Navas & Cusí participó como bufete invitado al IoT Solutions World Congress celebrado en Barcelona entre el 10-12 de mayo de 2022. Este congreso mundial se celebra cada año en la ciudad condal y es un encuentro global para ejecutivos y empresas de tecnología IoT que buscan aprovechar la tecnología para lograr resultados innovadores, disruptivos y revolucionarios.
El Internet de las cosas (IoT) es el proceso que permite conectar elementos físicos cotidianos al Internet: desde objetos domésticos comunes, como las bombillas de luz, hasta recursos para la atención de la salud, como los dispositivos médicos; también abarca prendas y accesorios personales inteligentes e incluso los sistemas de las ciudades inteligentes.
El ecosistema de IoT de Europa está actualmente prosperando como pudimos comprobar mediante nuestra participación al IoT Solutions World Congress de Barcelona.
Gracias a iniciativas de la Comisión Europea como la Alianza para la Innovación en Internet de las Cosas, la Iniciativa de Plataformas Europeas de IoT y documentos de trabajo para avanzar en la industria de IoT de Europa, se espera que el continente represente el 25% del gasto mundial en IoT para el año 2024.
Desde que el Banco Mundial consideró que los marcos regulatorios en torno a la tecnología IoT estaban «subdesarrollados» en 2017, Europa se ha convertido en un líder en la regulación del mercado de IoT en los últimos años. Esta regulación es esencial para garantizar la privacidad, la protección de datos y la ciberseguridad en toda la industria de IoT.
Si su empresa no cumple con estas regulaciones, podría enfrentar multas de millones de euros o hasta el cuatro por ciento de los ingresos brutos anuales de su empresa. Por lo tanto, estamos aquí para guiarle a través de los diferentes conjuntos de regulaciones de IoT de la UE que su empresa debe cumplir para continuar operando legalmente dentro de la Unión Europea.
Reglamento General de Protección de Datos
Podría decirse que es la madre de todas las leyes de protección de datos, el GDPR es una parte central de la Ley de Protección de Datos de la Unión Europea. Implementado en 2018, este conjunto de regulaciones fue diseñado para proteger a los usuarios de la privacidad y las violaciones de datos.
Este Reglamento Europeo controla cómo los dispositivos IoT procesan nuestros datos personales y, por lo tanto, se aplica a toda la cadena de suministro de datos. Si bien el GDPR se extiende de manera extremadamente amplia, en última instancia garantiza a los usuarios el derecho a:
- Consentimiento previo
- Anonimato
- Preguntar cómo las empresas procesan sus datos personales
- Privacidad integrada en el diseño
Si tiene una empresa de IoT EU, aquí hay un par de acciones que puede tomar para cumplir con el GDPR:
- Intente limitar los datos que recopila, si bien esto puede ser un desafío para algunas empresas de IoT que recopilan, almacenan y procesan grandes cantidades de datos a diario, simplemente reducir esta cantidad puede marcar una enorme diferencia. Ya sea que lo limite a través de la agregación, el filtrado o la compresión, tener menos datos para monitorear significa que es menos probable que su negocio de IoT viole el GDPR.
- Tenga cuidado con la nube: si almacena datos en la nube, está almacenando datos privados de usuarios en su propio equipo. Como resultado, se le impondrán todas las regulaciones de GDPR, que incluyen: documentación de quién puede acceder a los datos, registro de quién tiene acceso a los servidores, información sobre cómo eliminará los datos y la responsabilidad de eliminar los datos de los usuarios que lo soliciten. La alternativa es utilizar una plataforma descentralizada de habilitación de aplicaciones de IoT. Con esta solución, los datos se almacenan a nivel de dispositivo y, como el dispositivo es propiedad del usuario, ya no está recopilando datos y ya no tiene que saltar a través de aros para cumplir con el GDPR.
Regulaciones de ePrivacy
En su forma original, la Directiva de privacidad electrónica de la UE fue diseñada para regular la comunicación electrónica dentro de la Unión Europea. La legislación requería que los estados miembros obtuvieran el consentimiento del usuario antes de almacenar cookies en sus dispositivos personales. Según esta Directiva, es el usuario quien decida el grado de privacidad que quiere tener mientras visita una página web. Además de esto, la directiva también requería que las empresas informaran de las violaciones de datos personales a las autoridades nacionales para mitigar cualquier riesgo de robo.
En 2017, sin embargo, se propusieron reformas en la legislación europea de privacidad electrónica para ampliar las normas de confidencialidad para las nuevas tecnologías, simplificar las normas sobre cookies y aumentar la protección contra el spam. Aunque estas reformas se han retrasado desde entonces, mencionaron específicamente la regulación de las empresas de IoT, que requieren que aquellos que proporcionan comunicaciones de máquina a máquina [M2M], dispositivos portátiles, automóviles conectados y otros obtengan el consentimiento antes de transmitir datos personales.
En los cambios legislativos propuestos más recientes a la regulación de ePrivacy, que se actualizaron en febrero de 2021, las regulaciones se ampliarán para incluir directamente tecnologías de voz y mensajería basadas en Internet como Whatsapp, Skype y Facebook Messenger, así como comunicaciones M2M.
Para garantizar que su negocio de IoT cumpla con los nuevos cambios propuestos a la regulación de ePrivacy, puede:
- Preste atención a los datos que almacena y dónde los almacena: esto ayudará a su empresa de IoT a responder fácilmente a las solicitudes de datos de los clientes.
- Asegúrese de que su personal conozca su política de datos: esto no solo lo ayudará a cumplir con las regulaciones de privacidad electrónica, sino que también es una forma útil de mantenerse en línea con el GDPR.
- Esté atento a los cambios en la regulación: puede hacerlo a través del sitio web de la Comisión Europea, que tiene una sección específica dedicada a la tecnología IoT.
La legislación europea de Ciberseguridad
En virtud de la nueva normativa de Ciberseguridad de la UE, la Agencia de Ciberseguridad de la Unión Europea (ENISA) está diseñando esquemas de certificación de ciberseguridad a escala europea para empresas de TIC e IoT. Su principal objetivo es regular la legislación fragmentada en materia de ciberseguridad en todos los países y reforzar el mercado único digital.
Según la normativa europea de Ciberseguridad, las empresas de IoT se clasificarán utilizando un conjunto común de estándares de certificación que irán desde básicos, sustanciales y altos, dependiendo de cuán seguros sean. De acuerdo con su nivel de certificación, las empresas de IoT deberán seguir diferentes esquemas establecidos por la Comisión Europea.
Aunque los detalles de estos esquemas aún no se han publicado, los expertos predicen que incluirán:
- Limitar el acceso a los datos protegidos a personas, dispositivos y programas autorizados.
- Evitar cualquier almacenamiento, pérdida, modificación, procesamiento o acceso a datos que no estén autorizados.
- Planes de copia de seguridad para violaciones de datos.
- Seguimiento de transacciones que involucran datos protegidos.
En conclusión, cuando se trata de la regulación de IoT de la UE, siempre que su empresa cumpla con los estándares de seguridad de IoT de la UE mencionados anteriormente, lo más probable es que continúe prosperando en el floreciente ecosistema de IoT de Europa.
Sin embargo, así como las nuevas tecnologías de IoT se desarrollan constantemente, también lo hacen las regulaciones. Por lo tanto, es importante que esté atento a las subrogaciones y actualizaciones de la legislación europea para garantizar que su negocio cumpla con las normas y, en última instancia, evite pagar multas innecesarias.