Aprovechamiento de los datos recopilados a través de servicios IoT y problemas legales asociados
En los últimos años, los dispositivos IoT, como los electrodomésticos inteligentes, se han ido integrando en los hogares. Si bien son extremadamente convenientes, el hecho de que estén conectados a Internet también los expone al riesgo de fugas de información. Al iniciar un negocio de IoT, es crucial no solo garantizar la seguridad de los electrodomésticos como productos de consumo, sino también gestionar la seguridad en la red para resistir los ataques cibernéticos.
Si nos centramos en el ámbito nacional, ya podemos ver que los problemas de fuga de información personal se han intensificado. Tokyo Shoko Research ha informado que en 2021 se registró un número récord de incidentes de fuga y pérdida de información personal en empresas cotizadas, con 137 casos afectando a aproximadamente 5.74 millones de personas.
En este artículo, explicaremos las regulaciones legales que se deben conocer para el uso seguro de los datos recopilados a través de servicios IoT.
Regulaciones legales en el negocio del IoT
IoT es la abreviatura de “Internet of Things”, que traducido literalmente significa “Internet de las cosas”. Se refiere a sistemas y servicios diseñados para hacer nuestra vida más conveniente al conectar a Internet objetos de uso cotidiano, permitiendo su control remoto, reconocimiento automático y funciones de control automático.
En cuanto al aspecto hardware de los electrodomésticos, existen regulaciones estrictas debido a la posibilidad de que afecten directamente al cuerpo humano.
En el aspecto software, leyes como la Ley de Radio y la Ley de Negocios de Telecomunicaciones exigen registros y notificaciones para poder llevar a cabo negocios.
Para obtener una explicación detallada sobre las regulaciones legales en los aspectos hardware y software del IoT, por favor consulte el siguiente artículo.
Artículo relacionado: Explicación de las regulaciones legales en los aspectos hardware y software que se deben tener en cuenta en el negocio del IoT[ja]
En el negocio del IoT, debido a la naturaleza de conectar dispositivos tradicionales a Internet y utilizar la información recopilada, surge un problema importante no solo en las regulaciones legales de los aspectos hardware y software, sino también en cómo se procesa la información acumulada.
Problemas legales relacionados con la utilización de datos obtenidos a través del IoT
Los dispositivos IoT conllevan el riesgo de acumular y utilizar datos de la vida cotidiana de los usuarios de manera no intencionada.
Aunque los usuarios hayan consentido la utilización de su información personal al momento de registrarse, la naturaleza del IoT implica que se recolecta información sobre su comportamiento cada vez que se utiliza el dispositivo, lo que da lugar a problemas como los siguientes:
- Protección de la información personal
- Protección de la privacidad
- Respuesta a ataques cibernéticos
A continuación, explicaremos los diversos problemas legales inherentes a los dispositivos IoT.
IoT y la Información Personal
No todos los datos acumulados por dispositivos IoT se consideran información personal protegida por sí solos. Cuando la información de registro de usuarios y los datos de la vida cotidiana se vinculan y permiten identificar a una persona, estos se convierten en objeto de la Ley de Protección de Información Personal japonesa.
Por lo tanto, los proveedores de servicios de hogares inteligentes que vinculan datos de la vida cotidiana con información de usuarios, asumen las obligaciones como operadores definidos en el Artículo 2, Párrafo 5 de la Ley de Protección de Información Personal japonesa (Ley de Protección de Información Personal japonesa, Artículo 2, Párrafo 5[ja]), que incluyen las siguientes:
<Obligaciones de la Ley de Protección de Información Personal japonesa, Artículos 19 a 26>
- Asegurar la precisión de los datos y la obligación de eliminación
- Obligación de medidas de gestión de seguridad
- Obligación de supervisión de empleados
- Obligación de supervisión de contratistas
- Restricciones en la provisión a terceros y obligación de mantener registros
Al manejar información personal, es esencial especificar el propósito de uso y notificar o publicar ese propósito al interesado. Además, una vez que ya no sea necesario utilizar la información personal, esta debe ser procesada rápidamente. También es crucial implementar medidas cuidadosas contra las filtraciones de información y asegurarse de que los empleados y contratistas cumplan rigurosamente.
En principio, la provisión de información personal adquirida a terceros está restringida. Sin embargo, a veces es necesario compartir información con terceros para mejorar los servicios. En tales casos, es necesario anonimizar la información personal hasta un grado que no permita la restauración de la información original.
Además, la enmienda a la Ley de Protección de Información Personal japonesa, que entró en vigor en abril de 2022 (2022), estableció nuevas regulaciones para la provisión de información personal a operadores extranjeros, además de fortalecer la protección de los derechos de los individuos y la responsabilidad de los operadores.
La Comisión de Protección de Información Personal japonesa enfatizó los siguientes cinco puntos de vista con esta enmienda:
- Protección de los derechos e intereses de los individuos
- Equilibrio entre protección y uso
- Armonización con las tendencias internacionales
- Respuesta a los cambios de riesgo por parte de operadores extranjeros
- Adaptación a la era de la IA y los grandes datos
IoT y el Derecho a la Privacidad
Aunque los datos de vida cotidiana recopilados no se consideren información personal, es necesario manejar con cuidado la información sobre las actividades de las personas, ya que puede llevar a la comprensión de sus comportamientos. Por ejemplo, la información sobre los horarios de uso de electricidad y gas, si se filtra, podría ser mal utilizada para cometer delitos como robos en viviendas desocupadas.
Por otro lado, para mejorar la calidad de los servicios de hogares inteligentes, es necesario comprender y utilizar la información sobre las actividades de las personas. Para utilizar los datos personales en la mejora de los servicios, protegiendo la privacidad, se requerirá una gestión cuidadosa, considerando las prácticas de protección de datos personales, incluso cuando la información recopilada no se clasifique como tal.
IoT y Ciberseguridad
El negocio del IoT se basa y avanza en la recolección, gestión y uso de información que puede afectar a la privacidad y los derechos de privacidad de las personas. Dado que la información se acumula y gestiona a través de Internet, es imprescindible implementar medidas de ciberseguridad en los dispositivos conectados a la red.
A continuación, explicaremos las medidas de ciberseguridad que se deben tomar de antemano y las responsabilidades que se deben asumir en caso de sufrir un ataque cibernético.
Responsabilidad de los fabricantes de dispositivos: Ley de Responsabilidad por Productos Defectuosos japonesa
Si un dispositivo IoT sufre un ciberataque, el fabricante del dispositivo podría enfrentar reclamaciones de indemnización por daños bajo la Ley de Responsabilidad por Productos Defectuosos japonesa.
Los criterios para la responsabilidad bajo la Ley de Responsabilidad por Productos Defectuosos japonesa son los siguientes:
- Que el producto tenía un defecto.
- Que dicho defecto causó daño a la vida, el cuerpo o la propiedad de otra persona.
- Que se produjo un daño.
El “defecto” mencionado en el punto 1 se refiere a la falta de la “seguridad que uno normalmente esperaría” y puede clasificarse en defectos de fabricación, defectos de diseño o defectos en las instrucciones o advertencias.
Si un fabricante es responsable o no cuando realmente ocurre un ciberataque se determinará en función de las siguientes circunstancias:
- Si el producto cumplía con el nivel técnico esperado en el momento de la entrega.
- Si estaba conforme con las últimas guías publicadas o con los estándares voluntarios.
Los fabricantes de dispositivos pueden evitar la responsabilidad si demuestran que no podían haber reconocido el defecto. Sin embargo, deben probar que el defecto no era reconocible incluso con el más alto nivel técnico disponible en el momento de la entrega, lo cual hace que la posibilidad de que se acepte esta defensa sea baja.
Responsabilidades del administrador de redes: Código Civil Japonés
Si una red sufre un ciberataque y se produce una fuga de información, es posible que el administrador de la red enfrente reclamaciones de indemnización por daños y perjuicios basadas en el Código Civil Japonés, y no en la Ley de Responsabilidad por Productos Defectuosos, por las siguientes razones:
- Incumplimiento del contrato entre el administrador de la red y el usuario.
- Incumplimiento de la obligación de medidas de seguridad por parte del administrador de la red.
- Responsabilidad por actos ilícitos debido a la negligencia del administrador de la red (Artículo 709 del Código Civil Japonés).
En cualquiera de estos casos, el punto de disputa será si el administrador de la red fue negligente al no tomar las medidas de seguridad adecuadas.
Además, existen precedentes judiciales que indican que las “medidas de seguridad adecuadas” no solo deben estar en línea con los estándares en el momento del contrato, sino que también deben cumplir con las directrices publicadas en el momento del ciberataque (Sentencia del Tribunal de Distrito de Tokio, Heisei 26 (2014), 23 de enero).
Por lo tanto, el administrador de la red debe estar constantemente al tanto de las actualizaciones de las directrices importantes y actualizar el software según sea necesario, incluso después de la entrega.
Guías de seguridad de la información actuales:
- Guía de seguridad IoT ver1.0[ja] | Ministerio de Economía, Comercio e Industria de Japón
- Marco general para la seguridad en sistemas IoT seguros[ja] | NISC de Japón
- Guía de diseño de seguridad en el desarrollo de IoT[ja] | IPA de Japón
Artículo relacionado: Daños por ciberataques. ¿Cuál es la responsabilidad de indemnización del proveedor del sistema? Explicación de ejemplos de contratos[ja]
Resumen: El negocio del IoT requiere una comprensión legal especializada
El negocio del IoT se caracteriza por acumular y utilizar información personal y de privacidad de los usuarios a través de Internet, lo que impulsa su progreso.
Por lo tanto, los operadores no solo deben asumir la responsabilidad del producto como electrodomésticos, sino también prestar atención a la actualización de la Ley de Protección de Información Personal y las Directrices de Seguridad de la Información como operadores que manejan información personal.
Un accidente de producto no solo puede afectar físicamente al usuario, sino que también existe la posibilidad de que un incidente de fuga de información cause daños a un número indeterminado de personas.
Al iniciar un negocio de IoT, es crucial consultar con un abogado que posea un amplio conocimiento especializado, desde la Ley de Responsabilidad del Producto hasta la Ley de Protección de Información Personal y las últimas Directrices de Seguridad de la Información.
Presentación de medidas por parte de nuestro despacho
El despacho de abogados Monolith es una firma con amplia experiencia en IT, especialmente en Internet y derecho. En los últimos años, el negocio de IoT ha ganado mucha atención y la necesidad de revisiones legales está en aumento. Nuestro despacho ofrece soluciones para negocios relacionados con IoT.
Áreas de práctica de Monolith Law Office: Asesoría legal corporativa para IT y startups[ja]