después que hayan comenzado a usarlo en su hogar, de cómo utiliza Internet, qué tipos de información recopila y cómo se utiliza esa información. Algunos juguetes conectados a la Red, por ejemplo, piden a los niños que proporcionen datos personales verbalmente, incluidos los nombres de sus padres, el nombre de su escuela y el lugar donde viven, y se reservan explícitamente el derecho de realizar marketing directo hacia los menores. Continúa señalando que un número alarmante de estos dispositivos conectados a Internet carecen incluso de las funciones de seguridad más básicas, lo que los hace vulnerables a la piratería y a los ataques cibernéticos coordinados.

Por ello es necesaria esta ley, ya que crea un requisito de seguridad para los dispositivos conectados a Internet que pueden evolucionar a medida que la tecnología evoluciona. Requiere que los fabricantes equipen sus dispositivos con características de seguridad razonables y adecuadas a la naturaleza del mismo y a la información que recopila. También requiere que los fabricantes diseñen dispositivos conectados con indicadores visuales, auditivos u otros para mostrar cuándo están recolectando información, para obtener el consentimiento del usuario cuando la recopilación de información se extiende más allá de lo que es necesario y para notificar a los consumidores cualquier actualización o parche en la seguridad.

Con respecto a los consumidores, les permite tomar decisiones informadas al exigirles, a los vendedores, que revelen en el punto de venta si el dispositivo es capaz de recopilar información personal o confidencial, dónde se puede encontrar la política de privacidad del dispositivo y cómo obtener actualizaciones de seguridad para el mismo.

Conforme Common Sense Kids Action,⁹ 9 Common Sense Kids Action es una organización nacional norteamericana sin fines de lucro líder con más de una década de experiencia ayudando a niños y familias a tener acceso a servicios de educación y salud infantil de alta calidad y asequibles; ayudando a que todos los niños tengan experiencias de aprendizaje digital de vanguardia; a que sus datos en línea están protegidos; y a que tengan la oportunidad de crecer con suficientes oportunidades económicas y educativas para ayudarles a tener éxito en la vida. patrocinador de la hoy ley, garantizar que los dispositivos conectados cumplan con los estándares de seguridad básicos ayudará a las familias a tomar decisiones informadas sobre estos dispositivos y sobre la información que recopilan y comparten. Es hora de asegurarse que las familias sepan qué información pueden recolectar los dispositivos que compran y quien tiene el control sobre la misma.

Por su parte, el Comité Judicial del Senado enumera varias leyes que refuerzan y que cambian con dicha normativa. En primer lugar, la Constitución de California, la cual, en el art. I Sección 1, establece que todas las personas son por naturaleza libres e independientes y tienen derechos inalienables. Entre estos se encuentran disfrutar y defender la vida y la libertad, adquirir, poseer y proteger bienes, y buscar y obtener seguridad, felicidad y privacidad. La jurisprudencia existente permite a una persona interponer una acción por agravio por una invasión de la privacidad y establece que, para presentar una demanda por violación del derecho constitucional a la privacidad, el demandante debe establecer los siguientes tres elementos: 1) un interés legalmente protegido a la privacidad; 2) una expectativa razonable de privacidad en esas circunstancias; y 3) que la conducta del acusado constituya una invasión grave de la privacidad (conforme el caso Hill v. National Collegiate Athletic Assn. 1994). En cuanto al interés a la privacidad legalmente reconocido, dicha jurisprudencia, establece que son generalmente de dos clases: intereses en excluir la difusión o el uso indebido de información sensible y confidencial (privacidad informativa), e intereses en la toma de decisiones personales íntimas o en la realización de actividades personales sin observación, intrusión o interferencia (autonomía de privacidad).

Conforme el Código Civil de California, Sección 1708.8, un individuo es responsable de una invasión a la privacidad cuando intente capturar, de una manera ofensiva, cualquier tipo de imagen visual, grabación de sonido u otra impresión física de otra persona involucrada en una relación privada y personal o actividad familiar, mediante el uso de cualquier dispositivo, independientemente de si esta imagen, grabación de sonido u otra impresión física no se podrían haber logrado sin que se usara el mismo. Y en la Sección 1798.81.5(b) requiere que una empresa que posee licencias o mantiene información personal sobre un residente de California debe implementar y mantener procedimientos y prácticas de seguridad razonables y adecuadas a la naturaleza de la información, para proteger la información personal del acceso no autorizado, de la destrucción, del uso, la modificación, o revelación.

Según el Código de Negocios y Profesiones de California, en la Sección 22948.20, se establece que una persona o entidad no debe proporcionar la operatoria de una función de reconocimiento de voz sin informar, durante la configuración inicial o la instalación de un televisor conectado, ya sea al usuario o a la persona designada por él, la configuración o instalación inicial de la televisión conectada. Cualquier grabación real de la palabra recopilada a través de la operatoria de una función de reconocimiento de voz por parte del fabricante de un televisor conectado o de un tercero con el fin de mejorar la función de reconocimiento de voz no se venderá ni utilizará con fines publicitarios.

Por su parte, el Código Penal, en la Sección 637.5(a)(1), dispone que ninguna persona que posea, controle, opere o administre una empresa de televisión satelital o por cable, o que arrende canales en un sistema satelital o de cable, podrá utilizar cualquier dispositivo electrónico para grabar, transmitir u observar eventos o escuchar, registrar, o monitorear cualquier conversación que tenga lugar dentro de la residencia, o lugar de trabajo del suscriptor, sin obtener el consentimiento expreso por escrito del mismo. En la Sección 637.5(a)(2) establece que ninguna empresa de televisión satelital o por cable podrá proporcionar información individual identificable con respecto a cualquiera de sus suscriptores, incluidos, entre otros, los hábitos de visualización de televisión, las opciones de compra, los intereses, las opiniones, los usos de energía, la información médica del suscriptor, datos o información bancaria, o cualquier otra información personal o privada, sin el consentimiento expreso por escrito del suscriptor. En la Sección 637.5(b) especifica que las respuestas de visualización de los suscriptores individuales u otra información identificable individualmente derivada de los suscriptores pueden ser retenidas y utilizadas por una empresa de televisión por cable o satélite solo en la medida en que sea razonablemente necesario para fines de facturación y prácticas comerciales internas y para monitorear la recepción no autorizada de servicios. Finalmente, la Sección 637.5(d) especifica que cualquier información de un suscriptor individualmente identificable recopilada por una empresa de televisión por satélite o por cable debe estar disponible para su examen dentro de los 30 días posteriores a la recepción de la solicitud por parte de un suscriptor para examinar la información en las instalaciones de la empresa.

En cuanto al fondo del tema, dicho Comité avanza en la historia de Internet de las Cosas y destaca que actualmente todo, desde tostadoras y muñecas hasta automóviles y televisores, están conectados a Internet, reuniendo y aplicando una amplia gama de información. Esta tecnología tiene posibilidades ilimitadas. Ha revolucionado las capacidades de los dispositivos médicos y ha facilitado las compras. Los expertos de la industria prevén una expansión dramática en los próximos años con artículos para el hogar, como refrigeradores, lavadoras, lavavajillas y termostatos. Muchos de estos dispositivos recopilan una gran cantidad de información personal e íntima. Si no se asegura adecuadamente, esta inmensa cantidad de información privada puede ser vulnerable a las violaciones y puede ser hackeada directamente, permitiendo a extraños realizar una vigilancia subrepticia en los hogares o comunicarse directamente a través de ellos. Quizás lo más perturbador sea que los consumidores ni siquiera están al tanto de las completas capacidades de estos productos o de la información que se recopila. El director del FBI expresó su preocupación sobre el tremendo daño que pueden generar los “ejércitos de zombis” creados por los dispositivos de Internet de las Cosas. Finaliza resaltando las bondades del proyecto de ley para abordar estas innovaciones y sus riesgos concomitantes, ya que establece requisitos relacionados con la seguridad de dichos dispositivos y la divulgación de sus capacidades (SENATE JUDICIARY COMMITEE, 2017SENATE JUDICIARY COMMITTEE. Information privacy: connected devices. 5 de agosto de 2017. Disponible en: https://leginfo.legislature.ca.gov/faces/billAnalysisClient.xhtml?bill_id=201720180SB327. Acceso en: 05/12/2018.
https://leginfo.legislature.ca.gov/faces... , p. 1-2).

Dicha ley, que se incorporó al Código Civil de California en la División 3 (Obligaciones), Parte 4 (Obligaciones Derivadas de Transacciones Particulares), bajo el Título 1.81.26. Seguridad de la Dispositivos Conectados (Security of Connected Devices), es corta y simple. Es de destacar que su ámbito de aplicación tiene efectos extraterritoriales, ya que abarca a todos aquellos fabricantes de dispositivos conectados a la Web que vendan en California, aunque la fabricación se produzca fuera de dicho estado y establece estándares de ciberseguridad para dispositivos conectados a la Web, desde termostatos hasta cámaras web y automóviles.

En primer lugar, en el Título 1798.91.04 (a), requiere que los fabricantes de dispositivos conectados a Internet (que vendan sus productos en California) los equipen con “una característica o características de seguridad razonables” diseñadas para evitar que cualquier intruso acceda a ellos, aunque no define exactamente cuáles deberían ser esas características. Lo que detalla es que la seguridad razonable debe ser:

A continuación, bajo el apartado b), exige que todo dispositivo conectado fuera de una red de área local sea equipado con un medio de autenticación con una característica de seguridad razonable. Considera una característica de seguridad razonable si cumple cualquiera de los siguientes requisitos:

Esto se debe a que muchas veces ha sido una práctica común del fabricante proporcionar dispositivos con contraseñas predeterminadas compartidas, lo que significa que se puede acceder fácilmente al dispositivo después de la instalación si el usuario final no establece una nueva contraseña.

En el artículo 1798.91.05 se establecen varias definiciones:

El artículo 1798.91.06 (a) establece determinadas exclusiones o excepciones a la aplicación de los artículos precedentes:

California continúa liderando en la promulgación de leyes de privacidad y seguridad. Esta ley se produce inmediatamente después de la promulgada Ley de Privacidad del Consumidor de California (CCPA), que también entrará en vigencia el 1 de enero de 2020 y que tienen efectos extraterritoriales.

2.1. El debate

Uno de sus acérrimos detractores es el experto en ciberseguridad Robert Graham. Sus afirmaciones son lapidarias en cuanto califica a la ley como “típicamente mala”, basada en una comprensión superficial de la ciberseguridad y la piratería, que va a hacer poco para mejorar la seguridad, mientras que hace mucho para imponer costos y dañar la innovación. Se basa en el concepto erróneo de agregar características de seguridad. El objetivo de la ciberseguridad es eliminar “características inseguras”, lo cual significa eliminar puertos de escucha.

Agregar características es la típica “píldora mágica” o “bala de plata”, sin embargo, según este especialista, no es la solución. Las funciones arbitrarias, como firewall y antivirus, solo aumentarán la superficie de ataque empeorando las cosas, ya que no existe garantía que los proveedores suministren dichos parches o, peor aún, que los usuarios los apliquen. Generalmente, las personas se olvidan de los dispositivos una vez que están instalados ya que no son como los teléfonos y/o computadoras portátiles que notifican a los usuarios sobre la aplicación de parches. Frente al argumento que una buena solución para esto es la actualización automatizada, el especialista afirma que solo si se ignora la historia. Muchos califican a “NotPetya”¹⁰ 10 Petya es un malware de tiporansomwareque en 2017 comenzó un ciberataque mundial. Se esparce como troyano usando el popular sistema de archivos en la nube Dropbox. Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora, pidiendo rescate y no se transmite por Internet sino por redes privadas. como el peor y más costoso ciberataque de todos los tiempos y fue lanzado subvirtiendo un parche automatizado. Por ejemplo, el gusano Mirai¹¹ 11 Mirai es un malware de la familia de las botnets o robots informáticos destinados a infectar los equipos conformantes de la Internet de las Cosas, en especial la infección de routers y cámaras IP. infectó menos de 200.000 dispositivos. Un hackeo de un pequeño proveedor de Internet de las Cosas puede obtener el control de más dispositivos que eso de una sola vez. Y sigue sumando críticas ya que afirma que la ley tiene como objetivo una característica insegura que debe eliminarse: las contraseñas codificadas. Un dispositivo no tiene una contraseña única, hay muchas cosas que pueden llamarse contraseñas. Un dispositivo típico de Internet de las Cosas tiene un sistema para crear cuentas en la interfaz de la administración web, un sistema de autenticación completamente separado para diferentes servicios como Telnet¹² 12 Telnet (Telecommunication Network) es el nombre de un protocolo de red que permite acceder a otra máquina para manejarla remotamente. y un sistema completamente diferente para cosas como las interfaces de depuración.

Ese fue el real problema con los dispositivos infectados por Mirai ya que había diferentes sistemas de autenticación en la interfaz web y en otros servicios como Telnet. De cara al futuro, lo más importante para protegerse es el modo de “aislamiento” en el punto de acceso WiFi que evita que los dispositivos se comuniquen entre sí (o se infecten entre sí). Esto evita ataques de “sitio cruzado” en el hogar, vale decir, evita que las laptops y/o computadoras de escritorio infectadas (que están mucho más amenazadas) se propaguen a los demás dispositivos. La ley establece el vago requisito que los dispositivos tengan características de seguridad “razonables” y “apropiadas”. Es imposible para una empresa saber lo que significan estas palabras, es imposible saber si cumplen con la ley. Al igual que otras leyes que utilizan estos términos, se interpretará en los tribunales. A medida que los defensores mejoran la seguridad, los atacantes cambian de táctica, por lo que lo “razonable” está cambiando constantemente. La seguridad lucha contra el sesgo de la retrospectiva, por lo que lo que es “razonable” y “apropiado” parece más obvio después que ocurren cosas en lugar de antes. Se va a cargar a los dispositivos con funciones de cifrado y antivirus que el público cree que son razonables, pero que empeoran la seguridad. Por último, culmina su análisis, Mirai solo tenía 200.000 dispositivos que estaban principalmente fuera de los Estados Unidos. Esta ley no aborda esta amenaza porque solo se aplica a los dispositivos de California, no a los comprados en Vietnam y Ucrania que, una vez que se infecten, inundarán los dispositivos de California. Si de alguna manera la ley influyera en la mejora general de la industria, aún estaría introduciendo costos innecesarios a 20 mil millones de dispositivos en un intento por limpiar el 0,001 por ciento de ellos (GRAHAM, 2018GRAHAM, R. “California’s bad IoT law”. Errata Security. 10 de septiembre de 2018. Disponible en: https://blog.erratasec.com/2018/09/californias-bad-iot-law.html#.XBbQ-lwzbIV. Acceso en: 12/12/2018.
https://blog.erratasec.com/2018/09/calif... ).

En igual sentido se expidió la Cámara de Comercio de California. Agrega, además, que la Sección 1798.81.5 (b) del Código Civil ya requiere que los fabricantes implementen protecciones de privacidad razonables y, por lo tanto, el requisito que los fabricantes equipen dispositivos con “características de seguridad razonables apropiadas para la naturaleza del dispositivo” es innecesario. La Sección 1798.81.5 (b) se aplica a la “información personal” que una empresa posee, licencia o mantiene y se define como el nombre de usuario o la dirección de correo electrónico de una persona en combinación con la contraseña, la pregunta de seguridad o el nombre de una persona en combinación con un número de seguro social, número de licencia de conducir, número de cuenta o información médica. Otro argumento en contra es que colisiona una ley federal, la Ley de Protección de la Privacidad en Línea de los Niños, aunque no justifica ni aclara esa contradicción.

Para sus defensores, si bien no desconocen que la ley es demasiado amplia, aducen a su favor que mejor eso que nada. Bruce Schneier, tecnólogo de seguridad en la Escuela Kennedy de Harvard expresamente opina que probablemente la ley no va lo suficientemente lejos, pero esa no es razón para no aprobarla. Es una razón para seguir adelante y sienta las bases para una futura legislación de ciberseguridad más sólida a nivel estatal y federal. Después del ataque masivo de la botnet Mirai en 2016 se puso de relieve lo mal asegurados que están muchos de los dispositivos. En ese incidente, los piratas informáticos explotaron las debilidades de las cámaras web y otros dispositivos conectados y los utilizaron para lanzar ataques cibernéticos que derribaron a Netflix, Spotify y otros sitios web importantes durante horas. Esta ley busca abordar algunas de esas fallas, estableciendo estándares de ciberseguridad para dispositivos, que actualmente son inexistentes (HAWKINS, 2018HAWKINS, D. “The Cybersecurity 202: California’s Internet of Things cybersecurity bill could lay groundwork for federal action”. The Washington Post. 17 de septiembre de 2018 Disponible en: https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/09/17/the-cybersecurity-202-california-s-internet-of-things-cybersecurity-bill-could-lay-groundwork-for-federal-action/5b9e6e331b326b47ec959638/?noredirect=on&utm_term=.22a787721195. Acceso en: 14/12/2018.
https://www.washingtonpost.com/news/powe... ).

Conforme el Comité de Reglas del Senado, Oficina de Análisis de la Sala del Senado, que toma como fuente los argumentos de Common Sense Kids Action, un ejemplo alarmante de la posibilidad de abuso de la tecnología surgió en relación con las muñecas My Friend Cayla. Las muñecas de juguete estaban equipadas con tecnología de dientes azules que les permitía acceder a Internet, lo cual les posibilitaba comunicarse con los niños. Las muñecas instaron a los niños a proporcionar verbalmente datos personales, incluidos los nombres de sus padres, de su escuela y el lugar donde vivían. Además, la tecnología de dientes azules era vulnerable a los piratas informáticos pudiendo programar la muñeca con obscenidades o incluso hablar directamente con los niños a través de ella a una distancia de hasta 50 pies.

Pero este no fue un hecho aislado, es similar a muchas historias relacionadas con monitoreos de bebés que permiten a los piratas informáticos comunicarse a través de ellos. A principios del año 2017, se informó que los juguetes de CloudPets fueron hackeados de manera similar. También se han presentado demandas en los últimos años en respuesta a televisiones conectados a Internet. Las pantallas inteligentes producidas y vendidas por Vizio supuestamente rastreaban el historial de visualización de los usuarios sin el conocimiento y consentimiento de los clientes. Los televisores de Samsung también fueron el centro de atención después que se descubrió que su tecnología de reconocimiento de voz estaba grabando conversaciones personales y transmitiendo la información a terceros. Los investigadores también han concluido que miles de cámaras web inseguras fabricadas por la firma china de electrónica Xiongmai fueron tomadas por piratas informáticos y se convirtieron en un ejército de “botnets” que atacó e inhabilitó los sitios web más importantes, incluidos los de Twitter, Spotify, New York Times y Airbnb en octubre del 2016.

California reconoce que el derecho a la privacidad es un derecho fundamental y, desafortunadamente, debido al tamaño de su economía y al gran número de consumidores, los datos recopilados y en poder de las empresas de California son a menudo blanco de los ciberdelincuentes. Los innumerables ejemplos de dispositivos conectados a Internet que se piratean junto con la creciente incidencia de violaciones de datos ponen de relieve la necesidad de abordar más a fondo los problemas de seguridad. Un hilo común entre estos ejemplos es la deficiencia de las características de seguridad de los dispositivos. También falta una notificación clara a los consumidores acerca de qué es capaz un dispositivo, qué información recopila, qué hace con esa información y cómo un consumidor puede controlar esas funcionalidades. El daño que puede resultar del robo de información personal y confidencial a través de las violaciones de datos, la vigilancia encubierta de las vidas de los usuarios o el pirateo directo de dispositivos domésticos amenaza con socavar la privacidad y la seguridad de los consumidores de California. Esta ley da un paso para abordar estos problemas. Si bien existen leyes que exigen que las empresas que poseen, licencian o mantienen información personal sobre un residente de California implementen y mantengan procedimientos y prácticas de seguridad razonables adecuados a la naturaleza de la información, esta ley hace extensivos estos requisitos a los fabricantes de dispositivos conectados a Internet (SENATE RULES COMMITEE. SENATE FLOOR ANALYSIS, 2018SENATE RULES COMMITTEE. SENATE FLOOR ANALYSIS. SB-327 Information privacy: connected devices. 28 de agosto de 2018. Disponible en: https://leginfo.legislature.ca.gov/faces/billAnalysisClient.xhtml?bill_id=201720180SB327. Acceso en: 12/12/2018.
https://leginfo.legislature.ca.gov/faces... , p. 6-7).

Como cierre de los argumentos en defensa de la ley, el informe del Procurador General del 2014 sobre la violación de datos en California demostró que, en 2012, el 17 por ciento de las violaciones de datos registradas en los Estados Unidos se produjo en California, más que en cualquier otro Estado, y que el número de violaciones notificadas en California aumentó en 28 por ciento en 2013 (CALIFORNIA DEPARTMENT OF JUSTICE, 2014CALIFORNIA DEPARTMENT OF JUSTICE. California Data Breach Report. Octubre de 2014. Disponible en: https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/2014data_breach_rpt.pdf. Acceso en: 11/12/2018.
https://oag.ca.gov/sites/all/files/agweb... , p. 9). Durante el período de cuatro años comprendido entre 2012 y 2015, el Fiscal General recibió informes sobre más de 657 violaciones, que afectaron a más de 49 millones de registros (CALIFORNIA DEPARTMENT OF JUSTICE, 2016CALIFORNIA DEPARTMENT OF JUSTICE. California Data Breach Report. Febrero de 2016. Disponible en: https://oag.ca.gov/breachreport2016. Acceso en: 09/12/ 2018.
https://oag.ca.gov/breachreport2016... , p. 9).

2.2. Análisis comparativo entre la Ley de California y el Dictamen del Comité Económico y Social Europeo sobre “Confianza y Seguridad de los Consumidores y las Empresas en Internet de las Cosas”

Como se mencionó en la Introducción del presente artículo, el 6 de diciembre de 2018 el Comité Económico y Social Europeo emitió el dictamen de iniciativa sobre la “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas” (en adelante el dictamen de iniciativa). El mismo avanza sobre Internet de las Cosas y en uno de sus pilares: la toma de decisiones automáticas sin intervención humana y todos los riesgos a la seguridad, privacidad, intimidad y de carácter ético o contrarios a principios y derechos humanos fundamentales que esta tecnología conlleva. Y solicita a las instituciones europeas y a los Estados miembros, entre otras medidas, que velen por la protección de la seguridad y la privacidad tanto de los consumidores como de las empresas; adopten medidas de seguimiento y control; cubran los vacíos legales en las tecnologías disruptivas; delimiten con claridad la responsabilidad de todos los profesionales en la cadena de suministro del producto; fomenten las iniciativas de normalización europeas e internacionales; inicien campañas de sensibilización, información y capacitación en competencias digitales en especial para los grupos vulnerables y establezcan mecanismos efectivos y colectivos de solución de controversias (CESE, 2018COMITÉ ECONÓMICO Y SOCIAL EUROPEO. Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en el Internet de las Cosas”. Diario Oficial de la Unión Europea. C 440. 61° año. 6 de diciembre de 2018, p. C 440/8-C 440/13., p. C 40/8-C 40/9).

Del análisis comparativo entre ambos documentos, en aras de aportar un marco complementario y prospectivo de la Ley de California y a los efectos de proyectar futuras modificaciones a dicha ley y/o también para la elaboración de legislaciones de los Estados, se deducen las siguientes consideraciones:

En primer lugar, se observa que la Ley de California exige a los fabricantes de dispositivos conectados a internet, siempre que vendan sus productos en California, que los equipen con características de seguridad razonables, que sean adecuadas a la naturaleza y función del dispositivo y a la información que puede contener, recopilar y transmitir. Esta fórmula es muy amplia y vaga, quizás es una de las críticas más importantes formuladas por sus detractores. En cambio, el dictamen de iniciativa no peca de tal imprecisión. Es más, avanza en dicha problemática sobre ciberseguridad y afirma que las tecnologías emergentes, como la cadena de bloques, pueden resolver problemas de seguridad y confianza, por tanto propone que las mismas se utilicen para rastrear las mediciones de los datos procedentes de sensores y evitar no solo la duplicación con cualquier otro dato malintencionado sino también preservar la integridad y la trazabilidad de las modificaciones. Asimismo, recomienda que dichos sensores sean utilizados para intercambiar datos a través de una cadena de bloques en lugar de un tercero así como el uso de contratos inteligentes permite mantener la integridad de los datos (CESE, 2018COMITÉ ECONÓMICO Y SOCIAL EUROPEO. Dictamen del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en el Internet de las Cosas”. Diario Oficial de la Unión Europea. C 440. 61° año. 6 de diciembre de 2018, p. C 440/8-C 440/13., p. C 440/9).

Ahora bien, para la efectiva comprensión de la recomendación del Comité Económico y Social Europeo expuesta ut supra, es necesario definir y explicar someramente el funcionamiento de la cadena de bloques. Blockchain o cadena de bloques, que se utiliza en los contratos inteligentes o smart contract, es una base de datos automatizada, descentralizada, vale decir, distribuida en múltiples computadoras y de muy difícil manipulación, lo que la hace muy segura. Para alterar la información almacenada es preciso manipular más del 50% de los nodos que la integran. En dicha cadena se registran las operaciones, fechas, cantidades y participantes del contrato. Como utiliza claves criptográficas, presenta ventajas en la seguridad frente a manipulaciones y fraudes, ya que, aunque pueda vulnerarse una copia, quedan millones intactas que, además, son abiertas y públicas. Por eso permite que todos los participantes conozcan los movimientos y cambios que se realizan en el documento. Todos los bloques que conforman la cadena utilizan una contraseña numérica llamada hash, tomada del bloque anterior. Como todos los bloques se ordenan cronológicamente, cada hash refiere al bloque que le antecede, lo que incrementa su nivel de seguridad para llevar datos transaccionales de manera transparente y en tiempo real, evitando la pérdida de los mismos y el fraude (GRANERO, 2019GRANERO, H. “Contratos inteligentes y blockchain. ¿Las cadenas de bloques pueden convertir a Uber en pasado de moda?” In: GRANERO, H. (Dir.). E-Mails, chats, WhatsApp, SMS, Facebook, filmaciones con teléfonos móviles y otras tecnologías. Validez probatoria en el proceso civil, comercial, penal y laboral. Buenos Aires: ElDial, 2019, p. 21-35., p.23-243).

En segundo lugar, la Ley de California fundamentalmente protege al consumidor y usuario final de los dispositivos conectados a Internet, aunque se puede interpretar que si las empresas adquieren bienes y servicios que contengan dispositivos conectados a la Web como consumidores finales, vale decir, no para su reventa, también estarían alcanzados por su marco tuitivo. En cambio, el dictamen de iniciativa expresamente concluye que la legislación debe incluir, dentro de su ámbito de aplicación subjetivo, tanto a empresas y consumidores, como a administraciones y ciudadanos, ya que los desafíos asociados a riesgos implícitos los afecta a todos por igual, con un carácter multidisciplinar y transversal. Por ello, el tratamiento de este asunto debe contemplar un enfoque común y, a la vez, particularizado en todo aquello que resulte singular para una u otra condición.

Como tercer punto, ambas coinciden en otorgar vital importancia al marco de responsabilidad y la seguridad tanto a lo largo de la cadena de valor del producto como durante su ciclo de vida. Específicamente, la Ley de California exime de responsabilidad al vendedor y al fabricante de un dispositivo conectado de evitar que un usuario tenga control total sobre un dispositivo conectado. No obstante, el dictamen de iniciativa avanza sobre la seguridad y privacidad al remarcar la necesidad de garantizar la seguridad y la privacidad por diseño y por defecto conforme con el principio del deber de diligencia, y que los fabricantes de tales dispositivos se sometan a evaluaciones externas independientes. A tales efectos, el nuevo Reglamento sobre ciberseguridad de la Unión Europea, aunque no es obligatorio, amplía las funciones y competencias de la Agencia de Ciberseguridad. En cambio, en California no se contempla un organismo estatal con similares competencias.

En cuarto lugar, y a diferencia de legislación estadual, el dictamen de iniciativa prevé la elaboración de códigos de conducta complementarios a la acción normativa y un marco de certificación de las tecnologías de la información y la comunicación a los efectos de definir esquemas de certificación de seguridad y etiquetado para diferentes tipos de productos.

Como quinta diferencia, la Ley de California no establece expresamente la obligación por parte del fabricante de suministrarle al consumidor información clara y veraz, aunque, en este punto, se le aplica la nueva Ley de Privacidad de California. En cambio, el dictamen de iniciativa puntualiza la importancia de la información precontractual, la transparencia de las cláusulas estipuladas, así como de las instrucciones de uso, con advertencia explícita de los posibles riesgos asociados, los datos que se recopilan, quienes acceden a ellos y la utilidad que se les pretende dar mientras la relación de producto o servicio se mantenga activa, así como la política de privacidad aplicable.

En sexto lugar, el dictamen de iniciativa recomienda la adopción de políticas públicas que impulsen campañas de sensibilización y programas educativos para la adquisición de las capacidades y competencias precisas, con especial atención a los colectivos vulnerables y a la diversidad.

Finalmente, y en séptimo lugar, la Ley de California, en cuanto a las vías judiciales habilitadas, no establece ningún tipo de acción privada. Únicamente el Fiscal General, un abogado de la ciudad, el abogado del condado o un fiscal de distrito tendrán la autoridad exclusiva para hacer cumplir la ley. El dictamen de iniciativa expresamente hace hincapié en garantizar la plena aplicación y una utilización eficaz de los sistemas de resolución alternativa de litigios o de resolución de litigios en línea y acciones colectivas en casos de daños o perjuicios de carácter colectivo. En este punto la Comisión de Naciones Unidas para el Derecho Mercantil Internacional ofrece una guía sobre el procedimiento de resolución de disputas online (ODR siglas de Online Dispute Resolution).

Conclusiones

Internet es, probablemente, una de las mayores invenciones de la humanidad, la mayor herramienta de conocimiento y está presente en todas las actividades humanas. Ha cambiado la forma de trabajar, de estudiar y hasta de relacionarnos con otros seres humanos de distintas culturas, religiones, razas o nacionalidades.

Su potencial es innegable, pero también tiene su lado oscuro. Los videos, fotos, e-mails, conversaciones, cuentas bancarias y cualquier otro dato personal que se sube a la Red están expuestos a un número indeterminado de personas.

Actualmente, los hogares comienzan a equiparse con dispositivos “inteligentes”. La tecnología que alguna vez estuvo limitada a computadoras o teléfonos celulares ahora está integrada en los aparatos y juguetes de uso cotidiano. Dadas las capacidades cada vez mayores de esta tecnología para recopilar y sintetizar información, la seguridad y la privacidad son de suma importancia. Los informes generalizados de fallas de seguridad, piratería y espionaje solo han enfatizado aún más la necesidad de protecciones jurídicas.

Si bien existen proyectos de leyes a nivel estadual y regional, como en la Unión Europea, la primera Ley sobre Internet de las Cosas fue recientemente promulgada, a fines de septiembre de 2018, por el Gobernador del Estado de California, marcando un importante hito jurídico en la regulación de esta nueva tecnología.

Tanto sus detractores como sus defensores coinciden en su amplitud y generalidad, pero es de destacar que reviva el debate, propiciando su discusión a nivel nacional, regional e internacional y que sienta un punto de inflexión en la protección de los consumidores de los dispositivos conectados, quienes, en especial los niños, utilizan esos productos inocentemente y sin saber que indirectamente están transmitiendo toda su información a la nube. Lo que muchos no advierten es que detrás de ella hay personas y organizaciones dispuestas a utilizar para su provecho toda esa información (hackers, piratas informáticos, contrabandistas, ladrones y abusadores de menores) poniendo en riesgo la privacidad e integridad de las personas. En este sentido, esta ley exige a los fabricantes de tales dispositivos que alerten a los consumidores con señales auditivas y/o visuales cuando el mismo está transmitiendo información personal. Un consumidor informado y capacitado es más difícil de engañar, es una manera de empoderar al consumidor. Generalmente, el derecho se escribe después de los hechos, en este caso es necesario adelantarse a cualquier ciberataque y esta ley puede ser un punto de partida, en especial en Argentina, que todavía ni se presentó un proyecto de ley que abriera el debate.

En base a la comparación realizada en el apartado anterior entre la ley estadual y el dictamen de iniciativa del Comité Económico y Social Europeo sobre “Confianza, Privacidad y Seguridad de los Consumidores y las Empresas en Internet de las Cosas” y como aporte a un marco legislativo claro y más completo en cuanto a las condiciones de seguridad y privacidad, a continuación, se propone cubrir las lagunas de la ley comentada teniendo en cuenta los siguientes aspectos:

Esta nueva tecnología vino para quedarse y cada vez irrumpe con mayor asiduidad en nuestra vida cotidiana. Que no nos tome desprevenidos.

REFERENCIAS

Fechas de Publicación

Histórico